Avast et les RootKits

teutates Messages postés 19847 Statut Modérateur -  
teutates Messages postés 19847 Statut Modérateur -
Bonjour,

Suite à un grave problème dont je vous passe les détails, j'ai du formater entièrement le disque dur pour réinstaller Windows XP (sur le PC de mes voisins).

Donc, comme points de départ, la situation est la suivante :
- un seul disque dur reformaté entièrement et ne comportant qu'une unique partition,
- Windows XP SP2 réinstallé très fraichement,
- Avast 4.8.1169 (dernière version disponible),
- ZoneAlarm,
- le strict minimum de logiciels installés (Microsoft Office XP seulement).

Tant que le système n'était pas sécurisé (ZA + Avast), Internet n'a été utilisé que très furtivement pour les seuls enregistrements en ligne des rares logiciels. Autant dire 1 minute maximum environ .... mais je sais que ce laps de temps peux suffire à chopper une grosse saloperie !

Bref, dès Avast validé, l'antivirus signale au démarrage 4 rootkits (sur un système "neuf" !) :
- c:/Windows/system32/userinit.exe
- PID 2404
- c:/Windows/system32/WBEM/wmiprvse.exe
- c:/Windows/system32/wuauclt.exe

Dans un premier temps, j'ai démandé la "réparation" du problème par Avast .... qui n'y parvient jamais puisque l'anti-virus repointe à chaque démarrage suivant le rootkit !

Dans un second temps, AD-Aware pointe les "trucs" habituels (cookies) mais pas un seul rootkit !

J'ai vérifié sur mon propre système Windows XP (sain) :
- userinit.exe : présent mais le fichier peut être corrompu
- PID 2404 : je ne sais même pas ce que ca représente sauf peut-être le numéro d'exécution d'un programme obscur ?!
- wmiprvse.exe : présent mais le fichier peut être corrompu
- wuauclt.exe : absent chez moi mais cela n'est peut-être pas indicatif.

Une recherche sur le Web ne donne rien de significatif dans mon cas. Mais vu que l'intégration de fonctionnalités anti-rootkit et anti-troyen sont récentes dans Avast, j'en viens à me demander si ce ne serait pas là une mauvaise détection, puisque, pour rappel, tout a été entièrement formaté et que la réinstallation est vraiment très fraîche.

Une piste ?

Merci par avance ;-)
A voir également:

39 réponses

Précédent
  • 1
  • 2
Réponse 21 / 39
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
Lol ! on ne fait pas de généralisation avec un cas particulier que tu affirmes ! :)

ça se passe de tout commentaire ...

Juste pour info, pour supprimer les vers, même si on a affaire à des rootkits manifestement, il y a des outils plus appropriés et bien plus efficaces !

je laisse la main

@+



0
Réponse 22 / 39
espion3004 Messages postés 8687 Statut Membre 1 433
 
Alors je m'adresse justement à vous les experts... Pourqoui AVAST aurait-il fait ces remarques qui nous divergent... ??????????
0
Réponse 23 / 39
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
Réponse :

soit ce sont des fichiers sains infectés, soit leur comportement sont détectés par avast comme un ce d'un rootkit, soit ...
0
Réponse 24 / 39
teutates Messages postés 19847 Statut Modérateur 3 587
 
Résultats :

1) Antivirus en ligne : un cookies (pas bien grâve)
2) Combo : fichier combo inexploitable car corrompu !! Je recommance.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 39
Utilisateur anonyme
 
Moi j'parle pas des soit disant rootkits.
Installe GMER et scan avec ; résultat ? Avast intégrant une "technologie avancée de GMER" ça sera vite fait de savoir si c'est Avast qui délire ou non.
De plus les anti-virus question anti-rootkits sont très médiocres c'est bien connu, donc bon, perplexe.

Ensuite, pour me part je parlais d'hijackthis et de C:\Windows\system32\userinit.exe.
Alors, là c'est à toi d''apporter une réponse ou de me contredire, j'ai p'tet tort :-)
0
Réponse 26 / 39
teutates Messages postés 19847 Statut Modérateur 3 587
 
Résultat Comfix : 

ComboFix 08-04-12.10 - maintenance 2008-04-13 18:22:57.2 - NTFSx86 NETWORK
Microsoft Windows XP Édition familiale  5.1.2600.2.1252.1.1036.18.842 [GMT 2:00]
Endroit: C:\Documents and Settings\maintenance\Mes documents\Sauvegardes\ComboFix.exe

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((   Fichiers créés 2008-03-13 to 2008-04-13  ))))))))))))))))))))))))))))))))))))
.

