[résolu]alerte comodo

aLLO JE  fais la procedure proposée ici https://www.techsupportalert.com/content/how-tell-if-file-malicious.htm

main.exe dont le sha1 est
c65f5d9a168e208962319a604cb0119fca3fc8e1 apparait unknowed.. quoi fairedans ce cas . Le valkirie dit juste que la file a déja été analysée sans se prononcer..

Hello, ca veut juste dire que comodo n'a pas réussi a identifier d'infection sur le fichier mais n'est pas capable de dire si il est sain. tu peux l'envoyer sur virustotal si tu veux savoir si il est infectieux. Moi l'analyseur de comodo m'indique 6 fichiers inconnus.

Si j'ai bien vu c'est un fichier qui appartient à easus partition master et il est sain donc tu peux l'autoriser si comodo te demande.
lien virustotal : https://www.virustotal.com/fr/file/8889cb014d341c4c5cd63f95d01a0145c757a28411f6756dd96a5fa34241e222/analysis/

Si le logiciel n'est pas cracké, tu peux autoriser le fichier en indiquant qui est de confiance, comme cà l'analyseyr le detectera comme fichier fiable.

http://cjoint.com/?0LCgaoQVKjq 

CFIdonnait rien alors jai fait virus total
que conclure avec ca ? 1 version du fichier est un malware sur 50 quelque autre?
pourquoi il ne parle pas uniquement du fichier uploadé?
----------
2 me fiant a cela https://www.techsupportalert.com/content/how-tell-if-file-malicious.htm
CFI me demande de lui donner le path mais jarrive pas a voir de path http://cjoint.com/?0LCgfrs05So au mieux jai le nom macchin.ddl
quest ce qui cloche?
--------
3  http://cjoint.com/?0LCgj7taKhs  meme chose pour pc alu

le résultat de virustotal indique qu'un antivirus sur 56 a trouvé une infection sur le fichier que tu as envoyé. La détection est Heuristiqe donc pas forcément légitime, et quand tu as une seule détection sur 50, c'est souvent une fausse alerte (ca n'est pas toujours le cas)

Pour les alertes de comodo, il te demande le chemin pour faire quoi?
Les alertes sont "normales" tu peux faire confiance à zhpdiag si tu l'as téléchargé sur le site officiel.
pcalua, c'est l'assistant de compatibilité, et il demande l'autorisation pour lancer zhpdiag (probablement parce que tu n'as pas lancé zhpdiag en tant qu'administrateur)

petite info sur la première alerte : http://fr.wikipedia.org/wiki/Hook_%28informatique%29
Dans le cas de zhpdiag c'est normal, tout comme avec certains jeux, mais il faudra faire attention aux types d'alertes de comodo, surtout en cas d'utilisation de logiciels douteux.

oui je me doute que les app sont safe mais je fais l'exercices avec elles pour savoir comment tester les autres app moins safe.

sur tech support ils mettent un lien vers comodo intelligence et la il est demander les chemin browse pour l'uploader. comme mentionné pc ula ne donnait que sont nom alors comment savoir si je dois autoriser les messages de truc inconnu s si je ne peux pas les verifier?

lorsque tu as le nom d'un fichier, tu peux verifier sur internet à quoi il correspond. Pour les fichiers de windows, en général tu trouveras facilement des réponses surtout sur les sites/forums de microsoft.

Et si tu ne trouve pas et que comodo n'affiche pas le chemin du fichier dans l'alerte, dans ses paramètres avancés, dans la section evaluation de fichier, tu peux trouver l'emplacement des fichiers autorisés ou bloqués, ou inconnus.

Sinon avec le nom du fichier, tu peux utiliser un programme de recherche pour le localiser, comme SEAF par exemple : https://morbak-home.forumgratuit.org/t641-seaf-pour-trouver-une-fichier-dossier-cle-de-registre
Mais attention, les fichiers de windows ont souvent des copies de secours dans le dossier winsxs donc si le rapport de seaf indique plusieurs fichiers portants le même nom, il faut regarder la bonne ligne (pas ceux du dossier winsxs donc ni le dossier prefetch en general)

hum...

111auriez vous un print screen de ca? je suis pas sur de voir comment trouver le chemin
t si tu ne trouve pas et que comodo n'affiche pas le chemin du fichier dans l'alerte, dans ses paramètres avancés, dans la section evaluation de fichier, tu peux trouver l'emplacement des fichiers autorisés ou bloqués, ou inconnus.

