[Résolu] Avira détecte un Trojan (vrai ou faux ?)

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

[Résolu] Avira détecte un Trojan (vrai ou faux ?)

Messagede archeboc » 05 Avr 2009, 14:45

Bonjour à tous,

En téléchargeant mes données bancaires avec Money ( opération régulière), Avira me signale ce qui suit.
Par précaution j'ai mis en quarantaine, mais, s'agissant apparemment d'une DLL, je crais qu'elle ne fasse défaut à l'avenir.

Comment être certain qu'il s'agit bien d'un Trojan ?

Image


Merci pour votre aide.
Mes configs

"L'erreur est humaine, mais un véritable désastre nécessite un ordinateur." (auteur inconnu)
Image
Avatar de l’utilisateur
archeboc
 
Messages: 123
Inscription: 16 Avr 2005, 16:55
Localisation: Annecy

Messagede Vazkor » 05 Avr 2009, 16:26

Bonjour,
Comment être certain qu'il s'agit bien d'un Trojan ?

Commence par récupérer le fichier msfdpb.dll mis en quarantaine et soumets le à Virus Total pour analyse par 32 antivirus.

@+
Avatar de l’utilisateur
Vazkor
 
Messages: 9810
Inscription: 05 Nov 2002, 23:39
Localisation: Ans, BE

Messagede jpj » 05 Avr 2009, 18:17

Bonjour,

Pour information, au cas où tu aurais la version 2003.

msfdpb.dll
458 752 octets
Créé le : mercredi 18 juin 2003, 12:00:00
version : 12.0.0.613
MD5 : 53d7c52c60836fef63d7fefbaa0d30a7
SHA1 : c763e44238239402345208162f952e9a927c5728
Quand tout le reste a échoué, lisez le mode d'emploi.
Mes configs
Avatar de l’utilisateur
jpj
 
Messages: 1338
Inscription: 30 Juil 2005, 21:28
Localisation: France

Messagede archeboc » 05 Avr 2009, 19:12

jpj a écrit:Bonjour,

Pour information, au cas où tu aurais la version 2003.

msfdpb.dll
458 752 octets
Créé le : mercredi 18 juin 2003, 12:00:00
version : 12.0.0.613
MD5 : 53d7c52c60836fef63d7fefbaa0d30a7
SHA1 : c763e44238239402345208162f952e9a927c5728

Bonsoir,

"Mon" Money est plus ancien (2001), hélas !

Merci quand même
Mes configs

"L'erreur est humaine, mais un véritable désastre nécessite un ordinateur." (auteur inconnu)
Image
Avatar de l’utilisateur
archeboc
 
Messages: 123
Inscription: 16 Avr 2005, 16:55
Localisation: Annecy

Messagede archeboc » 05 Avr 2009, 19:14

Vazkor a écrit:Bonjour,
Comment être certain qu'il s'agit bien d'un Trojan ?

Commence par récupérer le fichier msfdpb.dll mis en quarantaine et soumets le à Virus Total pour analyse par 32 antivirus.

@+


Bonsoir et merci.

Je fais le nécessaire immédiatement :)

Je vous tiendrai au courant.
Mes configs

"L'erreur est humaine, mais un véritable désastre nécessite un ordinateur." (auteur inconnu)
Image
Avatar de l’utilisateur
archeboc
 