2008-04-13 17:22 . 2008-04-13 17:22	<REP>	d--------	C:\fsaua.data
2008-04-13 17:06 . 2008-04-13 17:07	<REP>	d--------	C:\Program Files\HP
2008-04-13 17:03 . 2008-04-13 17:03	848	--ahs----	C:\WINDOWS\system32\KGyGaAvL.sys
2008-04-13 17:02 . 2008-04-13 17:02	<REP>	d--------	C:\Documents and Settings\maintenance\Application Data\Corel
2008-04-13 17:02 . 2008-04-13 17:02	<REP>	d--------	C:\Documents and Settings\All Users\Application Data\InstallShield
2008-04-13 17:01 . 2008-04-13 17:01	<REP>	d--------	C:\Program Files\Fichiers communs\Corel
2008-04-13 17:01 . 2008-04-13 17:01	<REP>	d--------	C:\Program Files\Corel
2008-04-13 16:45 . 2008-03-01 14:58	52,224	-----c---	C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-04-13 16:38 . 2008-04-13 16:38	<REP>	d--------	C:\Program Files\Microsoft CAPICOM 2.1.0.2
2008-04-13 16:31 . 2008-04-13 16:49	1,374	--a------	C:\WINDOWS\imsins.BAK
2008-04-13 15:58 . 2008-04-13 15:58	<REP>	d--------	C:\Program Files\Audacity
2008-04-13 15:55 . 2008-04-13 15:55	1,160	--a------	C:\WINDOWS\mozver.dat
2008-04-13 15:54 . 2008-04-13 15:54	0	--a------	C:\WINDOWS\nsreg.dat
2008-04-13 15:52 . 2008-04-13 15:51	843,776	---------	C:\WINDOWS\UNNeroBurnRights.exe
2008-04-13 15:52 . 2008-04-13 15:51	57,344	--a------	C:\WINDOWS\system32\NeroBurnRights.cpl
2008-04-13 15:52 . 2008-04-13 15:51	53,248	--a------	C:\WINDOWS\system32\NeroCo.dll
2008-04-13 15:52 . 2008-04-13 15:51	27,645	---------	C:\WINDOWS\UNNeroBurnRights.cfg
2008-04-13 15:49 . 2008-04-13 15:49	<REP>	d--------	C:\Program Files\Fichiers communs\Ahead
2008-04-13 15:49 . 2008-04-13 15:52	<REP>	d--------	C:\Program Files\Ahead
2008-04-13 15:49 . 2004-07-26 16:16	1,568,768	---------	C:\WINDOWS\system32\ImagX7.dll
2008-04-13 15:49 . 2004-07-26 16:16	476,320	---------	C:\WINDOWS\system32\ImagXpr7.dll
2008-04-13 15:49 . 2004-07-26 16:16	471,040	---------	C:\WINDOWS\system32\ImagXRA7.dll
2008-04-13 15:49 . 2004-07-09 08:43	364,544	---------	C:\WINDOWS\system32\TwnLib4.dll
2008-04-13 15:49 . 2004-07-26 16:16	262,144	---------	C:\WINDOWS\system32\ImagXR7.dll
2008-04-13 15:49 . 2006-01-12 15:40	155,648	--a------	C:\WINDOWS\system32\NeroCheck.exe
2008-04-13 15:49 . 2005-09-01 11:03	127,488	---------	C:\WINDOWS\system32\drivers\imagesrv.sys
2008-04-13 15:49 . 2000-06-26 10:45	106,496	--a------	C:\WINDOWS\system32\TwnLib20.dll
2008-04-13 15:49 . 2005-09-01 11:03	5,888	---------	C:\WINDOWS\system32\drivers\imagedrv.sys
2008-04-13 15:43 . 2008-04-13 15:43	<REP>	d--------	C:\Program Files\XnView
2008-04-13 15:43 . 2008-04-13 16:24	<REP>	d--------	C:\Documents and Settings\maintenance\Application Data\XnView
2008-04-13 15:06 . 2008-04-13 15:22	<REP>	d--------	C:\Program Files\EsetOnlineScanner
2008-04-10 14:08 . 2008-04-10 14:08	<REP>	d--------	C:\Documents and Settings\Bruno\Application Data\MailFrontier
2008-04-09 19:17 . 2008-04-09 19:16	691,545	--a------	C:\WINDOWS\unins000.exe
2008-04-09 19:17 . 2008-04-09 19:17	2,561	--a------	C:\WINDOWS\unins000.dat
2008-04-09 19:14 . 2008-04-09 19:16	<REP>	d--------	C:\Program Files\Spybot - Search & Destroy
2008-04-09 19:14 . 2008-04-13 16:08	<REP>	d--------	C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-04-09 19:04 . 2008-04-09 19:04	<REP>	d--------	C:\Documents and Settings\maintenance\Application Data\Lavasoft
2008-04-09 19:03 . 2008-04-09 19:03	<REP>	d--------	C:\Program Files\Lavasoft
2008-04-09 18:32 . 2008-04-09 18:32	<REP>	d--------	C:\Program Files\IZArc
2008-04-09 18:21 . 2008-04-09 18:21	<REP>	d--------	C:\Documents and Settings\maintenance\Application Data\MailFrontier
2008-04-09 18:18 . 2008-04-09 18:39	<REP>	d--------	C:\Documents and Settings\All Users\Application Data\MailFrontier
2008-04-09 18:17 . 2008-04-09 18:17	<REP>	d--------	C:\Program Files\Zone Labs
2008-04-09 18:16 . 2008-04-13 18:21	<REP>	d--------	C:\WINDOWS\Internet Logs
2008-04-09 18:08 . 2008-04-09 18:08	<REP>	d--------	C:\Program Files\Alwil Software
2008-04-09 18:08 . 2008-03-29 19:45	1,146,232	--a------	C:\WINDOWS\system32\aswBoot.exe
2008-04-09 18:08 . 2004-01-09 10:13	380,928	--a------	C:\WINDOWS\system32\actskin4.ocx
2008-04-09 18:08 . 2008-03-29 19:23	95,608	--a------	C:\WINDOWS\system32\AvastSS.scr
