Rookit detecté par Avast
RésoluSmart91 Messages postés 30146 Statut Contributeur sécurité -
je peux les supprimer sans aucun risque ? je ne peux pas les mettre en zone de quarantaine
39 réponses
- 1
- 2
La discussion concerne la présence supposée de rootkits à l'emplacement C:\Windows\winsxs et la faisabilité de les supprimer sans risque, une zone de quarantaine n'étant pas disponible. Plusieurs réponses proposent un diagnostic approfondi avec ZHPDiag et Malwarebytes, suivi du partage de rapports via des plateformes comme Cijoint, afin d'identifier les éléments nuisibles et guider une désinfection adaptée. Des discussions évoquent aussi des difficultés liées à Norton et McAfee, des conseils pour Windows Update et les outils de suppression des virus, ainsi que des méthodes alternatives après échec d'un antivirus. En cas de doute, certains préconisent de purger la restauration système de Vista et d'attendre l'analyse des rapports ZHP Fix pour éviter des destructions involontaires.
-
Bonjour,
On va faire un diagnostic de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart -
-
Je ne vois rien d'infectieux.
Cependant tu as plusieurs antivirus : Avast5, Norton et McAffee
Cela ne sert à rien sinon d'avoir des conflits et ralentir ton ordinateur.
Il faut que tu en gardes un seul. Les autres étant payant, tu peux garder Avast5 qui est très bien, mais c'est à toi de voir.
Si tu as le rapport Avast poste le
Ensuite par précaution tu vas faire ceci:
Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Et tu fais la même chose pour les fichiers suivants:
C:\Users\ALEX\AppData\Local\Temp\VSUSetup.exe
C:\WINDOWS\system32\drivers\atapi.sys
Smart -
Pour C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe :
http://www.virustotal.com/file-scan/report.html?id=3729879709eca176b9f6a51a3acb23d7f4ab551adadbbfa7f58f95436d599cd8-1296081762
Des fois certaines de mes pages se ferment.... -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
-
Quel est le message d'erreur ?
Et si tu utilises IExplorer, as-tu les mêmes soucis ?
Smart -
C:\Users\ALEX\AppData\Local\Temp\VSUSetup.exe
http://www.virustotal.com/file-scan/report.html?id=4db3f983f608e626f1c14f70aeac8d8f4bab98ab231c935530ddcc41e96d5f45-1296082721 -
J ai posté le dernier message en utilisant IE , donc c est bon :)
Sur Safari le message d erreur etait classique " Safari rencontre des problêmes " mais a chaque fois c etait au moment ou j appuyer sur " Valider " -
je n'arrive plus a ouvrir virustotal avec les 2 naviguateur :( , est ce suspect ?
Je suis désolé mais je dois partir , j espere que vous pourrez encore m aider demain, je vous remercie de votre spontanéité
de + j ai essayer de supprimer les rookits avec avast , mais il m indiquer qu il ne trouver pas les fichiers! Merci et a demain! -
Je n'arrive pas à lire ton dernier rapport VT
Smart -
Pour C:\WINDOWS\system32\drivers\atapi.sys
http://www.virustotal.com/file-scan/report.html?id=82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3-1296126544
Aucun probleme apparemment....
Pour le dernier lien, il remarche
J'attend vos analyses avec impatience , merci -
Tu vas faire ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\AutoRun\command - Clé orpheline
O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\open\command - Clé orpheline
[MD5.68EEFAC0BDA2973200B42C1D9B7D263D] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe [58760]
HKCU\Software\AppDataLow\Software\Conduit]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Smart -
Bonjour,
Voici le rapport ZHpfix :
Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-27-01-2011-13-09-56.txt
Run by ALEX at 27/01/2011 13:09:56
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Processus mémoire ==========
C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe [58760] => Supprimé et mis en quarantaine
========== Clé(s) du Registre ==========
O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\AutoRun\command - Clé orpheline => Clé supprimée avec succès
O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\open\command - Clé orpheline => Clé absente
========== Autre ==========
HKCU\Software\AppDataLow\Software\Conduit] => Format Non supporté
========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé(s) du Registre
1 : Autre
End of the scan
Merci de votre aide -
Est-ce que avast détecte toujours le rootkit ?
Smart -
En faites , ce n etait pas ma gestion résidente qui avait détécter les rookit. Hier par mesure préventive j ai lancé un scan complet avec Avast , qui m indiquait que j avais 11 rookit detecté et 1 malware , avast n a pu mettre que le malware en zones de quarantaine , d après avast les fichiers inféctés par les rookit seraient introuvable. Voila , qu'en pensez vous ?
Merci de votre aide. ( les problemes avec safari se sont réglés , je n ai plus de message d erreur pour le moment ) -
Pour moi je ne vois pas d'infection.
Est-ce que tu peux faire une copie d'écran de ce doxsier C:\windows\winsxs
Et de la poster via cijoint dans ta réponse
Smart -
Voila la copie d'écran de C:\windows\winsxs : http://www.cijoint.fr/cjlink.php?file=cj201101/cijIwKUh6H.jpg
Merci -
Ce ne sont que des dossiers tu n'as pas eu une indication plus précise de la part d'Avast quand il dit rookit a l 'emplacement C:windows\winsxs
Ou alors peux-tu poster le rapport de log d'avast
Smart -
voici une nouvelle copie d'écran du rapport log de Avast https://imageshack.com/
-
J'ai changé d'hebergeur car cipoint me disait a chaque fois que je ne mettais pas de fichier, et quand j ai essayer sur photo-partage.net , il y avait une erreur.
Merci encore
- 1
- 2