Antivirus avast à detecter malware et processus 'system'

vert -  
MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour, avast antivirus à detecter un malware puis dans le gestionnaire de tâche un processus se déclanche nom 'system' avec processus 'svchost', je veut avoir le coeur net, voila les fichiers texte de frst:
https://pjjoint.malekal.com/files.php?id=20210216_h9w12r14s7p14

https://pjjoint.malekal.com/files.php?id=FRST_20210216_k12q11h11e6e5

https://pjjoint.malekal.com/files.php?id=20210216_l13j7j8m14b8

15 réponses

  1. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    Bonjour,

    Avast détecte quoi au juste ?

    De plus , il te faut lancer FRST depuis un compte administrateur sinon , il n'a pas accès à tout et surtout télécharger la dernière version .

    Résultats d'analyse de  Farbar Recovery Scan Tool (FRST) (x64) Version: 08-03-2020 ([color=red]ATTENTION: ====> FRST la version date de 345 jours et est peut-être périmée[/color])
    Exécuté par compte standard (ATTENTION: L'utilisateur n'est pas administrateur) sur MAN-PC (ASUSTeK Computer Inc. U35JC) (16-02-2021 16:57:19)


    0
  2. vert
     
    Bonsoir, est ce que si j'exécute frst depuis le menu clic droit comme administrateur fera l'affaire où faut il l'exécuter depuis un compte administrateur?
    Cordialement.
    0
  3. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    Avast détecte quoi au juste ? 


    Tu peux le lancer depuis un profil standard puis clic droit administrateur
    0
  4. vert
     
    Bonsoir, merci de ta reponse, avast a détecter un fichier d'installation d'une application comme un malware-gen, avant il ne l'as pas détecter se temp là je l'ai déjà installer donc je veut avoir le coeur net de ne pas avoir installer un malware, j'ai aussi remarquer un processus du nom 'system' 'rundll32' et 'svchost' qui se déclanche quand je suis pas actif sur l'ordinateur pendans des dizaines de minutes.
    Cordialement.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    un processus du nom 'system' 'rundll32' et 'svchost'


    Les trois sont légitimes . Il faut les rapports pour voir ce qui tourne
    0
  7. vert
     
    Bonjour, voilà les rapports :

    https://pjjoint.malekal.com/files.php?id=20210217_e6e128l6b14

    https://pjjoint.malekal.com/files.php?id=FRST_20210217_p9m8n11q14o12

    https://pjjoint.malekal.com/files.php?id=20210217_r6d12l14w9y11

    Cordialement.
    0
  8. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    Re_

    Rien de spécial , juste quelques lignes obsolètes à supprimer .
    La seule ligne bizarre , mais je ne trouve rien dessus , est celle ci , ça te dit quelque chose ?
    HKLM\...\Run: [Setwallpaper] => c:\programdata\SetWallpaper.cmd

    0
  9. vert
     
    Bonjour, j'ai trouver ça en anglais:
    https://www.bleepingcomputer.com/forums/t/419327/setwallpapercmd-virus/

    Si je comprend bien c'est rien de méchant.
    Cordialement.
    0
  10. vert
     
    Bonjour, donc le fichier qu'a trouver avast comme malware est un fauxpositive?
    Cordialement.
    0
  11. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    Mouaif , le fait qu'il démarre depuis une clé run ne veut pas dire qu'il n'est pas nuisible .
    Un peu bizarre sa réponse .

    Pour voir si virustotal le trouve :

    --> Copie ce qui se trouve ci dessous de start:: à end:: (sans le coller nulle part)
    --> Ouvres FRST(ou FRST64) en administrateur et cliques sur Corriger
    --> Un fichier fixlog est créé au même endroit que FRST , postes le

    start::
    virustotal: c:\programdata\SetWallpaper.cmd
    end::

    0
  12. vert
     
    Bonjour, voilà ce qu'il y a dans le 'fixlog':

    fixlist contenu:
    
    
                                    • virustotal: c:\programdata\SetWallpaper.cmd*****************"VirusTotal: virustotal:" => non trouvé(e)"c:\programdata\SetWallpaper.cmd" => non trouvé(e)==== Fin de Fixlog 12:39:01 ====


    N.B: je me connecte pas à internet avec l'ordinateur concerner mais avec un autre appareil, le 'setwallpaper.cmd' existe dans le 'run' mais pas dans l'emplacement 'programdata/'
    0
  13. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    On peux virer la clé run alors .

    Fais comme au dessus avec ceci

    start::
    createrestorepoint:
    closeprocesses:
    HKLM\...\Run: [Setwallpaper] => c:\programdata\SetWallpaper.cmd
    c:\programdata\SetWallpaper.cmd
    SearchScopes: HKU\S-1-5-21-2363111832-463419307-2406409271-1002 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL =
    SearchScopes: HKU\S-1-5-21-2363111832-463419307-2406409271-1002 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
    BHO-x32: Pas de nom -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> Pas de fichier
    HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
    Task: {156B1F85-229A-4B65-8D00-6E8635C1D8FE} - System32\Tasks\AdwCleaner_onReboot => C:\Users\compte standard\Desktop\adwcleaner_8.0.3.exe [8199856 2020-03-06] (Malwarebytes Inc -> Malwarebytes)
    emptytemp:
    end::


    Pour info , tu sais que tu peux toujours passer à Win10 gratuitement ?
    Il te faudra peut être ajouter de la ram , mais ça doit le faire .
    https://www.lesnumeriques.com/ordinateur/tuto-comment-passer-gratuitement-de-windows-7-a-windows-10-a146227.html
    0
  14. vert
     
    Bonjour, voilà le lien pour le fixlog.txt:

    https://pjjoint.malekal.com/files.php?id=20210218_w12t14r12t11e8

    Cordialement.
    0
  15. vert
     
    Bonjour, pour le fichier qu'a trouver avast comme malware j'ai mis son hash sur virustotal voilà ce que ça donne:

    https://www.virustotal.com/gui/file/38d98e6ee1f1b0895237e7af769e5c72fe3e2ddfa062e1bb7b575a577906d3e1/detection

    Peut être que malgré ça c'est un faux positif car c'est un outil gratuit de flashage de smartphone!
    Cordialement.
    0
  16. MisteryBean Messages postés 8948 Date d'inscription   Statut Modérateur Dernière intervention   1 292
     
    RE_

    Il y a aussi celui ci : https://www.virustotal.com/gui/file/671971328b7fd45d5066b968d241c441f040456edc62074e359dcbb36945f86a/detection

    Ce n'est pas probant , les principaux antivirus ne détecte rien de particulier , mais je pense que c'est plus au niveau comportement , car si c'est pour flasher des roots , les AV n'aiment pas ça et comme il n'est pas signé , c'est un riskware (pas de données sur la sécurité et le suivi comme pour quicktime par exemple) .

    Pour moi , c'est OK , tu peux mettre ne résolu .

    Pour supprimer automatiquement tous les fichiers/dossiers créés par FRST et l'outil lui-même, renomme FRST/FRST64.exe en uninstall.exe et exécute-le.
    La procédure nécessite un redémarrage
    0