2008-04-09 18:08 . 2008-03-29 19:35	94,544	--a------	C:\WINDOWS\system32\drivers\aswmon2.sys
2008-04-09 18:08 . 2008-01-17 17:34	93,264	--a------	C:\WINDOWS\system32\drivers\aswmon.sys
2008-04-09 18:08 . 2008-03-29 19:31	75,856	--a------	C:\WINDOWS\system32\drivers\aswSP.sys
2008-04-09 18:08 . 2008-03-29 19:27	42,912	--a------	C:\WINDOWS\system32\drivers\aswTdi.sys
2008-04-09 18:08 . 2008-03-29 19:26	26,944	--a------	C:\WINDOWS\system32\drivers\aavmker4.sys
2008-04-09 18:08 . 2008-03-29 19:29	23,152	--a------	C:\WINDOWS\system32\drivers\aswRdr.sys
2008-04-09 18:08 . 2008-03-29 19:35	20,560	--a------	C:\WINDOWS\system32\drivers\aswFsBlk.sys
2008-04-09 18:05 . 2008-04-13 16:03	<REP>	d--------	C:\Program Files\Accessoires
2008-04-06 19:09 . 2008-04-06 19:09	<REP>	d--------	C:\Program Files\TechCity Solutions
2008-04-06 19:09 . 2008-04-06 19:09	<REP>	d--h-----	C:\Program Files\InstallShield Installation Information
2008-04-06 19:09 . 2008-04-06 19:09	<REP>	d---s----	C:\Documents and Settings\maintenance\UserData
2008-04-06 19:08 . 2008-04-06 19:09	<REP>	d--------	C:\Program Files\Alice
2008-04-06 19:00 . 2005-12-16 15:19	18,776,064	-ra------	C:\WINDOWS\system32\ALSNDMGR.CPL
2008-04-06 18:33 . 2008-04-13 17:02	<REP>	d--------	C:\Program Files\Fichiers communs\InstallShield
2008-04-06 18:25 . 2008-04-09 18:02	<REP>	d--------	C:\Documents and Settings\All Users\Application Data\Symantec
2008-04-06 18:24 . 2008-04-09 18:29	<REP>	d--------	C:\Program Files\Fichiers communs\Symantec Shared
2008-04-06 18:20 . 2008-04-05 23:47	<REP>	d--h-----	C:\Documents and Settings\maintenance\Voisinage réseau
2008-04-06 18:20 . 2008-04-05 23:47	<REP>	d--h-----	C:\Documents and Settings\maintenance\Voisinage d'impression
2008-04-06 18:20 . 2008-04-05 21:51	<REP>	d--h-----	C:\Documents and Settings\maintenance\Modèles
2008-04-06 18:20 . 2008-04-13 17:01	<REP>	dr-------	C:\Documents and Settings\maintenance\Mes documents
2008-04-06 18:20 . 2008-04-05 23:47	<REP>	d--------	C:\Documents and Settings\maintenance\Menu Démarrer
2008-04-06 18:20 . 2008-04-13 16:54	<REP>	dr-------	C:\Documents and Settings\maintenance\Favoris
2008-04-06 18:20 . 2008-04-13 18:17	<REP>	d--------	C:\Documents and Settings\maintenance\Bureau
2008-04-05 22:19 . 2008-04-05 22:19	<REP>	d--------	C:\WINDOWS\ShellNew
2008-04-05 22:19 . 2008-04-06 19:19	385	--a------	C:\WINDOWS\ODBC.INI
2008-04-05 22:01 . 2008-04-05 23:47	<REP>	d--h-----	C:\Documents and Settings\Bruno\Voisinage réseau
2008-04-05 22:01 . 2008-04-05 23:47	<REP>	d--h-----	C:\Documents and Settings\Bruno\Voisinage d'impression
2008-04-05 22:01 . 2008-04-05 21:51	<REP>	d--h-----	C:\Documents and Settings\Bruno\Modèles
2008-04-05 22:01 . 2008-04-05 22:01	<REP>	dr-------	C:\Documents and Settings\Bruno\Mes documents
2008-04-05 22:01 . 2008-04-05 23:47	<REP>	dr-------	C:\Documents and Settings\Bruno\Menu Démarrer
2008-04-05 22:01 . 2008-04-05 22:01	<REP>	dr-------	C:\Documents and Settings\Bruno\Favoris
2008-04-05 22:01 . 2008-04-05 22:11	<REP>	d--------	C:\Documents and Settings\Bruno\Bureau
2008-04-05 22:01 . 2004-08-05 14:00	221,184	--a------	C:\WINDOWS\system32\wmpns.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-10 12:14	3,284	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-10 12:14	188,448	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-09 16:17	75,932	----a-w	C:\WINDOWS\system32\drivers\klick.dat
2008-04-09 16:17	74,396	----a-w	C:\WINDOWS\system32\drivers\klin.dat
2008-04-05 19:56	---------	d-----w	C:\Program Files\microsoft frontpage
2008-04-05 19:55	---------	d-----w	C:\Program Files\Java
2008-04-05 19:55	---------	d-----w	C:\Program Files\Fichiers communs\Java
2008-04-05 19:53	---------	d-----w	C:\Program Files\Services en ligne
2008-03-20 08:09	1,845,376	----a-w	C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-02-20 06:51	282,624	----a-w	C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35	45,568	----a-w	C:\WINDOWS\system32\dnsrslvr.dll
2008-02-11 07:39	253,952	----a-w	C:\WINDOWS\system32\OnlineScannerDLLA.dll
2008-02-11 07:39	237,568	----a-w	C:\WINDOWS\system32\OnlineScannerDLLW.dll
2008-02-08 11:53	110,592	----a-w	C:\WINDOWS\system32\OnlineScannerLang.dll
2008-02-05 06:48	77,824	----a-w	C:\WINDOWS\system32\OnlineScannerUninstaller.exe
.

(((((((((((((((((((((((((((((((((   Point de chargement Reg   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-05 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0\bin\jusched.exe" [2008-04-05 21:55 36972]
"SoundMan"="SOUNDMAN.EXE" [2005-12-14 19:06 577536 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-01 14:02 7311360]
"nwiz"="nwiz.exe" [2005-12-01 14:02 1519616 C:\WINDOWS\system32\nwiz.exe]
"AliceSAV"="C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe" [2005-12-16 17:57 81408]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-03-29 19:37 79224]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 usbstor;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-05 14:00]
S1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31]
S2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-13 18:23:56
Windows 5.1.2600 Service Pack 2 NTFS

Balayage processus cachés ...

Balayage caché autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  AliceSAV = C:\Program Files\TechCity Solutions\AliceSAV\AliceAgent.exe???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? 

Balayage des fichiers cachés ...

Scan terminé avec succès 
Les fichiers cachés: 0 

**************************************************************************
.
Temps d'accomplissement: 2008-04-13 18:24:14
ComboFix-quarantined-files.txt  2008-04-13 16:24:04
Pre-Run: 242,840,801,280 octets libres
Post-Run: 242,831,302,656 octets libres
.
2008-04-13 15:47:26	--- E O F ---

0
Réponse 27 / 39
teutates Messages postés 19847 Statut Modérateur 3 587
 
Est-ce que ce serait lié ? J'ai chronométré systématiquement un temps de plus de 3 mn pour que Windows se débloque entièrement après le login. En fait, il semble que ce soit ZoneAlarm qui fasse ce blocage.
0
Réponse 28 / 39
espion3004 Messages postés 8687 Statut Membre 1 433
 
ok il y a eu une très bonne remarque sur le post n°35 je crois je te répond en MP boulepate...
Et file ailleurs...

Moi aussi je déplore plein de trucs.
Espion3004.
0
Réponse 29 / 39
teutates Messages postés 19847 Statut Modérateur 3 587
 
Pour tout le monde :

Temps mort jusqu'à au moins demain, date à laquelle j'espère sonner la fin de la récré contre ces saletés. (Pour rappel, c'est le PC de mes voisins).

Suite à cette réponse (et ce qui suit, pour remplacer Avast, j'adopte AVG ou Antivir ?
0
Réponse 30 / 39
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
antivir !

@+
0
teutates Messages postés 19847 Statut Modérateur 3 587
 
<Petites foulées>
Va pour Antivir ;-)
</Petites foulées>

Je prépare tout pour demain.
0
Réponse 31 / 39
espion3004 Messages postés 8687 Statut Membre 1 433
 
re, et je n'en rajouterai pas plus, car je ne suis pas en Expert de la désinfec...
Teutates pour recentrer mes réponses concrètes voila ce que j'avais écrit =>

J'ai plusieurs commentaires à faire...
Est-ce un pc de marque ?

Car je crois que tu n'as pas formater, mais réinstallé le ghost, le recovery d'xp tout simplement

Le formatage écrase certe mais pas la réinstallation d'un recovery (comme pour acer ou dell).

Car pour informations = c:/Windows/system32/userinit.exe

C'est un ver, bien plus coriace qu'un virus => https://translate.google.com/
Fagot ver fonctionne par l'envoi de messages via IRC chat, essaie d'amener les gens à cliquer sur un lien hypertexte, qui download "britney.jpg" de www.angelfire.com.

Lorsque la page est ouvert avec Internet Explorer, le script (d'ou l'utiliter de mettre java à jour de suite préconisé par les helpers)est exécuté. La première partie du script contient le code Visual Basic Script qui utilise un exploit pour remplacer le lecteur Windows Media avec un fichier ( "patch.exe") qui est téléchargé à partir d'un autre emplacement web. Suivant la deuxième partie (écrit en JavaScript) du script est exécuté, provoquant le joueur remplacé médiale à exécuter après cinq secondes.

The "patch.exe" file was taken offline already by the time we got reports on this worm on Sunday the 26th of October, therefore the worm doesn't work any more. Le "patch.exe" dossier a été prise hors ligne déjà au moment où nous avons reçu des rapports sur ce ver, le dimanche 26 octobre, donc le ver ne fonctionne plus.

Exécutable du ver composante

PATCH.EXE Le fichier est le composant du ver responsables de la mort de l'anti-virus et les logiciels de sécurité pour l'envoi des tâches et des liens vers le fichier HTML sur infectées réseaux IRC.

PATCH.EXE Lorsque le fichier est exécuté, il ne les suivantes:

Kills processus avec les noms suivants:

Ad-watch.exe regedit.exe taskmgr.exe

* Copie le fichier du ver de répertoire System de Windows avec le nom suivant:

C:\Windows\system32\userinit32.exe C: \ Windows \ system32 \ userinit32.exe
Crée une clé de démarrage pour le fichier copié dans le système d'immatriculation:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit" = "C:\Windows\system32\userinit32.exe" [HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon] "Userinit" = "C: \ Windows \ system32 \ userinit32.exe"

* Copies the worm's file to Windows System folder with the following name: * Copie le fichier du ver de répertoire System de Windows avec le nom suivant:

C:\Windows\system32\dllhost32.exe C: \ Windows \ system32 \ dllhost32.exe
Www.blacksnake.com etc etc....


Je te recommande vivement de passer ton pc sous scan F-secure en ligne , tout est clair sur cette page =>http://support.f-secure.com/fra/home/ols.shtml

Tu devras le faire avec IE et accepter l'active X

C'est le défaut d'Avast une fois de plus, il cilble très mal les infections !!!!
Teutates tu devrai installer Antivir (selon moi) concernant Avast, je ne sais pas si tu es au courant ....
Je pense qu'il serait sympa de commencer la désinfect par le commencement, comme nous le faisons aux internautes... C'est à dire par la force douce...

NB : Met à jour java de suite ,c'est important =>https://www.java.com/fr/

Ok

Tu dois télécharger AVG antispyware (je parlais bien de l'anti-spy et non l'antivirus) =>https://www.commentcamarche.net/telecharger/ 218 avg anti spyware

Ensuite A-squared free =>https://www.commentcamarche.net/telecharger/ 224 a squared
tuto installation =>http://pitcatsite.ovh.org/php/a2free.php

CCleaner est un utilitaire de nettoyage gratuit permettant de garantir un respect de la vie privée en supprimant les fichiers d'historique et de cache du système. Il supprime les traces d'activité, telles que: Fichiers temporaires de Windows ...
https://www.commentcamarche.net/telecharger/ 168 ccleaner
tuto installation =https://forums.cnetfrance.fr

A l'installation pensez à décocher l'installation de Yahoo toolbar discrètement proposée en plus de CCleaner.

Ok, fais la mise à jours des programmes...
=============================================================


... Pour répondre à boulepate62, suite au MP où tu n'en a rien à cirer de ma vie et tout le tralala ! (sympa, saches pour information que tu étais le seul à qui j'ai raconté ma vie, comme tu dis, afin de me présenter à toi !)
Cherchant un dialogue, bref... Je te réponds ici pour éviter le polluage de post=>http://www.commentcamarche.net/forum/affich 5924669 c est ca ta reponse deja repondu#dernier

NB : J'ai retiré l'adresse de mon site via mon profil, je ne sais pas si il y a eu cause à effet.. Mais 1 invité s'est permit de son moquer du contenu, et du faite que je ne connaissais pas Windows !

Cela me met dans une colère sans nom ! Tu vois, je n'accuse personne, à part moi.. Tu m'as donner une bonne leçon, et je ne serai pas prêt d'oublier...
Je t'en voudrai à jamais pour ceci =>cela en montre beaucoup sur tes connaissances sur la lecture d'un rapport hijackthis et de Windows tout court. !
Sachant que je viens de créer mon forum ! = pas respectueux du tout tu travail effectué !
0
teutates Messages postés 19847 Statut Modérateur 3 587
 
Ca servira aussi de remise à plat de la situation :

1) Hijack this est mal installé... tu dois l'installer sur le C (pour les backups suppression) :
J'ai refait un hijackthis depuis C, voir [http://www.commentcamarche.net/forum/affich 5899614 avast et les rootkits#14 réponse 14}

2) Car je crois que tu n'as pas formater, mais réinstallé le ghost, le recovery d'xp tout simplement :
J'avais déjà répondu à cette remarque en réponse 15 pour dire que j'ai bel et bien formaté et non utilisé un recovery.

3) Je te recommande vivement de passer ton pc sous scan F-secure en ligne , tout est clair sur cette page :
J'ai déjà refait un scan en ligne. Voir réponse 32 au résultat négatif (hormis un cookies).

4) Met à jour java de suite ,c'est important =>https://www.java.com/fr/ :
Ca, je compte le faire dès que j'aurais solutionné cette histoire de rootkits.

5) Tu dois télécharger AVG antispyware (je parlais bien de l'anti-spy et non l'antivirus) =>https://www.commentcamarche.net/telecharger/ 218 avg anti spyware :
A faire dès que je retourne sur cette machine.

6) Ensuite A-squared free =>https://www.commentcamarche.net/telecharger/ 224 a squared
tuto installation =>http://pitcatsite.ovh.org/php/a2free.php :
A faire dès que je retourne sur cette machine

7) CCleaner : Déjà fait et refait.

8) Green Day m'avait demandé de faire un ComboFix.
Le résultat du ComboFix est en réponse 34
0
Réponse 32 / 39
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
 
Bonjour,

quelqu'un avait suggéré de vérifier l'hypothèse de faux-positifs par VirusTotal.

Il y a 3 fichiers connus :


c:/Windows/system32/userinit.exe

c:/Windows/system32/WBEM/wmiprvse.exe

c:/Windows/system32/wuauclt.exe

Pour le 4ème, c'est un processus en activité (PID identification de processus).

Pour le retrouver :

ouvrir le gestionnaire des tâches (Ctr, Alt et Suppr)

onglet Processus, cliquer sur affichage.

Cliquer Sélectionner les colonnes et cocher PID et OK

Cliquer sur PID (en en tête de colonne pour trier la liste des preocessus sur PID), chercher le numéro 2404

Chercher son chemin avec la fonction Rechercher de Windows.

Le mode d'emploi de VirusTotal :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : XXXXXXXXXXXXXXX

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyser le fichier maintenant.
0
Réponse 33 / 39
teutates Messages postés 19847 Statut Modérateur 3 587
 
Petite précision sur la machine : c'est un PC de bureau (et non un portable) livré d'origine avec XP (et pas Vista) et GParted n'a révélé aucune partition caché. Donc la bête a bien été formatée entièrement.
0
Réponse 34 / 39
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
Tu en as de la chance, t'es au p'tit soin ! :)

sauf qu'il y a un peu trop de monde, ça va devenir ingérable ... tu en est où stp ?

++
0
teutates Messages postés 19847 Statut Modérateur 3 587
 
En principe, je retourne demain au feu. Il y a eu une trêve négociée aujourd'hui.

Mais il est vrai qu'il n'est parfois pas évident de s'y retrouver entre ces avis plus ou moins divergents. A force, on ne sait plus qui écouter !!! Et çà, ce n'est pas bon en matière de virus !!! Certains demandeurs vont parvenir à s'extraire de cette mouise mais pas tous.

Faudrait songer à ouvrir un cursus scolaire pour délivrer un diplôme de "désinfecteur informatique" ;-)
0
Réponse 35 / 39
teutates Messages postés 19847 Statut Modérateur 3 587
 
On reprend les hostilités !!

