Virus Autolt.script détécté par mon antivirus AvastFermé

Question

Bonjour, 

J'ai effectuer un scan avec mon antivirus Avast, et il a détecté un virus à sévérité haute :

Nom du fichier : \?\... | >Autolt.script
Sévérité : Haute
Etat : Menace : Autolt:Agent-IL [Trj]

Du coup, j'ai fais "corriger automatiquement" et avast me l'a placer en Quarantaine.

J'aimerais de l'aide pour savoir si mon pc est toujours infecté, et voir si je peux pas le supprimer définitivement ce virus ?

Je précise que ma config est Windows 8 Pc portable x64bits.

Merci d'avance, j'attends vos réponses

Configuration: Windows / Chrome 33.0.1750.117

lilidurhone · Accepted Answer

Pour en être sûr

Vérifie le sur virustotal
Procédure préliminaire : Afficher les fichiers/dossiers cachés

Dans l'explorateur, sous XP -> Menu -> Outils -> Options des dossiers -> onglet Affichage
Dans l'explorateur, sous Vista/7 -> Organiser -> Options des dossiers et de recherche -> onglet Affichage

1 - Cocher Afficher les fichiers et dossiers cachés
2 - Décocher Masquer les extensions des fichiers dont le type est connu
3 - Décocher Masquer les fichiers protégés du système d'exploitation
4 - Valider par Appliquer

Ne pas oublier de recocher ou décocher les options modifiées après l'analyse sur VirusTotal

Ouvrir la page VirusTotal https://www.virustotal.com/gui/

1 - Cliquer sur Choose File pour chercher le fichier à analyser
2 - Sélectionner le fichier à analyser
3 - Cliquer sur Scan it!
4 - Patienter le temps de l'envoi
5 - Souvent le fichier a déjà été analysé, si c'est le cas, cliquer sur Reanalyse
6 - Patienter le temps de l'analyse.
Le résultat s'affiche et indique le nombre de détections (Detection ratio)

7 - Copier-coller l'url affichée dans la barre d'adresse, si l'analyse a été demandée sur un forum de désinfection.

securitest · Answer

si le virus est en quarantaine il est HS 

pour ce qui est de voir si vous n'en avez pas d'autre lancé une analyse intégrale avec AVAST

Mathias06100 · Answer

Ok, je relance une nouvelle analyse minutieuse alors.

lilidurhone · Answer

Hello

Tu as le chemin exact du fichier détecté ?

Car ça peut être un faux positif!!!

Peux tu fournir une capture d'écran de ta quarantaine?

 https://www.commentcamarche.net/faq/398-comment-faire-une-capture-d-ecran

Mathias06100 · Answer

Merci de votre aide, je vous tient au courant de la nouvelle analyse.

Mais j'ai une question, si jamais je supprime le virus, car là il est en quarantaine, je vais supprimer le fichier ? Pouvez vous me dire si je dois le supprimer ou le laisser en quarantaine ? Car d'après ce que j'ai lu, ça m'a l'air d'un grave virus, et si mon antivirus venait à être désactiver pendant quelques heures, il referait face ?

Mathias06100 · Answer

Je vous fournit une capture d'écran de mon fichier en quarantaine :

http://zupimages.net/viewer.php?id=14/08/8jqj.png

lilidurhone · Answer

Et bien j'avais raison!!!

Restaure le de la quarantaine

C'est lié à ton CPU!!!

Soumets le à avast

Mathias06100 · Answer

Êtes vous sur ? Je ne voudrais pas prendre de risques..

Mathias06100 · Answer

Quand j'essaye de le restaurer, j'ai ce message qui apparaît : 

"Vous êtes en train d'essayer de restaurer un fichier à partir de la zone de Quanrantaine. Le fichier existe déjà. Le programme doit-il écraser le fichier existant ?"

