Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rogue.installer ... faux positif ou malware ??

ptitchat

Par ptitchat
dans Analyses et éradication malwares

 Partager

Messages recommandés

ptitchat Member

ptitchat

Posté(e)
Posté(e)

Bonjour,

 

Malwaresbyte me trouve un fichier soit disant infecté ==> C:\Program Files\setup.exe (Rogue.Installer) :P

 

Rapport :

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3890

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

21/03/2010 11:44:59

mbam-log-2010-03-21 (11-44-43).txt

Type de recherche: Examen complet (C:\|D:\|)

Eléments examinés: 169997

Temps écoulé: 17 minute(s), 50 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

- Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

- Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

- Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

- Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

- Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

- Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

- Fichier(s) infecté(s):

C:\Program Files\setup.exe (Rogue.Installer) -> No action taken.

 

 

Curieusement seul malwaresbyte est capable de me trouver cette infection fichier !

De plus, après avoir regarder ce dit fichier, il apparait que c'est une application de openoffice.org ... donc plutôt faux positif ou virus rogue.installer ?? le supprimer ou pas ??

 

J'imagines que je ne suis pas le premier à poser cette question mais n'ayant pas trouver de réponse à ma question, je réouvres une file :P

Par avance merci de votre aide !

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Rends toi sur ce lien : Virus Total

  • Clique sur le bouton Parcourir...
  • Parcours tes dossiers jusque à ce fichier, si tu le trouves :

  • C:\Program Files\setup.exe

 

  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  • Une nouvelle fenêtre de ton navigateur va apparaître
  • Clique alors sur cette image : txtvt.jpg
  • Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  • Enfin colle le résultat dans ta prochaine réponse.
    NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

ptitchat Member

ptitchat

Posté(e)
  • Auteur
Posté(e)

Voilà Apollo !!

intéressant ce lien Virus total :P

 

Résultat (comme je le présentais cela semble etre une sorte de faux positif) :

 

Fichier setup.exe reçu le 2010.03.21 14:39:05 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.03.21 -

AhnLab-V3 5.0.0.2 2010.03.20 -

AntiVir 8.2.1.196 2010.03.19 -

Antiy-AVL 2.0.3.7 2010.03.19 -

Authentium 5.2.0.5 2010.03.21 -

Avast 4.8.1351.0 2010.03.21 -

Avast5 5.0.332.0 2010.03.21 -

AVG 9.0.0.787 2010.03.21 -

BitDefender 7.2 2010.03.21 -

CAT-QuickHeal 10.00 2010.03.19 -

ClamAV 0.96.0.0-git 2010.03.20 -

Comodo 4340 2010.03.21 -

DrWeb 5.0.1.12222 2010.03.21 -

eSafe 7.0.17.0 2010.03.18 -

eTrust-Vet 35.2.7376 2010.03.19 -

F-Prot 4.5.1.85 2010.03.21 -

F-Secure 9.0.15370.0 2010.03.21 -

Fortinet 4.0.14.0 2010.03.20 -

GData 19 2010.03.21 -

Ikarus T3.1.1.80.0 2010.03.21 -

Jiangmin 13.0.900 2010.03.21 -

K7AntiVirus 7.10.1002 2010.03.19 -

Kaspersky 7.0.0.125 2010.03.21 -

McAfee 5926 2010.03.20 -

McAfee+Artemis 5926 2010.03.20 -

McAfee-GW-Edition 6.8.5 2010.03.21 -

Microsoft 1.5605 2010.03.21 -

NOD32 4962 2010.03.21 -

Norman 6.04.09 2010.03.21 -

nProtect 2009.1.8.0 2010.03.21 -

Panda 10.0.2.2 2010.03.20 -

PCTools 7.0.3.5 2010.03.21 -

Prevx 3.0 2010.03.21 -

Rising 22.39.06.01 2010.03.21 -

Sophos 4.51.0 2010.03.21 -

Sunbelt 6007 2010.03.21 -

Symantec 20091.2.0.41 2010.03.21 -

TheHacker 6.5.2.0.241 2010.03.21 -

TrendMicro 9.120.0.1004 2010.03.21 -

VBA32 3.12.12.2 2010.03.19 -

ViRobot 2010.3.19.2236 2010.03.20 -

VirusBuster 5.0.27.0 2010.03.20 -

 