1) AVG Anti-Spyware : les habituels cookies : 

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	17:01:50 15/04/2008

 + Résultat de l'analyse:	



:mozilla.30:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.31:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.12:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.13:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.14:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
:mozilla.15:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@advertising[1].txt -> TrackingCookie.Advertising : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@adviva[1].txt -> TrackingCookie.Adviva : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\maintenance\Cookies\maintenance@bluestreak[1].txt -> TrackingCookie.Bluestreak : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@fl01.ct2.comclick[1].txt -> TrackingCookie.Comclick : Aucune action entreprise.
:mozilla.11:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
:mozilla.23:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\maintenance\Cookies\maintenance@estat[1].txt -> TrackingCookie.Estat : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@adopt.euroclick[2].txt -> TrackingCookie.Euroclick : Aucune action entreprise.
:mozilla.16:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Hitbox : Aucune action entreprise.
:mozilla.17:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Hitbox : Aucune action entreprise.
:mozilla.20:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@ehg-telecomitalia.hitbox[1].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\maintenance\Cookies\maintenance@ehg-telecomitalia.hitbox[1].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\maintenance\Cookies\maintenance@hitbox[2].txt -> TrackingCookie.Hitbox : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@overture[1].txt -> TrackingCookie.Overture : Aucune action entreprise.
:mozilla.42:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.43:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.44:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\xxxx@smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\xxxx@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Aucune action entreprise.
:mozilla.25:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.26:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.27:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.28:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
:mozilla.29:C:\Documents and Settings\maintenance\Application Data\Mozilla\Firefox\Profiles\5qbqml1s.default\cookies.txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@cetelem.solution.weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\bruno@m.webtrends[1].txt -> TrackingCookie.Webtrends : Aucune action entreprise.
C:\Documents and Settings\xxxx\Cookies\dylan@m.webtrends[2].txt -> TrackingCookie.Webtrends : Aucune action entreprise.

Fin du rapport



2) A-squared : encore ces cookies 
Version - a-squared Free 3.5
Dernière mise à jour : 15/04/2008 17:09:15

Paramètres du Scan :

Éléments : Mémoire, Traces, Cookies, C:\WINDOWS\, C:\Program Files
Analyse les archives : Marche
Analyse heuristiques : Marche
Analyse ADS : Marche

Début de l'analyse :	15/04/2008 17:10:03

Key: HKEY_USERS\S-1-5-21-1645522239-1078145449-839522115-1009\software\kazaa 	Objets détectés : Trace.Registry.KaZaA
C:\Documents and Settings\maintenance\Cookies\maintenance@bluestreak[1].txt 	Objets détectés : Trace.TrackingCookie
C:\Documents and Settings\maintenance\Cookies\maintenance@hitbox[2].txt 	Objets détectés : Trace.TrackingCookie

Analysé

Fichiers : 	52027
Traces : 	393985
Cookies : 	60
Processus : 	34

Objets trouvés

Fichiers : 	0
Traces : 	1
Cookies : 	2
Processus : 	0
Clés du Registre : 	0

Fin de l'analyse :	15/04/2008 17:33:11
Temps de l'analyse :	0:23:08


0
Réponse 36 / 39
teutates Messages postés 19847 Statut Modérateur 3 587
 
3) MalwareByte-AntiMalware : Toujours les cookies 
Malwarebytes' Anti-Malware 1.11
Version de la base de données: 633

Type de recherche: Examen rapide
Eléments examinés: 35729
Temps écoulé: 4 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


0
Réponse 37 / 39
teutates Messages postés 19847 Statut Modérateur 3 587
 
4) Analyse antivirus Antivir : 


AntiVir PersonalEdition Classic
Report file date: mardi 15 avril 2008  18:00

Scanning for 835736 virus strains and unwanted programs.

Licensed to:      Avira AntiVir PersonalEdition Classic
Serial number:    0000149996-ADJIE-0001
Platform:         Windows XP
Windows version:  (Service Pack 2)  [5.1.2600]
Username:         SYSTEM
Computer name:    LARUELLE-700476

Version information:
BUILD.DAT    : 270           15603 Bytes  19/09/2007 13:32:00
AVSCAN.EXE   : 7.0.6.1      290856 Bytes  23/08/2007 12:16:29
AVSCAN.DLL   : 7.0.6.0       49192 Bytes  16/08/2007 11:23:51
LUKE.DLL     : 7.0.5.3      147496 Bytes  14/08/2007 14:32:47
LUKERES.DLL  : 7.0.6.1       10280 Bytes  21/08/2007 11:35:20
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18/07/2007 13:27:15
ANTIVIR1.VDF : 7.0.0.0     1640448 Bytes  13/09/2007 13:26:55
ANTIVIR2.VDF : 7.0.0.1        2048 Bytes  13/09/2007 13:27:04
ANTIVIR3.VDF : 7.0.0.2        2048 Bytes  13/09/2007 13:27:13
AVEWIN32.DLL : 7.6.0.15    2806272 Bytes  17/09/2007 16:43:56
AVWINLL.DLL  : 1.0.0.7       14376 Bytes  26/02/2007 09:36:26
AVPREF.DLL   : 7.0.2.2       25640 Bytes  18/07/2007 06:39:17
AVREP.DLL    : 7.0.0.1      155688 Bytes  16/04/2007 12:16:24
AVPACK32.DLL : 7.3.0.15     360488 Bytes  03/08/2007 07:46:00
AVREG.DLL    : 7.0.1.6       30760 Bytes  18/07/2007 06:17:06
AVARKT.DLL   : 1.0.0.20     278568 Bytes  28/08/2007 11:26:33
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  18/07/2007 06:10:18
NETNT.DLL    : 7.0.0.0        7720 Bytes  08/03/2007 10:09:42
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  07/08/2007 11:38:13
RCTEXT.DLL   : 7.0.62.0      86056 Bytes  21/08/2007 11:50:37
SQLITE3.DLL  : 3.3.17.1     339968 Bytes  23/07/2007 08:37:21

