Gestion Des Archives Infectées .cab Organiser Le Nettoyage, Comment ?

trebly

Bonjour,

Je récupère lors d'un analyse générale (10 To sur 6 disques) près de 150 menaces qui se résument à 4 menaces dont 2 virus et 2 trojan dont 90% sur un seul (Gen:variant.Graftor.10954 qui a peut être 10ans) qui affectent un .cab et répétés dans toutes les copies et sauvegardes constituant l'historique d'un développement.

Les contraintes :

• - impossible de maintenir en quarantaine sans perdre l'historique du développement.
• - le virus n'est que dans le .cab que j'ai constitué moi même (élément d'une installation et donc le nom n'a pas changé en fonction des versions). A l'origine il devait figurer dans un des éléments mais cet élément à du être détruit, et je ne sais plus lequel. Les archives sont inutilisables pour 3 raisons :

  
  

  • a- en quarantaine
  • b- élément évidemment non chargeable donc l'appli est en l'état non ré-installable
  • c- l'élément infecté est inconnu donc non récupérable en version non infectée.

Plusieurs questions se posent

1. - Comment connaitre le contenu des .cab
2. - comment savoir quel élément dans le .cab est infecté
3. - Comment désinfecter (si possible l'élément)
4. - Comment reconstituer le .cab et le remettre à sa place

Evidemment je détaille une question qui pourrait se formuler de la manière suivante :

- Comment remplacer dans une archive infectée mise en quarantaine un élément par l'élément sain ?

Question subsidiaire :

Sachant que 140 archives sont infectées dont 20 différentes (versions), comment automatiser le nettoyage.

Note : Les précédents soft anti-virus n'ont pas du voir l'infection dans le .cab et aboutir, à mon insu, à la suppression de l’élément infecté dans les sources et bibliothèques d'origine.

Enfin j'ai mémoire mais je n'ai pas trouvé encore le mode d'exécution, de la possibilité d'une exécution encapsulée sur une archive (protected sandbox) d'une extraction (qui demande donc d'exécuter le soft d'archivage sur l'élément infecté), puis d'une recherche d'infection dans le résultat d'extraction. L'automatisation du processus en déplaçant le .cab vers cette zone protégée depuis la quarantaine, le remplacement par un fichier sain, le tout suivi d'une remise en place d'origine répondrait à la question. Pour l'instant je ne sais pas "encore" faire.

Merci de votre aide

Cordialement

Trebly

Yann A.

Bonjour Trebly,

Je ne comprend pas votre question pour connaitre le contenu des cab, vu qu'à priori c'est un cave qui appartient à l'application que vous avez créé.

Pour savoir quel fichier est détecté dans ce fichier cab, il faudrait analyser le cab décompressé.

Attention au terme 'désinfecter', si le fichier détecté est considéré comme étant un malware, il n'est pas infecté, il est l'infeciton, il ne peut donc être désinfecter. Ce terme est utilisé de manière générale, mais revient en fait à supprimer ou à déplacer en quarantaine. Bitdefender ne peut donc pas substituer cet élément contre un élément sain, qu'il n'a pas à sa disposition, n'étant pas le créateur de ce fichier (si j'ai bien suivi il appartient à une application qui vous appartient).

Il est possible aussi qu'il s'agisse d'un faux positif, si votre fichier cab n'est pas trop gros, faites moi parvenir le fichier par un système d'hébergement comme demo.ovh.eu ou dl.free.fr afin que nous vérifions s'il s'agit d'une fausse détection ou non.

trebly

Bonjour,

Je ne comprend pas votre question pour connaitre le contenu des cab, vu qu'à priori c'est un cave qui appartient à l'application que vous avez créé.

Exact, ce *.cab appartient à l'application crée. Mais il a une histoire et 20 versions sur presque 10ans. Il comprend à la fois des pièces de code liées à des applications diverses (dll, activex etc...) et des éléments que j'ai écrits. Je suis certain qu'il n'y a pas de malware. Leurs liste et versions changent et je n'ai plus toutes les listes et il me faut réassocier les .cab avec les listes exactes en fonction du contenu (dates et tailles).

Pour savoir quel fichier est détecté dans ce fichier cab, il faudrait analyser le cab décompressé.

C'est bien la manip nécessaire. Pour cela il faut décompresser en toute sécurité : là est la question.

Attention au terme 'désinfecter', si le fichier détecté est considéré comme étant un malware, il n'est pas infecté, il est l'infeciton, il ne peut donc être désinfecter. Ce terme est utilisé de manière générale, mais revient en fait à supprimer ou à déplacer en quarantaine.

Bien d'accord, en l'occurence il s'agit de Gen:variant.Graftor.10954 qui est un virus.

Je dois donc :

• décompresser sans risque de propager le virus
• identifier l'élément porteur du virus
• retrouver le composant sain
• détruire le composant porteur du virus
• ajouter à la liste l'élément correct
• recompresser en .cab
• replacer le .cab à son emplacement d'origine

Autre option :

• décompresser sans risque de propager le virus
• identifier l'élément porteur du virus
• retrouver le composant sain
• replacer les éléments en quarantaine à leur emplacement d'origine et établir leur liste pour lecture par un batch
• avec le gestionnnaire de .cab (i.e. 7_Zip) détruire (batch) le composant porteur du virus (on suppose que c'est toujours le même)
• avec le gestionnnaire de .cab (i.e. 7_Zip) ajouter (batch) à la liste l'élément correct

Bitdefender ne peut donc pas substituer cet élément contre un élément sain, qu'il n'a pas à sa disposition, n'étant pas le créateur de ce fichier (si j'ai bien suivi il appartient à une application qui vous appartient).

Bien d'accord

Il est possible aussi qu'il s'agisse d'un faux positif, si votre fichier cab n'est pas trop gros, faites moi parvenir le fichier par un système d'hébergement comme demo.ovh.eu ou dl.free.fr afin que nous vérifions s'il s'agit d'une fausse détection ou non.

Je ne pense pas que compte tenu de l'identification faite il puisse s'agir d'un faux positif. Par contre comme il n'est trouvé que dans le .cab le composant porteur isolé a du être détruit ou mis précédemment dans une quarantaine dont je n'ai plus trace. Cela peut poser un problème s'il y a plusieurs versions du composant et/ou s'il est ancien (i.e. des activex Microsoft comportant des failles de sécurité supposés avoir été remplacé par d'autres plus solides).

Evidemment "l'autre option" décrite est la solution. Mais elle pose le problème de la manipulation par 7Zip de .cab contenant un élément porteur de virus. je ne sais pas faire

Notes :

1- L'élaboration du batch nécessite d'établir la liste sous forme de fichier texte délimité des emplacements en quarantaine et d'origine (120 environ),

2- de manipuler ces éléments par batch, ou bien de tout replacer avec Bitdefender avant de lancer le batch :

je ne sais pas faire en sécurité

Merci d'avance

Cordialement

Trebly

Yann A.

Bonjour Trebly,

Je pense que vous vous posez trop de questions et que vous oubliez que s'il y a un virus dans un élément de ce cab, il ne s'activera uniquement si vous l'exécutez et non si vous effectuez des manipulations de copie ou de compression.

Il est tout à fait possible qu'il s'agisse d'un faux positif, cela reste à déterminer et seul notre labo pourra en être sur. Nous avons besoin que vous nous fassiez parvenir ce fichier (ou le cab) par un système d'hébergement de fichier. Et pour rappel, ce qui est en quarantaine peut être restaurer à son emplacement d'origine. Compressez le fichier au format zip, choisissez de protéger l'archive par le mot de passe suivant : infected

Merci.

trebly

Je pense que vous vous posez trop de questions et que vous oubliez que s'il y a un virus dans un élément de ce cab, il ne s'activera uniquement si vous l'exécutez et non si vous effectuez des manipulations de copie ou de compression.

Merci en cela de répondre à ma question, je ne crois pas trop m'en poser. Non spé######te des virus, mais devant protéger des outils de développement, je croyais me souvenir que certains virus étaient capables d'exploiter des failles d'outils de compression-décompression pour se coller ça et là. Ce n'est pas le cas, très bien.

Il est tout à fait possible qu'il s'agisse d'un faux positif, cela reste à déterminer et seul notre labo pourra en être sur. Nous avons besoin que vous nous fassiez parvenir ce fichier (ou le cab) par un système d'hébergement de fichier.

Je comprend pourquoi, j'ai donc créé un partage qui comprend le .cab mais aussi le .lst associé à setup.exe et un répertoire comprenant les contenus créés au titre de la maintenance et qui ne comprend pas de virus mais en principe les fichiers du .cab à jour (origine 2005 mise à jour 2009).

télécharger : http://ovh.to/1ATQT3 Accès direct ZIP file SPAC_Extend1

Et pour rappel, ce qui est en quarantaine peut être restaurer à son emplacement d'origine.

Oui, bien sur et ma question est (était) :

- comment établir la liste des fichiers restaurés ou de la quarantaine. Je n'ai pas trouvé dans la doc comment accéder à la liste.

- par ailleurs je n'ai pas trouvé comment copier (presse papier) le nom (complet) de fichier en quarantaine ce qui pose 2 problèmes :

1. Nécessité de re-saisir la liste des fichiers en quarantaine, ligne à ligne (la zone d'affichage du nom de fichier n'est pas copiable)
2. Resaisir à nouveau , ligne à ligne, pour exclure les fichiers de l'analyse, s'il y a lieu

Outre le pensum, les risques d'erreur de frappe sont considérables.

La question maitre que je me pose est "comment procéder" de manière efficace et fiable pour exécuter, comme vous me le laissez supposer être la bonne et seule voie la procédure "Autre option", à savoir :

1. décompresser sans risque de propager le virus : répondu : OK
   
2. identifier l'élément porteur du virus : combiner votre analyse et la liste ansi que l'analyse des fichiers individuels que j'ai en archives (non analysées) -> en cours
   
3. retrouver le composant sain -> à la suite
   
4. replacer les éléments en quarantaine à leur emplacement d'origine et établir leur liste pour lecture par un batch : je ne sais pas établir la liste = question pendante
   
5. avec le gestionnnaire de .cab (i.e. 7_Zip) détruire (batch) le composant porteur du virus (on suppose que c'est toujours le même) : je sais faire : batch 7Zip
   
6. avec le gestionnnaire de .cab (i.e. 7_Zip) ajouter (batch) à la liste l'élément correct : recréer les .cab par batch, je sais faire
   

On a bien avancé. Merci

Trebly

Yann A.

Bonjour Trebly,

Dans les évènements (puis dans Antivirus), vous avez normalement accès à tout l'historique concernant les actions entreprises par l'antivirus, en protection ou en analyse. Les fichiers qui sont en quarantaine ne sont pas directement accessibles, ils peuvent être uniquement visibles depuis l'interface de Bitdefender, depuis l'onglet Quarantaine, depuis lequel ils peuvent être restaurés.

Vous pouvez exclure de l'analyse votre fichier ou d'autres fichiers qui poseraient problème à l'antivirus, en cas de faux positif, depuis Paramètres/Antivirus/Exclusion.

Vous pouvez voir quel élément est infecté dans ce cab en consultant le journal d'analyse. Je viens d'analyser le cab que vous m'avez transmis et je vois ceci dans le journal d'analyse:

Spac_Extend1Setup\SPAC_Extend1Setup.CAB=>SPAC_Extend1Setup.exe" threatType="0" threatName="Gen:Variant.Graftor.10954"

C'est donc le fichier SPAC_EXtend1Setup.exe qui est détecté.

Le virus ne peut se propager parce que vous le compresser ou parce que vous le copier. Tant que vous ne l'ouvrez ou vous ne l'exécutez pas, il n'y a pas de risque.

Je fais suivre le fichier au labo pour que l'ensemble des fichiers contenus dans l'archive soient analysés, afin de déterminer s'il s'agit d'un faux positif ou non, et je vous recontacte ensuite.

Si le fichier est infecté, vous n'aurez d'autre moyen de récupérer une version saine de ce fichier depuis votre application.

