Faux trojan

Modérateur: Modérateurs et Modératrices

Faux trojan

Messagede trebor33 » 01 Déc 2008, 23:32

Bonjour mademoiselle Minoka,

Le programme Outpost Security Suite Firewall Pro 2009 me signale un faux positif appelé
TrojanSpy.spyrecon.E dans le fichier driver fc_saveasresource.dll en cours d'installation.

Ce driver est décompressé du CD d’installation par le programme d'installation du logiciel Finepix livré avec l’appareil photo Finepix 20 de FUJI.

Or sur un précédent disque système j’avais déjà installé l’année dernière ce logiciel Finepix à partir du CD sans aucun problème.

Je doute fortement qu'il y ait eu un trojan dans le CD de livraison.

Comment passer outre à la détection de ce faux positif et installer convenablement ce programme ?
Merci de votre aide.
Acceptez mes très sincères salutations.
Trebor33


P.S1. je vais envoyer ce même courrier à la Firme Agnitum mais comme d'habitude depuis 2 ans, je sais que je ne recevrais pas de réponse à mon problème, juste un numéro d'enregistrement qui ne sert à rien.
Il ne sert à rien car je ne sais pas où chercher la réponse si éventuellement la réponse était envoyée!

PS2, s'il y avait un trojan dans mon PC, comment et ou trouver chez Agnitum le programme permettant d'éradiquer un tel trojan?
encore merci.
trebor33
 
Messages: 22
Inscription: 23 Sep 2005, 17:39
Localisation: Bondy 93140

Messagede minoka » 02 Déc 2008, 15:30

Bonjour,

Je ne connais pas tres bien OSS...

Mais, a votre place, j'enverrais le faux-positif a Agnitum via
http://www.agnitum.com/support/submit_files.php (bas de la page, Report False Positive)
et fairais un scan du fichier en question chez VirusTotal par example
http://www.virustotal.com/
ou jotti http://virusscan.jotti.org/

Pour l'installation de Finepix, avez-vous essaye de la faire apres avoir ferme OSS completement ou du moins interrompu sa protection?
minoka
 
Messages: 201
Inscription: 20 Oct 2004, 18:44

suite du faux trojan.

Messagede trebor33 » 02 Déc 2008, 17:00

Bonjour Mademoiselle Minoka,
Pour le moment je suis bloqué et ne peut rien envoyer car Outpost m'a supprimé le fichier driver incriminé.


En examinant aujourd'hui le fichier log: Anti-logiciel malveillant de la visionneuse d'évènement, je retrouve deux fichiers de Finepix où Outpost a détecté le trojan: "TrojanSpy.Spyrecon.E" il s'agit de C:\program files\finepixviewer\system\fc_saveasresource.dll et C:\program files\finepixviewer\system\fc_s60dc.rra.

Je vais essayer de recharger à nouveau le programme Finepix tout en me déconnectant d'Internet et en mettant au repos Outpost.

Hier, j'ai envoyé un rapport d'erreur à Agnitum, mais à la fin de l'envoi le site Agnitum publie une page conseil en indiquant de se connecter sur deux adresses d'aide. Manque de chance quand on clique sur ces adresses une erreur de type 404 est affichée!

J'ai pris une copie d'écran de cette page affichée par Agnitum. Je vous transmets l'adresse puisque apparemment je ne peux ajouter de pièces jointes sur votre site. L'adresse est: http://www.agnitum.fr/support/forms/submitabug.php.
Quand je clique sur "Service d'auto-support" ou sur "Communauté en ligne" je reçois l'erreur 404!
Si vous pouvez y faire quelques actions chez Agnitum ce serait un bien pour les clients français de Agnitum.

J'avais remarqué cela depuis l'année dernière et j'ai essayé d'envoyer à nouveau un message d'erreur pour l'impossibilité de se connecter sur ces sites.

Enfin Ultime question: quand je reçois un accusé de réception de la part de Agnitum: exemples suivant:
sb-fr-02-081200038-p expéditeur: ticket_fr@agnitum.com
sb-fr-02-081200039-p expéditeur: ticket_fr@agnitum.com
sb-fr-02-081200040-p expéditeur: ticket_fr@agnitum.com
sb-fr-02-081200040-p expéditeur: ticket_fr@agnitum.com où peut-on se brancher sur le site Agnitum pour voir les réponses qui auraient pu y être ajoutées?
Jusqu'à présent depuis deux ans je n'ai pas trouvé cet endroit!
Peut-être pourrez-vous me sortir de mon ignorance!

Dès que je le peux j'entreprendrais l'installation du CD de Finepix sans Agnitum: ce soir ou demain mercredi, je vous transmettrais aussitôt mes résultats.

Avec mes remerciements et mes très sincères salutations.
Trebor33.
trebor33
 
Messages: 22
Inscription: 23 Sep 2005, 17:39
Localisation: Bondy 93140

Messagede minoka » 02 Déc 2008, 20:07

Bonjour,

Il faut que je precise que je ne suis pas employee par Agnitum. Ma fonction de moderatrice sur le forum officiel est tout a fait volontaire. Je communique rarement avec Agnitum par mel. Ici meme, je ne fais que participer a certaines discussions quand j'ai qq chose a y apporter.