Les choix possibles :

"Ecraser" - "Sauter" - "Ecraser tout" - "Ignorer tout" - "Annuler"

lilidurhone · Answer

Tu fais annuler puis tu testes sur virustotal

Mathias06100 · Answer

Je n'ai pas très bien compris comment faire pour "afficher les dossiers cachés". De plus, je ne sais pas du tout où se trouve le fichier à analyser.

lilidurhone · Answer

Tapes QSXH dans rechercher

Mais j'en suis sûre à 100% faux positif 

Tu as Steam?

Mathias06100 · Answer

J'ai tapper dans rechercher, mais rien trouvé.

J'avais télécharger Steam, j'y ai jouer pendant 1 jour et puis je l'ai désinstallé.

lilidurhone · Answer

Mouais tu as mal désinstallé Steam :)

C'est un composant :)

On va quand même vérifier avec zhpdiag :)

 
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin 
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png

* A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"

* Cliques sur configurer 

* Tournevis puis tous 

* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.

* Le rapport est hébergé:
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP 

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)

* Puis cliques sur créer le lien cjoint

* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse

* Pour t'aider  https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Mathias06100 · Answer

Jettez un oeil à ce sujet : 

http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/utilisation-avast-analyse-sujet_157984_1.htm

Le fichier que j'ai mis en quarantaine peut être infecter (pas sur), mais de toute manière si c'est un composant windows il a été recréer (d'où le message qui me demande d'écraser le fichier déjà présent). Donc je peux le laisser en quarantaine celui là, peu importe ? Puisque il a été récréer sans virus sur mon pc ? Donc je peux le supprimer non ou je le laisse en quarantaine?

Mathias06100 · Answer

Daccord je teste ZHPdiag.

lilidurhone · Answer

Tu laisses et tu passes à ceci

 https://forums.commentcamarche.net/forum/affich-29761009-virus-autolt-script-detecte-par-mon-antivirus-avast#17

Mathias06100 · Answer

Je suis en train de faire l'analyse ZHP. J'ai juste une question : Si le virus est en quarantaine sur Avast, il ne sera pas détécter par d'autres scanners (ou même par un autre scan de avast) non ?

Mathias06100 · Answer

Voici le lien du rapport ZHPDiag : 

http://cjoint.com/data3/3BxuJlVlaKb.htm

lilidurhone · Answer

Il y a un autre outil appelé SEAF

Avec lui on pourra trouver le chemin exact :)

Pour l'instant zhpdiag

Tu n'es pas passé en 8.1?

Mathias06100 · Answer

Je suis actuellement en Windows 8.1.

lilidurhone · Answer

Passe adwcleaner

 https://www.commentcamarche.net/telecharger/securite/2759-adwcleaner/

Mathias06100 · Answer

Mdr j'ai anticiper, je viens d'en faire un, car j'avais eu affaire sur un ancien PC aux adwares, et ce logiciel adwcleaner m'avait permis de m'en débarasser.
J'ai aussi vu dans le scan ZHPDiag que j'avais des traces d'adw, donc c'est déjà fait ^^

Vous voulez le rapport?

Mathias06100 · Answer

Le rapport : 

http://cjoint.com/14fe/DBxu3Z5YUgL.htm

J'en ai refais un à l'instant, mais dans le rapport de celui de tout à l'heure, il y'avait plein de HKEYS supprimées. (du genre mysearchdial et autres con*eries polluantes).

lilidurhone · Answer

Souci de connexion

J'essaie de te répondre

Mathias06100 · Answer

Pas de soucis^^ j'attends, je reste connecté tard de toute manières.

lilidurhone · Answer

Me  voilà :)

Refais un zhpdiag :)

lilidurhone · Answer

Pour le fichier

 http://www.general-changelog-team.fr/downloads/viewdownload/14-outils-de-c-xx/6-seaf

Tu tapes ce que je t'avais indiqué page précédente :) (dans rechercher)

Mathias06100 · Answer

J'ai refais un ZHPDiag, voici le lien : 

http://cjoint.com/14fe/DBxvugEOPGG.htm

J'ai pas compris le dernier poste, je dois faire quoi?

lilidurhone · Answer

Dans SEAF 

" Tapes QSXH "

Mathias06100 · Answer

Quest-ce que "SEAF" ?