Yann A.

Bonjour Trebly,

Le fichier a été analysé par le labo, il s'agissait bien d'un faux positif.

La détection sera retirée lors d'une prochaine mise à jour automatique.

trebly

Bonsoir,

C'est une bonne nouvelle, mais il y a un sérieux problème.

Le fichier d'origine détecté comme porteur du virus est "SPAC_EXtend1.cab" et il n'y a pas et jamais eu de fichier "SPAC_EXtend1Setup.exe" mais "setup.exe" qui n'est jamais apparu jusqu'à présent comme porteur de virus.

Pour complément d'enquête ci joint un lien vers un zip de "SPAC_EXtend1.cab" tout seul : http://ovh.to/AHakFHi Lien vers SPAC_EXtend1.cab.zip

J'ai des compléments mineurs à vous demander, nous verrons après.

Cordialement

Trebly

Yann A.

Bonjour Trebly,

Le nom devant setup est le nom du fichier cab rajouté par BD dans le journal d'analyse, mais il s'agit du même fichier, setup.exe qui ne devrait plus être détecté à l'heure à laquelle je vous écris.

La fausse détection est corrigée, le problème est donc réglé, je ne comprends pas de quels compléments vous souhaitez me parler ? Je ne peux pas passer trop de temps sur ce simple problème de fausse détection, ce type de problème est très courant avec les antivirus, il suffit alors généralement de remonter le fichier concerné à l'éditeur pour qu'il ne soit plus détecté, rien d'autre.

trebly

Bonjour,

Mea Culpa, sans incidence (fichier du lien OK), dans le dernier envoi j'avais écrit :

Le fichier d'origine détecté comme porteur du virus est "SPAC_EXtend1.cab" et il n'y a pas et jamais eu de fichier "SPAC_EXtend1Setup.exe" mais "setup.exe" qui n'est jamais apparu jusqu'à présent comme porteur de virus.

Pour complément d'enquête ci joint un lien vers un zip de "SPAC_EXtend1.cab" tout seul : http://ovh.to/AHakFHi Lien vers SPAC_EXtend1.cab.zip

J'aurais du écrire, Il fallait lire :

Le fichier d'origine détecté comme porteur du virus est "SPAC_EXtend1Setup.cab" et il n'y a pas et jamais eu de fichier "SPAC_EXtend1Setup.exe" mais "setup.exe" qui n'est jamais apparu jusqu'à présent comme porteur de virus.

Pour complément d'enquête ci joint un lien vers un zip de "SPAC_EXtend1Setup.cab" tout seul : http://ovh.to/AHakFHi Lien vers SPAC_EXtend1Setup.cab.zip

D'autre part, je savais à la lecture (à l'oeil) de la liste que c'était dans le SPAC_extend1setup.cab mais pas le nom du fichier composant concerné (setup.exe).

Je suis par ailleurs désolé mais je n'ai rien compris à votre explication concernant les noms de fichiers :

- rappel : il y a une fichier .cab concerné "vu infecté", son nom est "SPAC_extend1setup.cab". Ce .cab comprend lui-même une liste de fichiers (mais pas de setup.exe), on peut penser que c'est un élément du .cab qui est infecté. Lequel ?

Vous me donnez un extrait d'analyse à laquelle je n'ai pas accès. Je crois en pouvoir (je n'ai pas trouvé de doc) en comprendre le sens, mais il n'existe pas de fichier "SPAC_Extend1Setup.exe" dans le "SPAC_Extend1Setup.cab", alors comment lire ?

Spac_Extend1Setup\SPAC_Extend1Setup.CAB=>SPAC_Extend1Setup.exe" threatType="0" threatName="Gen:Variant.Graftor.10954"

J'ai écrit :

J'ai des compléments mineurs à vous demander, nous verrons après.

Parce que la question d'origine :

Gestion Des Archives Infectées .cab Organiser Le Nettoyage, Comment ?

reste presqu'entière, quoique le problème se pose pour une trentaine d'infections et non plus 150, en effet, le fait que l'infection se soit avérée un faux positif n'est que secondaire quant au fond, quoi qu'apportant une solution partielle en faisant donc disparaître de l'analyse une grande partie des infections (avec chance, presque par hasard).

Compléments mineurs parce que je pense qu'il s'agit probablement d'un problème de manip, quoique je n'ai pas trouvé dans mes écrans toutes les commandes que vous m'indiquez et qui sont dans la doc :

Pour la doc "Journal d'analyse", la doc dit :

1. Ouvrez la fenêtre de la Bitdefender.
2. Cliquez sur le bouton Événements de la barre d'outils supérieure.
3. Dans la fenêtre Aperçu des événements, sélectionnez Antivirus.
4. Dans la fenêtre Événements Antivirus, sélectionnez l'onglet Analyse. Cette section vous permet de trouver tous les événements d'analyse antimalware, y compris les menaces détectées par l'analyse à l'accès, les analyses lancées par un utilisateur et les modifications d'état pour les analyses automatiques.
5. Dans la liste des événements, vous pouvez consulter les analyses ayant été réalisées récemment.Cliquez sur un événement pour afficher des informations à son sujet.
6. Pour ouvrir le journal d’analyse, cliquez sur Journal.

L'écran en copie jointe ne comprend pas la commande "Journal" !!!

Voici mes questions

(qui n'ont rien à voir avec le faux positif en soi, faux positif qui n'est pas non plus à l'origine du problème posé, sauf quant au nombre d'infection détectées) :

• 
  En réponse à ma question :

  
  

  - par ailleurs je n'ai pas trouvé comment copier (presse papier) le nom (complet) d'un (pas "de") fichier en quarantaine ce qui pose 2 problèmes ...

  
  Vous ne me répondez pas du tout.

