[Ayanda]

Citation :

Publié par Domtav

Elément étrange constaté.

Un fichier autorun.inf a été créé à la racine du lecteur c:\ et celui ci donne l'ordre de lancer l'application qcod.exe

détecté par l'application malwarebytes' anti-malware


Je veux bien que l'on ne crie pas au loup pour rien.... mais quelqu'un peut m'expliquer pourquoi cet autorun.inf a été créé par ncsoft ?

J'ai Aion 1.5.0.6 et aucun autorun.inf à la racine ou de qcod.exe. (j'utilise avast)

Cet autorun.inf n'a rien a voir avec Ncsoft ou vas tu chercher ce genre d'info ??

Par contre tu as bien un virus, ce qcod.exe est connu (worm etc), quel est ton antivirus ? avast le gère bien je crois, au pire utilises un autre AV s'il y arrive pas.

Je répète : rien a voir avec NCsoft !!

[danidan]

Perso j'ai NORTON. Et y a pas plus chiant niveaux antivirus.... Et il a rien vu!

[Erindhill]

Citation :

Publié par danidan

Perso j'ai NORTON. Et y a pas plus chiant niveaux antivirus.... Et il a rien vu!

L'avantage des produits symantec, c'est qu'ils ne font que rarement des faux positifs.

[Domtav]

Citation :

Publié par Ayanda

J'ai Aion 1.5.0.6 et aucun autorun.inf à la racine ou de qcod.exe.

Cet autorun.inf n'a rien a voir avec Ncsoft ou vas tu chercher ce genre d'info ??

Par contre tu as bien un virus, ce qcod.exe est connu (worm etc), quel est ton antivirus ? avast le gère bien je crois, au pire utilises un autre AV s'il y arrive pas.

Je répète : rien a voir avec NCsoft !!

C'est suite au patch que j'ai eu ces modifications. Avast étant toujours actif il s'est réveillé au moment où le patch s'est appliqué...

J'ai fait une purge complète du trojan, puis restauration sur ancienne date.
Le système a de nouveau été clean.

J'ai relancé le téléchargement du patch : ok
au moment de l'installation : problème directement détecté par l'antivirus et par miracle les fichiers qcod.exe et autorun.inf ont de nouveaux été créé dans mes disques dur.

... Je ne crois pas à ce genre de coïncidences.

Voilà... maintenant je ne fais que dire ce que j'ai constaté... de la à dire que Ncsoft n'y ai pour rien....

Pour moi en tout cas ce n'est clairement pas un faux positif : il y a réellement eu création de fichiers posant problème.

Que ce soit ou non en raison du patch de Ncsoft, j'invite tout le monde à la prudence.
Si votre antivirus est à jour et ne détecte rien : all is good. Dans le cas contraire...

[Erindhill]

Citation :

Publié par Domtav

Pour moi en tout cas ce n'est clairement pas un faux positif : il y a réellement eu création de fichiers posant problème.

SI il y avait vraiment un problème, à l'installation suivante, tu aurais eu la même détection.
Par contre avec un faux positif, la détection est relativement aléatoire, ce qui explique que tu ne l'as pas eu la seconde fois.

[Ayanda]

Citation :

Publié par Domtav

C'est suite au patch que j'ai eu ces modifications. Avast étant toujours actif il s'est réveillé au moment où le patch s'est appliqué...

J'ai fait une purge complète du trojan, puis restauration sur ancienne date.
Le système a de nouveau été clean.

J'ai relancé le téléchargement du patch : ok
au moment de l'installation : problème directement détecté par l'antivirus et par miracle les fichiers qcod.exe et autorun.inf ont de nouveaux été créé dans mes disques dur.

... Je ne crois pas à ce genre de coïncidences.

Voilà... maintenant je ne fais que dire ce que j'ai constaté... de la à dire que Ncsoft n'y ai pour rien....

Pour moi en tout cas ce n'est clairement pas un faux positif : il y a réellement eu création de fichiers posant problème.

Que ce soit ou non en raison du patch de Ncsoft, j'invite tout le monde à la prudence.
Si votre antivirus est à jour et ne détecte rien : all is good. Dans le cas contraire...

Si tu es le seul a avoir ce virus (pas un autre), cela ne vient pas de NCsoft. sinon qui sait mais cela me semble très peu probable.

[Domtav]

Citation :

Publié par Erindhill

SI il y avait vraiment un problème, à l'installation suivante, tu aurais eu la même détection.
Par contre avec un faux positif, la détection est relativement aléatoire, ce qui explique que tu ne l'as pas eu la seconde fois.