Mathias06100 · Answer

J'ai télécharger "SEAF" et j'ai tapper "QSXH" dans la recherche.

Voici ce que j'obtient : 

"
1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 21:28:19 le 23/02/2014
4. 
5. Valeur(s) recherchée(s):
6. QSXH
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. 
11. ====== Fichier(s) ======
12. 
13. Aucun fichier trouvé
14. 
15. =========================
16. 
17. Fin à: 21:28:52 le 23/02/2014
18. 175400 Éléments analysés
19. 
20. =========================
21. E.O.F
"

lilidurhone · Answer

Plus de souci? :)

Mathias06100 · Answer

Bingo, en tappant le nom du fichier "{171c517c-5f74-47cf-a897" j'ai trouvé ceci :

"

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 21:32:41 le 23/02/2014
4. 
5. Valeur(s) recherchée(s):
6. 171c517c-5f74-47cf
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. Aucun fichier trouvé
15. 
16. 
17. ====== Entrée(s) du registre ======
18. 
19. 
20. [HKU\S-1-5-21-3467767657-3387900308-719426298-1002\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{171c517c-5f74-47cf-a897-6a427d360f2b}]
21. DA: 23/02/2014 20:53:44
22. 
23. =========================
24. 
25. Fin à: 21:34:20 le 23/02/2014
26. 386978 Éléments analysés
27. 
28. =========================
29. E.O.F

"

Mathias06100 · Answer

Sinon, j'ai jamais eu de "soucis" réels, juste que quand j'ai scanner avec avast ça ma détecté de virus de sévérité "haute" et je me suis un peu inquieter ^^

lilidurhone · Answer

* Télécharge Junkware Removal Tool à cette adresse (ne clique pas sur télécharger, le téléchargement va débuter automatiquement) : https://www.bleepingcomputer.com/download/junkware-removal-tool/dl/131/ 

* Enregistre-le sur ton bureau. 

* Ferme toutes les applications en cours. 

* Ouvre JRT.exe et appuie sur Entrée : si tu es sous Windows Vista, 7 ou 8, ouvre-le en faisant : clic droit => Exécuter en tant qu'administrateur. 

* Patiente le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal. 

* À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir. Héberge-le comme ceci et poste le lien obtenu dans ta prochaine réponse. 

Tutoriel : http://www.forum-entraide-informatique.com/support/junkware-removal-tool-tutoriel-t8260.html

Mathias06100 · Answer

Désolé du retard, voila :

Version: 6.1.2 (02.20.2014:1)
OS: Windows 8.1 x64
Ran by Mathias on 23/02/2014 at 22:40:53,26
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys

Failed to delete: [Registry Key] HKEY_LOCAL_MACHINE\Software\sweetim



~~~ Files



~~~ Folders



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 23/02/2014 at 22:45:07,32
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

lilidurhone · Answer

Hello

C'est lié à un port USB 

Par hasard tu n'aurais pas soit inséré une clé ou un cd?

Mathias06100 · Answer

Si, j'ai inséré une clef l'autre jour. Je précise aussi que j'ai une souris sans fil avec un petit truc USB inséré dans le pc (sans importance).
J'ai refais un scan avec avast il me redetecte le virus et me propose encore de le mettre en quarantaine.

lilidurhone · Answer

Quoiqu'il en soit c'est un faux positif 


Tu peux éventuellement passer usbfix (recherche)


http://www.commentcamarche.net/download/telecharger-34079838-usbfix

Mathias06100 · Answer

Je pense au faux positif, étant donner que tous les scans qu'on ai fait ne détecte pas ce soit disant "virus"... Merci avast :)

En tout cas, merci de votre aide, j'espere retomber contre vous si j'ai un autre problème dans le genre :)

A+

lilidurhone · Answer

Tu peux le soumettre à avast en tant que faux positif ;)


Passe quand même usbfix (on vaccinera tes supports amovibles ;) )

Virus Autolt.script détécté par mon antivirus Avast

42 réponses

Discussions similaires

Newsletters