Trojan.Agent.ED

[abracadabra75]

Bonjour.

Malwarebytes vient de me trouver le Trojan.Agent.ED et de mettre en quarantaine les fichiers infectés.

Je suis très étonné de cette découverte: il y a quelques jours Mbam m'avait trouvé autre chose; ayant posé ici la question de savoir s'il fallait
opérer une désinfection, Chantal11 m'avait répondu, au vu des rapports, que tout était normal après l'action de Mbam.
Or les fichiers infectés par Trojan.Agent.ED sont tous le même fichier, copies du fichier en service dans des sauvegardes, la plus ancienne remontant à plus d'un an.... alors que la découverte date d'hier et que j'ai exécuté Malwarebytes plus d'une fois depuis un an!

Un jour il ne voit rien... puis peu de temps après, détection...
Alors, ne serait-ce pas un faux positif?

La littérature de la toile indique les clés du registre traçant le trojan; les ayant regardées, elles ne contiennent pas les caractères aléatoires qui montrent l'infection.

Ci-joint les rapports RSIT.
Merci d'avance

A+
-----

[chantal11]

Bonjour,

Donc encore une fois, il ne faut pas s'affoler à chaque fois que Malwarebytes ou ton antivirus fait son boulot.

Que ce soit pour Malwarebytes ou ton antivirus, des mises à jour sont faites régulièrement, il est donc logique que des éléments non détectés un jour le soient quelques jours après des mises à jour de définitions de malwares.

D'autre part, ce serai bien de nous fournir le rapport Malwarebytes, parce que là, pour l'instant, cela ne nous parle pas

@+

[abracadabra75]

Pas question de s'affoler pour si peu, bien sûr, mais que Mbm ne voit pas un bidule existant depuis plusieurs années dans un fichier vieux 'comme mes robes', puis qu'il le trouve tout à coup, cela m'interpelle.... Si la découverte avait été faite sur un autre fichier, je n'aurais posé aucune question.

Surtout que voulant hier poster le rapport Mbam, il m'a été impossible de l'ouvrir pour le lire... Impossible de lancer Malwarebytes pour refaire le rapport...
J'ai donc désinstallé ce matin Malwarebytes et ai installé la nouvelle version 2000.
Et cette dernière ne découvre rien...

En admettant que cette nouvelle version est meilleure, cella signifie que l'ancienne, sauf erreur de ma part, avait détecté un faux positif.
J'espère ne pas me tromper, sinon cela voudrait dire que je peux mettre à la poubelle toutes mes sauvegardes...

Merci encore à toute l'équipe antimalware: vous faites un boulot super.

A+

[chantal11]

Bonjour,

Si tu n'arrivais pas à récupérer le rapport, il suffisait juste de nous indiquer quel fichier était détecté et à quels emplacements.
Tu l'aurais vu dans la quarantaine.

Maintenant, puisque tu as désinstallé l'ancienne version, je pense que ta quarantaine a été vidée.

@+

[A voir en vidéo sur Futura]

[abracadabra75]

Le fichier s'appelle "LCDpixels.dll'. Il appartient à la suite Isis de Proteus (Labcenters Electronics) dans le dossiers "Models".

[chantal11]

Re,

Pour ce fichier LCDpixels.dll, comme expliqué plus haut, c'était peut-être une nouvelle détection de Malwarebytes.
Il n'est pas très net
http://www.herdprotect.com/lcdpixel....bf0dafcf6.aspx

Si en plus la suite Isis de Proteus a été installée illégalement, Malwarebytes l'a repéré.

Quand tu as un doute sur un fichier, fais-le analyser sur https://www.virustotal.com/

@+

[abracadabra75]

La suite est légale: elle provient de la boîte pour qui je travaillais et qui, comme tant d'autres, hélas, a mis la clé sous la porte. Elle me l'a laissé volontairement.

J'ai donc fait un scan virustotal, qui détecte bien une infection; rapport en pj.

J'ai déjà mis le fichier vérolé en quarantaine; il ne semble pas d'être d'une importance primordiale: les essais faits depuis ce matin ne montrent rien d'anormal, tout comme le fonctionnement général du PC. Mais comme cet agent.ed est qualifié de 'vicieux', s'il s'est propagé ailleurs dans le PC sans savoir où, il serait peut-être judicieux de réimplanter Windows7, les sauvegardes étant peut-être elles-mêmes vérolées... La poisse!

