Faux positif [oui et résolu]

Ce qui relève de la sécurité mais n'est pas une désinfection : discussions sur les antivirus, firewalls, hips, méthodes de protection, prévention des infections, mises à jour. Conseils et coups de main pour sécuriser une machine, choisir un logiciel de sécurité, et au sens large parler de ce domaine.
-- Pas de demandes d'analyse. --

Modérateur: Modérateurs

Faux positif [oui et résolu]

Messagepar lelion » 02 Sep 2009 14:20

Bonjour à tous,

En effectuant un contrôle de routine avec Malwarebytes' aujourd'hui (version base données 2729) il m'a sorti un fichier infecté : gmer.exe !

Fichier(s) infecté(s):
C:\WINDOWS\gmer.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Qu'en pensez-vous ? (perso j'avais oublié que j'avais ça sur mon ordi !)

:?:
Dernière édition par lelion le 02 Sep 2009 15:27, édité 1 fois.
Stephan - utilisateur  intégral !
Avatar de l’utilisateur
lelion
Libellulien Junior
Libellulien Junior
 
Messages: 367
Inscription: 11 Juin 2008 14:46
Localisation: Martigny (VS)

Re: Faux positif ?

Messagepar Falkra » 02 Sep 2009 14:28

Bonjour, poste le rapport complet stp, qu'on voie la version des définitions.

Je peux leur remonter l'info très vite si c'est avéré.
Ne déplace pas Gmer, et ne l'efface pas.

Ne supprime pas Gmer, mets à jour MBAM, et ferme MBAM.
Relance MBAM par menu démarrer, exécuter, et la commande :
mbam /developer

Poste ce rapport là stp.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Faux positif ?

Messagepar lelion » 02 Sep 2009 15:06

Hello voilà Maître ! (rapport initial)

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2729
Windows 5.1.2600 Service Pack 3

02.09.2009 14:03:22
mbam-log-2009-09-02 (14-03-22).txt

Type de recherche: Examen rapide
Eléments examinés: 121836
Temps écoulé: 6 minute(s), 31 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\gmer.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

* * * * * * * * *
Mais Mbam a déjà fait le ménage !
* * * * * * * * *
Je te poste ici le dernier rapprot après mise à jour :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2730
Windows 5.1.2600 Service Pack 3

02.09.2009 16:06:00
mbam-log-2009-09-02 (16-06-00).txt

Type de recherche: Examen rapide
Eléments examinés: 122033
Temps écoulé: 8 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Stephan - utilisateur  intégral !
Avatar de l’utilisateur
lelion
Libellulien Junior
Libellulien Junior
 
Messages: 367
Inscription: 11 Juin 2008 14:46
Localisation: Martigny (VS)

Re: Faux positif ?

Messagepar Falkra » 02 Sep 2009 15:08

Il faut le sortir de la quarantaine puisqu'il a été supprimé, et refaire un scan.

N'oublie pas : MBAM ne doit pas être lancé par son raccourci, mais par la ligne commande postée plus haut. ;)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Faux positif ?

Messagepar lelion » 02 Sep 2009 15:14

Voilà (encore appris une chose aujourd'hui !) je l'ai restauré puis refermé Mbam. Relancé un contrôle rapide par la ligne de commande. (au fait ça change quoi de le lancer ainsi ?) *** il n'apparait plus comme menace ***

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2730
Windows 5.1.2600 Service Pack 3

02.09.2009 16:19:05
mbam-log-2009-09-02 (16-19-05).txt

Type de recherche: Examen rapide
Eléments examinés: 121979
Temps écoulé: 6 minute(s), 35 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Stephan - utilisateur  intégral !
Avatar de l’utilisateur
lelion
Libellulien Junior
Libellulien Junior
 
Messages: 367
Inscription: 11 Juin 2008 14:46
Localisation: Martigny (VS)

Re: Faux positif ?

Messagepar Falkra » 02 Sep 2009 15:22

C'était donc un faux-positif, mais il a été corrigé par les dernières mises à jour.

La ligne de commande modifie le rapport pour y ajouter des informations qui aident l'équipe à identifier des faux-positifs.

Pense à toujours faire une mise à jour avant de scanner. Il y a de mises à jour plusieurs fois par jour, parfois plus de 5 fois par jour.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Faux positif ?

Messagepar lelion » 02 Sep 2009 15:27

Parfait. Merci bien pour ces infos intéressantes... (mise à jour avant de scanner = protection optimale, on est bien d'accord !) :wink:
Stephan - utilisateur  intégral !
Avatar de l’utilisateur
lelion
Libellulien Junior
Libellulien Junior
 
Messages: 367
Inscription: 11 Juin 2008 14:46
Localisation: Martigny (VS)

Re: Faux positif ?

Messagepar Falkra » 02 Sep 2009 15:28

Ok, impeccable. Pour gmer sinon, c'est un emplacement ok pour le fichier.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1


Retourner vers Discussions, prévention, protection

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités