Avast faux positif bootkit...
kovnant
Messages postés
7
Date d'inscription
Statut
Membre
Dernière intervention
-
lilidurhone Messages postés 43355 Date d'inscription Statut Contributeur sécurité Dernière intervention -
lilidurhone Messages postés 43355 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Hier mon pc à planté, j'ai l'habitude c'est une bécane qui tombe en lambeaux, enfin bref.
une fois reparé je voulais savoir si ce n'etait pas un virus ou une merde du genre qui en etait la cause juste au cas ou, j'ai donc lancé un scan avec avast qui m'indique non pas 1 ni 2 mais 6 fichiers infectés par un bootkit alors que quelques jours avant un autre scan c'etait parfaitement deroulé, après sa j'ai effectué un scan avec malwarebyte antimalware et sa variante pour les bootkit mais rien ils n'ont rien trouvé, ensuite je suis allé sur virustotal.com j'ai scanné chaque fichier incriminé un par un et rien non plus.
Donc j'aimerais avoir des avis là dessus, parceque je n'a jamais eu affaire à ce genre de probleme, si bootkit il y à comment en être sur? surtout que je ne vois pas absolument pas d'ou ils peuvent venir, le pc est le poste famillial et nous ne sommes que 3 à y acceder, je le nettoie regulierement.
Si quelqu'un à une reponse.
Là je vais scanner les fichiers a partir de windows voir si il à autre chose, ah et les fichiers sont des fichiers syteme de windows, mon pc à deconné apres 'linstallation d'une mise à jour de windows.
EDIT: je vien de scanner les fichiers depuis windows avec Avast et rien n'est sorti les fichiers son clean les noms sont :
WSMPLPXY.DLL
WSMRES.DLL
WSMPROVHOST.EXE
chaque fichier est epinglé 2 fois par le scan minutieux d'avast, mais pris en individuel ils ne manifestent aucune infecion...
Hier mon pc à planté, j'ai l'habitude c'est une bécane qui tombe en lambeaux, enfin bref.
une fois reparé je voulais savoir si ce n'etait pas un virus ou une merde du genre qui en etait la cause juste au cas ou, j'ai donc lancé un scan avec avast qui m'indique non pas 1 ni 2 mais 6 fichiers infectés par un bootkit alors que quelques jours avant un autre scan c'etait parfaitement deroulé, après sa j'ai effectué un scan avec malwarebyte antimalware et sa variante pour les bootkit mais rien ils n'ont rien trouvé, ensuite je suis allé sur virustotal.com j'ai scanné chaque fichier incriminé un par un et rien non plus.
Donc j'aimerais avoir des avis là dessus, parceque je n'a jamais eu affaire à ce genre de probleme, si bootkit il y à comment en être sur? surtout que je ne vois pas absolument pas d'ou ils peuvent venir, le pc est le poste famillial et nous ne sommes que 3 à y acceder, je le nettoie regulierement.
Si quelqu'un à une reponse.
Là je vais scanner les fichiers a partir de windows voir si il à autre chose, ah et les fichiers sont des fichiers syteme de windows, mon pc à deconné apres 'linstallation d'une mise à jour de windows.
EDIT: je vien de scanner les fichiers depuis windows avec Avast et rien n'est sorti les fichiers son clean les noms sont :
WSMPLPXY.DLL
WSMRES.DLL
WSMPROVHOST.EXE
chaque fichier est epinglé 2 fois par le scan minutieux d'avast, mais pris en individuel ils ne manifestent aucune infecion...
A voir également:
- Avast faux positif bootkit...
- Désinstaller avast - Télécharger - Antivirus & Antimalwares
- Avast gratuit - Télécharger - Antivirus & Antimalwares
- Fil noir et blanc positif ou négatif - Forum Matériel & Système
- Contacter avast par téléphone ✓ - Forum Antivirus
- Dri avast software - Forum Consommation & Internet
11 réponses
Bonjour
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.sosvirus.net/telecharger/zhpdiag/
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
# N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
# L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
.
Double-clique sur l'icône ZHPDiag pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »
Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Complet"
Laisse l'outil travailler, il peut être assez long.
Tutoriel :http://www.sosvirus.net/zhpdiag-nicolas-coolman-t82500.html
Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau
Pour transmettre le rapport clique sur ce lien:
http://upload.sosvirus.net/
Si problème utilise un des suivants
https://www.cjoint.com/
Regarde sur le bureau
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
@+
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.sosvirus.net/telecharger/zhpdiag/
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
# N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
# L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
.
Double-clique sur l'icône ZHPDiag pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »
Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Complet"
Laisse l'outil travailler, il peut être assez long.
Tutoriel :http://www.sosvirus.net/zhpdiag-nicolas-coolman-t82500.html
Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau
Pour transmettre le rapport clique sur ce lien:
http://upload.sosvirus.net/
Si problème utilise un des suivants
https://www.cjoint.com/
Regarde sur le bureau
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
@+
Très bien merci je vais faire ces manips et je te posterais le tout, là je viens de rescanner avec avast juste la partie ou se trouvent les fichiers et il ne trouve rien si sa peut aider...
Re
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Script ZHPFix
O4 - GS\Program [Public]: Adobe AIR Settings Manager.lnk . (...) -- C:\Program Files\Adobe AIR Settings Manager\Adobe AIR Settings Manager.exe
O4 - GS\QuickLaunch [benazouk]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://bitable.com
O4 - GS\Program [benazouk]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://bitable.com
O43 - CFD: 22/02/2014 - 23:37:26 - [] ----D C:\Program Files\Adobe AIR Settings Manager
O43 - CFD: 23/06/2013 - 08:43:00 - [] ----D C:\Users\benazouk\AppData\Roaming\app
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Mysearchdial) - http://start.mysearchdial.com
[MD5.20E0F55D8EEE970B135C93B254F2D064] [WIS][22/02/2014] (.Adobe Systems Incorporated - Adobe AIR Settings Manager.) -- C:\Windows\Installer\4877dd3.msi [22016]
[HKLM\Software\Classes\AppID\esrv.EXE]
C:\Program Files\Adobe AIR Settings Manager
C:\Windows\Installer\4877dd3.msi
ShortcutFix
EmptyPrefetch
FirewallRAZ
Emptytemp
EmptyCLSID
--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
Cliquer sur le bouton Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
* Clique sur le bouton GO pour lancer le nettoyage.
-> laisse travailler l'outil et ne touche à rien ...
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
Ce rapport est copié sur le bureau
( ce rapport est en outre sauvegardé dans ce dossier :
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)
Redémarre ton PC
@+
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
Script ZHPFix
O4 - GS\Program [Public]: Adobe AIR Settings Manager.lnk . (...) -- C:\Program Files\Adobe AIR Settings Manager\Adobe AIR Settings Manager.exe
O4 - GS\QuickLaunch [benazouk]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://bitable.com
O4 - GS\Program [benazouk]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://bitable.com
O43 - CFD: 22/02/2014 - 23:37:26 - [] ----D C:\Program Files\Adobe AIR Settings Manager
O43 - CFD: 23/06/2013 - 08:43:00 - [] ----D C:\Users\benazouk\AppData\Roaming\app
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Mysearchdial) - http://start.mysearchdial.com
[MD5.20E0F55D8EEE970B135C93B254F2D064] [WIS][22/02/2014] (.Adobe Systems Incorporated - Adobe AIR Settings Manager.) -- C:\Windows\Installer\4877dd3.msi [22016]
[HKLM\Software\Classes\AppID\esrv.EXE]
C:\Program Files\Adobe AIR Settings Manager
C:\Windows\Installer\4877dd3.msi
ShortcutFix
EmptyPrefetch
FirewallRAZ
Emptytemp
EmptyCLSID
--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
Cliquer sur le bouton Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix
NB (W8) : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
* Clique sur le bouton GO pour lancer le nettoyage.
-> laisse travailler l'outil et ne touche à rien ...
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
Ce rapport est copié sur le bureau
( ce rapport est en outre sauvegardé dans ce dossier :
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)
Redémarre ton PC
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
et voila le rapport
Rapport de ZHPFix 2014.10.24.12 par Nicolas Coolman, Update du 24/10/2014
Fichier d'export Registre :
Run by benazouk at 11/12/2014 12:09:47
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
Corbeille vidée (00mn 03s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur
========== Clés du Registre ==========
SUPPRIMÉ: SearchScopes :{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SUPPRIMÉ: HKLM\Software\Classes\AppID\esrv.EXE
========== Valeurs du Registre ==========
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
========== Fichiers ==========
SUPPRIMÉ: c:\programdata\microsoft\windows\start menu\programs\adobe air settings manager.lnk
SUPPRIMÉ: c:\program files\adobe air settings manager\adobe air settings manager.exe
SUPPRIMÉ: c:\users\benazouk\appdata\roaming\microsoft\internet explorer\quick launch\launch internet explorer browser.lnk (http://bitable.com)
CRÉÉ: C:\Users\benazouk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
