Avast détecte un rootkit

Résolu
sogemi Messages postés 39 Date d'inscription   Statut Membre Dernière intervention   -  
 Utilisateur anonyme -
Bonjour,


Avast vient de me signaler un rootkit dans le system32, alors je suis venue faire un tour par ici, mais on dirait que les derniers messages remontent loin, Avast n'avait-il pas résolu le problème de fausse détection ? Je me demande si le conseil de ne pas supprimer est toujours valide ou pas, si quelqu'un peut me renseigner ce serait sympa. Je n'ai cliqué sur rien, je suis venue tout de suite ici avant de commettre l'irréparable. Merci d'avance
A voir également:

34 réponses

BeFaX Messages postés 14245 Date d'inscription   Statut Contributeur Dernière intervention   3 825
 
Avast est nul contre les rootkit, vas voir de ce coté : https://support.kaspersky.com/fr/14421
0
sogemi Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
Merci BeFax, je suis loin d'être au top en informatique, mais je vais télécharger le TDSSKiller et suivre les instructions à la lettre... voilà c'est fait, première analyse aucune détection, j'ai changé les paramètres d'analyse et deux menaces (moyennes) ont été détectées. Je les supprime ? Parce que pour la mise en quarantaine, mon antivirus est Avast et pas Kapersky, je ne vois pas comment je pourrais faire... oui je sais, je suis nulle :)
0
Utilisateur anonyme
 
bonjour,
avant de lancer Tdskiller, poste le résultat de rapport d'avast en copier coller ici !


0
sogemi Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
j'ai déjà lancé TDSSKiller Electricien 69 ... mais pas terminé par suppression ou mise en quarantaine ni ignoré, je me tâte
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
 
ok, est ce que Tdsskiler a trouvé des choses ?

ça m'étonne, mais bon !

tu peux poster son rapport ?


0
Scalonaf
 
Bonjour , il me semble que beaucoup de personnes soient touchees par ca aujourd'hui, moi aussi.
Mais avant d'entreprendre quelque action hasardeuse, je voulais savoir exactement ce que c'etait et peut etre que les connaisseurs jettent un oeil au lien suivant au cas ou ils n'en auraient pas encore connaissance:

http://forum.telecharger.01net.com/microhebdo/securite/infections/un-rootkit-serait-present-ordinateur-328/messages-1.html

J'avoue que je ne comprends pas tout ce qui est indique, mais si je comprend bien ce serait un genre de bug d'avast? il indiquerait un faux rootkit ou quelquechose comme ca? Je l'ai egalement supprime via avast et revenant a chaque fois je l'ai supprime manuellement dans le dossier systeme mais je le vois reapparaitre a chaque fois 5 secondes plus tard.
Donc je patiente en attendant confirmation si c'est une fausse alerte ou pas
0
sogemi Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
Je ne peux pas sélectionner le rapport, mais voici pour TDSSKiller :

Two Threats
Unsigned file - Service : adpu320 - Suspicious object, medium risk
Unsigned file - Service : Symmpi - Suspicious object, medium risk

choix entre ignorer, mettre en quarantaine ou supprimer

J'ai toujours sur mon écran l'annonce d'Avast, apparue non en cours de Scan mais au démarrage du pc, Rootkit trouvé C:\WINDOWS\system32\drivers\sfloppy.sys
Rootkit : fichier caché
Actions à effectuer "Supprimer maintenant (recommandé) ou "Ignorer"

voilà où j'en suis et pour le moment, je n'ose rien faire ;)
0
lpm
 
même rootkit trouvé par AVAST qui ne peut pas le supprimer
C:\WINDOWS\system32\drivers\sfloppy.sys
jp
0
Utilisateur anonyme
 
@ Scalonaf :
il se peut que certains antivirus détectent des faux positifs !

ça arrive de tempes en temps !

il a été déjà signalé sur le site d'avast comme faux positif :

https://forum.avast.com/index.php?topic=89968.0


juste un rappel :

Tdsskiller n'est pas un antivirus !!!




* Télécharge ZHPDiag sur ton bureau :


https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
https://www.cjoint.com/

ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.terafiles.net/


tuto zhpdiag :

http://www.premiumorange.com/zeb-help-process/zhpdiag.html

0
vivelesmanga Messages postés 89 Date d'inscription   Statut Membre Dernière intervention   9
 
j'ai pleurer pour rien alors cetais un faux
0
Utilisateur anonyme
 
je sais ce que c'est, mais envoie moi le rapport de Zhpdiag, je t'en dirais plus :D

0
Utilisateur anonyme
 
UP !
0
Scalonaf
 
@Electricien69 :

Je te fais confiance de toute maniere tu m'as deja aide deux fois a desinfecter 2 ordis tres cracra, dont celui sur lequel je tape en ce moment, j'en profite pour te remercier puisque depuis rien a signaler sur ces 2 ordis.

Donc qu'en est-il exactement alors? fausse alerte ce rootkit?
Vaudrait il mieux faire un point de restauration maintenant?
0
Utilisateur anonyme
 
bah, je pense qu'il s'agit d'un FP déjà signalé sur le site d'avast :

https://forum.avast.com/index.php?topic=89968.0



mais je vais voir le rapport de zhpdiag de notre ami :D

0
Scalonaf
 
Ok je suppose que si tu confirmes que c'est une fausse alerte ca risque d'aider pas mal de personnes puisqu'il y a quand meme pas mal de personnes utilisant Avast, d'ailleurs il risque d' y a voir encore pas mal de messages a venir sur ce probleme. Car je suppose que c'est autant eviter aux gens tout un tas d'analyse ou de redemarrages si ca s'avere etre un "Faux Positif" (j'ignore la signification du terme d'ailleurs mais j'imagine grosso modo ce que ca veut dire)
Enfin bref tant mieux s'il s'agit vraiment d'une fausse alerte, attendons confirmation donc :)
Merci d'avance
0
sogemi Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
voici le lien du rapport

https://www.cjoint.com/?0Lgq4Wo86ya
0
Utilisateur anonyme
 
il y a une faille de sécurité sur ton pc :

java n'est pas à jour !

tu as un dropper de rogue sur ton pc également !


* Lance ZHPFix via le raccourci sur ton Bureau

* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie et colle les lignes suivantes en gras dans Zhpfix :

----------------------------------------------------------

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]
SS - | Auto 0 | (0242751233852489mcinstcleanup) . (...) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\024275~1.exe
Emptytemp


----------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html







Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://prm753.bchea.org/JavaRa.zip

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).

* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

Tuto :
https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara


0
sogemi Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
Je clique sur ZHPFix, Avast affiche une recommandation pour lancer dans la Sandbox, si je ferme j'ai un nouveau message me disant que Windows ne parvient pas à accéder au périphérique... j'ai tout faux, dois-je exécuter ZHPFix en tant que... ou bien sélectionner Lancer normalement dans la fenêtre AVAST ? Merci d'avance :)
0
Utilisateur anonyme
 
ne lance aucun de ces outils dans la Sundbox !

0
sogemi Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
rapport ZHPFix :

Rapport de ZHPFix 1.12.3374 par Nicolas Coolman, Update du 05/12/2011
Fichier d'export Registre :
Run by Administrateur at 06.12.2011 17:23:32
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
ABSENT Key: Service: 0242751233852489mcinstcleanup

========== Valeur(s) du Registre ==========
ABSENT Value Key: AntiVirusOverride

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 0

========== Fichier(s) ==========
ABSENT File: c:\docume~1\admini~1\locals~1\temp\024275~1.exe
SUPPRIME Temporaires Windows: : 0


========== Récapitulatif ==========
2 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Dossier(s)
2 : Fichier(s)


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 06.12.2011 17:23:32 [941]


Java :

j'ai suivi les instructions mais quand j'arrive à Mettre à jour via Jucheck.exe, j'ai le message "Vous disposez déjà de la plateforme Java la plus récente". Dois-je me contenter de supprimer les anciennes versions ?

Et par avance, déjà un énorme merci pour votre aide, vous êtes géniaux :)
0
Utilisateur anonyme
 
supprime les anciennes versions, vérifie bien que tu ais la version java 6, uplode 29 ou java 7 !

0
sogemi Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
Impossible de trouver JavaRa.def

et en prime "Rapport d'erreurs de JavaRa à signaler à Microsoft" que faire ?
0
sogemi Messages postés 39 Date d'inscription   Statut Membre Dernière intervention  
 
https://www.cjoint.com/?0LgsDmNVb5v


J'ai tout bon maintenant ? ;)
0
Utilisateur anonyme
 
super,

redemarre ton pc et donne moi des nouvelles de son fonctionnement :D

0