C:\Program Files\WINRAR\uninstall.exe - Backdoor:Win32/Poeb

dude2005 le 14 juin 2005 à 14h32

Salut à tous ! :salut:

Depuis peu, la ligne suivante est présente dans beaucoup de rapports Ravantivirus.
C:\Program Files\WINRAR\uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

Le fichier n'est qualifié que de Suspicious et correspond à un programme légitime.
N'ayant pas trouvé d'infos, j'aimerais avoir l'avis des habitués de cette catégorie.

Merci. :jap:

du 06/07/05

Je résume ce qui a été fait dans ce sujet pour vous éviter d'avoir à le parcourir.

J'ai téléchargé winrar v3.42 sur tc.com

Scan RAV de l'archive wrar342fr.exe

Scan started at 16/06/2005 21:19:59

Scanning memory...
Scanning boot sectors...
Scanning files...

Scanned
============================
Objects: 29
Directories: 0
Archives: 0
Size(Kb): 9676
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 0

Après installation, scan RAV du répertoire c:\program files\winrar

Scan started at 16/06/2005 21:21:07

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

Scanned
============================
Objects: 68
Directories: 2
Archives: 1
Size(Kb): 11967
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 1
Disinfected files: 0
Mail files: 0

Scan de C:\Program Files\WinRAR\Uninstall.exe sur http://virusscan.jotti.org/

Service load: 0% 100%
File: Uninstall.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 5d0a61f2546f4a25b4b4299fde01db66
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found nothing

Scan de C:\Program Files\WinRAR\Uninstall.exe sur http://www.virustotal.com/xhtml/virustotal_en.html

This is a report processed by VirusTotal on 06/16/2005 at 22:33:01 (CET) after scanning the file "Uninstall.exe" file.

Antivirus Version Update Result
AntiVir 6.31.0.7 06.16.2005 no virus found
AVG 718 06.14.2005 no virus found
Avira 6.31.0.7 06.16.2005 no virus found
BitDefender 7.0 06.16.2005 no virus found
ClamAV devel-20050501 06.16.2005 no virus found
DrWeb 4.32b 06.16.2005 no virus found
eTrust-Iris 7.1.194.0 06.16.2005 no virus found
eTrust-Vet 11.9.1.0 06.16.2005 no virus found
Fortinet 2.35.0.0 06.16.2005 no virus found
Ikarus 2.32 06.16.2005 no virus found
Kaspersky 4.0.2.24 06.16.2005 no virus found
McAfee 4515 06.16.2005 no virus found
NOD32v2 1.1142 06.16.2005 no virus found
Norman 5.70.10 06.15.2005 no virus found
Panda 8.02.00 06.16.2005 no virus found
Sybari 7.5.1314 06.16.2005 no virus found
Symantec 8.0 06.16.2005 no virus found
TheHacker 5.8-3.0 06.16.2005 no virus found
VBA32 3.10.3 06.16.2005 no virus found

A ma connaissance, aucun scan positif mis à part Ravantivirus, et aucun problème ou panne liés à ce fichier.
Tout laisse donc à croire qu'il s'agit d'un faux positif et que ce fichier ne présente aucun danger. Ceux qui le veulent peuvent le scanner par précaution sur :
http://virusscan.jotti.org/
http://www.virustotal.com/xhtml/virustotal_en.html

-->Message édité par dude2005 le 06/07/2005 09:25:00<--

répondre

jean-chretien1 le 14 juin 2005 à 14h34

salut dude2005

effectivement j'ai vu aussi ce pb 4 fois en l'espace de 3 jours
pour le moment, je préfèrerais le garder
Il est tjs possible de désinstaller winrar et de le réinstaller, scanner le répertoire à nouveau mais bon...
ce serait pas la 1ere fois que rav pose ce genre de pb

attendons d'autres avis

répondre

fredodu le 14 juin 2005 à 14h37

je scané ce matin mon pc , avec rav , et possédant winrar , aucun soucis de se coté !
donc , sachant que ce dernier décomprésseur n ' est que en version d ' évaluation pendant 40 jours , je croit bien !
donc je ne fait pas un dessin , voila !

-------
fred [:christho:1]

répondre

jean-chretien1 le 14 juin 2005 à 16h36

encore un http://forum.telecharger.01net.com/index.php?forum=microhebdo&page=forum3(...)

répondre

mowen le 14 juin 2005 à 16h39

Bonjour
Il faudrais leur demander la version exact de winrar pour que l'on puisse tester.

répondre

Aure7780 le 14 juin 2005 à 16h40

oui j'avais pas vu le topic dsl mais quelqu'un a une idée?

répondre

dude2005 le 14 juin 2005 à 16h44

mowen a écrit :

Bonjour
Il faudrais leur demander la version exact de winrar pour que l'on puisse tester.