222jai déduit peut etre a tord que plusieurs fichier pouvaient avoir le meme nom , est ce exact? ce qui me fait dire ca cest que comodo file intelligence fonctionne par sah.....

333 http://cjoint.com/?0LDftCVTI2M   comment savoir si je doit autoriser un fichier a toucher a uregistery key? Faut il que je decide si oui ou non tel prog est safe et dire oui a tout ce qu il demande?

le moyen le plus simple c'est de cliquer sur "afficher l'activité" quand tu as une alerte (en bas à droite) et dans la fenêtre qui s'ouvrira tu peux faire clic droit/afficher le chemin complet.

Sinon voila l'image pour illustrer ce que je disais : http://www.cjoint.com/data3/3LDkPF2El6M_comodo.png

Plusieurs fichiers ont le même nom oui mais ils ne sont pas dans le même dossier. Cela dit comodo ne se fie pas au nom pour reconnaitre un fichier puisque certaines infections peuvent usurper le nom d'un fichier légitime.

Pour ce qui est des autorisations, la plupart des alertes sont "legitimes" c'est a dire que tu peux autoriser, mais il ne faut pas autoriser n'importe quoi, il faut comprendre ce qu'indiquent les alertes. Un programme peut demander à modifier une clé de registre protégée, installer un hook, executer un fichier système, etc... sans que ce soit dangereux. D'ailleurs c'est le cas pour la plupart des programmes.

Le plus important c'est de savoir si la source du programme est fiable ou non et si la demande du programme est légitime.

Un programme comme zhpdiag, qui doit analyser le pc, aura besoin de beaucoup d'autorisations pour effectuer son scan tranquillement. Par contre un jeu ne devrait pas avoir besoin d'autorisations sauf pour installer un hook ou se connecter au web si c'est un jeu en ligne évidemment.

Pour les programmes sains, si tu ne veux pas avoir pleins d'alertes tu peux répondre à la première par "traiter comme application autorisée" ou "programme d'installation/mise à jour" selon le cas. Ca permet d'avoir une seule alerte pour le programme.

Si tu as un doute sur une demande, tu peux décocher la case "se souvenir de ma réponse", et bloquer le programme (sans l'interrompre). Si la demande est légitime, dans la plupart des cas le programme ne fonctionnera pas bien puisque tu aura refusé quelque chose dont il a besoin. Et si il fonctionne bien, c'est qu'il n'a pas besoin de l'autorisation qu'il t'as demandé.

Et comme la case "se souvenir de ma réponse" est décochée, il redemandera au prochain lancement ce qui te permettra de faire le bon choix.

Sinon si tu veux vraiment faire les bons choix, il faut apprendre à quoi correspondent les alertes. Qu'est ce qu'un hook, un programme peut-il modifier une clé protégée, pourquoi ces clés sont-elles protégées etc... C'est un peu compliqué mais c'est comme un antivirus, pour bien l'utiliser il faut une base de connaissances et ne pas dire oui à tout.

Ne pas oublier l'option "visualiser l'activité" en bas de la fenêtre qui permet d'avoir des infos sur la demande d'autorisation.

fdm.exe is trying to access dns rpc client service
est ce que ca veut dire qu'il cherche a se connecter a internet?

quel sont les messages qui peuvent signifier qu'un fichier tente de se connecter au web?
------------
aussi le prog sest installé sans me demmander mon pw admin alors que je roule en session standard.. normal?

Ca veut dire qu'il essaye d'acceder au service client DNS mais oui c'est en rapport avec la connexion internet.

Quand un programme tente de se connecter au net, ca dit simplement "....exe tente de se connecter à internet" ou ".....exe s'apprête à recevoir une connexion depuis internet"

Tu as fait un clic droit/executer en tant qu'admin pour le programme? si non, c'est normal qu'il ne te l'ai pas demandé, cela dit, il est possible qu'il soit mal installé du coup. (enfin, c'etait juste un programme pour l'exemple d'alerte donc on s'en fiche)

Pour des infos sur le service client DNS : http://support.microsoft.com/kb/318803/fr
Ca explique comment le désactiver mais ca n'est pas la raison pour laquelle j'ai mis ce lien, c'est juste pour l'explication qui dit à quoi correspond le service

1 non je n ai pas fait executer en tant quadmin pour installer. Mais quest ce que ca change s il est tout de meme installé ?
2dites vous que c''est pour ca qu il ne ma pas tenté dacceder a internet?

