Assiste.Forums

[Invité]

Bonjour,

une analyse de mon PC par KAV trouve qu'un fichier de Spyblocker Pro (uclose.exe) est infecté par Trojan.Win32.VB.afo: est-ce un faux positif de l'antivirus, ou ce fichier est-il réellement dangereux? J'ai soumis le fichier à Virus total. Je vous donne le rapport, dont je ne sais pas trop quoi penser.

Merci de votre aide.


This is a report processed by VirusTotal on 11/29/2005 at 17:36:34 (CET) after scanning the file "uclose.exe" file.

Antivirus Version Update Result
AntiVir 6.32.0.6 11.29.2005 no virus found
Avast 4.6.695.0 11.29.2005 no virus found
AVG 718 11.29.2005 VB.G
Avira 6.32.0.6 11.29.2005 no virus found
BitDefender 7.2 11.29.2005 no virus found
CAT-QuickHeal 8.00 11.29.2005 Trojan.VB.afo
ClamAV devel-20051108 11.29.2005 no virus found
DrWeb 4.33 11.29.2005 no virus found
eTrust-Iris 7.1.194.0 11.29.2005 no virus found
eTrust-Vet 11.9.1.0 11.29.2005 no virus found
Fortinet 2.48.0.0 11.29.2005 W32/VB.AFO-tr
F-Prot 3.16c 11.28.2005 no virus found
Ikarus 0.2.59.0 11.29.2005 no virus found
Kaspersky 4.0.2.24 11.29.2005 Trojan.Win32.VB.afo
McAfee 4639 11.29.2005 no virus found
NOD32v2 1.1307 11.28.2005 no virus found
Norman 5.70.10 11.29.2005 no virus found
Panda 8.02.00 11.28.2005 no virus found
Sophos 4.00.0 11.29.2005 no virus found
Symantec 8.0 11.29.2005 no virus found
TheHacker 5.9.1.046 11.29.2005 Trojan/VB.afo
VBA32 3.10.5 11.29.2005 Trojan.Win32.VB.afo

[Intel]

Bonjour

Comme quoi il n'y a pas beaucoup d'AV reconnaissant un trojan

A+

[Jim Rakoto]

Salut

il s'agit d'un faux positif lié à la version Pro

Antivir l'a déjà corrigé.

Pestpatrol en dit ceci :

NOT a Pest spywarestopper.exe programfilesdir+\spyblocker software\spywarestopper\updatesws.exe
NOT a Pest spywarestopper.exe programfilesdir+\spyblocker software\spywarestopper\swsuninst.exe
NOT a Pest spywarestopper.exe programfilesdir+\spyblocker software\spywarestopper\spywarestopper.exe
NOT a Pest spywarestopper.exe programfilesdir+\spyblocker software\spywarestopper\filemonitor.dll
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\uclose.exe
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\spyblocker.exe
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\sbweb.htm
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\sbuninst.exe
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\sbproxy.ini
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\sbfaq.htm
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\sbdl.exe
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\sb-updater.exe
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\regdns.exe
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\iblockhelp.htm
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\iblock.exe
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\help.htm
NOT a Pest spyblocker.exe programfilesdir+\spyblocker software\blocked.htm

Et sur le forum Spyblocker cette info

File Information
About this File...
Our Filename: uclose.exe
Size: 11264
Our Filedate:
PVT: -225611940
MD5: 6269ca169be18d32b66fdb33c4108b10

About this Pest...
Score: 0*
PestName: NOT a Pest
Description:
Category: Healthy Non-Pest File.
Author:
Release Date: 6/28/2005

*A score of 0-5 is considered "safe", 6-14 "suspicious", and 15+ "dangerous." If no score is provided, this file has not yet been rated.

Intel écrit :

Comme quoi il n'y a pas beaucoup d'AV reconnaissant un trojan

L'autre vision serait : il y a bcp d'antivirus qui ne font pas de faux positifs .

Pas d'inquiétude donc

A+

[nickW]

Bonsoir,

AVG, Antivir et KAV ont réagi sur ce fichier.

http://spyblocker-software.com/IPB/inde ... entry12321
http://spyblocker-software.com/IPB/inde ... entry12323

Il s'agit d'un faux positif.

Antivir a été corrigé, les deux autres point encore.

Salut,

Édité:
Jim a été plus rapide. Sniff, Sniff.

[Invité]

Bonsoir

Merci beaucoup à vous trois pour ces réponses rapides et complètes. Spyblocker Software me semblait en effet une société "sérieuse".

A +

[Sacles]

Bonsoir,

Il est à noter qu'Ewido le signale aussi comme fichier infecté. J'ai envoyé un mail chez Ewido hier soir pour signaler la chose mais la correction n'a pas encore été faite.

Edité: la correction a été faite ce matin (30.11.2005).

Comme quoi il n'y a pas beaucoup d'AV reconnaissant un trojan

Sutout quand ce sont des faux-positifs, il vaut mieux qu'ils ne les reconnaissent pas .

Cordialement.

[Tom]

Salut!

Pour info
Nod32 indique aussi depuis peu :


26/02/2006 AMON fichier C:\Program Files\SpyBlocker Pro\uclose.exe Win32/VB.AFO
cheval de Troie mis en Quarantaine - supprimé


@+

[Jim Rakoto]

Salut

C'est toujours le même faux-positif

Kav me fait la même chose.

Ce fichier Uclose est uniquement présent dans la version Pro

Je me demande si ce fichier uclose n'est pas installé pour bloquer un lancement de Spyblocker Classique.
Car quand on installe SBPro, SB reste installé mais les deux ne peuvent être exécutés en même temps.


Voici la liste des AV qui détectaient Uclose.exe


A+

[Sacles]

Bonsoir,

Pour information, voici une liste actualisée. Il est à noter qu'Ewido détecte aussi uclose.exe comme étant infecté (faux-positif).


Source: analyse chez VirusTotal.

26/02/2006 AMON fichier C:\Program Files\SpyBlocker Pro\uclose.exe Win32/VB.AFO
cheval de Troie mis en Quarantaine - supprimé

Tu devrais le récupérer.

Cordialement.

[Sacles]

Bonjour,

Précision de l'auteur de SpyBlocker au sujet d'uclose.exe:

"You can safely delete the file, it is only used for closing SB if someone tries to uninstall it while it's running."

Traduction:
Vous pouvez effacer ce fichier sans risque, il est uniquement utilisé pour fermer SB si quelqu'un essaye de le désinstaller lorsqu'il fonctionne.

Référence: http://spyblocker-software.com/IPB/inde ... entry13110

Cordialement.