Comment expliques tu la création de ces fichiers à la racine ?

Citation :

Publié par Ayanda

Si tu es le seul a avoir ce virus (pas un autre), cela ne vient pas de NCsoft. sinon qui sait mais cela me semble très peu probable.

Alors je vais être gentil et je vais dire... peut être.

Gardez cependant en mémoire mon expérience au cas où...

et si cela ne concerne que moi ! tant mieux pour vous !

Voilà... après franchement qu'on me croit ou pas OSEF !

[chaykoncha]

Personne a dit le contraire on te croit..tu as un virus

[Erindhill]

Citation :

Publié par Domtav

Comment expliques tu la création de ces fichiers à la racine ?

La première fois tu les as virée en te débarrassant du faux torjan, la seconde fois comme ils n'étaient plus présents, ils ont été ré-installés.
Mais la seconde fois la fausse détection ne s'est pas produite.

[duini]

le mieux pour être tranquille , tu formate et tu réinstalle

[Ayanda]

Citation :

Publié par duini

le mieux pour être tranquille , tu formate et tu réinstalle

Si le système est peu touché, utiliser deux AV différents suffit a garantir un bon nettoyage.

Sinon yop format is ur friend.

[Alsid]

Citation :

Publié par Domtav

bien donc pour vous aider à trouver la chose

le fichier autorun.inf et qcod.exe sont "cachés".

Chez moi, ce truc ses reproduits sur chacun de mes lecteurs, à savoir : création du fichier autorun.inf et du fichier qcod.exe à la racine de chaque lecteur.

Pour vérifier si vous avez ce problème :

Ouvrez votre bloc note, faite ouvrir un fichier et taper le chemin c:\autorun.inf
S'il ne trouve pas le fichier c'est ok, sinon il faudra le supprimer si celui ci comporte une ligne du type "open=qcod.exe".
Chez moi il contenait cela :
A faire sur chaque disque dur.

Pour supprimer l'autorun.inf (à ne faire que si celui ci a été créé pour lancer qcod.exe, sinon n'y touchez pas). Dans les options de votre explorer faites afficher les fichiers cachés. Vous devriez voir automatiquement les deux nouveaux fichiers.

Avec Avast, pour éviter qu'il gueule à chaque fois tout en le laissant faire son travail. Dans les options du bouclier standart, bouton personaliser, onglet "avancé", cocher le mode silencieux et le radio button à "avec réponse générale non". Il va maintenant automatiquement supprimer le fichier qcod.exe.

A noter qu'en faisant comme ça le jeu se lance maintenant sans problème chez moi.

En espérant que cela aidera.

NB : Un des symptomes de l'existance du fichier autorun.inf est que depuis le poste de travail, quand on clique sur le disque dur, au lieu d'ouvrir le disque dur il ouvre une fenêtre pour demander quoi faire.

J'ai bien eu le trojan détecter plusieurs fois avec avira, mais quand je fait la manip il me trouve rien.

Je pense aussi que ton qcod.exe ne vient pas de ncsoft

[Erindhill]

Citation :

Publié par Ayanda

Si le système est peu touché, utiliser deux AV différents suffit a garantir un bon nettoyage.

Sinon yop format is ur friend.

Il ne faut jamais installé 2 anti-virus sur la même machine, ils entrent en conflit et ne protègent plus rien.

[Ayanda]

Citation :

Publié par Erindhill

Il ne faut jamais installé 2 anti-virus sur la même machine, ils entrent en conflit et ne protègent plus rien.

Il faut désinstaller le 1er AV avant d'installer l'autre sinon en effet les antivirus sont pas copains entre eux. (encore que j'ai déja eu des postes avec deux AV plutot copains au boulot suite a des politiques sécurité un peu space, style un AV pour la fonction firewall et l'autre pour le reste)

[Katsumi]

solution pour ne plus être embeter par avira antivir qui detecte ce faux trojan :

https://forums.jeuxonline.info/showthread.php?t=1028401

et pour info, message de Aion_Ayase sur twitter( Sebastian Streiffert, English language Community Representative for Aion ) :

"Avira AntiVir will give a *false positive* for parts of the patch. Don't be alarmed. We are contacting them to have this resolved."

"Avira AntiVir indique un "faux positif" pour certains fichiers du patch. Ne vous alarmer pas. Nous les contactons pour résoudre ce probleme."