"Resolu"(Spyware.Banker) sur mon pc

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

"Resolu"(Spyware.Banker) sur mon pc

Messagepar Rog » 18 Juil 2009 09:53

Bonjour
Je viens de passer un scan avec Malwarebytes' Anti-Malware qui détecte un (Spyware.Banker) .
Je n'ai entrepris aucune action jusque là.
Pourriez vous m'indiquer s'il vous plait la procédure à entreprendre dans ce cas?
Voici le rapport obtenu après le scan


Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2456
Windows 5.1.2600 Service Pack 2

18/07/2009 09:21:58
mbam-log-2009-07-18 (09-21-45).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 128067
Temps écoulé: 1 hour(s), 20 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Roger\Bureau\antivir_workstation_winu_en_h.exe (Spyware.Banker) -> No action taken.


Merci
Dernière édition par Rog le 19 Juil 2009 20:19, édité 1 fois.
Rog
 
Messages: 11
Inscription: 10 Juil 2009 22:22

Re: (Spyware.Banker) sur mon pc

Messagepar Falkra » 18 Juil 2009 10:36

Bonjour, si c'est bien le setup d'antivir, c'est un faux positif.
Je ne peux pas le reproduire avec les derniers setups.

Tu l'as téléchargé où ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: (Spyware.Banker) sur mon pc

Messagepar Rog » 18 Juil 2009 11:43

Bonjour Falkra
J'ignore comment il s'est retrouvé sur mon pc. Je voulais juste faire une petite examination hebdomadaire après avoir effectué une mise à jour du logiciel MB.
Je viens de passer un autre scan avec Avira, mais il ne semble rien y avoir de suspect.
Voici le rapport


Avira AntiVir Personal
Report file date: samedi 18 juillet 2009 09:44

Scanning for 1548239 virus strains and unwanted programs.

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 2) [5.1.2600]
Boot mode : Normally booted
Username : Roger
Computer name : Rog

Version information:
BUILD.DAT : 9.0.0.403 17961 Bytes 03/06/2009 17:05:00
AVSCAN.EXE : 9.0.3.6 466689 Bytes 10/06/2009 06:00:10
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27/02/2009 09:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27/02/2009 09:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 05:09:36
ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12/07/2009 17:11:12
ANTIVIR3.VDF : 7.1.4.252 445440 Bytes 17/07/2009 17:07:27
Engineversion : 8.2.0.222
AEVDF.DLL : 8.1.1.1 106868 Bytes 01/05/2009 15:51:52
AESCRIPT.DLL : 8.1.2.18 442746 Bytes 17/07/2009 17:07:43
AESCN.DLL : 8.1.2.3 127347 Bytes 16/05/2009 04:50:57
AERDL.DLL : 8.1.2.4 430452 Bytes 14/07/2009 17:09:15
AEPACK.DLL : 8.1.3.18 401783 Bytes 28/05/2009 06:02:06
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 19/06/2009 07:46:02
AEHEUR.DLL : 8.1.0.143 1864055 Bytes 16/07/2009 17:07:31
AEHELP.DLL : 8.1.4.5 229748 Bytes 14/07/2009 17:06:30
AEGEN.DLL : 8.1.1.48 348532 Bytes 04/07/2009 04:19:04
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40
AECORE.DLL : 8.1.7.5 180597 Bytes 14/07/2009 17:06:10
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:59
AVPREF.DLL : 9.0.0.1 43777 Bytes 05/12/2008 09:32:15
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 05/12/2008 09:32:09
AVARKT.DLL : 9.0.0.3 292609 Bytes 29/04/2009 18:21:47
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05/12/2008 09:32:10
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 10/06/2009 06:00:09
RCTEXT.DLL : 9.0.37.0 86785 Bytes 29/04/2009 18:21:47

Configuration settings for the scan:
Jobname.............................: Local Drives
Configuration file..................: c:\program files\avira\antivir desktop\alldrives.avp
Logging.............................: low
Primary action......................: interactive
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, D:, A:, E:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: off
Integrity checking of system files..: off
Scan all files......................: Intelligent file selection
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium

Start of the scan: samedi 18 juillet 2009 09:44

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'notepad.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'igfxtray.exe' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'wmiapsrv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'SMAgent.exe' - '1' Module(s) have been scanned
Scan process 'jqs.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
27 processes with 27 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
Boot sector 'A:\'
[INFO] In the drive 'A:\' no data medium is inserted!

