[Résolu] Question sur rapport de scan Antivir9

[Val51]

Salut!

Je suis passée à la version 9 d'Antivir la semaine dernière pour mon PC Windows XP.
Or, lors du scan hebdo il me détecte à chaque fois 2 fichiers qui sont mis en quarantaine; la version 8 ne détectait rien précédemment et il y a assez peu d'activité sur ce PC. Je remarque que les fichiers en cause sont situés dans le dossier restore. Si je désactive et réactive la resto système, j'en serai débarrassée?
Je soupçonne un faux positif...
Comment en être sûre?

Je vous mets le rapport de scan :


Avira AntiVir Personal
Report file date: samedi 25 avril 2009 16:28

Scanning for 1359957 virus strains and unwanted programs.

Licensee : Avira AntiVir Personal - FREE Antivirus
Serial number : 0000149996-ADJIE-0000001
Platform : Windows XP
Windows version : (Service Pack 3) [5.1.2600]
Boot mode : Normally booted
Username : SYSTEM
Computer name : xxxxxxxx

Version information:
BUILD.DAT : 9.0.0.387 17962 Bytes 24/03/2009 11:04:00
AVSCAN.EXE : 9.0.3.3 464641 Bytes 24/02/2009 10:13:26
AVSCAN.DLL : 9.0.3.0 40705 Bytes 27/02/2009 08:58:24
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 09:35:49
LUKERES.DLL : 9.0.2.0 12033 Bytes 27/02/2009 08:58:52
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 10:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 18:33:26
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16/04/2009 12:25:31
ANTIVIR3.VDF : 7.1.3.82 76800 Bytes 21/04/2009 12:22:21
Engineversion : 8.2.0.148
AEVDF.DLL : 8.1.1.0 106868 Bytes 27/01/2009 15:36:42
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 14/04/2009 17:56:26
AESCN.DLL : 8.1.1.10 127348 Bytes 11/04/2009 13:29:25
AERDL.DLL : 8.1.1.3 438645 Bytes 29/10/2008 16:24:41
AEPACK.DLL : 8.1.3.14 397685 Bytes 18/04/2009 12:24:30
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26/02/2009 18:01:56
AEHEUR.DLL : 8.1.0.119 1724791 Bytes 18/04/2009 12:24:29
AEHELP.DLL : 8.1.2.2 119158 Bytes 26/02/2009 18:01:56
AEGEN.DLL : 8.1.1.36 340341 Bytes 18/04/2009 12:24:25
AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 12:32:40
AECORE.DLL : 8.1.6.9 176500 Bytes 14/04/2009 17:56:21
AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 12:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 06:47:59
AVPREF.DLL : 9.0.0.1 43777 Bytes 05/12/2008 08:32:15
AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 12:34:28
AVREG.DLL : 9.0.0.0 36609 Bytes 05/12/2008 08:32:09
AVARKT.DLL : 9.0.0.1 292609 Bytes 09/02/2009 05:52:24
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 08:37:08
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 13:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 06:21:33
NETNT.DLL : 9.0.0.0 11521 Bytes 05/12/2008 08:32:10
RCIMAGE.DLL : 9.0.0.21 2438401 Bytes 09/02/2009 09:45:45
RCTEXT.DLL : 9.0.35.0 87297 Bytes 11/03/2009 13:55:12

Configuration settings for the scan:
Jobname.............................: Local Hard Disks
Configuration file..................: c:\program files\avira\antivir

desktop\alldiscs.avp
Logging.............................: low
Primary action......................: quarantine
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: off
Integrity checking of system files..: off
Scan all files......................: Intelligent file selection
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium
Deviating risk categories...........: +PCK,+SPR,

Start of the scan: samedi 25 avril 2009 16:28

The scan of running processes will be started
Scan process 'avnotify.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'update.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'wmiprvse.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'WINWORD.EXE' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'Babylon.exe' - '1' Module(s) have been scanned
Scan process 'AGRSMMSG.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'fxssvc.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'dllhost.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
33 processes with 33 modules were scanned

Starting master boot sector scan:

Start scanning boot sectors:

Starting to scan executable files (registry).
The registry was scanned ( '57' files ).


Starting the file scan:

Begin scan in 'C:\' <VAIO>
C:\pagefile.sys

!

