Bonsoir à tous,

C'est curieux, ce soir, MBAM m'a détecté les 2 infections suivantes comme " Trojan.Spambot" :

- C:\Program Files\Skyline\TerraExplorer\Setup.exe
- sur la clé de registre associée

En affichant les Propriétés du dossier contenant le fichier, je vois que ledit dossier
est en lecture seule, et sachant que MBAM jusqu'à maintenant n'a jamais rien détecté
d'anormal pour ce programme que j'utilise rarement et installé en 2007, je serais enclin
à penser qu'il s'agirait de faux positifs.

La dernière mise à jour de MBAM date de ce soir.

Je n'ai pas viré le fichier. Fait-il le transmettre à MBAM ? S'agit-il d'une vraie infection ?

Merci par avance pour toute réponse.

Bonjour, je peux faire suivre ça directement et rapidement aux équipes.

On va faire un rapport spécial. Démarre MBAM par une ligne de commande : ouvre le menu démarrer, exécuter et valide la commande suivante : mbam /developer et MBAM démarrera avec un titre de fenêtre aléatoire (normal). Mets-le à jour et poste le rapport obtenu, sans supprimer le fichier en question.

Poste-moi aussi une copie zippée du fichier concerné, je t'envoie un MP, pour ça.

Falkra a écrit:Mets-le à jour et poste le rapport obtenu, sans supprimer le fichier en question.

Voilà le rapport MBAM :
Malwarebytes' Anti-Malware 1.45
http://www.malwarebytes.org

Version de la base de données: 4036

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

26/04/2010 13:30:57
mbam-log-2010-04-26 (13-30-57).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 291737

Temps écoulé: 1 heure(s), 28 minute(s), 24 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe (Trojan.Spambot) -> No action taken. [46F363CE76DD89E95E5252A06D9786CE]

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Skyline\TerraExplorer\Setup.exe (Trojan.Spambot) -> No action taken. [46F363CE76DD89E95E5252A06D9786CE]
C:\System Volume Information\_restore{DE4A529F-98CE-4187-A0F7-08590C3BB5E5}\RP627\A0210433.exe (Trojan.Spambot) -> No action taken. [46F363CE76DD89E95E5252A06D9786CE]

Le fichier concerné suit via MP selon les infos reçues ... (enfin, j'essaie,
c'est stupide, mais ne suis pas très familier avec les fichiers zip, d'autant
plus que je n'utilise qu'une version gratuite, pas l'officielle, qui est payante ...)

Ca vient bien d'ici ?
http://www.skylinefrance.com/fr/accueil

Falkra a écrit:Ca vient bien d'ici ?
http://www.skylinefrance.com/fr/accueil

En principe oui, mais je ne me rappelle pas vraiment ... ça date d'il-y-a 3 ans

L'upload est parti, est-il bien arrivé ?

J'ai le fichier. C'est un setup qui a 3 ans ?

Falkra a écrit:J'ai le fichier. C'est un setup qui a 3 ans ?

Oui, créé le samedi 4 août 2007, 11:51:01 très exactement, et qui n'aurait servi
qu'une seule fois ...
Je vais voir s'ils ont un fichier plus récent, et vérifier si MBAM détecte qqchose ...

Ok, mais franchement, il ne faut pas garder ce type de fichiers, c'est trop vieux, et le programme a été amélioré 500 fois depuis.

Falkra a écrit: ... il ne faut pas garder ce type de fichiers ...

J'ai tout viré (via Ajout/Suppression des programmes) et rechargé la dernière version du même
code (enfin, qqchose qui est revenu au même emplacement) et examiné le fichier Setup avec
MBAM directement : plus de détection.

J'ai oublié de préciser une chose : en lançant MBAM par la ligne de commande, j'ai reçu une
code d'erreur via une petite fenêtre qui contenait le message suivant : "DDA failed to read,
error code 23" ; MBAM a néanmoins continué et terminé normalement : pourquoi ce message ?

A part cela, TerraExplorer couplé à Géoportail présente des informations intéressantes, par
exemple une option de plan cadastral du territoire français, ainsi que des cartes IGN.

Merci pour l'aide, pour moi, je peux marquer le pb comme résolu.

Ok, impeccable, juste une mise à jour à faire. Il vaut mieux ça que signaler un faux positif pour un fichier très ancien, qui toucherait très peu de monde au final.

Tu peux marquer résolu dans le titre en éditant le premier post : le titre devient modifiable.
Tuto : marquer-dans-le-titre-d-un-sujet-t21462.html