Starting to scan executable files (registry).
The registry was scanned ( '51' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
[WARNING] The file could not be opened!
[NOTE] This file is a Windows system file.
[NOTE] This file cannot be opened for scanning.
Begin scan in 'D:\'
D:\dernier trimestre2008\92848378ad1\61883.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\ac97ali.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\ac97via.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\admin.dll
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\admin.exe
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\admjoy.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\aec.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\amdk6.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\amdk7.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\an983.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\arp1394.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\author.dll
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\author.exe
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\autochk.exe
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\avc.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\cabinet.dll
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\ccdecode.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\cfgwiz.exe
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\cmbatt.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\crusoe.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\dbghelp.dll
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\drmk.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\drmkaud.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\essm2e.sys
[WARNING] The file could not be opened!
D:\dernier trimestre2008\92848378ad1\fp4amsft.dll
[WARNING] The file could not be opened!
Begin scan in 'A:\'
Search path A:\ could not be opened!
System error [21]: Le périphérique n'est pas prêt.
Begin scan in 'E:\'
Search path E:\ could not be opened!
System error [21]: Le périphérique n'est pas prêt.


End of the scan: samedi 18 juillet 2009 10:46
Used time: 1:02:17 Hour(s)

The scan has been done completely.

3205 Scanned directories
147395 Files were scanned
0 Viruses and/or unwanted programs were found
0 Files were classified as suspicious
0 files were deleted
0 Viruses and unwanted programs were repaired
0 Files were moved to quarantine
0 Files were renamed
26 Files cannot be scanned
147369 Files not concerned
1639 Archives were scanned
26 Warnings
1 Notes



Est ce qu'il y a un moyen pour que je vérifie si c'est un faux positif ou une infection?
Merci d'avoir répondu

PS, je n'ai entrepris aucune action encore.
Rog
 
Messages: 11
Inscription: 10 Juil 2009 22:22

Re: (Spyware.Banker) sur mon pc

Messagepar Falkra » 18 Juil 2009 17:23

Tu devrais en avoir une petite idée, c'est sur ton bureau. ;)

Mets à jour MBAM et vois si ça persiste (pas sûr).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: (Spyware.Banker) sur mon pc

Messagepar Rog » 18 Juil 2009 22:38

:shock: sérieusement Falkra, je ne sais vraiment pas de quoi il s'agit :!:
Je ne suis pas seul à utiliser ce pc, mais les autres non plus n'ont aucune idée.
Je vais faire ce que tu demandes pour vérifier encore une fois.
Mais comment savoir si c'est un vrai ou faux positif?
Rog
 
Messages: 11
Inscription: 10 Juil 2009 22:22

Re: (Spyware.Banker) sur mon pc

Messagepar Falkra » 19 Juil 2009 05:31

Ca semble être sur ton bureau, tu ne vois pas le fichier ?
c:\documents and settings\Roger\Bureau\antivir_workstation_winu_en_h.exe


Mets à jour MBAM.
Quitte MBAM.
Lance MBAM via menu démarrer, exécuter, et la commande mbam /developer (gaffe à l'orthographe, un seul L un seul P), et poste le rapport de recherche rapide.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: (Spyware.Banker) sur mon pc

Messagepar Rog » 19 Juil 2009 08:01

Bonjour Falkra
voilà, le résultat du scan comme tu as demandé



Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2461
Windows 5.1.2600 Service Pack 2

19/07/2009 07:17:11
mbam-log-2009-07-19 (07-17-11).txt

Type de recherche: Examen rapide
Eléments examinés: 85032
Temps écoulé: 8 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



Le seul élément du bureau dont le nom ressemble à celui du fichier détecté infecté par (Spyware.Banker) au premier scan avec Malwarebytes' Anti-Malware et celui sur cette icône sur une capture.
Il me semblait qu'il faisait parti du programme d'Avira. D'ailleurs, créé le 22octobre en même temps que le reste du programme Avira et il n'a jamais été considéré , jusque là, par MB, comme étant infecté

Image
Rog
 
Messages: 11
Inscription: 10 Juil 2009 22:22

Re: (Spyware.Banker) sur mon pc

Messagepar Falkra » 19 Juil 2009 10:27

Bonne nouvelle, c'était donc bien un faux positif ; une fois MBAM mis à jour, plus de détection, sur le même fichier.
Tout baigne. :wink:
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 24424
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: (Spyware.Banker) sur mon pc

Messagepar Rog » 19 Juil 2009 20:18

Ben, il semble bien que tu as raison et que c'est bien un faux positif. J'ai refait une mise à jour et un autre scan complet et plus aucun fichier infecté au résultat :supers: .
Je met sur résolu
Merci Falkra
Rog
 
Messages: 11
Inscription: 10 Juil 2009 22:22


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 4 invités
cron