Messages: 123
Inscription: 16 Avr 2005, 16:55
Localisation: Annecy

Virus ou pas

Messagede archeboc » 05 Avr 2009, 19:32

Re-bonsoir,

Voici le résultat de l'analyse par virustotal :
Fichier msfdpb.dll reçu le 2009.04.04 17:14:26 (CET)
Situation actuelle: terminé
Résultat: 0/40 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.101 2009.04.04 -
AhnLab-V3 5.0.0.2 2009.04.04 -
AntiVir 7.9.0.129 2009.04.03 -
Antiy-AVL 2.0.3.1 2009.04.04 -
Authentium 5.1.2.4 2009.04.04 -
Avast 4.8.1335.0 2009.04.03 -
AVG 8.5.0.285 2009.04.03 -
BitDefender 7.2 2009.04.04 -
CAT-QuickHeal 10.00 2009.04.04 -
ClamAV 0.94.1 2009.04.04 -
Comodo 1099 2009.04.04 -
DrWeb 4.44.0.09170 2009.04.04 -
eSafe 7.0.17.0 2009.04.02 -
eTrust-Vet 31.6.6435 2009.04.03 -
F-Prot 4.4.4.56 2009.04.03 -
F-Secure 8.0.14470.0 2009.04.03 -
Fortinet 3.117.0.0 2009.04.04 -
GData 19 2009.04.04 -
Ikarus T3.1.1.49.0 2009.04.04 -
K7AntiVirus 7.10.692 2009.04.03 -
Kaspersky 7.0.0.125 2009.04.04 -
McAfee 5573 2009.04.03 -
McAfee+Artemis 5573 2009.04.03 -
McAfee-GW-Edition 6.7.6 2009.04.03 -
Microsoft 1.4502 2009.04.04 -
NOD32 3988 2009.04.04 -
Norman 6.00.06 2009.04.03 -
nProtect 2009.1.8.0 2009.04.04 -
Panda 10.0.0.14 2009.04.04 -
PCTools 4.4.2.0 2009.04.04 -
Prevx1 V2 2009.04.04 -
Rising 21.23.41.00 2009.04.03 -
Sophos 4.40.0 2009.04.04 -
Sunbelt 3.2.1858.2 2009.04.04 -
Symantec 1.4.4.12 2009.04.04 -
TheHacker 6.3.4.0.301 2009.04.03 -
TrendMicro 8.700.0.1004 2009.04.03 -
VBA32 3.12.10.2 2009.04.03 -
ViRobot 2009.4.4.1678 2009.04.04 -
VirusBuster 4.6.5.0 2009.04.04 -
Information additionnelle
File size: 462899 bytes
MD5...: b7d0be84facece70d1571d1c9e935189
SHA1..: 7e787436ba216ca1141432c11c93ced8be513a1c
SHA256: 8abd1bde33087b2496fd908ca5be0b3982352da224f2e6663febb287a9d52910
SHA512: c579cceef9f0a58ed0165442c98eb09c01c6b69f92740a1c52c6fac86ae2e770
dded7c92a2f9410d3ed43759910e0068f4cbcc5ecc79e165df58408917d3d769
ssdeep: 6144:sLm5k/L9xEGeFJ2dD6SESrNnGMuWpI61BoizeRBPJjK0uUVw:MLjE90NRI6
wRm
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification
Windows OCX File (71.0%)
Win32 Executable MS Visual C++ (generic) (21.6%)
Win32 Executable Generic (4.9%)
Generic Win/DOS Executable (1.1%)
DOS Executable Generic (1.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x2877b
timedatestamp.....: 0x3d34132f (Tue Jul 16 12:35:59 2002)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x30540 0x31000 6.18 2cf6f0b38499466b51bbe6c9316c94b4
.data 0x32000 0x652c 0x7000 4.35 a4d727b91b25878c38593914fb7688ce
.rsrc 0x39000 0x32958 0x33000 5.24 8b1310debcba24288bfe5aff5871fb77
.reloc 0x6c000 0x45c8 0x5000 6.33 fdc74d980cc164168c1f73aca6f99dd6

( 6 imports )
> ADVAPI32.dll: RegQueryInfoKeyA, RegEnumKeyExA, RegDeleteKeyA, RegOpenKeyExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> KERNEL32.dll: GetModuleFileNameA, LoadResource, SizeofResource, WideCharToMultiByte, GetTickCount, SetLastError, FindResourceA, MultiByteToWideChar, GetLastError
> MFC42.DLL: -, -
> MSVCRT.dll: iswctype, wcschr, __CxxFrameHandler, islower, towlower, strncpy, strerror, isprint, wcsncpy, _waccess, fflush, swprintf, fwprintf, putc, fprintf, _iob, wcsncat, getc, ungetc, isdigit, fputws, _wgetenv, toupper, fgetws, _wcsicmp, atoi, _wtoi, _wcsnicmp, fsetpos, fgetpos, clearerr, _wopen, _wcsnset, _wcsset, wcscspn, _initterm, _adjust_fdiv, __1type_info@@UAE@XZ, __dllonexit, _onexit, _mbstrlen, free, wcscmp, wcscpy, wcscat, _CxxThrowException, fclose, _wfopen, _errno, wcslen, realloc, calloc, swscanf, wcsstr, wcsncmp, malloc, _itow, _fdopen
> ole32.dll: CoTaskMemAlloc, CoTaskMemRealloc, CoTaskMemFree
> USER32.dll: PostQuitMessage, LoadStringA, LoadStringW, wsprintfA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
RDS...: NSRL Reference Data Set

