[Résolu grâce à vous tous] Worms : Malwarebytes' les a détectés et

[Sacles]

Bonjour,

 

Exemples de faux positifs qui ont provoqué des problèmes lors de mises en quarantaine trop précipitées:

http://www.libellules.ch/dotclear/index.ph...gen-rtk-svchost

http://forum.telecharger.01net.com/microhe...messages-1.html

 

MBAM n'est pas sans tache pour les faux-positifs (il y a une rubrique spéciale sur son forum). Que ce soit lui ou Antivir ou un autre le problème reste potentiellement présent.

 

Salut.

[Tibonhomme]

Bonjour Sacles,

 

Merci pour les liens.

Le 1er concerne Avast (no comment! même si cela reste dommage pour ceux qui avaient confiance dans cet antivirus)

Le 2nd concerne AVG (déjà plus fiable) quoiqu'il y a quelques mois ils ont sortis une mise à jour qui détruisait des fichiers système! avant de rectifier dans les jours suivants, laissant malgré tout pas mal d'utilisateurs sur le carreau.

 

MBAM n'est pas sans tache pour les faux-positifs (il y a une rubrique spéciale sur son forum). Que ce soit lui ou Antivir ou un autre le problème reste potentiellement présent.

Certes, il ne faut pas aveuglément faire confiance aux moteurs de détection. J'ai cependant rencontré peu d'alertes malencontreuses avec MBAM et Antivir, les dernières concernaient des fichiers de VaccinUsb de Gof par MBAM.

Le souci demeure pour les utilisateurs lambda (rien de péjoratif dans mon propos) : quoi faire en présence de détections? Laisser en l'état et demander systématiquement sur un forum sécurité? Oui, peut-être est-ce le plus sûr... En revanche, s'il s'agit d'éléments infectieux, ils continueront d'être actifs et éventuellement de se propager dans l'attente d'une réponse.

Effectuer une recherche sur le net? Fastidieux, pas très efficace, et des réponses très contradictoires. Difficile de s'y retrouver si on ne connaît pas les bons sites de sécurité, et encore...

Envoyer chaque fichier à Virus Total? Pas forcément facile d'interpréter pour un utilisateur novice...

 

Tu vois, je n'ai pas de solution idéale.

Si tu as (ou l'un des membres de l'Equipe Sécurité) une procédure s'avérant le meilleur compromis, je suis preneur

 

Cordialement

[nanotek]

Bonsoir Tibonhomme, Bonsoir Sacles,

 

Me revoici devant mon clavier personnel.

 

1 - Je vais donc restaurer les fichiers "quarantined and deleted" par MBAM, sauf la série des A01xxxxx.exe tels que ceux ci-dessous, et qui concernent des points de restauration.

C:\System Volume information\_restore{B8EA51D3-0393-40D0-8618-15B42320C830}\RP558\A0135688.exe

 

2 - Après mise à jour de la base des méchants (MBAM lui-même a été mis à jour à mon retour, la version actuelle du logiciel est la 1.41), j'ai effectué un scan et vous poste le rapport comme convenu.

-----------------------------------------------------------------------------------------------------------------

Ci-dessous le rapport :

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2825

Windows 5.1.2600 Service Pack 3 (Safe Mode)

19/09/2009 21:07:07

mbam-log-2009-09-19 (21-07-07).txt

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 138949

Temps écoulé: 30 minute(s), 10 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

-----------------------------------------------------------------------------------------------------------------

J'avais vérifié, à toutes fins utiles que les fichiers "Quarantined and Deleted" étaient bien revenus dans leurs dossiers respectifs avant de faire ce scan MBAM.

Il semblerait donc que ces fichiers Q & D soient de faux positifs ?

 

à très bientôt, pour m'éclairer un peu plus sur ce qui s'est passé ?

(Mon pc a fonctionné sans problème pendant 15 jours : à quoi servaient alors les fichiers .exe mis en quarantaine ?)

et merci encore pour le temps que vous avez consacré à mon problème

Modifié le 20 septembre 2009 par nanotek

[Tibonhomme]

Bonjour nanotek,

 

C:\System Volume information\_restore

Y sont stockés le fichiers de points de restauration. Tu as recréé un point de restauration propre et effacé les anciens, les fichiers désignés n'existent donc plus.

 

Pour ce qui est des autres .exe (appartenant à Win32 Cabinet Self-Extractor, MSN + 2 utilitaires inclus dans Windows), je ne sais trop. La mise à jour de la base et du moteur de recherche de MBAM a semble-t-il réglé le problème ?!?

 

En cas de doute sur un fichier, tu peux effectuer une vérification en ligne par Virus Total.

 

D'autres membres seront certainement plus explicites que moi en la matière.

 

Content pour toi que tout soit OK.

Cordialement