Rookit detecté par Avast

Résolu
Saverin -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour, ai des rookit a l 'emplacement C:windows\winsxs
je peux les supprimer sans aucun risque ? je ne peux pas les mettre en zone de quarantaine

39 réponses

  • 1
  • 2
Résumé de la discussion

La discussion concerne la présence supposée de rootkits à l'emplacement C:\Windows\winsxs et la faisabilité de les supprimer sans risque, une zone de quarantaine n'étant pas disponible. Plusieurs réponses proposent un diagnostic approfondi avec ZHPDiag et Malwarebytes, suivi du partage de rapports via des plateformes comme Cijoint, afin d'identifier les éléments nuisibles et guider une désinfection adaptée. Des discussions évoquent aussi des difficultés liées à Norton et McAfee, des conseils pour Windows Update et les outils de suppression des virus, ainsi que des méthodes alternatives après échec d'un antivirus. En cas de doute, certains préconisent de purger la restauration système de Vista et d'attendre l'analyse des rapports ZHP Fix pour éviter des destructions involontaires.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    On va faire un diagnostic de ton PC:

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    4
  2. Saverin
     
    voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201101/cijtlQv0aW.txt
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Je ne vois rien d'infectieux.
    Cependant tu as plusieurs antivirus : Avast5, Norton et McAffee
    Cela ne sert à rien sinon d'avoir des conflits et ralentir ton ordinateur.

    Il faut que tu en gardes un seul. Les autres étant payant, tu peux garder Avast5 qui est très bien, mais c'est à toi de voir.

    Si tu as le rapport Avast poste le

    Ensuite par précaution tu vas faire ceci:

    Va sur ce site https://www.virustotal.com/gui/
    - Clique sur parcourir
    - Dans nom du fichier colle ce fichier : C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe
    - Clique sur Send File et puis reanalyze
    - Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

    Et tu fais la même chose pour les fichiers suivants:
    C:\Users\ALEX\AppData\Local\Temp\VSUSetup.exe
    C:\WINDOWS\system32\drivers\atapi.sys


    Smart
    0
  4. Saverin
     
    Pour C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe :
    http://www.virustotal.com/file-scan/report.html?id=3729879709eca176b9f6a51a3acb23d7f4ab551adadbbfa7f58f95436d599cd8-1296081762
    Des fois certaines de mes pages se ferment....
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Saverin
     
    Safari se ferme avec un message d erreur... :(
    0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Quel est le message d'erreur ?
    Et si tu utilises IExplorer, as-tu les mêmes soucis ?

    Smart
    0
  8. Saverin
     
    C:\Users\ALEX\AppData\Local\Temp\VSUSetup.exe

    http://www.virustotal.com/file-scan/report.html?id=4db3f983f608e626f1c14f70aeac8d8f4bab98ab231c935530ddcc41e96d5f45-1296082721
    0
  9. Saverin
     
    J ai posté le dernier message en utilisant IE , donc c est bon :)
    Sur Safari le message d erreur etait classique " Safari rencontre des problêmes " mais a chaque fois c etait au moment ou j appuyer sur " Valider "
    0
  10. Saverin
     
    je n'arrive plus a ouvrir virustotal avec les 2 naviguateur :( , est ce suspect ?
    Je suis désolé mais je dois partir , j espere que vous pourrez encore m aider demain, je vous remercie de votre spontanéité
    de + j ai essayer de supprimer les rookits avec avast , mais il m indiquer qu il ne trouver pas les fichiers! Merci et a demain!
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Je n'arrive pas à lire ton dernier rapport VT

    Smart
    0
  12. Saverin
     
    Pour C:\WINDOWS\system32\drivers\atapi.sys

    http://www.virustotal.com/file-scan/report.html?id=82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3-1296126544

    Aucun probleme apparemment....

    Pour le dernier lien, il remarche

    J'attend vos analyses avec impatience , merci
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu vas faire ceci:

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\AutoRun\command - Clé orpheline
    O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\open\command - Clé orpheline
    [MD5.68EEFAC0BDA2973200B42C1D9B7D263D] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe [58760]
    HKCU\Software\AppDataLow\Software\Conduit]

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    0
  14. Saverin
     
    Bonjour,
    Voici le rapport ZHpfix :

    Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-27-01-2011-13-09-56.txt
    Run by ALEX at 27/01/2011 13:09:56
    Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Processus mémoire ==========
    C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe [58760] => Supprimé et mis en quarantaine

    ========== Clé(s) du Registre ==========
    O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\AutoRun\command - Clé orpheline => Clé supprimée avec succès
    O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\open\command - Clé orpheline => Clé absente

    ========== Autre ==========
    HKCU\Software\AppDataLow\Software\Conduit] => Format Non supporté

    ========== Récapitulatif ==========
    1 : Processus mémoire
    2 : Clé(s) du Registre
    1 : Autre

    End of the scan

    Merci de votre aide
    0
  15. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Est-ce que avast détecte toujours le rootkit ?

    Smart
    0
  16. Saverin
     
    En faites , ce n etait pas ma gestion résidente qui avait détécter les rookit. Hier par mesure préventive j ai lancé un scan complet avec Avast , qui m indiquait que j avais 11 rookit detecté et 1 malware , avast n a pu mettre que le malware en zones de quarantaine , d après avast les fichiers inféctés par les rookit seraient introuvable. Voila , qu'en pensez vous ?
    Merci de votre aide. ( les problemes avec safari se sont réglés , je n ai plus de message d erreur pour le moment )
    0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Pour moi je ne vois pas d'infection.

    Est-ce que tu peux faire une copie d'écran de ce doxsier C:\windows\winsxs

    Et de la poster via cijoint dans ta réponse

    Smart
    0
  18. Saverin
     
    Voila la copie d'écran de C:\windows\winsxs : http://www.cijoint.fr/cjlink.php?file=cj201101/cijIwKUh6H.jpg

    Merci
    0
  19. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Ce ne sont que des dossiers tu n'as pas eu une indication plus précise de la part d'Avast quand il dit rookit a l 'emplacement C:windows\winsxs
    Ou alors peux-tu poster le rapport de log d'avast

    Smart
    0
  20. Saverin
     
    J'ai changé d'hebergeur car cipoint me disait a chaque fois que je ne mettais pas de fichier, et quand j ai essayer sur photo-partage.net , il y avait une erreur.
    Merci encore
    0
  • 1
  • 2