+1 et la source du téléchargement.

répondre

Aure7780 le 14 juin 2005 à 16h47

WinRAR 3.42 telecharger.com

répondre

fredodu le 14 juin 2005 à 16h54

moi , c ' est la 300 , plus ancienne , mais peut etre sans soucis !

-------
fred [:christho:1]

répondre

Aure7780 le 14 juin 2005 à 17h14

Il n'y a que RAV antivirus qui repère cela pas les autres!(Mc afee,Trend Micro housecall...)

répondre

dude2005 le 14 juin 2005 à 17h16

Aure7780 a écrit :

Il n'y a que RAV antivirus qui repère cela pas les autres!(Mc afee,Trend Micro housecall...)

Merci pour cette info. :jap:

répondre

jean-chretien1 le 14 juin 2005 à 17h16

as-tu essayé avec A²
Aure7780 ?

ça pourrait être intéressant de le savoir vu sa grande base de données...

répondre

jean-chretien1 le 14 juin 2005 à 20h50

another one http://forum.telecharger.01net.com/index.php?forum=microhebdo&page=forum3(...)

répondre

stany le 14 juin 2005 à 21h27

moi aussi, après rav, winrar 3.42 (pris sur 01net) signalé comme suspicious

-------
Cueillir les cerises avec la queue? J'avais déjà du mal avec la main!

répondre

mowen le 15 juin 2005 à 09h06

stany a écrit :

moi aussi, après rav, winrar 3.42 (pris sur 01net) signalé comme suspicious

En tant que version d'evaluation ou version enregistré (ou cracké)?

-->Message édité par mowen le 15/06/2005 09:08:09<--

répondre

jean-chretien1 le 15 juin 2005 à 11h14

salut,

Hello, RAV n'en dira pas plus (j'ai posé la question au support)

Due to the acquisition of RAV's IPR (Intellectual Property Rights) by Microsoft Corp. (see
http://www.ravantivirus.com/pages/shownews.php?i=153 for more information), technical support offered by GECAD is not available anylonger for RAV Online Scan users or those who use our free/trial products. The only technical resource available is our online Knowledge Base found at: http://www.ravantivirus.com/kb/

In order to speed up the response process, make sure that the subject of the email sent to RAV Technical Support ALWAYS contains your ticket ID [RTS10034095RV] and please make sure to include all previous responses in regards to this incident.
--
Best regards,
A.D.
Technical Support Engineer - RAV Division

répondre

stany le 15 juin 2005 à 13h05

mowen a écrit :

En tant que version d'evaluation ou version enregistré (ou cracké)?

version d'evaluation

-------
Cueillir les cerises avec la queue? J'avais déjà du mal avec la main!

répondre

mowen le 16 juin 2005 à 11h28

stany a écrit :

version d'evaluation

Donc surement un bug de RAV

répondre

dude2005 le 16 juin 2005 à 11h54

Oui je pense. Je fais quelques tests...

Edit

J'ai téléchargé winrar v3.42 sur tc.com

Scan RAV de l'archive wrar342fr.exe

Scan started at 16/06/2005 21:19:59

Scanning memory...
Scanning boot sectors...
Scanning files...

Scanned
============================
Objects: 29
Directories: 0
Archives: 0
Size(Kb): 9676
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 0
Disinfected files: 0
Mail files: 0

Après installation, scan RAV du répertoire c:\program files\winrar

Scan started at 16/06/2005 21:21:07

Scanning memory...
Scanning boot sectors...
Scanning files...
C:\Program Files\WinRAR\Uninstall.exe - Backdoor:Win32/Poebot.E -> Suspicious

Scanned
============================
Objects: 68
Directories: 2
Archives: 1
Size(Kb): 11967
Infected files: 0

Found
============================
Viruses found: 0
Suspicious files: 1
Disinfected files: 0
Mail files: 0

Scan de C:\Program Files\WinRAR\Uninstall.exe sur http://virusscan.jotti.org/

Service load: 0% 100%
File: Uninstall.exe
Status: OK (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 5d0a61f2546f4a25b4b4299fde01db66
Packers detected: -
Scanner results
AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found nothing
Norman Virus Control Found nothing
VBA32 Found nothing

Conclusion : pour l'instant on laisse ce fichier en place ?

-->Message édité par dude2005 le 16/06/2005 21:21:56<--

répondre

Aure7780 le 16 juin 2005 à 22h07

ça doit etre un bug de RAV alors?

répondre

dude2005 le 16 juin 2005 à 22h16

Aure7780 a écrit :

ça doit etre un bug de RAV alors?