  
  (En effet le nom s'affiche dans une boite pop, et n'est pas copiable, si l'on a besoin de faire une liste pour vérification, il faut, seule solution faible que j'ai trouvée :

  
  

  1. d'abord - cf. fichier joint 2 - faire à la volée une copie d'écran,
  2. puis afficher dans un éditeur d'image et sélectionner la zone,
  3. puis sauvegarder sous forme de fichier d'image
  4. puis saisir à la main et sans erreur le contenu de l'image capturée...

simplissime et "peu coûteux" en temps, mais seule solution fiable. Merci de votre confirmation

En réponse à ma question :

- comment établir la liste des fichiers restaurés ou de la quarantaine. Je n'ai pas trouvé dans la doc comment accéder à la liste.

Vous me dites, en résumé :

• il est impossible avec BD d'établir la liste des fichiers de la quarantaine, ni de récupérer leur nom par copier-coller.
• impossible avec BD de savoir quels fichiers ont restaurés sans recopier à la main dans une liste manuelle les noms apparaissant à l'écran.

Il semble qu'une restauration de fichier estimé infecté soit un non évènement

Pour gérer correctement cette infection, s'il ne s'était pas agit d'un faux positif, j'aurais donc eu comme pensum de recopier à la main environ 12000 caractères (soit 6 pages pleines) constituant des noms de fichier, et de créer un fichier de suivi dans lequel j'aurai noté les événements les concernant. D'accord ?

Je n'arrive pas toujours à comprendre le sens exact de vos réponses :

Vous me dites

Dans les évènements (puis dans Antivirus), vous avez normalement accès à tout l'historique concernant les actions entreprises par l'antivirus, en protection ou en analyse.

.

• Que veut dire "normalement accès" ?
• Dans aucune aide, je n'ai trouvé de description de la nature des élément constituant "tout l'historique". Est-ce décrit ?, si ce n'est pas le cas je ne saurai pas ce qu'est "tout", sauf ce que j'y vois.
• ? Je n'ai trouvé aucun élément concernant les actions entreprises, où sont-ils ?

Oui j'ai vu la liste laconique (scrollable uniquement avec la molette de la souris) et on obtient seulement par click sur un élément un affichage (en gris) en pied de liste d'un détail donnant le nom du fichier à l'origine de l'évènement (pas le composant dans le cas du .cab - en l'occurence le fichier setup.exe) .

Mais, ne serait-ce que ce nom de fichier principal (le .cab), cet affichage ne le donne uniquement qu'en lecture à l'oeil ce qui, à ce stade (d'accès au données) nécessite la re-saisie complète du nom si on veut l'introduire dans le nom de fichier dans un fichier texte (batch) et/ou simplement s'en servir pour le coller en liste d'exclusion d'analyse.

Question :

Existe-t-il une liste sous forme de fichier accessible avec au moins une fonction copier-coller ?

Le mieux serait évidemment un fichier dans un format classique ("délimité" par exemple) permettant l'intégration du contenu dans un traitement automatisé.

Vous pouvez voir quel élément est infecté dans ce cab en consultant le journal d'analyse.

- Ça je n'ai absolument pas vu comment on pouvait avoir "accès" à ce fichier (c'est dans mon language "ouvrir le fichier avec un format et pouvoir l'inclure dans un traitement" (à la limite sélectionnner dans une liste - une "grid" - et obtenir une liste copiable par copier-coller).

Oui, ma question de base est (était), ou plutot "pouvait se décomposer" en :

• - comment garder trace des infections et des solutions pour le cas de ce qui n'est pas traité de manière automatique
• - comment gérer la liste des fichiers restaurés et/ou de la quarantaine.
• - comment accéder aux données concernant les événements (en vue de les gérer).

Je n'ai pas trouvé dans la doc ni par nos échanges, comment accéder aux données des listes, il semble bien que la seule solution soit la mémoire visuelle ? ou des captures d'écran suivies des recopies à la main pour (re)constitution d'un vrai fichier des gestion.

Outre le pensum gigantesque, totalement infaisable économiquement, les risques d'erreur de frappe (sans contrôle autre que visuel) sont considérables.

Dans le cas d'une infection de même nature répétée de très nombreuses fois dans des fichiers compressés, la question principale non résolue et que je reste à me poser est "comment procéder" de manière efficace et fiable pour exécuter la bonne et seule procédure qui me semble possible, à savoir :

1. décompresser le fichier compressé (sans risque de propager le virus)
2. identifier l'élément porteur du virus : combiner l'analyse du fichier compressé et la liste des fichiers individuels ainsi que leur analyse
3. retrouver le composant sain
4. replacer les éléments en quarantaine à leur emplacement d'origine et établir leur liste pour lecture par un batch
5. avec le gestionnnaire de .cab (i.e. 7_Zip) détruire (batch) le composant porteur du virus (on suppose que c'est toujours le même)
6. avec le gestionnnaire de .cab (i.e. 7_Zip) ajouter (batch) à la liste l'élément correct

En conclusion :

au minimum, on doit considérer :

• qu'il y a une anomalie ou incohérence : "absence d'accès au fichier journal" dans la version du produit que j'ai
• qu'il y un problème de conception du produit ou une limitation qui rend impossible dans tous les cas la copie (texte copier) des noms de fichier apparaissant dans des listes dans tout l'interface.

  
  Ce fait rend l'outil BD très difficilement utilisable dès que le nombre de fichiers gérés devient un tant soit peu important (au delà d'un usage domestique très limité).

J'espère être passé à coté de quelque chose ou bien qu'il y a une anomalie sur mon installation.

Cordialement

Trebly

Roby Net

Le problème de faux positif est réglé, donc arrêter de poser des questions qui semblent plus "existentielles" qu'autre chose, ou alors demander un suivi très spécifique à Bitdefender moyennant finances.

trebly

Bonjour,

Première question très existentielle, posée précédemment :

- Est-il possible avec BD à partir d'une liste quelqconque affichée par BD de copier pour copier (en vue de coller) :

• Les noms de fichiers apparaissant comme infectés
• Les noms de fichiers mis en quarantaine

Merci de me répondre à cette question "existentielle"

Trebly

Yann A.

Bonjour Trebly,

La détection concatène le nom du fichier cab (SPAC_extend1) au nom du fichier inclut dans ce fichier cab, qui a été détecté, setup.exe. Ce qui donne SPAC_extend1setup.exe

Il y a bien la possibilité d'afficher le journal depuis les évènements de l'antivirus, mais quand une analyse a eu lieu. Car dit journal d'analyse, dit d'abord analyse, à la demande. Il ne s'agit pas ici des alertes de la protection en temps réel, pour lesquels toutes les informations apparaissent dans les évènements.

Il n'y a pas de possibilité de les voir ailleurs sauf dans le rapport de sécurité hebdomadaire qui est produit par Bitdefender (un popup apparait dans la semaine pour vous indiquer la disponibilité du rapport de sécurité.

Les évènements sont stockés dans une base de donnée et non sous forme de fichier log (texte).

A la fin d'une analyse à la demande (système, rapide) vous pouvez aussi afficher le journal et le sauvegarder sous forme de fichier xml. D'ailleurs les journaux d'analyse sont automatiquement sauvegardés sous forme de fichier xml, vous pouvez les trouver à cet emplacement du disque (il faut afficher les fichiers cachés) : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\ (nom de dossier composé de lettres et de chiffres). Vous y trouverez les journaux des analyses que vous avez effectué (en xml).

Les fichiers mis en quarantaine apparaissent dans la console, il n'y pas d'autre endroit pour les consulter.

trebly

Bonsoir,

1- Logs au format XML

Le format XML me va très bien. Je n'ai pas encore été voir le contenu. Est-il décrit quelque part.

Je devrai trouver je pense, dans le XML de log,

les noms de fichiers pour lesquels un infection a été détectée

la nature du traitement appliqué

le type d'infection

Donc globalement toutes données figurant dans la liste donnée dans l'interface.

Evidemment si ces données me semblaient codées ou non interprétables je me retournerai à nouveau vers vous sur ce sujet.

2- Fichiers en quarantaine

Vous me confirmez donc qu'il est impossible d'une manière quelconque autre qu'en recopiant (des dizaines d"heures de travail) les écrans et e, refaisant saisir et vérifier (comme

trebly

Bonsoir,

1- Logs au format XML

Le format XML me va très bien. J'ai été voir le contenu. Est-il décrit quelque part ?

Je trouve je pense, dans le XML de log,

• les noms de fichiers pour lesquels un infection a été détectée
• la nature du traitement appliqué
• le type d'infection

Donc globalement toutes données figurant dans la liste de données affichées dans l'interface et utiles à une gestion

Evidemment ces données sont pour une part codées et sont donc non interprétables, il me faudrait donc les informations de base concernant les différents items (nature de menace, traitement etc...).

2- Fichiers en quarantaine

Je note bien que par vos réponses évasives ou leur absence, vous me confirmez donc qu'il est impossible d'une manière quelconque avec BD autre qu'en recopiant (des dizaines d'heures de travail) les écrans et en refaisant saisir et vérifier (comme au début des années 70 du temps des cartes perforées) les contenus des quarantaines.

La vérification des incidences d'exploitation des opérations de mise en quarantaine et leurs conséquences est une opération essentielle des gestion d'un système. Elles doivent être suivies et gérées (la base étant l'établissement d'une liste et de noter les opérations faites), en occurrence le seul moyen pour atteindre ce but est la lecture d'écrans avec une copie préalable (sinon aucune vérification n'est possible).

Vous me dites, en réponse à ma question concernant le copier-coller des informations que les informations s' "affichent". Vous tentez d'esquiver la question, de l'occulter. En effet je peux aussi dire des données de l'interface internet des navigateur mais aussi des pages de propriétés de l'exploration de fichier Windows que les données s'affichent, mais la elles sont toujours copiables (marquer-copier-collé), dans le cas de BD il faut re-saisir (cf l'écran en copie de mon envoi précédent, essayez de reconstituer le nom de fichier...).

3- Journal d'analyse et rapports

Toujours en en répondant pas aux questions posées, vous me confirmez que l'aide citée est fausse et que la consultation du journal s'effectue par une procédure non décrite.

Comme j'ai fait une analyse générale, demandée manuellement, je devrais donc pouvoir consulter ces résultats, où je suppose que les rapports hebdomadaires, mais peut-être une fois l'analyse terminée (il a fallu trois jours de manière continue) peut être revue.

J'ai eu beau chercher, depuis un long moment, je ne l'ai pas trouvée.Je ne vois dans l'interface aucune rubrique (bouton de commande) "consultation des rapports"

4- Pb du nom de fichier SpacExtend1Setup.cab et nom "setup.exe"

Vous m'écrivez :

La détection concatène le nom du fichier cab (SPAC_extend1) au nom du fichier inclut dans ce fichier cab, qui a été détecté, setup.exe. Ce qui donne SPAC_extend1setup.exe

Malheureusement comme je vous l'ai dit précédemment il n'y a jamais eu de fichier "SPAC_extend1.cab" mais "SPAC_extend1Setup.cab", "SPAC_Extend1" est le nom de l'application qui n’apparaît nulle part seul. Je continue à ne pas comprendre.

Conclusion

Par vos réponses vous me confirmez les points suivants :

• L'interface ne permet jamais de copier dans le presse papier les données, si l'utilisateur veut s'en servir (base d'analyse manuelle de son système, contrôle après mise en quarantaine, contrôle après restauration de quarantaine, liste des actions de mise en quarantaine etc. etc. il doit faire des copies d'écran et re-saisir les données
• (et donc vérifier) le résultat. Contrôler une analyse c'est pour moi huit jours de travail...
• Comme l'interface ne permet pas de copier les données, la fonction "coller dans les exclusions" est totalement inutile (il faut tout de même le faire...) puisque l'utilisateur doit recopier "sans erreur, ni possibilité de se vérifier" les noms de fichiers lus à l'écran et précédemment nécessairement recopiés dans la liste des événements. (or mes noms de fichiers ne sont pas simple comme vous avez pu constater)

Il va donc me falloir pour les 120 faux positifs :

1. - établir manuellement la liste des noms de 120 fichier faux positifs dans un fichier excel
2. - contrôler un par un leur place d'origine (le fichier a son nom présent mais est vide "non accessible")
3. - effectuer la restauration un par un et contrôler que l'opération s'est bien effectuée

Prendre un par un les autres fichiers "infectés" (une trentaine) :

1. Etablir manuellement par recopie leur liste ...
2. Traiter (ça il est impossible de simplifier) chaque cas. Mais en notant sur le fichier manuel (Excel) les contrôles et traitements effectués.

