Antivirus avast à detecter malware et processus 'system'

Signaler
-
Messages postés
1901
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
23 février 2021
-
Bonjour, avast antivirus à detecter un malware puis dans le gestionnaire de tâche un processus se déclanche nom 'system' avec processus 'svchost', je veut avoir le coeur net, voila les fichiers texte de frst:
https://pjjoint.malekal.com/files.php?id=20210216_h9w12r14s7p14

https://pjjoint.malekal.com/files.php?id=FRST_20210216_k12q11h11e6e5

https://pjjoint.malekal.com/files.php?id=20210216_l13j7j8m14b8

15 réponses

Messages postés
1901
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
23 février 2021
305
Bonjour,

Avast détecte quoi au juste ?

De plus , il te faut lancer FRST depuis un compte administrateur sinon , il n'a pas accès à tout et surtout télécharger la dernière version .

Résultats d'analyse de  Farbar Recovery Scan Tool (FRST) (x64) Version: 08-03-2020 ([color=red]ATTENTION: ====> FRST la version date de 345 jours et est peut-être périmée[/color])
Exécuté par compte standard (ATTENTION: L'utilisateur n'est pas administrateur) sur MAN-PC (ASUSTeK Computer Inc. U35JC) (16-02-2021 16:57:19)


Bonsoir, est ce que si j'exécute frst depuis le menu clic droit comme administrateur fera l'affaire où faut il l'exécuter depuis un compte administrateur?
Cordialement.
Messages postés
1901
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
23 février 2021
305
RE_

Avast détecte quoi au juste ? 


Tu peux le lancer depuis un profil standard puis clic droit administrateur
Bonsoir, merci de ta reponse, avast a détecter un fichier d'installation d'une application comme un malware-gen, avant il ne l'as pas détecter se temp là je l'ai déjà installer donc je veut avoir le coeur net de ne pas avoir installer un malware, j'ai aussi remarquer un processus du nom 'system' 'rundll32' et 'svchost' qui se déclanche quand je suis pas actif sur l'ordinateur pendans des dizaines de minutes.
Cordialement.
Messages postés
1901
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
23 février 2021
305
RE_

un processus du nom 'system' 'rundll32' et 'svchost'


Les trois sont légitimes . Il faut les rapports pour voir ce qui tourne
Bonjour, voilà les rapports :

https://pjjoint.malekal.com/files.php?id=20210217_e6e128l6b14

https://pjjoint.malekal.com/files.php?id=FRST_20210217_p9m8n11q14o12


https://pjjoint.malekal.com/files.php?id=20210217_r6d12l14w9y11

Cordialement.
Messages postés
1901
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
23 février 2021
305
Re_

Rien de spécial , juste quelques lignes obsolètes à supprimer .
La seule ligne bizarre , mais je ne trouve rien dessus , est celle ci , ça te dit quelque chose ?
HKLM\...\Run: [Setwallpaper] => c:\programdata\SetWallpaper.cmd

Bonjour, j'ai trouver ça en anglais:
https://www.bleepingcomputer.com/forums/t/419327/setwallpapercmd-virus/

Si je comprend bien c'est rien de méchant.
Cordialement.
Bonjour, donc le fichier qu'a trouver avast comme malware est un fauxpositive?
Cordialement.
Messages postés
1901
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
23 février 2021
305
Mouaif , le fait qu'il démarre depuis une clé run ne veut pas dire qu'il n'est pas nuisible .
Un peu bizarre sa réponse .

Pour voir si virustotal le trouve :

--> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)
--> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
--> Un fichier fixlog est créé au même endroit que FRST , postes le

start::
virustotal: c:\programdata\SetWallpaper.cmd
end::

Bonjour, voilà ce qu'il y a dans le 'fixlog':

fixlist contenu:

                                  • virustotal: c:\programdata\SetWallpaper.cmd*****************"VirusTotal: virustotal:" => non trouvé(e)"c:\programdata\SetWallpaper.cmd" => non trouvé(e)==== Fin de Fixlog 12:39:01 ====


N.B: je me connecte pas à internet avec l'ordinateur concerner mais avec un autre appareil, le 'setwallpaper.cmd' existe dans le 'run' mais pas dans l'emplacement 'programdata/'
Messages postés
1901
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
23 février 2021
305
RE_

On peux virer la clé run alors .

Fais comme au dessus avec ceci

start::
createrestorepoint:
closeprocesses:
HKLM\...\Run: [Setwallpaper] => c:\programdata\SetWallpaper.cmd
c:\programdata\SetWallpaper.cmd
SearchScopes: HKU\S-1-5-21-2363111832-463419307-2406409271-1002 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
SearchScopes: HKU\S-1-5-21-2363111832-463419307-2406409271-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
BHO-x32: Pas de nom -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Pas de fichier
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {156B1F85-229A-4B65-8D00-6E8635C1D8FE} - System32\Tasks\AdwCleaner_onReboot => C:\Users\compte standard\Desktop\adwcleaner_8.0.3.exe [8199856 2020-03-06] (Malwarebytes Inc -> Malwarebytes)
emptytemp:
end::


Pour info , tu sais que tu peux toujours passer à Win10 gratuitement ?
Il te faudra peut être ajouter de la ram , mais ça doit le faire .
https://www.lesnumeriques.com/ordinateur/tuto-comment-passer-gratuitement-de-windows-7-a-windows-10-a146227.html
Bonjour, voilà le lien pour le fixlog.txt:

https://pjjoint.malekal.com/files.php?id=20210218_w12t14r12t11e8

Cordialement.
Bonjour, pour le fichier qu'a trouver avast comme malware j'ai mis son hash sur virustotal voilà ce que ça donne:

https://www.virustotal.com/gui/file/38d98e6ee1f1b0895237e7af769e5c72fe3e2ddfa062e1bb7b575a577906d3e1/detection

Peut être que malgré ça c'est un faux positif car c'est un outil gratuit de flashage de smartphone!
Cordialement.
Messages postés
1901
Date d'inscription
jeudi 19 décembre 2019
Statut
Contributeur sécurité
Dernière intervention
23 février 2021
305
RE_

Il y a aussi celui ci : https://www.virustotal.com/gui/file/671971328b7fd45d5066b968d241c441f040456edc62074e359dcbb36945f86a/detection

Ce n'est pas probant , les principaux antivirus ne détecte rien de particulier , mais je pense que c'est plus au niveau comportement , car si c'est pour flasher des roots , les AV n'aiment pas ça et comme il n'est pas signé , c'est un riskware (pas de données sur la sécurité et le suivi comme pour quicktime par exemple) .

Pour moi , c'est OK , tu peux mettre ne résolu .

Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.
La procédure nécessite un redémarrage