Analyse AntiVir = Infection. Qu'en pensez-vous ?

[artefact0]

Bonjour à tous,
Avec votre permission, je vous colle ci-dessous le rapport d'analyse d'AntiVir Premium Security Suite.
Pouvez-vous me dire ce que vous pensez des infections trouvées, svp ? (en rouge)
Merci d'avance.
Version information:
BUILD.DAT : 168 23343 Bytes 19/09/2007 13:52:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 23/08/2007 13:16:29
AVSCAN.DLL : 7.0.6.0 49192 Bytes 16/08/2007 12:23:51
LUKE.DLL : 7.0.5.3 147496 Bytes 14/08/2007 15:32:47
LUKERES.DLL : 7.0.6.1 10280 Bytes 21/08/2007 12:35:20
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18/07/2007 14:27:15
ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13/09/2007 14:26:55
ANTIVIR2.VDF : 7.0.0.198 1206272 Bytes 11/11/2007 08:37:54
ANTIVIR3.VDF : 7.0.0.234 133632 Bytes 19/11/2007 16:43:38
AVEWIN32.DLL : 7.6.0.34 3125760 Bytes 09/11/2007 15:37:31
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26/02/2007 10:36:26
AVPREF.DLL : 7.0.2.2 25640 Bytes 18/07/2007 07:39:17
AVREP.DLL : 7.0.0.1 155688 Bytes 16/04/2007 13:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 03/08/2007 08:46:00
AVREG.DLL : 7.0.1.6 30760 Bytes 18/07/2007 07:17:06
AVARKT.DLL : 1.0.0.20 278568 Bytes 28/08/2007 12:26:33
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18/07/2007 07:10:18
NETNT.DLL : 7.0.0.0 7720 Bytes 08/03/2007 11:09:42
RCIMAGE.DLL : 7.0.1.32 2875432 Bytes 16/08/2007 13:13:12
RCTEXT.DLL : 7.0.62.0 86056 Bytes 21/08/2007 13:23:26
SQLITE3.DLL : 3.3.17.1 339968 Bytes 23/07/2007 09:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\avira premium security suite\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: F:,
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: on
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 5
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium
Skipped files....................: F:,

Start of the scan: lundi 19 novembre 2007 19:32

Starting search for hidden objects.
'53904' objects were checked, '0' hidden objects were found.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'agentsvr.exe' - '1' Module(s) have been scanned
Scan process 'WINWORD.EXE' - '1' Module(s) have been scanned
Scan process 'OUTLOOK.EXE' - '1' Module(s) have been scanned
Scan process 'firefox.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'cdi.exe' - '1' Module(s) have been scanned
Scan process 'avwebgrd.exe' - '1' Module(s) have been scanned
Scan process 'avmailc.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned
Scan process 'MDM.EXE' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'avesvc.exe' - '1' Module(s) have been scanned
Scan process 'msmsgs.exe' - '1' Module(s) have been scanned
Scan process 'PrintScreen.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'mainserv.exe' - '1' Module(s) have been scanned
Scan process 'realsched.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'KeyMan.exe' - '1' Module(s) have been scanned
Scan process 'hkcmd.exe' - '1' Module(s) have been scanned
Scan process 'schedul2.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
38 processes with 38 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[NOTE] No virus was found!
Boot sector 'F:\'
[NOTE] No virus was found!

Starting to scan the registry.
The registry was scanned ( '18' files ).


Starting the file scan:

Begin scan in 'C:\' <windows>
C:\hiberfil.sys

!

The file could not be opened! C:\pagefile.sys ! The file could not be opened! C:\System Volume Information\_restore{24083CA4-C384-4E43-AFF2-5645628BBA9E}\RP28\A0003687.new [DETECTION] Contains detection pattern of the worm WORM/SdBot.2327888 i The file was moved to '4771e2b1.qua'! C:\System Volume Information\_restore{24083CA4-C384-4E43-AFF2-5645628BBA9E}\RP28\A0003691.exe [DETECTION] Contains detection pattern of the worm WORM/SdBot.2327888 i The file was moved to '4771e2c0.qua'! C:\System Volume Information\_restore{24083CA4-C384-4E43-AFF2-5645628BBA9E}\RP50\A0006113.old [DETECTION] Contains detection pattern of the worm WORM/SdBot.2327888 i The file was moved to '4771e325.qua'! Begin scan in 'F:\' <LACIE> The directory 'F:\' was excluded from scanning! End of the scan: lundi 19 novembre 2007 20:40 Used time: 1:07:31 min The scan has been done completely. 5978 Scanning directories 645699 Files were scanned 3 viruses and/or unwanted programs were found 0 Files were classified as suspicious: 0 files were deleted 0 files were repaired 3 files were moved to quarantine 0 files were renamed 2 Files cannot be scanned 645696 Files not concerned 8282 Archives were scanned 2 Warnings 0 Notes 53904 Objects were scanned with rootkit scan 0 Hidden objects were found

[Malekal_morte]

Salut,

Sont dans un point de restauration système.

Désactive puis réactive la restauration du système :
- Mode d'emploi Windows XP

ça ira mieux..

[artefact0]

Salut Malekal_morte,
Désolé, mais une fois encore je n'ai pas eu de notification de réponse, Je viens de m'apercevoir que la case n'était pas cochée.
Voilà la réponse du forum AntiVir. C'est lié à Ad-Aware.
http://forum.avira.com/thread.php?posti ... post264470
Bonne soirée.
PS : Par contre, le lien qu'il contient, qui vient du forum allemand, je n'y comprends rien!

[Malekal_morte]

Tu as fait ce que j'ai dit ?

[artefact0]

Tu as fait ce que j'ai dit ?

Oui, bien sûr.
Dis-moi, si ce sont des faux-positifs, c'est Avira qui déconne ou Ad Aware ?

[Malekal_morte]

Non c'est des virus dans des points de restauration.

[artefact0]

Non c'est des virus dans des points de restauration.

Et comment ils arrivent là ?

[Malekal_morte]

Ils sont sur le système et un point de restauration et créer et donc, donc ça peut remonter à plusieurs mois.

Après peut-être que c'est Avira qui détecte Ad-Aware comme ça et c'est le fichier Ad-Aware qui est dans un point de restauration.

[artefact0]

Ok, merci pour tout.
Au fait, j'en profite pour te demander si tu es au courant de la date de sortie de la nouvelle version d'AntiVir ?

[Malekal_morte]

Non pas du tout !

[artefact0]

merci. On va attendre.
Perso, jai lu sur Avira que c'était pour Décembre, mais je n'arrive plus à le retrouver.

[zèbretoujours]

Bonjour Malekal, Artefact0 et les autres,

En premier lieu, Malekal, bravo pour ton forum ! Après avoir remarqué l'étendue de tes connaissances sur le forum de 01net, je me décide enfin à venir m'inscrire sur ce site.

Je me permets d'intervenir dans le post d'Artefact0 car j'ai rencontré le même problème ("worm/sdbot.2327888"), lors d'un scan complet de mon ordi, juste après la mise à jour du 19/11/2007 (VDF 7.00.00.234). Les alertes concernaient une "backup d'Adaware 2007" et 2 détections dans le système de restauration.
Suite aux conseils de Jypalou, j'ai envoyé ces fichiers suspects (qui avaient été mis en quarantaine) chez Avira, ils ont tous été analysés et signalés comme faux positifs.
Dans le mail de réponse d'Avira, il était indiqué que la mise à jour suivante réglerait ce problème de faux positifs.

Je vois que tu déclares ceci à Artefact0

Non c'est des virus dans des points de restauration.

puis

Ils sont sur le système et un point de restauration et créer et donc, donc ça peut remonter à plusieurs mois.

Après peut-être que c'est Avira qui détecte Ad-Aware comme ça et c'est le fichier Ad-Aware qui est dans un point de restauration.

Dès lors, je suis face à un dilemme car j'ai confiance en Avira ... tout autant qu'en toi, tu as largement fait tes preuves dans le domaine de la sécurité : comment dois-je considérer ces alertes, finalement ? Virus ou faux positifs ?

En attendant une réponse, je vous souhaite à tous une excellente soirée ... ou journée !

Zèbretoujours

PS : pour info, mon post à ce sujet est >>ici<<

[Malekal_morte]

Je pense que c'est un faux positif, mais qu'il ne sera peut-être pas corrigé.
Il y a qq temps, j'ai envoyé un fichier de Panda (scan en ligne etc..) pareil, faux positif... mais tjrs détecté par Avira.

On m'a dit que c'est parce que Panda ne cryptait pas certains éléments de leur définition virale; du coup il ne pouvait rien faire...
Peut-être la même chose pour adware.. ou quelque chose qui n'a pas plu suite à une mise à jour!

[zèbretoujours]

Bonsoir,

Je pense que c'est un faux positif, mais qu'il ne sera peut-être pas corrigé.

J'ai effectué un scan complet avec la mise à jour et le problème n'est plus apparu. Ensuite, j'ai refait un scan après avoir restauré ces fichiers suspects (ils étaient en quarantaine) et plus d'alertes non plus.
Donc, je penche pour le faux positf ... mais je préfèrais avoir ton avis d'expert.

Bonne fin de soirée ou bonne journée.

Zèbretoujours

[Malekal_morte]

oui ça semble bien être un faux positif qui a été corrigé.