Probablement, par la suite écrire un soft pour faciliter les "opérations de nettoyage, en particulier d'archives" utilisant les logs (xml) de BD.

En attendant, nous sommes pas loin du but, merci de me répondre à ces dernières questions

Trebly

Nota : Editeur franchement débile, à la suite d'une faute de frappe mon message a été sauvé, je trouve un bouton edit (comme sur de nombreux sites l'auteur peut éditer son document me dis-je... en général tant qu'il n'a pas été lu au moins, et sinon, avec indication de la nature de la modif et bien non quand je veux envoyer j'obtient un message d'erreur : vous n'avez pas le droit d'éditer le fichier... Vous avez une flèche sur l'autoroute et elle vous conduit vers un peloton de gendarmerie qui vous verbalise pour avoir roulé à contre sens....

Evidemment j'ai recopié pour recréer un message.. mais quel jeu de con.

Roby Net

"Il va donc me falloir pour les 120 faux positifs :

- établir manuellement la liste des noms de 120 fichier faux positifs dans un fichier excel

- contrôler un par un leur place d'origine (le fichier a son nom présent mais est vide "non accessible")

- effectuer la restauration un par un et contrôler que l'opération s'est bien effectuée

Prendre un par un les autres fichiers "infectés" (une trentaine) :

Etablir manuellement par recopie leur liste ...

Traiter (ça il est impossible de simplifier) chaque cas. Mais en notant sur le fichier manuel (Excel) les contrôles et traitements effectués.

Probablement, par la suite écrire un soft pour faciliter les "opérations de nettoyage, en particulier d'archives" utilisant les logs (xml) de BD.

En attendant, nous sommes pas loin du but, merci de me répondre à ces dernières questions"

Réponse d'un non salarié de Bitdefender, fais comme tu veux et barre toi, va à la concurrence pour voir (taux de faux positifs et service d'assistance par bénévoles... comme moi).

FiL

Bonjour

Tout ça pour un malheureux faux positif? C'est hallucinant et ça ressemble à un gag.

Bref... passons

Bonne journée à tous, avec ou sans faux positif

@++

Yann A.

Bonjour Trebly,

Je note vos remarques, ok.

Mais je pense que vous oubliez une chose, c'est cet antivirus est un antivirus destiné aux particuliers.

Et je ne pense pas que vous ayez eu 120 faux positfs en même temps, à la même seconde ? Avec l'analyse à l'accès ? Non je ne pense, car cela voudrait dire que vous avez tenter d'ouvrir ces 120 fichiers en quelques minutes !

Donc vous pouvez les traiter un par un, tout simplement, quand l'alerte survient. Ou si les détections ont eu lieu depuis l'analyse à la demande, consulter le rapport !

De plus je n'ai jamais vu quelqu'un sur ce forum ou même directement à notre assistance qui a eu 120 faux-positifs à un moment t !!! Vous êtes une exception si vous avez eu 120 faux positifs différents au même moment.

Si vous avez le même fichier à 120 endroits ou fichiers archives différents, il est normal qu'il se répète et vous avez le détail de la détection dans le rapport d'analyse, il est donc facile de voir qu'il s'agit du même fichier en définitive.

Et je le répète, si c'est pendant une analyse qu'il y a ces faux posififs, vous avez le rapport d'analyse à la fin qui est disponible dans lequel vous pouvez avoir la liste de toutes les détections, vous pouvez en copier les résultats !

Oui on ne peut pas copier-coller les informations depuis le console, que voulez-vous que je vous dise de plus ?

Pour le reste, je pense qu'il n'est pas utile de continuer cette discussion plus longtemps sur le produit, il ne correspondra jamais parfaitement à tout ce que vous souhaitez. Jamais une interface ou une ergonomie ne pourra satisfaire tous les clients, car ils n'ont pas les mêmes usages et les mêmes besoins. Un antivirus est conçu pour le plus grand nombre, il se veut le plus simple possible. Et cette version est destinée aux particuliers.

Concernant le nom du fichier détecté, SPAC_Extend1Setup. Je me suis mal fait comprendre, il est inutile de tourner autour de cette histoire et de rester bloqué là dessus ! Dans le fichier que vous avez envoyé, SPAC_Extend1Setup.cab, un fichier nommé SPAC_Extend1Setup.exe a été détecté. C'est le faux positif. Et le fait qu'il soit dans 120 archives différentes, ne change rien. S'il s'agit d'un faux positif, nous retirons la détection du fichier concerné, cela règle donc le cas des 120 fausses détections (du même fichier).

Nous alllons arrêter la discussion, je pense que cela n'est pas nécessaire. Je pense vous avoir donner les informations que vous souhaitiez, pour le reste, si le produit ne vous convient pas comme il est, vous en avez le droit, mais je ne peux rien faire à mon niveau.

Ekimoz

Chacun aura pu apprécier ici la disponibilité De Yann et de quelques autres forumeurs bien intentionnés.

La patience et la diplomatie sont des valeurs apparemment innées chez Yann, c'est une occasion pour le remercier une nouvelle fois de son implication.

trebly

Bonsoir,

Bien sur, merci Yann, même si nous avons eu du mal a nous comprendre, et qu'il reste et restera des questions en suspend.

Pour conclure je voudrais tout de même répondre à vos derniers éléments de réponse.

1- Vous me dites :

Mais je pense que vous oubliez une chose, c'est cet antivirus est un antivirus destiné aux particuliers.

C'est faux, la présentation du produit indique "particuliers" "indépendants et petites entreprises" en distinguant deux catégories de "client" et de "produit" en les distinguant des "grandes entreprises".

Si je demandais des fonctions complémentaires, je comprendrais votre réaction, mais ce n'est pas le cas.