En ce qui concerne les erreurs 404, je ne trouve pas "Service d'auto-support" et "Communauté en ligne"! ; en ce qui concerne vos 'tickets', je ne crois pas qu'il y ait un endroit pour trouver les reponses a des tickets...mais je vais me renseigner quand meme.
Pour les faux positifs, aller sur le site que je vous ai signale.

A+ donc!
minoka
 
Messages: 201
Inscription: 20 Oct 2004, 18:44

pb du faux trojan

Messagede trebor33 » 03 Déc 2008, 09:43

Bonjour Mademoiselle Minoka,
Vous êtes un peu le sauveur qui redonne le bon chemin aux internautes perdus!
J'apprécie beaucoup votre aide et je vous en remercie encore.
Si vous avez pu quelquefois communiquer avec Agnitum, je dois reconnaitre que pour ma part tous les messages que j'ai pu envoyer depuis deux ans sont restés sans réponse de la part de Agnitum.
Mes messages au support Agnitum étaient pourtant écrits en anglais!
Il semble en fait que les clients français sont très défavorisés puisqu'à l'exception de votre site remarquable; il n'existe aucune documentation en français, on trouve évidemment du texte anglais mais aussi en russe, ce qui semble naturel, et en allemand et italien me semble-t-il.
D'ailleurs les revues d'informatiques françaises sont muettes sur Agnitum, Peut-être ces revues attendent-elles une manne publicitaire pour parler de Agnitum.
Quand j'ai reçu les accusés de réception de Agnitum pour les messages envoyés au support, jai vu que les adresses où se connecter vers les sites Services d'auto-support et Communauté en ligne étaient explicitement données, ce que ne sait pas faire le site Agnitum dans la fenêtre qui apparait après l'envoi d'un message au support.

Hier soir, j'ai mis Outpost au repos et j'ai pu installer le programme Finepix, ce qui m'a permis de sauvegarder les images prises avec mon appareil Fuji.
Au rechargement système demandé par le programme d'installation de Finepix, j'ai vu que Outpost tiquait toujours sur le même faux positif. J'ai aussitôt mis Outpost au repos pour terminer la sauvegarde de mes photos.

Que dois-je faire vis à vis de Agnitum pour ce faux positif?
Je peux copier le fichier fc_saveasresource.dll et indiquer le faux trojan: TrojanSpy.spyrecon.E, mais recevrais-je une réponse?

Hier, j'ai passé mon PC au contrôle du Programme "A-squarred security center" qui n'a évidemment pas trouvé ce Trojan dans mon PC!
D'ailleurs quand Outpost se met à vérifier le PC ( la petite icône se transforme alors en une image d'un radar ou d'un phare qui tourne) le compte-rendu de l'analyse donné par Outpost concerne uniquement quelques cookies que ce programme efface ou met en quarantaine mais ne mentionne rien sur ce faux Trojan!

Je vais effectuer ce matin l'envoi de ce faux Trojan à Agnitum à l'adresse que vous m'avez communiqué et vous tiendrais auu courant de la suite donnée par Agnitum.

Recevez mes très sincères amitiés.
Trebort33
trebor33
 
Messages: 22
Inscription: 23 Sep 2005, 17:39
Localisation: Bondy 93140

Messagede minoka » 03 Déc 2008, 11:44

Bonjour,

Je ne sais pas si vous aurez une reponse apres avoir envoye le faux positif a Agnitum, mais il me semble que si vous precisez de quel logiciel il s'agit, vous devriez en avoir une!
minoka
 
Messages: 201
Inscription: 20 Oct 2004, 18:44

Faux trojan suite.

Messagede trebor33 » 03 Déc 2008, 12:27

Bonjour Mademoiselle Minoka,

Comme annoncé dans mon précédent mel, j'ai envoyé à Agnitum le fichier suspecté par Oss et aussi le nom du faux Trojan,mais j'ai pris soin d'indiquer l'origine du programme Finepix livré sur le CD d'install de Fuji.
J'ai envoyé deux fois le message au support, une première fois en anglais et ayant coché la langue française, j'ai vu que je pouvais l'envoyer directement en français. Par contre dans les deux envois, je n'ai pas compris ce qui était demandé à la rubrique DAT.
J'ai indiqué Oss et le numéro de version actuel!

Je viens de refaire une analyse par A-Squared et également par Oss, sans rien trouver comme parasite.
Je considère que mon PC est sain!

Mes meilleures amitiés
Robert
(trebor33)
trebor33
 
Messages: 22
Inscription: 23 Sep 2005, 17:39
Localisation: Bondy 93140

Messagede minoka » 03 Déc 2008, 14:16

Re-bonjour,

Je pense que DAT veut dire la date (et/ou son numero s'il y en a un) de la derniere mise a jour de votre module anti espions anti virus etc...
minoka
 
Messages: 201
Inscription: 20 Oct 2004, 18:44


Retourner vers OutPost Firewall

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités