Avast et les RootKits
teutates
Messages postés
19624
Date d'inscription
Statut
Modérateur
Dernière intervention
-
teutates Messages postés 19624 Date d'inscription Statut Modérateur Dernière intervention -
teutates Messages postés 19624 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour,
Suite à un grave problème dont je vous passe les détails, j'ai du formater entièrement le disque dur pour réinstaller Windows XP (sur le PC de mes voisins).
Donc, comme points de départ, la situation est la suivante :
- un seul disque dur reformaté entièrement et ne comportant qu'une unique partition,
- Windows XP SP2 réinstallé très fraichement,
- Avast 4.8.1169 (dernière version disponible),
- ZoneAlarm,
- le strict minimum de logiciels installés (Microsoft Office XP seulement).
Tant que le système n'était pas sécurisé (ZA + Avast), Internet n'a été utilisé que très furtivement pour les seuls enregistrements en ligne des rares logiciels. Autant dire 1 minute maximum environ .... mais je sais que ce laps de temps peux suffire à chopper une grosse saloperie !
Bref, dès Avast validé, l'antivirus signale au démarrage 4 rootkits (sur un système "neuf" !) :
- c:/Windows/system32/userinit.exe
- PID 2404
- c:/Windows/system32/WBEM/wmiprvse.exe
- c:/Windows/system32/wuauclt.exe
Dans un premier temps, j'ai démandé la "réparation" du problème par Avast .... qui n'y parvient jamais puisque l'anti-virus repointe à chaque démarrage suivant le rootkit !
Dans un second temps, AD-Aware pointe les "trucs" habituels (cookies) mais pas un seul rootkit !
J'ai vérifié sur mon propre système Windows XP (sain) :
- userinit.exe : présent mais le fichier peut être corrompu
- PID 2404 : je ne sais même pas ce que ca représente sauf peut-être le numéro d'exécution d'un programme obscur ?!
- wmiprvse.exe : présent mais le fichier peut être corrompu
- wuauclt.exe : absent chez moi mais cela n'est peut-être pas indicatif.
Une recherche sur le Web ne donne rien de significatif dans mon cas. Mais vu que l'intégration de fonctionnalités anti-rootkit et anti-troyen sont récentes dans Avast, j'en viens à me demander si ce ne serait pas là une mauvaise détection, puisque, pour rappel, tout a été entièrement formaté et que la réinstallation est vraiment très fraîche.
Une piste ?
Merci par avance ;-)
Suite à un grave problème dont je vous passe les détails, j'ai du formater entièrement le disque dur pour réinstaller Windows XP (sur le PC de mes voisins).
Donc, comme points de départ, la situation est la suivante :
- un seul disque dur reformaté entièrement et ne comportant qu'une unique partition,
- Windows XP SP2 réinstallé très fraichement,
- Avast 4.8.1169 (dernière version disponible),
- ZoneAlarm,
- le strict minimum de logiciels installés (Microsoft Office XP seulement).
Tant que le système n'était pas sécurisé (ZA + Avast), Internet n'a été utilisé que très furtivement pour les seuls enregistrements en ligne des rares logiciels. Autant dire 1 minute maximum environ .... mais je sais que ce laps de temps peux suffire à chopper une grosse saloperie !
Bref, dès Avast validé, l'antivirus signale au démarrage 4 rootkits (sur un système "neuf" !) :
- c:/Windows/system32/userinit.exe
- PID 2404
- c:/Windows/system32/WBEM/wmiprvse.exe
- c:/Windows/system32/wuauclt.exe
Dans un premier temps, j'ai démandé la "réparation" du problème par Avast .... qui n'y parvient jamais puisque l'anti-virus repointe à chaque démarrage suivant le rootkit !
Dans un second temps, AD-Aware pointe les "trucs" habituels (cookies) mais pas un seul rootkit !
J'ai vérifié sur mon propre système Windows XP (sain) :
- userinit.exe : présent mais le fichier peut être corrompu
- PID 2404 : je ne sais même pas ce que ca représente sauf peut-être le numéro d'exécution d'un programme obscur ?!
- wmiprvse.exe : présent mais le fichier peut être corrompu
- wuauclt.exe : absent chez moi mais cela n'est peut-être pas indicatif.
Une recherche sur le Web ne donne rien de significatif dans mon cas. Mais vu que l'intégration de fonctionnalités anti-rootkit et anti-troyen sont récentes dans Avast, j'en viens à me demander si ce ne serait pas là une mauvaise détection, puisque, pour rappel, tout a été entièrement formaté et que la réinstallation est vraiment très fraîche.
Une piste ?
Merci par avance ;-)
A voir également:
- Avast et les RootKits
- Désinstaller avast - Télécharger - Antivirus & Antimalwares
- Avast gratuit - Télécharger - Antivirus & Antimalwares
- Contacter avast par téléphone ✓ - Forum Antivirus
- Dri avast software - Forum Consommation & Internet
- Desinstaller avast secure browser ✓ - Forum Virus
39 réponses
C'est ça ta réponse déjà répondu ? Bah alors là ! Clap clap cela en montre beaucoup sur tes connaissances sur la lecture d'un rapport hijackthis et de Windows tout court.
Bah moi aussi j'me casse j'suis outré, le monde devient fou et CCM a bien changé (0_ô)
Alors bon kiff à toi ! Et bonne chasse aux vers et rootkits je viendrais lire la fin pour admirer tous les vilains malwares détectés.
Moi j'laisse pas ma main, car j'en ai b'soin ! Ciao
Bah moi aussi j'me casse j'suis outré, le monde devient fou et CCM a bien changé (0_ô)
Alors bon kiff à toi ! Et bonne chasse aux vers et rootkits je viendrais lire la fin pour admirer tous les vilains malwares détectés.
Moi j'laisse pas ma main, car j'en ai b'soin ! Ciao
bonjour
a titre d'information seulement !
si le MBR ( Master Boord Rekord) est infecté ,
vous pouvez tout essayer , un formatage ne peut supprimer l'infection !
dans ce cas le DD est a remplacer !
a titre d'information seulement !
si le MBR ( Master Boord Rekord) est infecté ,
vous pouvez tout essayer , un formatage ne peut supprimer l'infection !
dans ce cas le DD est a remplacer !
Si Green (coucou Green :P) te contredit, c'est qu'il y a une raison et moi aussi je t'ai contredit (lire plus haut), j'avais pas vu les réponses faites entre temps. Faut arrêter de voir des vers partout surtout quand il y en a pas.
userinit.exe est un processus natif de Windows, t'as pas de Windows ? Bah dit donc .. (j'aime bin dir ça ;O)
Par contre j'aimerais bien qu'à ton tour tu me contredises parce que ça m'intéresse ou que tu répondes à ma question ça suffira.
userinit.exe est un processus natif de Windows, t'as pas de Windows ? Bah dit donc .. (j'aime bin dir ça ;O)
Par contre j'aimerais bien qu'à ton tour tu me contredises parce que ça m'intéresse ou que tu répondes à ma question ça suffira.
C'est très touchant tout ça, mais faut il encore savoir admettre ses limites, et accepter la critique ...
On n'argumente pas par des "je sais" ...
Ne voulant pas pénaliser Teutates :
télécharge ceci :https://www.commentcamarche.net/telecharger/ 34055379 malwarebyte s anti malware
* Installez le programme sur le bureau :
o S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
* Faites les mises à jour (clic sur Mises à jour puis Recherche de mises à jour)
* Démarrez en mode sans échec
* Lancez le MalwareByte's Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous tes disques durs
* Une fois le scan terminé, cliquez sur supprimer (si un message demande à redémarrer le PC, acceptez !)
* Un rapport sera généré, enregistrez le de manière à le retrouver
==> poste le stp !
++
On n'argumente pas par des "je sais" ...
Ne voulant pas pénaliser Teutates :
télécharge ceci :https://www.commentcamarche.net/telecharger/ 34055379 malwarebyte s anti malware
* Installez le programme sur le bureau :
o S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
* Faites les mises à jour (clic sur Mises à jour puis Recherche de mises à jour)
* Démarrez en mode sans échec
* Lancez le MalwareByte's Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous tes disques durs
* Une fois le scan terminé, cliquez sur supprimer (si un message demande à redémarrer le PC, acceptez !)
* Un rapport sera généré, enregistrez le de manière à le retrouver
==> poste le stp !
++
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut,
avast n'est pas un antivirus réactif, il est toujours en retard sur les nouveau virus (il les détecte une fois l'infection établi)
Fait un scan en ligne pour commencer puis un rapport hijackthis :
fait un scan en ligne avec internet explore, si tu as firefox fait:
démarrer -> executer -> tape : iexplore (puis valide)
(coche toutes les cases à chaque fois) :
https://www.eset.com/
à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm
3/
Ensuite une fois fini fait un rapport hijackthis :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
tu le télécharges, tu le lances et tu cliquera sur le premier bouton en haut "Do a system scan and save a logfile"
tu colleras le fichier texte ici ;).
PS : Ne fermes pas le programme
avast n'est pas un antivirus réactif, il est toujours en retard sur les nouveau virus (il les détecte une fois l'infection établi)
Fait un scan en ligne pour commencer puis un rapport hijackthis :
fait un scan en ligne avec internet explore, si tu as firefox fait:
démarrer -> executer -> tape : iexplore (puis valide)
(coche toutes les cases à chaque fois) :
https://www.eset.com/
à la fin colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt
si ta besoin d'aide tu as un tutoriel ici : http://bibou0007.com/tutos-et-lexique-f45/tutorial-nod32-online-scanner-t128.htm
3/
Ensuite une fois fini fait un rapport hijackthis :
https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html
tu le télécharges, tu le lances et tu cliquera sur le premier bouton en haut "Do a system scan and save a logfile"
tu colleras le fichier texte ici ;).
PS : Ne fermes pas le programme
Résultat du scan en ligne : négatif
Résultat hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:01, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
J:\HijackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxxxxxxxx
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Résultat hijackthis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:24:01, on 13/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
J:\HijackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxxxxxxxx
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
je ne vois rien hormis que java n'est pas à jour (et à des failles de sécurités)
mettre a jour : https://www.java.com/fr/
mettre a jour : https://www.java.com/fr/
Hello
Moi je vois :
Symantec est mal désinstallé
IE n'est pas à jour
Si tu as un doute sur les processus dont tu parles, fais les analyser chez VirusTotal
https://www.virustotal.com/gui/
Essaye d'autres utilitaires pour essayer de détecter un quelconque rootkit, prends Gmer ou Rootkit Revealer. Prends en plusieurs ça mange pas d'pain. ;-)
Moi je vois :
Symantec est mal désinstallé
IE n'est pas à jour
Si tu as un doute sur les processus dont tu parles, fais les analyser chez VirusTotal
https://www.virustotal.com/gui/
Essaye d'autres utilitaires pour essayer de détecter un quelconque rootkit, prends Gmer ou Rootkit Revealer. Prends en plusieurs ça mange pas d'pain. ;-)
Java : ca va être mis à jour
IE : idem
Norton : je vais sévir dans la base de registre et avec CCleaner
Merci ;-)
IE : idem
Norton : je vais sévir dans la base de registre et avec CCleaner
Merci ;-)
Bonjour
Sur un Xp pro sp2
C:\WINDOWS\system32\wuauclt.exe
Version 7.0.6000.381 , 53080 octets
Présent, pas détecté par Avast 4.8
Remarque, il est 2 fois dans ton hijackthis
Sur un Xp pro sp2
C:\WINDOWS\system32\wuauclt.exe
Version 7.0.6000.381 , 53080 octets
Présent, pas détecté par Avast 4.8
Remarque, il est 2 fois dans ton hijackthis
Pourquoi vous vous disputez chaque fois
La remarque sur une interprétation dans un cas concret permet de confronter les expériences qui souvent orientent une façon différente de poursuivre le traitement.
le savoir de l' un peut se diffuser à cette occasion.
Comment ne confronter que les expériences.
Pourquoi c' est les filles qui s' en vont.
Vous êtes tous formidables.
La remarque sur une interprétation dans un cas concret permet de confronter les expériences qui souvent orientent une façon différente de poursuivre le traitement.
le savoir de l' un peut se diffuser à cette occasion.
Comment ne confronter que les expériences.
Pourquoi c' est les filles qui s' en vont.
Vous êtes tous formidables.
Salut
oups ! je viens juste de le voir ! :)
wuauclt.exe : le nombre de ce processus n'est pas significatif je pense, même si dans certain cas, il cache une bébétte !
soit ce sont des fichiers sains infectés, soit leur comportement sont détectés par avast comme un ce d'un rootkit, soit ...
petite vérif :
Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
++
oups ! je viens juste de le voir ! :)
wuauclt.exe : le nombre de ce processus n'est pas significatif je pense, même si dans certain cas, il cache une bébétte !
soit ce sont des fichiers sains infectés, soit leur comportement sont détectés par avast comme un ce d'un rootkit, soit ...
petite vérif :
Télécharger ComboFix (par sUBs) sur le Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Démarrer en mode sans echec
* Double cliquer combofix.exe.
* Appuyer sur la touche Y (Yes) pour démarrer le scan
* Le rapport sera crée dans: C:\Combofix.txt, poste le stp
++
comme ça ! :)
# Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
++
# Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée.
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal !
(Si F8 ne marche pas utilise la touche F5).
++
J:\HijackThis\HiJackThis.exe
Hijack this est mal installé... tu dois l'installer sur le C (pour les backups suppression)..
J'ai plusieurs commentaires à faire...
Est-ce un pc de marque ?
Car je crois que tu n'as pas formater, mais réinstallé le ghost, le recovery d'xp tout simplement
Le formatage écrase certe mais pas la réinstallation d'un recovery (comme pour acer ou dell).
Car pour informations = c:/Windows/system32/userinit.exe
C'est un ver, bien plus coriace qu'un virus => http://translate.google.com/...
Je te recommande vivement de passer ton pc sous scan F-secure en ligne , tout est clair sur cette page =>http://support.f-secure.com/fra/home/ols.shtml
Tu devras le faire avec IE et accepter l'active X
C'est le défaut d'Avast une fois de plus, il cilble très mal les infections !!!!
Teutates tu devrai installer Antivir (selon moi) concernant Avast, je ne sais pas si tu es au courant ? =>https://web3004.forumperso.com/t9-avast-et-antivir-comparatif-2008
La suite =>https://web3004.forumperso.com/t10-avast-antivir-suite
Hijack this est mal installé... tu dois l'installer sur le C (pour les backups suppression)..
J'ai plusieurs commentaires à faire...
Est-ce un pc de marque ?
Car je crois que tu n'as pas formater, mais réinstallé le ghost, le recovery d'xp tout simplement
Le formatage écrase certe mais pas la réinstallation d'un recovery (comme pour acer ou dell).
Car pour informations = c:/Windows/system32/userinit.exe
C'est un ver, bien plus coriace qu'un virus => http://translate.google.com/...
Je te recommande vivement de passer ton pc sous scan F-secure en ligne , tout est clair sur cette page =>http://support.f-secure.com/fra/home/ols.shtml
Tu devras le faire avec IE et accepter l'active X
C'est le défaut d'Avast une fois de plus, il cilble très mal les infections !!!!
Teutates tu devrai installer Antivir (selon moi) concernant Avast, je ne sais pas si tu es au courant ? =>https://web3004.forumperso.com/t9-avast-et-antivir-comparatif-2008
La suite =>https://web3004.forumperso.com/t10-avast-antivir-suite
J:\HijackThis\HiJackThis.exe
Hijackthis peut-être installé là ou il est ça ne pose aucun probème de sauvegarde, tu peux l'installer dans tes documents, sur le bureau cela ne changera rien, j'vois pas l'rapport là.
C:\Windows\system32\userinit.exe
Ceci n'est pas un vers, qu'est-ce tu racontes ? C'est un composant natif de Windows et je vois pas comment en un coup d'oeil ce qui te permet de dire que c'est un ver.
Par ce qu'il est situé là F2 - REG:system.ini: UserInit=userinit.exe aucun rapport.
Par contre il y aurait eu F2 - REG:system.ini: UserInit=userinit.exe,nuisible.exe là Ok.
La présence de F2 - REG:system.ini: UserInit=userinit.exe ne veut strictement pas dire infection et le reste du temps à vérifier, car ça peut-être utile. Dans un tel cas, c'est pas infectieux.
Bah dit donc.
Hijackthis peut-être installé là ou il est ça ne pose aucun probème de sauvegarde, tu peux l'installer dans tes documents, sur le bureau cela ne changera rien, j'vois pas l'rapport là.
C:\Windows\system32\userinit.exe
Ceci n'est pas un vers, qu'est-ce tu racontes ? C'est un composant natif de Windows et je vois pas comment en un coup d'oeil ce qui te permet de dire que c'est un ver.
Par ce qu'il est situé là F2 - REG:system.ini: UserInit=userinit.exe aucun rapport.
Par contre il y aurait eu F2 - REG:system.ini: UserInit=userinit.exe,nuisible.exe là Ok.
La présence de F2 - REG:system.ini: UserInit=userinit.exe ne veut strictement pas dire infection et le reste du temps à vérifier, car ça peut-être utile. Dans un tel cas, c'est pas infectieux.
Bah dit donc.
En fait, je me demande si la faute du problème initial ne viendrait pas justement d'Avast ??
Avant le formatage, il y avait déjà ZA et Avast (dernières versions) .... et la démo de Norton que je ne suis jamais arrivé à pouvoir désinstaller. J'avais donc désactivé Norton. Une saloperie est arrivée pour empêcher totalement de se logguer sur un compte utilisateur. Et je me demande si Avast n'aurait déjà pas laissé passer la saleté ??!!!
Avant le formatage, il y avait déjà ZA et Avast (dernières versions) .... et la démo de Norton que je ne suis jamais arrivé à pouvoir désinstaller. J'avais donc désactivé Norton. Une saloperie est arrivée pour empêcher totalement de se logguer sur un compte utilisateur. Et je me demande si Avast n'aurait déjà pas laissé passer la saleté ??!!!
ok, de 2 choses l'une, pour confirmation j'ai demandé à teutates d'installer avg+ asquared free
Et enfin nous verrons bien si toi ou d'autres helpers ont raison !
ensuite, donc cette phrase confirme mes propos concernant avast ? non ? =>Dans un tel cas, c'est pas infectieux.
Bah dit donc.
Alors je m'adresse justement à vous les experts... Pourqoui AVAST aurait-il fait ces remarques qui nous divergent... ??????????
Et enfin nous verrons bien si toi ou d'autres helpers ont raison !
ensuite, donc cette phrase confirme mes propos concernant avast ? non ? =>Dans un tel cas, c'est pas infectieux.
Bah dit donc.
Alors je m'adresse justement à vous les experts... Pourqoui AVAST aurait-il fait ces remarques qui nous divergent... ??????????
Hickjackthis : je l'avais fais depuis une clé USB effectivement ! Voici donc le nouveau résultat depuis C:/
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:15:07, on 13/04/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe C:\Program Files\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe C:\Program Files\Alwil Software\Avast4\ashWebSv.exe C:\Program Files\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Corel\Corel Paint Shop Pro X\Paint Shop Pro X.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\ctfmon.exe D:\setup.exe D:\Setup\hpzwrp01.exe D:\drivers\dot4\wrapper\Wrapper.exe D:\drivers\dot4\wrapper\Setup.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\maintenance\Mes documents\Sauvegardes\HijackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.xxxxxxxxx.fr R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=374 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alice ADSL R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0\bin\jusched.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AliceSAV] C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: HPZRCV01.LNK = C:\Program Files\HP\Temp\{342C7C88-D335-4bc2-8CF1-281857629CE2}\setup\hpzrcv01.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - https://www.eset.com/ O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/... O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 5329 bytes
Patience :
Je refait l'analyse antivirus en ligne pendant que je perds du temps pour installer les pilotes imprimante-scanner HP en ligne (près de 700 Mo). Ca me "bloque" pour le combo !!
Je refait l'analyse antivirus en ligne pendant que je perds du temps pour installer les pilotes imprimante-scanner HP en ligne (près de 700 Mo). Ca me "bloque" pour le combo !!
qu'est ce qui bloque ?
ok, teutates tu risques d'avoir plusieurs avis concernant ce problème..
Quant à moi, j'oublie 5 secondes d'affilés ton statut, et te viens en aide comme je l'aurai fait pour n'importe qu'elle internaute...
Donc, merci green de ne pas à chaque fois me contredire... c'est un peu pénible à force...
Je respecte le faite que tu sois experte dans la désinfect, pas de doute la dessus, mais quand je pense, je confirme que c'est un ver, merci pour une fois de me faire confiance...
Pourquoi j'affirme ?
Suite à un grave problème dont je vous passe les détails, j'ai du formater entièrement le disque dur pour réinstaller Windows XP (sur le PC de mes voisins).
c:/Windows/system32/userinit.exe selon moi c'est un ver...
PID 2404 = Transmis par le Peer 2 Peer
Je pense qu'il serait sympa de commencer la désinfect par le commencement, comme nous le faisons aux internautes... C'est à dire par la force douce...
NB : Met à jour java de suite ,c'est important =>https://www.java.com/fr/
Ok
Tu dois télécharger AVG antispyware =>http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware
Ensuite A-squared free =>http://www.commentcamarche.net/telecharger/telecharger 224 a squared
tuto installation =>http://pitcatsite.ovh.org/php/a2free.php
CCleaner est un utilitaire de nettoyage gratuit permettant de garantir un respect de la vie privée en supprimant les fichiers d'historique et de cache du système. Il supprime les traces d'activité, telles que: Fichiers temporaires de Windows ...
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
tuto installation =https://forums.cnetfrance.fr
A l'installation pensez à décocher l'installation de Yahoo toolbar discrètement proposée en plus de CCleaner.
Ok, fais la mise à jours des programmes...
redémarre en mode sans echec (Comment faire? ...) Redémarres ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarres ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte habituel, et surtout pas l'administrateur !
Démarres ensuite AVG Anti-Spyware
Clic sur Analyse
Clicz sur Analyse complète du système pour commencer le scan.
Une fois que le scan a fini à 100%, clic sur Appliquer à toutes les actions, pour supprimer tous les fichiers infectés trouvés par AVG Anti-Spyware.
Une fois que la suppression des fichiers infectés a été faite, clic sur Save Report.
La partie rapports d'AVG Anti-Spyware s'affiche ensuite.
Clic sur Enregistrer le rapport et sauvegardez-le sur le bureau.
Lance asquared free scan complet...
Pour ccleaner :
CCleaner : lances le, ensuite cliquez sur le bouton 'Nettoyeur'. Cochez les cases correspondantes aux éléments que vous souhaitez supprimer. Pour effacer toutes vos traces de navigation et alléger votre système, sélectionnez toutes les options. Cliquez ensuite sur l'onglet 'Applications' et renouvelez l'opération. Lorsque terminé, cliquez sur le bouton 'Analyse'. Après quelques instants, Ccleaner vous présente la quantité d'espace que vous récupérerez, et la liste des fichiers qui seront supprimés.
NB : Vérifies que cette liste ne contient pas vos fichiers de données, puis cliquez sur le bouton 'Lancer le nettoyage', ensuite cliquer sur 'Ok'.
Dans la fenêtre de Ccleaner, cliquer sur le bouton 'Erreurs', cochez toutes les options puis cliquez sur le bouton 'Chercher des erreurs' 'Réparer les erreurs sélectionnées'. Confirmez la sauvegarde de l'actuel registre en cliquant sur le bouton 'Oui'. Donnez un nom au fichier et enregistrez-le.
Avast en mode sans èchec... ;(
Ensuite un rapport hijack tout neuf...
Bon courage surtout...
Quant à moi, j'oublie 5 secondes d'affilés ton statut, et te viens en aide comme je l'aurai fait pour n'importe qu'elle internaute...
Donc, merci green de ne pas à chaque fois me contredire... c'est un peu pénible à force...
Je respecte le faite que tu sois experte dans la désinfect, pas de doute la dessus, mais quand je pense, je confirme que c'est un ver, merci pour une fois de me faire confiance...
Pourquoi j'affirme ?
Suite à un grave problème dont je vous passe les détails, j'ai du formater entièrement le disque dur pour réinstaller Windows XP (sur le PC de mes voisins).
c:/Windows/system32/userinit.exe selon moi c'est un ver...
PID 2404 = Transmis par le Peer 2 Peer
Je pense qu'il serait sympa de commencer la désinfect par le commencement, comme nous le faisons aux internautes... C'est à dire par la force douce...
NB : Met à jour java de suite ,c'est important =>https://www.java.com/fr/
Ok
Tu dois télécharger AVG antispyware =>http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware
Ensuite A-squared free =>http://www.commentcamarche.net/telecharger/telecharger 224 a squared
tuto installation =>http://pitcatsite.ovh.org/php/a2free.php
CCleaner est un utilitaire de nettoyage gratuit permettant de garantir un respect de la vie privée en supprimant les fichiers d'historique et de cache du système. Il supprime les traces d'activité, telles que: Fichiers temporaires de Windows ...
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
tuto installation =https://forums.cnetfrance.fr
A l'installation pensez à décocher l'installation de Yahoo toolbar discrètement proposée en plus de CCleaner.
Ok, fais la mise à jours des programmes...
redémarre en mode sans echec (Comment faire? ...) Redémarres ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarres ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte habituel, et surtout pas l'administrateur !
Démarres ensuite AVG Anti-Spyware
Clic sur Analyse
Clicz sur Analyse complète du système pour commencer le scan.
Une fois que le scan a fini à 100%, clic sur Appliquer à toutes les actions, pour supprimer tous les fichiers infectés trouvés par AVG Anti-Spyware.
Une fois que la suppression des fichiers infectés a été faite, clic sur Save Report.
La partie rapports d'AVG Anti-Spyware s'affiche ensuite.
Clic sur Enregistrer le rapport et sauvegardez-le sur le bureau.
Lance asquared free scan complet...
Pour ccleaner :
CCleaner : lances le, ensuite cliquez sur le bouton 'Nettoyeur'. Cochez les cases correspondantes aux éléments que vous souhaitez supprimer. Pour effacer toutes vos traces de navigation et alléger votre système, sélectionnez toutes les options. Cliquez ensuite sur l'onglet 'Applications' et renouvelez l'opération. Lorsque terminé, cliquez sur le bouton 'Analyse'. Après quelques instants, Ccleaner vous présente la quantité d'espace que vous récupérerez, et la liste des fichiers qui seront supprimés.
NB : Vérifies que cette liste ne contient pas vos fichiers de données, puis cliquez sur le bouton 'Lancer le nettoyage', ensuite cliquer sur 'Ok'.
Dans la fenêtre de Ccleaner, cliquer sur le bouton 'Erreurs', cochez toutes les options puis cliquez sur le bouton 'Chercher des erreurs' 'Réparer les erreurs sélectionnées'. Confirmez la sauvegarde de l'actuel registre en cliquant sur le bouton 'Oui'. Donnez un nom au fichier et enregistrez-le.
Avast en mode sans èchec... ;(
Ensuite un rapport hijack tout neuf...
Bon courage surtout...