Information additionnelle

File size: 453024 bytes

MD5...: f8747824c60ad3ff1cd1fd305b633799

SHA1..: 6fa5993dc7d7b26f363a319d876a8c781a311ab4

SHA256: 8bbf89482e5db4ab1508a7b3cc327e8fc819049013d281a9022ad72b0a1051c6

ssdeep: 6144:5MWln2EhvTr5CFcLmA2Uvzg5zxyqj+mWIedHU9qrC/:5MWlnBhXMFcLjNL8<BR>yfmWbM/<BR>

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0xba60<BR>timedatestamp.....: 0x4b4783e6 (Fri Jan 08 19:13:42 2010)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2ce2a 0x2d000 6.59 31e03cdb150839f2b9b31ee53d200c08<BR>.rdata 0x2e000 0x73f2 0x7400 5.07 69fe71ac347b25f18b88a6699141000f<BR>.data 0x36000 0x2e14 0x1200 2.44 ac76d0443375d09dbee4acff26f55523<BR>.rsrc 0x39000 0x37958 0x37a00 5.04 494399bbfcbd749e3ca5e1dbf557e05d<BR><BR>( 4 imports ) <BR>> ADVAPI32.dll: RegCloseKey, RegQueryValueExA, RegOpenKeyExA, FreeSid, EqualSid, GetTokenInformation, OpenProcessToken, AllocateAndInitializeSid, RegQueryValueExW, RegOpenKeyExW<BR>> msi.dll: -, -, -, -, -, -, -<BR>> KERNEL32.dll: SetEnvironmentVariableW, SetEnvironmentVariableA, CompareStringW, CompareStringA, GetProcessHeap, SetEndOfFile, CreateFileW, GetVersionExA, lstrcmpA, lstrlenA, GetLastError, CloseHandle, GetCurrentProcess, FreeLibrary, GetProcAddress, LoadLibraryA, GetPrivateProfileSectionA, GetFileAttributesA, GetFullPathNameA, GetSystemDirectoryA, GetExitCodeProcess, CreateProcessA, lstrcmpiA, CreateMutexA, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, GetModuleFileNameA, GetCommandLineA, FindClose, FindNextFileA, FindFirstFileA, GetSystemDefaultLangID, GetUserDefaultLangID, lstrcmpW, lstrlenW, LoadLibraryW, GetPrivateProfileSectionW, GetFileAttributesW, GetFullPathNameW, GetSystemDirectoryW, CreateProcessW, lstrcmpiW, CreateMutexW, CreateFileMappingW, GetModuleFileNameW, GetCommandLineW, FindNextFileW, FindFirstFileW, RtlUnwind, RaiseException, GetSystemTimeAsFileTime, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, HeapFree, DeleteFileA, DeleteFileW, GetStartupInfoA, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, GetCurrentThread, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, WriteFile, GetStdHandle, WideCharToMultiByte, GetTimeZoneInformation, GetConsoleCP, GetConsoleMode, FlushFileBuffers, DeleteCriticalSection, LeaveCriticalSection, FatalAppExitA, EnterCriticalSection, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, Sleep, ExitProcess, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, SetHandleCount, GetFileType, ReadFile, HeapCreate, HeapDestroy, VirtualFree, VirtualAlloc, HeapReAlloc, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, SetConsoleCtrlHandler, GetLocaleInfoW, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetStdHandle, InitializeCriticalSectionAndSpinCount, InterlockedExchange, CreateFileA, HeapSize<BR>> USER32.dll: PeekMessageA, LoadStringW, MessageBoxW, CharNextW, PeekMessageW, DispatchMessageW, LoadStringA, MessageBoxA, DispatchMessageA, TranslateMessage, MsgWaitForMultipleObjects, CharNextA<BR><BR>( 0 exports ) <BR>