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\avira\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: on
Scan boot sector.................: on
Boot sectors.....................: C:, 
Scan memory......................: on
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: All files
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 15 avril 2008  18:00

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'msiexec.exe' - '1' Module(s) have been scanned
Scan process 'avgnt.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'wscntfy.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'hpqgalry.exe' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'HPZipm12.exe' - '1' Module(s) have been scanned
Scan process 'nvsvc32.exe' - '1' Module(s) have been scanned
Scan process 'hpqtra08.exe' - '1' Module(s) have been scanned
Scan process 'ctfmon.exe' - '1' Module(s) have been scanned
Scan process 'guard.exe' - '0' Module(s) have been scanned
Scan process 'avgas.exe' - '1' Module(s) have been scanned
Scan process 'hpwuSchd2.exe' - '1' Module(s) have been scanned
Scan process 'zlclient.exe' - '0' Module(s) have been scanned
Scan process 'AliceAgent.exe' - '1' Module(s) have been scanned
Scan process 'SOUNDMAN.EXE' - '1' Module(s) have been scanned
Scan process 'jusched.exe' - '1' Module(s) have been scanned
Scan process 'a2service.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'vsmon.exe' - '0' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
35 processes with 35 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
      [NOTE]      No virus was found!
Master boot sector HD1
      [NOTE]      No virus was found!
      [WARNING]   The boot sector file could not be read!
      [WARNING]   Error code: 0x0015
Master boot sector HD2
      [NOTE]      No virus was found!
      [WARNING]   The boot sector file could not be read!
      [WARNING]   Error code: 0x0015
Master boot sector HD3
      [NOTE]      No virus was found!
      [WARNING]   The boot sector file could not be read!
      [WARNING]   Error code: 0x0015
Master boot sector HD4
      [NOTE]      No virus was found!
      [WARNING]   The boot sector file could not be read!
      [WARNING]   Error code: 0x0015
Master boot sector HD5
      [NOTE]      No virus was found!
      [WARNING]   The boot sector file could not be read!
      [WARNING]   Error code: 0x0015
Master boot sector HD6
      [NOTE]      No virus was found!
      [WARNING]   The boot sector file could not be read!
      [WARNING]   Error code: 0x0015

Start scanning boot sectors:
Boot sector 'C:\'
      [NOTE]      No virus was found!

Starting to scan the registry.
The registry was scanned ( '26' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
      [WARNING]   The file could not be opened!


End of the scan: mardi 15 avril 2008  18:23
Used time: 22:12 min

The scan has been done completely.

   3688 Scanning directories
 138260 Files were scanned
      0 viruses and/or unwanted programs were found
      0 Files were classified as suspicious:
      0 files were deleted
      0 files were repaired
      0 files were moved to quarantine
      0 files were renamed
      1 Files cannot be scanned
 138260 Files not concerned
    580 Archives were scanned
      1 Warnings
      1 Notes


Mais dois-je le refaire en mode sans échec ?
0
salut
 
Search for rootkits..............: off
Bonjour tu cherches un rootkit, essaie de mettre ce réglage sur on si ta version le permet.
Je connais pas , c' est tout en anglais en plus il parait.
0
salut > salut
 
J' ai trouvé ça ou c' est expliqué le réglage avec une photo ou c' est entouré de rouge l' endroit ou il faut cliqué
https://forum.malekal.com/viewtopic.php?f=45&t=4192
0
teutates Messages postés 19847 Statut Modérateur 3 587 > salut
 
OK ! et merci ;-))
0
Réponse 38 / 39
green day Messages postés 26374 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   2 163
 
Salut

non c'est bon, fais l'analyse des fichiers incriminés comme indiqué au poste 48 stp

@+

0
Réponse 39 / 39
teutates Messages postés 19847 Statut Modérateur 3 587
 
Zut ! J'ai oublié le post 48 !!! Je le fais le prochain coup.
0

Discussions similaires

Phishing faux mail d'avast
Colette34 -
Gerper -

2 réponses
Prélèvement dri Avast software
Ml -
dadout -

2 réponses
Arnaque installation Avast Premium security
Eldanield -
bazfile -

9 réponses
arnaque de avast prelevement sans autorisation
petit -
Brijoue -

14 réponses
arnaque par DRI AVAST
chlrd24 -
crooner76 -

8 réponses