[chantal11]

Re,


Non, il est inutile de ré-installé Windows.

Vérifie si ta suite Isis de Proteus fonctionne correctement.
Ne vide pas la quarantaine de Malwarebytes pour l'instant.

C'est dommage que l'on a pas le rapport de détection Malwarebytes, mais à mon avis, l'outil est allé aussi chercher ce fichier dans les points de restauration.

On va purger les points de restauration.

DelFix :

• Sur cette page, télécharge DelFix de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône Delfix.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, coche uniquement les options
  - Supprimer les outils de désinfection
  - Purger la restauration système
• Clique ensuite sur Exécuter et laisse l'outil travailler
  
• Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\DelFix.txt

@+

[abracadabra75]

En contrôlant la présence des différents LCDpixels.dll que j'ai, je viens de voir que 2 ont échappé à la mise en quarantaine: un dans le dossier normal d'Isis, l'autre dans une sauvegarde sur un 2 ème DD.
Est-ce qu'il faut que je les détruise avant toute opération curative?

[chantal11]

Bonjour,

Pour le fichier dans le dossier normal d'Isis, clic-droit sur ce fichier -> Examiner avec Malwarebytes

Quel résultat obtiens-tu ?

C'est ce fichier que tu avais analyser sur VirusTotal ?

@+

[abracadabra75]

oui, mais je n'en suis pas sûr à 100%, seulement, 99,9%.

L'examen de mbam en pj.

[abracadabra75]

Et voici le delfix.txt

[chantal11]

Re,

L'examen Malwarebytes n'a pas été fait sur une session Administrateur et apparemment aucune action n'a été appliquée.
Il faut cliquer sur le Tout mettre en quarantaine.

Un tutoriel d'utilisation illustré en images :
http://forum.security-x.fr/tutoriels...are-version-2/

[abracadabra75]

Je suis absolument certain d'avoir fait l'examen en session administrateur, à l'issue de laquelle j'ai mis en quarantaine le fichier d'isis d'exploitation, et deleté le fichier qui était dans la sauvegarde.
J'ai appliqué la procédure 'personnalisée', exactement (me semble-t-il) comme décrit dans le tutorial.

[chantal11]

Re,

Je t'en informais, car le rapport indique :

Administrateur: Non

et

n'indique rien pour la détection :

Fichiers: 1
Trojan.Agent.ED, C:\Program Files\Labcenter Electronics\Proteus 7 Professional\MODELS\LCDPIXEL.D LL, , [adf69276d0aba88ed6b6e9f17c8701 ff],

La mention "Mis en quarantaine" devrait être affichée.

@+

[abracadabra75]

Ben... je deviens gaga (ça ne serait pas impossible...)
Le rapport en effet, dit bien administrateur : non, par contre il indique bien la mise en quarantaine.

[chantal11]

Re,

Sur ce 2ème rapport posté, il apparaît bien maintenant la mention "Mis en quarantaine", ce qui n'était pas le cas du rapport posté précédemment.

Et toujours cette notification "administrateur : non".

Ce compte utilisateur jm est bien administrateur ?

[abracadabra75]

non, c'est mon compte personnel, utilisateur (personne d'autre que moi n'utilise ce comte, ni l'ordi d'ailleurs).

[chantal11]

Re,

non, c'est mon compte personnel, utilisateur

C'est donc bien ce que je disais, ce n'est pas un compte administrateur.
Tu as combien de comptes ?

@+

[abracadabra75]

uniquement 2 comptes :l'administrateur et le perso

[chantal11]

Re,

OK, fais une analyse Malwarebytes depuis ton compte administrateur.

@+

[abracadabra75]

de tout le pc (ce qui prenait 3 heures avec la version antérieure de Mbam) ou seulement du dossier ou était LCDpixels.dll (maintenant en quarantaine)?

[abracadabra75]

Plus rapide que l'ancienne version...

[chantal11]

Re,

Te voilà rassuré ..... plus de trace de menaces détectées sur ton système

[abracadabra75]

Un très grand merci pour ton hénaurme patience.
A+