faux positif ?????[reglé]

[jyl2803]

Bonsoir

lors d'un scan systématique, (ma machine n'a aucun comportement anormal) antivir me signale TR/Agent.db.79 dans les instances de svchost.exe (j'ai vérifié l'orthographe)

Sur "virustotal", seul antivir trouve quelque chose.

Qu'en pensez vous ?

PS; sophos antirootkit et Gmer ne trouvent rien d'anormal...

[r@in | b0w]

Bonjour.

Faux-positif à coup sûr

[jyl2803]

c'est ce que je pense aussi, mais....c'est désagréable...
hijackthis ne m'indique rien que je ne connaisse, et aucun processus svchost ne consomme de ressources proc.

Alors je croise les doigts...
bonne soirée.

[jyl2803]

voici la réponse d'Avira , distributeur d'Antivir, société à laquelle j'ai soumis mon fichier:

==============
hank you for your email to Avira's virus lab.
Tracking number: INC00230710.

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25193074 svchost.exe 7.77 KB FALSE POSITIVE


Please find a detailed report concerning each individual sample below:
Filename Result svchost.exe FALSE POSITIVE

The file 'svchost.exe' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection will be removed from our virus definition file (VDF) with one of the next updates.
=======================

"the game is over" et moi je souffle !

[Daryl]

j'ai eu 6 détection du même cheval de troi sur mon petit serveur P3 sous Win 2000 Pro ... j'ai par réflexe fait "delete" ... était-ce une fausse détection ?

[jyl2803]

s'il s'agit du même antivirus, d'une MAJ récente, possible

Attention... "delete" svchot.exe est ... scabreux au redémarrage car indispensable à windows...

[r@in | b0w]

Bonjour.

j'ai eu 6 détection du même cheval de troi sur mon petit serveur P3 sous Win 2000 Pro ... j'ai par réflexe fait "delete" ... était-ce une fausse détection ?

On parle de quel "virus"? De quel antivirus?

Le réflexe à avoir est celui-ci:

Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier ---------------- et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

Si ensuite moins de deux antivirus ne trouvent quelque chose, c'est un faux positif.
Au delà, on peut se questionner.

[Daryl]

c'est le même antivirus ... et la MAJ d'aujourd'hui ...
si il a viré svchost.exe je suis donc mal barré ... on doit pouvoir le télécharger quelque part je suppose ...

[jyl2803]

on doit pouvoir le rétablir à partir d'antivir.

Sinon, redémarres et dis nous.

[r@in | b0w]

Tu as des soucis au démarrage?

Tu peux suivre ceci pour récupérer ton application.

[Daryl]

On parle de quel "virus"? De quel antivirus?

Trojan : TR/Agent.db.79
Antivirus : Avira Antivir Premium
détecté ce matin suite à une mise à jour et à un scan complet du système

Le réflexe à avoir est celui-ci:

Tu vas sur http://www.virustotal.com/fr/ puis tu cliques sur Parcourir.
Tu sélectionnes le fichier ---------------- et tu cliques sur Ouvrir.

Tu cliques ensuite sur Envoyer le fichier.

Si ensuite moins de deux antivirus ne trouvent quelque chose, c'est un faux positif.
Au delà, on peut se questionner.

Merci pour le "tuyau"

j'ai fais une recherche après scan du svchost.exe ... il m'en restait un dans mon <System>WINNTSystem32 ma machine a redémarré normalement ... je suis soulagé

je relance un scan pour voir si avira me détecte encore le trojan

[jyl2803]

et s'il le détecte, envoie ton fichier à avira. Tu auras
- une réponse immédiate te disant qu'il est vérolé (rester zen ...)
- une réponse + tardive après analyse confirmant à l'inverse qu'il s'agit bien d'un faux positif. (pour moi, envoi du fichier vers 22 h, réponse "faux +" ce matin vers 9h)

Il est nécessaire d'alerter les boites d'antivirus des ces "gags" parfois dangereux (cf la récente mésaventure d'AVG...)

[r@in | b0w]

Si tu as un soucis au démarrage, regarde mon message plus haut te permettant de récupérer svchost.exe sur le site d'Avast.

[jyl2803]

mon post se retrouve sur generation-nt !! (à l'insu de mon plein gré, car je ne fréquente, en matière informatique, que ce présent forum)

http://www.generation-nt.com/reponses/faux-positif-antivir-entraide-3276371.html

comment se fait ce ???

PS: après MAJ antivir ce soir, tout semble renté dans l'ordre.

Bon, en fait il s'agit d'un fil de messages postés (par moi) sur le newsgroup microsoft.public.fr.securite

[Daryl]

et s'il le détecte, envoie ton fichier à avira. Tu auras
- une réponse immédiate te disant qu'il est vérolé (rester zen ...)
- une réponse + tardive après analyse confirmant à l'inverse qu'il s'agit bien d'un faux positif. (pour moi, envoi du fichier vers 22 h, réponse "faux +" ce matin vers 9h)

Il est nécessaire d'alerter les boites d'antivirus des ces "gags" parfois dangereux (cf la récente mésaventure d'AVG...)

j'ai envoyé mon fichier à Avira .. voici la réponse :

Thank you for your submission. Below you can see the current status of the uploaded files.

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25193074 svchost.exe 7.77 KB FALSE POSITIVE


Please find a detailed report concerning each individual sample below:
Filename Result
svchost.exe FALSE POSITIVE

The file 'svchost.exe' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm. Detection is removed from our virus definition file (VDF) with the version: 7.1.0.149.

je vais sagement attendre la confirmation du faux + mais ça semble bien parti

merci pour votre aide