Tout le problème repose in fine, comme je l'explique, sur la capacité à copier le contenu affiché.

En effet la capacité de copier les informations affichées dans le presse papier est quasi générale, c'est l'impossibilité qui est l'exception. Il s'agit d'un seul paramètre Y/N pour l'affichage d'un texte.

Ayant eu la responsabilité de développements importants, je considère qu'il s'agit d'une "incongruité", d'une négligence lourde de conséquences.

Ma position n'est pas par principe de râler, mais au contraire de tenir des propos constructifs. Sur ce point c'est un défaut très gênant et je le signale.

2- Vous me dites

Et je ne pense pas que vous ayez eu 120 faux positifs en même temps, à la même seconde ? Avec l'analyse à l'accès ? Non je ne pense, car cela voudrait dire que vous avez tenter d'ouvrir ces 120 fichiers en quelques minutes !

Non, j'ai bien précisé que j'avais lancé une analyse générale "manuelle" "à la demande" (du "système") et qu'elle avait duré 3 jours...

Le morceau de soft "Spac_extend1" fait partie de plusieurs applications (du VB ****** pour MS Office) et comme j'ai précisé à été maintenu depuis 8 ans. Il y a donc de nombreuses archives (mes disques d'archives étaient en ligne lors de l'analyse) et une douzaine de versions... ce qui explique les 120 détections.

Considérées comme une menace toutes les occurrences ont été mises en quarantaine.

3- Vous me dites

Donc vous pouvez les traiter un par un, tout simplement, quand l'alerte survient. Ou si les détections ont eu lieu depuis l'analyse à la demande, consulter le rapport !

Malheureusement je n'ai jamais vu écrit le mot "Rapport" et c'est bien ce que je demande, comment suivant un journal d'analyse est-ce que je peux consulter les "RAPPORTS".

4- Vous me dites

Si vous avez le même fichier à 120 endroits ou fichiers archives différents, il est normal qu'il se répète et vous avez le détail de la détection dans le rapport d'analyse, il est donc facile de voir qu'il s'agit du même fichier en définitive.

Eh! bien non, comme je l'ai précisé dès le départ, il y a 120 emplacement, un même nom de fichier (comme un fichier système Windows, ce sont des fichiers - dll, ocx, drivers d'extension diverses etc.. à placer dans un répertoire système) mais différentes versions. Le problème est donc de restaurer au bon endroit chaque fichier sinon les applications ne peuvent plus tourner. En définitive c'est le même nom mais pas le même fichier.

5- Vous me dites

Et je le répète, si c'est pendant une analyse qu'il y a ces faux positifs, vous avez le rapport d'analyse à la fin qui est disponible dans lequel vous pouvez avoir la liste de toutes les détections, vous pouvez en copier les résultats !

C'est la question que je pose depuis le début et à laquelle, personne ne m'a donné de réponse.

• Où se trouve la liste des journaux ?
• Comment accède-t-on à ces journaux (hors log xml) ?

Si vous appelez journal, la liste des événements (cf ma copie d'écran, jointe précédemment), là malheuresuement les résultats ne sont pas copiables.

Pour les log xml je demande une explication des codes utilisés, ceci pour pouvoir les interpréter, et malheureusement je n'ai pas de réponse. Pas nécessairement de votre part, mais ces logs étant fort intéressants quand on se pose des problème de gestion de sécurité.

6- Vous me dites

Pour le reste, je pense qu'il n'est pas utile de continuer cette discussion plus longtemps sur le produit, il ne correspondra jamais parfaitement à tout ce que vous souhaitez. Jamais une interface ou une ergonomie ne pourra satisfaire tous les clients, car ils n'ont pas les mêmes usages et les mêmes besoins. Un antivirus est conçu pour le plus grand nombre, il se veut le plus simple possible. Et cette version est destinée aux particuliers.

il ne correspondra jamais parfaitement à tout ce que vous souhaitez

Tout c'est quoi ?

Pouvoir récupérer dans le presse papier le nom d'un fichier en anomalie (et en faire ce que l'on juge utile)Pouvoir avoir accès à la liste des fichiers en quarantaine, s'en faire une check list pour pouvoir la recopier et contrôler que les restaurations (parfois nécessaires) puis les exclusions (tous ne sont pas de faux positifs).

Et c'est tout.

Jamais une interface ou une ergonomie ne pourra satisfaire tous les clients, car ils n'ont pas les mêmes usages et les mêmes besoins.

Oui, c'est toujours la bonne excuse pour ne pas reconnaître des défauts évidents. En l'occurence "tous", imaginez Windows sans que l'on puisse avoir accès (copier-coller) aux noms de fichiers... C'est vrai il y a des gens qui n'ont jamais ouvert l'explorateur Windows.

Il est vrai aussi que Android ne dispose pas de fonction copier-coller qui fonctionne dans à peu près tous les contextes.

Bien sur que la fonction copier coller est essentielle dans presque tous les interfaces qui manipulent des noms de fichier, des identifiants en général, des données, des noms de fichiers...

Les produits ne permettent pas d'accéder facilement aux bases de données, et les éditeurs considèrent les plus souvent que les utilisateurs pourront manipuler avec copier-coller. Dans le cas de Windows, les utilisateurs avertis peuvent toujours utiliser le mode commande et des batch pour générer des listes de fichiers et bien plus, et les traiter ensuite par batch ou par programme ou simplement avec un tableur.

Un antivirus est conçu pour le plus grand nombre, il se veut le plus simple possible.

Malheureusement permettre de copier-coller seule vraie question ne complique en rien l'interface.

<quote> Et cette version est destinée aux particuliers.</quote>

C'est comme je vous l'ai dit plus haut une contre-vérité.

Sinon Bitdefender est un produit pour particulier ayant des données très simple ou pour de grandes entreprise et n'est jamais destiné à des professions indépendantes, des développeurs open source, des petites entreprises...

Merci de me le faire confirmer officiellement par BitDefender, cela me permettra de déconseiller le produit à mes clients sans me faire taxer d'impartialité.