RDS...: NSRL Reference Data Set<BR>-

pdfid.: -

trid..: Win64 Executable Generic (59.6%)<BR>Win32 Executable MS Visual C++ (generic) (26.2%)<BR>Win32 Executable Generic (5.9%)<BR>Win32 Dynamic Link Library (generic) (5.2%)<BR>Generic Win/DOS Executable (1.3%)

sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: Sun Microsystems GmbH<BR>VeriSign Class 3 Code Signing 2009-2 CA<BR>Class 3 Public Primary Certification Authority<BR>signing date.: 6:13 AM 2/3/2010<BR>verified.....: -<BR>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.03.21 -

AhnLab-V3 5.0.0.2 2010.03.20 -

AntiVir 8.2.1.196 2010.03.19 -

Antiy-AVL 2.0.3.7 2010.03.19 -

Authentium 5.2.0.5 2010.03.21 -

Avast 4.8.1351.0 2010.03.21 -

Avast5 5.0.332.0 2010.03.21 -

AVG 9.0.0.787 2010.03.21 -

BitDefender 7.2 2010.03.21 -

CAT-QuickHeal 10.00 2010.03.19 -

ClamAV 0.96.0.0-git 2010.03.20 -

Comodo 4340 2010.03.21 -

DrWeb 5.0.1.12222 2010.03.21 -

eSafe 7.0.17.0 2010.03.18 -

eTrust-Vet 35.2.7376 2010.03.19 -

F-Prot 4.5.1.85 2010.03.21 -

F-Secure 9.0.15370.0 2010.03.21 -

Fortinet 4.0.14.0 2010.03.20 -

GData 19 2010.03.21 -

Ikarus T3.1.1.80.0 2010.03.21 -

Jiangmin 13.0.900 2010.03.21 -

K7AntiVirus 7.10.1002 2010.03.19 -

Kaspersky 7.0.0.125 2010.03.21 -

McAfee 5926 2010.03.20 -

McAfee+Artemis 5926 2010.03.20 -

McAfee-GW-Edition 6.8.5 2010.03.21 -

Microsoft 1.5605 2010.03.21 -

NOD32 4962 2010.03.21 -

Norman 6.04.09 2010.03.21 -

nProtect 2009.1.8.0 2010.03.21 -

Panda 10.0.2.2 2010.03.20 -

PCTools 7.0.3.5 2010.03.21 -

Prevx 3.0 2010.03.21 -

Rising 22.39.06.01 2010.03.21 -

Sophos 4.51.0 2010.03.21 -

Sunbelt 6007 2010.03.21 -

Symantec 20091.2.0.41 2010.03.21 -

TheHacker 6.5.2.0.241 2010.03.21 -

TrendMicro 9.120.0.1004 2010.03.21 -

VBA32 3.12.12.2 2010.03.19 -

ViRobot 2010.3.19.2236 2010.03.20 -

VirusBuster 5.0.27.0 2010.03.20 -

 

Information additionnelle

File size: 453024 bytes

MD5...: f8747824c60ad3ff1cd1fd305b633799

SHA1..: 6fa5993dc7d7b26f363a319d876a8c781a311ab4

SHA256: 8bbf89482e5db4ab1508a7b3cc327e8fc819049013d281a9022ad72b0a1051c6

ssdeep: 6144:5MWln2EhvTr5CFcLmA2Uvzg5zxyqj+mWIedHU9qrC/:5MWlnBhXMFcLjNL8<BR>yfmWbM/<BR>