3 quel dif ca fait installer en tant que admin ou pas au fond

ca change tout pour les accès du programme ^^ certains programmes ne peuvent ni être installés ni ouverts quand tu n'utilise pas l'execution en tant qu'admin.

Certains programmes ont besoin de modifier des clés de registre protégées, ou créer des fichiers dans des dossiers système, ce qui n'est pas forcément faisable sans les droits d'administrateur (d'où une sécurité renforcée contre les infections).

Il est possible que ca ne change rien pour certains programmes mais il est possible aussi que les programmes ne foncitonnent pas correctement si ils sont installés sans les droits d'administration.

gnnn ca me laisse avec mon probleme de verifier si comodo demande avant de laisser prog se connecter au web...
quel autres prog safe je peux installer qui vont tenter de se connecter au web svp

http://www.telecharger.sosvirus.net/download/infected-scanner/ celui là, il t'affichera le même message que Free download manager (si tu lis la description de l'alerte c'est indiqué que le service qu'il demande d'executer sert à établir des connexion internet) et ensuite affichera "infected scanner.exe essaye de se connecter à internet"

ok et la description de lalerte est ce que je la cherche google avec le nom du fichier ou c'est qqpart dans comodo quil explique la fonction?

Dans la fenêtre d'alerte de comodo, sous l'en-tête qui dit "...exe esaye de se connecter à internet" ou "...exe tente d'accéder au service DNS/RPC", au dessus des choix, tu as quelques lignes descriptives qui disent si le fichier est connu ou non, et ce qu'il essaye de faire.

Voila un exemple de ce que doit t'afficher comodo quand tu lances Infected Scanner et que tu fais un scan (ne fais pas attention ax cases cochées ou non, c'est simplement un exemple) : www.cjoint.com/data3/0AkbUiahTwo_111.png

All est cde que jautorise ca
http://cjoint.com/?0AkbUiahTwo 
aussi il me propose de turner on windows defender.. est ce que cest un parfeu car jai comodo
sinon cest quoi  j
action center me dit que avira est off mais licone marque prot/g/.....

Ce genre d'alerte est légitime mais tout dépend ce que tu fais au moment de l'alerte, il est possible qu'un ficheir malveillant utilise un processus sain pour faire certaines choses.

Là il  essaye de creer un fichier ou un dossier, ce qui arrive par exemple lors de l'enregistrement des rapports d'analyse, c'est peut-être normal. Quoiqu'il en soit ca n'est pas dangereux si ca ne fait que créer le fichier. Il faut voir ensuite si d'autres alertes se présentent en parlant d'un fichier ou processus inconnu.

Windows defender c'est un antispyware totalement inutile puisque la plupart des antivirus detectent les spywares depuis pas mal de temps. Il n'y a que sur windows 8 que windows defender est un antivirus qui correspond a la fusion de windows defender (l'antispyware) et microsoft security essential (antivirus de microsoft). Donc tu peux le laisser désactivé sans soucis mais tu peux l'activer si tu te sens mieux protegé.

Si avira est fonctionnel et activé c'est peut-être juste un bug du centre de sécurité, tu peux faire ce qui suit pour voir si ca répare le soucis :
Dans le menu Démarrer, taper dans la recherche : cmd.exe
puis clic droit sur le résultat de la recherche et choisir Exécuter en tant qu'administrateur

Une fenêtre d'invite de commande (fenêtre noire) s'ouvrira, taper les commandes suivantes en validant chaque ligne et en répondant O (pour oui) aux demandes de confirmation :

net stop winmgmt
winmgmt /resetrepository
net start iphlpsvc
net start wscsvc

la première commande arrêtera 3 services (Centre de sécurité, Assistance IP et Infratructure de gestion windows)
la 2e dira : espace de stockage WMI réinitialisé
les deux autres redémarrent les services arrêtés par la première (le service infrastructure de gestion windows sera redémarré automatiquement pour la 2e commande).

Fermer la fenêtre d'Invite de commandes et redémarrer le PC si tout s'est bien passé. Ca devrait réparer le centre de sécurité.

ouia ca a fonctionné

sujet résolu?

oui