( Microsoft )

> Microsoft Works Suite 2003: msfdpb.dll
> Works Suite: msfdpb.dll
> Money Deluxe: msfdpb.dll


Je n'y comprends rien : aucun virus apparemment, alors qu'Antivir figure dans la liste !!!


Et pour envoyer ce fichier que j'ai copié ailleurs, Antivir (chez moi) m'a signalé de nouveau qu'il y avait un Trojan.
Ensuite, l'ayant remis à sa place, , j'ai toujours le même message d'Avira. J'ai coché "ignorer"...


Merci de votre aide.
Mes configs

"L'erreur est humaine, mais un véritable désastre nécessite un ordinateur." (auteur inconnu)
Image
Avatar de l’utilisateur
archeboc
 
Messages: 123
Inscription: 16 Avr 2005, 16:55
Localisation: Annecy

Messagede nickW » 05 Avr 2009, 19:35

Bonsoir,

Le même problème a été rencontré sur trois forums français:
http://assiste.forum.free.fr/viewtopic.php?t=23831
http://forum.telecharger.01net.com/tele ... ges-1.html
http://forum.pcastuces.com/infection_snif-f25s46973.htm


J'ai signalé le cas sur le forum d'Avira:
http://forum.avira.com/wbb/index.php?pa ... adID=87557


Note:
Si l'on supprime le fichier, Microsoft Money ne fonctionne plus.


Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede archeboc » 06 Avr 2009, 08:02

nickW a écrit:Bonsoir,

Le même problème a été rencontré sur trois forums français:
http://assiste.forum.free.fr/viewtopic.php?t=23831
http://forum.telecharger.01net.com/tele ... ges-1.html
http://forum.pcastuces.com/infection_snif-f25s46973.htm


J'ai signalé le cas sur le forum d'Avira:
http://forum.avira.com/wbb/index.php?pa ... adID=87557


Note:
Si l'on supprime le fichier, Microsoft Money ne fonctionne plus.


Salut,


Salut Nickw,

Effectivement, cette DLL mise en quarantaine Money 2003 ne fonctionnait plus. Je l'ai sortie de la quarantaine.

Je l'ai signalé comme faux positif, en utilisant le lien donné ici :


http://forum.malekal.com/viewtopic.php?f=79&t=18237


Merci
Mes configs

"L'erreur est humaine, mais un véritable désastre nécessite un ordinateur." (auteur inconnu)
Image
Avatar de l’utilisateur
archeboc
 
Messages: 123
Inscription: 16 Avr 2005, 16:55
Localisation: Annecy

Faux positif

Messagede archeboc » 06 Avr 2009, 14:32

Bonjour à tous et merci pour vos conseils.

Voici la réponse d'AVIRA :
Dear Sir or Madam,

Thank you for your email to Avira's virus lab.
Tracking number: INC00291693.

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25311775 msfdpb.dll 452.05 KB FALSE POSITIVE


Please find a detailed report concerning each individual sample below:
Filename Result msfdpb.dll FALSE POSITIVE

The file 'msfdpb.dll' has been determined to be 'FALSE POSITIVE'. In particular this means that this file is not malicious but a false alarm.



Affaire réglée !

Bonne journée
Mes configs

"L'erreur est humaine, mais un véritable désastre nécessite un ordinateur." (auteur inconnu)
Image
Avatar de l’utilisateur
archeboc
 
Messages: 123
Inscription: 16 Avr 2005, 16:55
Localisation: Annecy


Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 46 invités