The file could not be opened! [NOTE] This file is a Windows system file. [NOTE] This file cannot be opened for scanning. C:\System Volume Information\_restore{07D9872D-CA27-41CD-BF02-E601D6E72B23} \RP252\A0059413.exe [DETECTION] Contains recognition pattern of the SPR/Tool.Hardoff.A program [NOTE] The file was moved to '4a2326d5.qua'! C:\System Volume Information\_restore{07D9872D-CA27-41CD-BF02-E601D6E72B23} \RP252\A0059414.exe [DETECTION] Contains recognition pattern of the ADSPY/BetterInternet.YC adware or spyware [NOTE] The file was moved to '4bb20936.qua'! Begin scan in 'D:\' <VAIO> End of the scan: samedi 25 avril 2009 17:28 Used time: 1:00:20 Hour(s) The scan has been done completely. 10906 Scanned directories 461949 Files were scanned 2 Viruses and/or unwanted programs were found 0 Files were classified as suspicious 0 files were deleted 0 Viruses and unwanted programs were repaired 2 Files were moved to quarantine 0 Files were renamed 1 Files cannot be scanned 461946 Files not concerned 8948 Archives were scanned 1 Warnings 3 Notes Merci d'avance. EDIT : En plus après la fin du scan,, boîte de dialogue "shutting down system" Antivir a éteint mon système...

[SkyTech]

Salut,

C'est rien, les fichiers détectés sont des points de restauration, sans doute des faux positifs.

Tu peux vider la quarantaine.

Désactive puis réactive la restauration du système

Ça devrait être Ok.

[Val51]

Salut Skytech!

Toujours là quand j'arrive avec mes questions a la noix...
Bon, je vais faire comme tu as dit, on verra au prochain scan...

Bye

[SkyTech]

Re,

Pour info je viens formater puis de réinstaller mon PC, d'installer Antivir 9, j'ai lancer un scan avec et il me détecte aussi ces bricoles. Donc tu vois Faux positif.

[angelique]

j'ai fais un Vid de comment configurer la V9 au cas ou : https://www.malekal.com/fichiers/antivi ... ivirV9.avi

La tienne Val51 est mal configurée^^

[Leo 2005]

bonjour.
si possible ça serait bien si vous puriez envoyer ces fichiers à Avira pour que ça soit corriger:
http://analysis.avira.com/samples/index.php

[angelique]

Leo 'soir

c'est du C:\System Volume Information , restauration systeme , on s'en colle non?

qu'est ce que tu veux faire remonter du System Volume Information ?

[Leo 2005]

ben on peut toujours optimisé la détéction et ellimié les faux positivs. même si ce n'est que la restauration de système. ;)

[Sacles]

Bonjour,

Personnellement, j'exclus du scan System Volume Information. Scanner ce dossier n'est pas très utile sur une machine qui n'a jamais été infectée.

Salut.

[SkyTech]

Salut,

si possible ça serait bien si vous puriez envoyer ces fichiers à Avira pour que ça soit corriger:
http://analysis.avira.com/samples/index.php

J'ai plus le fichier, dsl

[Val51]

Re,

Moi aussi j'ai viré les fichiers en question en vidant la quarantaine et en désactivant/réactivant la restauration système.
J'ai refait un scan "pour voir" et comme prévu Antivir ne détecte plus rien.

@ Angélique : je vais suivre ton conseil quand j'aurai un eu de temps pour visionner la vidéo et modifier ma configuration.

Bonne fin de week-end à tous.

[SkyTech]

Salut,



Bye

[Sacles]

Bonjour,

Sans avoir regardé les détails, voilà en tout cas un réglage qui me paraît très peu prudent:
"Primary action......................: quarantine"

Le jour où à cause d'un faux positif tu feras mettre des fichiers système (par exemple) en quarantaine sans vérification, bonjour les dégâts.

Salut.

[Malekal_morte]

Y a une whitelist chez Avira pour les faux positif sur les fichiers systèmes
par contre ouaip pour les fichiers systèmes patchés (que ce soit un malware ou un patch fait par un programme style thèmes comme on a vu sur d'autres sujets).

Donc oui c'est pas forcément super.

[Val51]

Yep tout le monde,

J'ai upgradé également mon portable sous Vista vers la version 9 d'Antivir.
Comme j'avais un peu de temps, j'ai utilisé la vidéo d'Angélique pour la configuration.
Merci beaucoup Angélique c'est un tuto très précieux car la configuration d'Antivir n'est pas simple pour les non spécialistes et on a tendance à laisser toutes les options comme elles sont au départ... avec les risques qui ont été évoqués dans les posts précédents.

@+