Rootkit détecté par avast Résolu/Fermé

Question

Bonjour,

je rencontre actuellement un problème qui me tracasse quelque peu, et peut-être que quelqu'un pourra m'en dire un peu plus.
J'ai un pc portable acer, avec windows XP. Il était protégé par avast, jusqu'ici aucun problème. Je fais régulièrement des scans "minutieux" de mon pc. Lors du dernier scan, plusieurs rootkits ont apparemment été repérés dans le fichier C:\windows\system.ini, ils étaient tous du genre C:\windows\system.ini\*.ocx
J'ai préféré ne pas les supprimer car ils étaient considérés par avast comme "menace potentielle".
Avast a fait rebooter le système, et a planifié une analyse avant le démarrage, où aucun virus n'a été trouvé.
En refaisant une analyse par la suite, il a cependant retrouvé la même menace.

J'ai donc fait une restauration du système, ce qui formate la partition C:
En réinstallant avast, il m'a pourtant retrouvé la même menace.
J'ai alors téléchargé et installé la version d'évaluation de kaspersky 2009, que j'ai mis à jour (après avoir bien sur supprimé avast). La aussi j'ai fait une analyse minutieuse du système, mais kaspersky ne détecte rien.

Puis-je en conclure que mon système est sain et que c'est avast qui déconne?

En tout cas merci beaucoup de me lire.

Cordialement.

Pierre

^^Marie^^ · Accepted Answer

Salut

F -  Hijackthis - Outil de diagnostic et réparation 
télécharge HijackThis ici: 
http://telechargement.zebulon.fr/138-hijackthis-1991.html 
https://kerio.probb.fr/t62-comment-utiliser-et-comprendre-hijackthis 
Dézippe le dans un dossier prévu à cet effet. 
Par exemple C:\hijackthis < Enregistre le bien dans c : ! 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/Hijenr.gif 
Lance le puis: 
clique sur "do a system scan and save logfile" (cf démo) 
faire un copier coller du log entier sur le forum 
Démo : (Merci a Balltrap34 pour cette réalisation) 
http://pageperso.aol.fr/balltrap34/demohijack.htm 
http://www.tutoriaux-excalibur.com/hijackthis.htm
https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Mmsl35_ · Answer

ok passe un coup de avg anti-rookits!
http://www.commentcamarche.net/telecharger/telecharger 34055015 avg anti rootkit

puis ceci pour verifier que tu n'est pas infecté par autre chose.

1) Télécharge et installe Malwarebyte's Anti-Malware:

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée. >>> clique sur OK

Lance Malwarebyte's Anti-Malware en double-cliquant sur l'icône sur ton Bureau.

Au premier lancement, une fenêtre t'annonce que la version est Free >>> clique sur OK

Laisse les Mises à jour se télécharger

*** Referme le programme ***


2) Scan avec Malwarebyte's Anti-Malware

Lance Malwarebyte's Anti-Malware
Onglet "Recherche" >>> coche Executer un exame complet >>> Rechercher sélectionne tes disques durs puis clique sur Lancer l’examen
A la fin du scan >>> clique sur Afficher les résultats puis sur Enregistrer le rapport
Suppression des éléments détectés >>>>
supprime ce qu'il a trouvé vide également les éléments de la quarantaineS'il t'es demandé de redémarrer >>> clique sur "Yes"

--> Un rapport de scan s'ouvre, enregistre sur ton Bureau et poste ce rapport en réponse.

Mmsl35_ · Answer

refais une analyse
avast detecte toujours le rookit?

Fais analyser ces fichier sur ce site >> Virustotal <<

Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier : C:\\windows\system.ini
Clique maintenant sur envoyer le fichier.
Poste le rapport (De Fichier *** reçu le *** jusqu’à SHA1 : ***)

Mmsl35_ · Answer

Tu vas utiliser SDFix téléchargeable à :
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Tu installes le logiciel.
Tu peux t’aider du tuto suivant :
https://www.malekal.com/slenfbot-still-an-other-irc-bot/

Il faut que tu redémarres en mode sans échec.
Pour cela, tu redémarres ton ordinateur et tu appuies sur la touche F8.

A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
Choisis ton compte.

Tu lances SDFix en double-cliquant sur RunThis.bat dans le dossier où tu as installé le logiciel.
T
on ordinateur va redémarrer. il te sera peut-être demander d'appuyer sur une touche pour redémarrer.
L'outil va continuer à travailler, c'est normal.

Une fois affiché Finished, appuie sur une touche pour finir l'exécution du logiciel.
Ton bureau devrait réapparaitre.

Ouvre le dossier de SDFix sur ton Bureau.
Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum.

Mmsl35_ · Answer

il y'avait des rookits! pour verifier qu'il ne sont plus la!

Pierre91100 · Answer

Bonjour les amis,

merci pour vos réponses.
Je pense enfin avoir trouvé la solution. Apparemment le problème venait bien d'avast, puisqu'en fouinant un peu sur des forums américains, certaines personnes avaient le même problème que moi. Apparemment, ce qu'avast détecte comme des rootkits est en fait un composant normal des pc acer Aspire. En effet cela m'étonnait qu'avast continue à détecter les rootkits alors que j'avais formaté c:
Ce problème n'a pourtant pas l'air très répandu, mais au moins j'espère que ça pourra resservir à quelqu'un d'autre qui rencontrerait le même problème. Pour comparer, j'avais fait le test avec une version d'avast plus ancienne, et là rien... Cela doit donc être lié à la nouvelle mise à jour.

En tout cas encore merci à tous et surtout bonne continuation au forum.

PS: je ne sais pas comment changer le statut de la conversation en "problème résolu" donc si quelqu'un peu le faire pour moi...

Rootkit détecté par avast

6 réponses

Discussions similaires