Cmd.exe infecté (alerte AVG)

Utilisateur anonyme -  
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

cela fait quelque semaine que AVG m'a signalé 2 ou 32 fois que cmd.exe dans system32 est infecté. Je clique sur "traiter la menace" ou un truc du genre, il me dit OK et après quelque semaine l'alerte revient...
Je suis en train de faire un scan Malwarebytes.
Pouvuez vous m'aider?

Merci
A voir également:

8 réponses

Réponse 1 / 8
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
chelou qu'il détecte speedfan.exe aussi comme malicieux.

Tu peux envoyer le cmd.exe sur https://www.virustotal.com/gui/ pour voir ?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
Réponse 2 / 8
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
Salut,

Donne le scan Malwarebytes par http://pjjoint.malekal.com puis fais ça :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


0
Réponse 3 / 8
Utilisateur anonyme
 
Malewarebytes n'a rien trouvé...
Voici les rapports:

Malewarebytes
https://pjjoint.malekal.com/files.php?id=20140506_p7m5r13s7o14
OTL
https://pjjoint.malekal.com/files.php?id=20140506_u11o6k6s12u13
Extras
https://pjjoint.malekal.com/files.php?id=20140506_w12c6t11f14d15


Merci
0
Réponse 4 / 8
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
y a rien d'anormal.

faudrait donner plus d'informations sur les détections AVG.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Utilisateur anonyme
 
Voici deux screenshot de AVG dans la partie log de identityprotection.

http://hpics.li/c929316
et quand je clique sur détail d'un des CMD.exe j'ai ça
http://hpics.li/8353400
0
Réponse 6 / 8
lilidurhone Messages postés 48926 Statut Contributeur sécurité 3 807
 
Sans doute faux positif ;)

AVG est t-il à jour?
0
Réponse 7 / 8
Utilisateur anonyme
 
Oui avg est à jour.
Rien sur virustotal.

En fait speedfan.bat c'est juste un petit fichier bat qui contient ceci et qui lance speedfan...

@echo off #hides output
start "" "c:\program files (x86)\speedfan\speedfan.exe" /NOMBSCAN #launches Speedfan. Make sure that the path is correct
exit


Bon je n'ai pas à m'inquiéter alors?
0
Réponse 8 / 8
Malekal_morte- Messages postés 184347 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 689
 
A priori non.

Tu peux faire un scan en ligne NOD32 histoire de voir : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
0

Discussions similaires

Fenetre c\windows\system32\cmd.exe
dja54 -
bazfile -

1 réponse