SUPPRIMÉ: c:\users\benazouk\appdata\roaming\microsoft\windows\start menu\programs\internet explorer.lnk (http://bitable.com)
CRÉÉ: C:\Users\benazouk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
SUPPRIMÉ: C:\Windows\Installer\4877dd3.msi
SUPPRIMÉS Temporaires Windows (20565) (790 899 913 octets)
========== Récapitulatif ==========
2 : Clés du Registre
2 : Valeurs du Registre
1 : Dossiers
8 : Fichiers
End of clean in 01mn 57s
========== Chemin de fichier rapport ==========
C:\Users\benazouk\AppData\Roaming\ZHP\ZHPFix[R1].txt - 11/12/2014 12:09:50 [1715]
Rapport de ZHPFix 2014.10.24.12 par Nicolas Coolman, Update du 24/10/2014
Fichier d'export Registre :
Run by benazouk at 11/12/2014 12:09:47
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
Corbeille vidée (00mn 03s)
Dossier Prefetcher vidé
Réparation des raccourcis navigateur
========== Clés du Registre ==========
SUPPRIMÉ: SearchScopes :{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SUPPRIMÉ: HKLM\Software\Classes\AppID\esrv.EXE
========== Valeurs du Registre ==========
Aucune Valeur Standard Profile: FirewallRaz :
Aucune Valeur Domain Profile: FirewallRaz :
========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide
========== Fichiers ==========
SUPPRIMÉ: c:\programdata\microsoft\windows\start menu\programs\adobe air settings manager.lnk
SUPPRIMÉ: c:\program files\adobe air settings manager\adobe air settings manager.exe
SUPPRIMÉ: c:\users\benazouk\appdata\roaming\microsoft\internet explorer\quick launch\launch internet explorer browser.lnk (http://bitable.com)
CRÉÉ: C:\Users\benazouk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk
SUPPRIMÉ: c:\users\benazouk\appdata\roaming\microsoft\windows\start menu\programs\internet explorer.lnk (http://bitable.com)
CRÉÉ: C:\Users\benazouk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk
SUPPRIMÉ: C:\Windows\Installer\4877dd3.msi
SUPPRIMÉS Temporaires Windows (20565) (790 899 913 octets)
========== Récapitulatif ==========
2 : Clés du Registre
2 : Valeurs du Registre
1 : Dossiers
8 : Fichiers
End of clean in 01mn 57s
========== Chemin de fichier rapport ==========
C:\Users\benazouk\AppData\Roaming\ZHP\ZHPFix[R1].txt - 11/12/2014 12:09:50 [1715]
Re
On nettoie et finalise.
Télécharge DelFix de Xplode
Lance le.
Tu as 5 choix :
Réactiver l'UAC
Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
Purger la restauration de système
Réinitialisation des paramètres usine
Tu coches ceux qui sont en gras ci-dessus
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt
Le reste de la sécurité : http://www.sosvirus.net/viewtopic.php?f=241&t=410
Bloquage des publicités
installer Adblock pour :
Firefox :https://addons.mozilla.org/fr/firefox/addon/adblock-plus/
Chrome :https://chrome.google.com/webstore/detail/adblock-%E2%80%94-best-ad-blocker/gighmmpiobklfepjocnamgkkbiglidom?hl=fr
Pour Internet Explorer :https://www.commentcamarche.net/faq/16220-bloquer-les-fenetres-pop-up
Blocage des scripts
Firefox:https://addons.mozilla.org/fr/firefox/addon/noscript/
Chrome :https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf
Quelques sites des concepteurs:
ZHPDiag,ZHPCleaner et ZHPfix:https://nicolascoolman.eu
UsbFix:https://www.usbfix.net/
Adwcleaner,DelFix et autres outils:https://toolslib.net/
@+
On nettoie et finalise.
Télécharge DelFix de Xplode
Lance le.
Tu as 5 choix :
Réactiver l'UAC
Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
Purger la restauration de système
Réinitialisation des paramètres usine
Tu coches ceux qui sont en gras ci-dessus
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt
Le reste de la sécurité : http://www.sosvirus.net/viewtopic.php?f=241&t=410
Bloquage des publicités
installer Adblock pour :
Firefox :https://addons.mozilla.org/fr/firefox/addon/adblock-plus/
Chrome :https://chrome.google.com/webstore/detail/adblock-%E2%80%94-best-ad-blocker/gighmmpiobklfepjocnamgkkbiglidom?hl=fr
Pour Internet Explorer :https://www.commentcamarche.net/faq/16220-bloquer-les-fenetres-pop-up
Blocage des scripts
Firefox:https://addons.mozilla.org/fr/firefox/addon/noscript/
Chrome :https://chrome.google.com/webstore/detail/scriptsafe/oiigbmnaadbkfbmpbfijlflahbdbdgdf
Quelques sites des concepteurs:
ZHPDiag,ZHPCleaner et ZHPfix:https://nicolascoolman.eu
UsbFix:https://www.usbfix.net/
Adwcleaner,DelFix et autres outils:https://toolslib.net/
@+
merci beaucoup pour ton aide je suis plus rassuré.
Une toute petite question cependant, est-ce que j'avais bien des bootkit ou c'était un faux-positif?
Une toute petite question cependant, est-ce que j'avais bien des bootkit ou c'était un faux-positif?