C'est ce que je pense... Il ne me reste plus qu'à désinstaller winrar en cliquant sur uninstall.exe

On ne fait pas d'omelette sans casser les oeufs !

répondre

balltrap34 le 16 juin 2005 à 22h25

salut
sur se lien tu as 19 editeurs antivirus
http://www.virustotal.com/xhtml/virustotal_en.html :salut:

-------
ma vraie passion,la chasse,le balltrap

http://www.florensac-chasse-trap.com/

répondre

dude2005 le 16 juin 2005 à 22h36

Merci pour le lien balltrap :jap:

Resultats : no virus found avec les 19, ça se confirme.

This is a report processed by VirusTotal on 06/16/2005 at 22:33:01 (CET) after scanning the file "Uninstall.exe" file.

Antivirus Version Update Result
AntiVir 6.31.0.7 06.16.2005 no virus found
AVG 718 06.14.2005 no virus found
Avira 6.31.0.7 06.16.2005 no virus found
BitDefender 7.0 06.16.2005 no virus found
ClamAV devel-20050501 06.16.2005 no virus found
DrWeb 4.32b 06.16.2005 no virus found
eTrust-Iris 7.1.194.0 06.16.2005 no virus found
eTrust-Vet 11.9.1.0 06.16.2005 no virus found
Fortinet 2.35.0.0 06.16.2005 no virus found
Ikarus 2.32 06.16.2005 no virus found
Kaspersky 4.0.2.24 06.16.2005 no virus found
McAfee 4515 06.16.2005 no virus found
NOD32v2 1.1142 06.16.2005 no virus found
Norman 5.70.10 06.15.2005 no virus found
Panda 8.02.00 06.16.2005 no virus found
Sybari 7.5.1314 06.16.2005 no virus found
Symantec 8.0 06.16.2005 no virus found
TheHacker 5.8-3.0 06.16.2005 no virus found
VBA32 3.10.3 06.16.2005 no virus found

répondre

balltrap34 le 16 juin 2005 à 22h37

je l est fait tester de nombreuse fois et resultat negatif

-------
ma vraie passion,la chasse,le balltrap

http://www.florensac-chasse-trap.com/

répondre

dude2005 le 16 juin 2005 à 22h46

Comme tous les logs ou sites, RAV n'est pas parfait. Il faut bien un petit reproche de temps en temps. Tu me diras, il n'indique que "suspicious".

Ce qui est chiant, c'est qu'on n'a pas fini de le voir cet uninstall dans les rapports RAV, car Winrar est sur presque tous les PC.

Ca va peut-être disparaître avec une réactualisation du contrôle active-X

répondre

balltrap34 le 16 juin 2005 à 22h55

ont verrat bien lol

-------
ma vraie passion,la chasse,le balltrap

http://www.florensac-chasse-trap.com/

répondre

jean-chretien1 le 16 juin 2005 à 23h01

bonsoir,

attention cependant à l'aurtograffe
pas plus tard que tout à l'heure, un rapport rav a décelé dans pgm files/winrar un fichier suspicious
unistall.exe
je ne sais pas encore ou cela va en arriver mais je ne l'avais pas vu (l'habitude), c'est yannik qui l'a remarqué

Quant à RAV, c'est étrange, il me trouve des fichiers infectés qui n'existent pas dans appli data/mozilla et appli data/thunderbird ???

répondre

balltrap34 le 16 juin 2005 à 23h03

tu les a fait tester sur le lien mis plus haut

-------
ma vraie passion,la chasse,le balltrap

http://www.florensac-chasse-trap.com/

répondre

jean-chretien1 le 16 juin 2005 à 23h11

balltrap34 a écrit :

tu les a fait tester sur le lien mis plus haut

salut, je ne peux pas lol, ils n'existent pas !

j'ai scanné "appli data" avec housecall et il ne me trouve rien ! :crazy:

répondre

balltrap34 le 16 juin 2005 à 23h17

-------
ma vraie passion,la chasse,le balltrap

http://www.florensac-chasse-trap.com/

répondre

jean-chretien1 le 16 juin 2005 à 23h20

ok je rectifie pour le "unistall" (sans le "n") c'était une erreur de frappe humaine tout simplement
le topic est la
http://forum.telecharger.01net.com/index.php?forum=microhebdo&page=forum3(...)

pour mes mails c'est incompréhensible (bref c'est pas le sujet toutes façons) merci à toi balltrap34

répondre

dude2005 le 16 juin 2005 à 23h27

'tain ! Taper un rapport à la main ? :fume: