Avast déctecte un Rootkit win32 evo-gen [susp]

Nikita24 -  
 Nikita24 -
Bonjour,

Avast détecte un rootkit win32 evo-gen [susp] sur mon ordinateur. Le nom du fichier est SVC : HP Health check service>c:\...\hphc_service.exe. J'ai fait un scan avec malwarebytes-anti-malware anti-rootkit et il n'a rien détecté. Donc je ne sais pas comment l'enlever et le message d'avast apparait toujours.
Merci pour votre aide

14 réponses

  1. Nikita24
     
    Sur Virus total il demande le nom du fichier à analyser, je rentre SVC : HP Health check service ect ...
    1
  2. Nikita24
     
    Voila j'ai fait l'analyse du fichier et j'arrive sur une page qui dit que le ratio de détection est 0/47 et tous les antivirus sont cochés en vert. Je pense que c'est bien un faut positif, que pensez-vous ?
    1
  3. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    On dirait un faux positif :)

    Pourrais tu le vérifier sur Virustotal?

    Si faux positif avéré remonte le à avast :)

    Si problème il y a il existe toujours une solution
    N'oubliez pas de passer votre sujet en résolu
    0
  4. Nikita24
     
    J'ai fait un scan avec un Roguekiller et voici le rapport :

    ueKiller V8.7.8 _x64_ [Nov 14 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : SEVERINE [Droits d'admin]
    Mode : Recherche -- Date : 11/23/2013 14:43:27
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 1 ¤¤¤
    [RUN][ROGUE ST] HKLM\[...]\Wow6432Node\[...]\Run : 20131121 (C:\Program Files\AVAST Software\Avast\setup\emupdate\733a3ce3-6b44-463c-a6f5-8a656bd9acd7.exe /check) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) TOSHIBA MK5056GSY ATA Device +++++
    --- User ---
    [MBR] 835652b648b880b069e8ff861d8bd691
    [BSP] c4b920f673919a7c908f5024be3590c9 : Windows Vista/7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 462601 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 947816448 | Size: 14035 Mo
    3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 976560128 | Size: 103 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_S_11232013_144327.txt >>
    RKreport[10]_D_22112013_221516.txt;RKreport[11]_S_22112013_233317.txt;RKreport[12]_S_23112013_124733.txt
    RKreport[13]_D_23112013_124758.txt;RKreport[14]_D_23112013_124806.txt;RKreport[5]_S_11022013_185410.txt
    RKreport[6]_S_11022013_185430.txt;RKreport[7]_S_22112013_210640.txt;RKreport[8]_S_22112013_221221.txt
    RKreport[9]_S_22112013_221412.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Nikita24
     
    Si c'est un faux positif, je fais quoi ? dois-je enlever avast ?

    Merci pour votre aide
    0
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      "Pourrais tu le vérifier sur Virustotal?

      Si faux positif avéré remonte le à avast :) "
      0
  7. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Procédure préliminaire : Afficher les fichiers/dossiers cachés

    Dans l'explorateur, sous XP -> Menu -> Outils -> Options des dossiers -> onglet Affichage
    Dans l'explorateur, sous Vista/7 -> Organiser -> Options des dossiers et de recherche -> onglet Affichage

    1 - Cocher Afficher les fichiers et dossiers cachés
    2 - Décocher Masquer les extensions des fichiers dont le type est connu
    3 - Décocher Masquer les fichiers protégés du système d'exploitation
    4 - Valider par Appliquer

    Ne pas oublier de recocher ou décocher les options modifiées après l'analyse sur VirusTotal

    Ouvrir la page VirusTotal https://www.virustotal.com/gui/

    1 - Cliquer sur Choose File pour chercher le fichier à analyser
    2 - Sélectionner le fichier à analyser
    3 - Cliquer sur Scan it!
    4 - Patienter le temps de l'envoi
    5 - Souvent le fichier a déjà été analysé, si c'est le cas, cliquer sur Reanalyse
    6 - Patienter le temps de l'analyse.
    Le résultat s'affiche et indique le nombre de détections (Detection ratio)

    7 - Copier-coller l'url affichée dans la barre d'adresse, si l'analyse a été demandée sur un forum de désinfection.
    0
  8. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Oui :)

    Remontes à avast

    Clic droit sur le fichier>soumettre à avast
    0
  9. Nikita24
     
    Et sur la fiche on peut lire la phrase suivante : The file being studied is a Portable Executable file! More specifically, it is a Win32 EXE file for the Windows GUI subsystem
    0
  10. Nikita24
     
    Ok je vais ou pour soumettre le fichier à avast ?
    Merci beaucoup pour votre aide
    0
  11. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Sur leur forum
    0
  12. Nikita24
     
    Ok un grand merci pour votre aide.
    Je vous souhaite un très bon week-end.
    0
  13. Nikita24
     
    Et encore une petite question, est-ce que je peux supprimer ce qu'a trouve Roguekiller après le scan sur l'onglet registre "ROGUE ST" ?
    Merci
    0
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      Non

      Faux positif
      0