7- Vous me dites

<quote> Dans le fichier que vous avez envoyé, SPAC_Extend1Setup.cab, un fichier nommé SPAC_Extend1Setup.exe a été détecté. C'est le faux positif.</quote>

Je pensais que "SPAC_Extend1Setup.exe" n'avais jamais existé. Il n'aurait jamais du être dans le .cab et ne figure pas dans les dernières versions. Mea culpa, je ne l'avais pas vu. Ce fichier est une version dérivée du programme Setup.exe de Microsoft Visual Studio 2003, son rôle étant de décompresser le .cab et d'appliquer les setup.

J'avais vérifié, mais, par erreur de manipulation, pas sur la version que je vous avais fait parvenir. C'est en re-décompressant les fichiers téléchargés .cab que je l'ai vu... apparaître. Vraiment désolé.

La mise à jour du faux positif a restauré les fichiers et les a supprimés de la liste. Mais je me demande, que serait-il advenu si le disque d'archives n'avait pas été joignable... ?

Conclusion

Je ne veux pas être un donneur de leçon, et je suis simplement quelqu'un dont le métier a été et reste (je développe de l'open source) l'amélioration des IHM (interface homme machine) et de faire la chasse aux anomalies d'ergonomie.

Déformation professionnelle, peut-être, mais quand je vois des problèmes que je n'aurais pas toléré dans mes équipes, je cherche à faire comprendre, dans un but d'amélioration, les anomalies ou difficultés constatées et de proposer des solutions.

Désolé mais lors des dernières manips de contrôle je tombe encore sur deux problèmes :

• Les faux positifs ont été restaurés, les fichiers disparus de la quarantaine, mais les événements demeurent... et ne sont pas marqués "corrigé".
• Les fichiers restent marqués comme étant en quarantaine et le bouton "restaurer" est actif... je n'ose faire le test.

Alors comment pensez-vous que l'on puisse, après l'analyse lancée manuellement de plus de 10 ans d'archives, dans ces conditions, organiser le nettoyage qui évidemment va prendre un certain temps et s'étaler sur une durée qui peut être longue. Ça ne se fait pas au fur et à mesure. Il faut bien gérer une liste et noter au fur et à mesure les traitements et solutions adoptées.

Cette dernière remarque entre, entre parenthèse, complètement dans la question posée au départ "Gestion Des Archives Infectées .cab Organiser Le Nettoyage, Comment ?"

Enfin se déplacer dans la liste d'événements est une vraie galère :

• Les flèches haut-bas sont inactives, il faut se servir de la molette de la souris
• La molette de la souris ne fait que déplacer la liste, sans changer d'objet pointé
• Pour pointer un objet et donc visualiser l'information utile, le seul moyen est de clicker dessus

Je suis désolé mais c'est ni fait ni à faire et un ingénieur m'aurait produit un travail pareil en alpha il aurait pris la porte.

C'est indéfendable.

Merci des efforts que vous avez fait pour m'aider, il y avait malheureusement un problème de communication et de positionnement reciproque par rapport aux questions posées qui avaient toujours deux aspects :

• comment faire dans le principe,
• comment faire dans le cas particulier

Subsidiairement pour trouver des solutions, comment pourrait-on-faire ?, comment devrait-on faire ?

Cordialement

Trebly

Bon, j'ai trop de blocs

mais combien...il y a une limite je ne savais pas, comme elle ne m'est pas donnée, je ne vais pas chercher à tatons. Ça restera comme ça... STOOOOP. Zutt il faut les supprimer pour pouvoir poster

J'ai payé pour encore 642 jours sur 5 postes...

Roby Net

"et je suis simplement quelqu'un dont le métier a été et reste (je développe de l'open source) "

Je pensais, topic d'un concurrent ou d'un linuxien, la deuxième hypothèse est la bonne, comme si il ne pouvait pas stocker son "historique de développement" sur Debian ou Ubuntu, ou DVD, tout le monde sait que les faux positifs d'antivirus existent.

FiL

Chacun aura pu apprécier ici la disponibilité De Yann et de quelques autres forumeurs bien intentionnés.

La patience et la diplomatie sont des valeurs apparemment innées chez Yann, c'est une occasion pour le remercier une nouvelle fois de son implication.

Bonjour

J'acquiesce avec vous, ce post en est l'évidente démonstration.

Merci Yann

Bon week end à tous

trebly

"et je suis simplement quelqu'un dont le métier a été et reste (je développe de l'open source) "

Je pensais, topic d'un concurrent ou d'un linuxien, la deuxième hypothèse est la bonne, comme si il ne pouvait pas stocker son "historique de développement" sur Debian ou Ubuntu, ou DVD, tout le monde sait que les faux positifs d'antivirus existent.

C'est extraordinaire, depuis cette détection de faux positif, qui s'est révélée au cours d'une recherche de méthode de travail, tout le monde sur ce forum veut voir le problème où il n'est pas. Le problème posé au départ n'étant du plus pas résolu en quoi que ce soit par la révélation et la solution de cet épiphénomène. Il n'est pas étonnant qu'il y ait alors incompréhension.

Eh! non je ne suis pas Linuxien ni Martien, ni "étranger" en quoi que ce soit. Par contre nous n'avons pas, c'est évident la même culture en informatique. J'ai toujours fait développer et développé sous Windows depuis sa naissance. Comme c'est curieux de confondre Open source et utilisation "obligatoire" de linux (ou ses dérivés).

On peut développer de l'Open pour le net, en php, javascript et de multiples outils de codage comme Smarty, les environnements de développement comme JQuery etc... divers AGL, et pour Android le tout sous Windows. Rien n'interdit non plus d'utiliser les modèles UML et d'avoir développé et fait développer dans une vingtaine de langages différents de tous niveaux.

Mon historique de développement est soit sous GIT soit sous SVN. Par contre la conservation d'application dans les états successifs de distribution, de plus sous forme exécutable sur diverses plateformes, est essentielle et n'a rien à voir avec ce que l'on appelle couramment l'historique de développement.

Néanmoins le développement ne représente que peut-être 10% de l'ensemble des données que je maintiens.