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0xba60<BR>timedatestamp.....: 0x4b4783e6 (Fri Jan 08 19:13:42 2010)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x2ce2a 0x2d000 6.59 31e03cdb150839f2b9b31ee53d200c08<BR>.rdata 0x2e000 0x73f2 0x7400 5.07 69fe71ac347b25f18b88a6699141000f<BR>.data 0x36000 0x2e14 0x1200 2.44 ac76d0443375d09dbee4acff26f55523<BR>.rsrc 0x39000 0x37958 0x37a00 5.04 494399bbfcbd749e3ca5e1dbf557e05d<BR><BR>( 4 imports ) <BR>> ADVAPI32.dll: RegCloseKey, RegQueryValueExA, RegOpenKeyExA, FreeSid, EqualSid, GetTokenInformation, OpenProcessToken, AllocateAndInitializeSid, RegQueryValueExW, RegOpenKeyExW<BR>> msi.dll: -, -, -, -, -, -, -<BR>> KERNEL32.dll: SetEnvironmentVariableW, SetEnvironmentVariableA, CompareStringW, CompareStringA, GetProcessHeap, SetEndOfFile, CreateFileW, GetVersionExA, lstrcmpA, lstrlenA, GetLastError, CloseHandle, GetCurrentProcess, FreeLibrary, GetProcAddress, LoadLibraryA, GetPrivateProfileSectionA, GetFileAttributesA, GetFullPathNameA, GetSystemDirectoryA, GetExitCodeProcess, CreateProcessA, lstrcmpiA, CreateMutexA, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, GetModuleFileNameA, GetCommandLineA, FindClose, FindNextFileA, FindFirstFileA, GetSystemDefaultLangID, GetUserDefaultLangID, lstrcmpW, lstrlenW, LoadLibraryW, GetPrivateProfileSectionW, GetFileAttributesW, GetFullPathNameW, GetSystemDirectoryW, CreateProcessW, lstrcmpiW, CreateMutexW, CreateFileMappingW, GetModuleFileNameW, GetCommandLineW, FindNextFileW, FindFirstFileW, RtlUnwind, RaiseException, GetSystemTimeAsFileTime, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage, HeapFree, DeleteFileA, DeleteFileW, GetStartupInfoA, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, GetCurrentThreadId, GetCurrentThread, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, WriteFile, GetStdHandle, WideCharToMultiByte, GetTimeZoneInformation, GetConsoleCP, GetConsoleMode, FlushFileBuffers, DeleteCriticalSection, LeaveCriticalSection, FatalAppExitA, EnterCriticalSection, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, Sleep, ExitProcess, GetTimeFormatA, GetDateFormatA, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, SetHandleCount, GetFileType, ReadFile, HeapCreate, HeapDestroy, VirtualFree, VirtualAlloc, HeapReAlloc, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, SetConsoleCtrlHandler, GetLocaleInfoW, SetFilePointer, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetStdHandle, InitializeCriticalSectionAndSpinCount, InterlockedExchange, CreateFileA, HeapSize<BR>> USER32.dll: PeekMessageA, LoadStringW, MessageBoxW, CharNextW, PeekMessageW, DispatchMessageW, LoadStringA, MessageBoxA, DispatchMessageA, TranslateMessage, MsgWaitForMultipleObjects, CharNextA<BR><BR>( 0 exports ) <BR>

RDS...: NSRL Reference Data Set<BR>-

pdfid.: -

trid..: Win64 Executable Generic (59.6%)<BR>Win32 Executable MS Visual C++ (generic) (26.2%)<BR>Win32 Executable Generic (5.9%)<BR>Win32 Dynamic Link Library (generic) (5.2%)<BR>Generic Win/DOS Executable (1.3%)

sigcheck:<BR>publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: Sun Microsystems GmbH<BR>VeriSign Class 3 Code Signing 2009-2 CA<BR>Class 3 Public Primary Certification Authority<BR>signing date.: 6:13 AM 2/3/2010<BR>verified.....: -<BR>

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Re,

 

En effet, mets donc cette détection en ignore list de MBAM... :P

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...