Author Topic: 1 fois mis 1 trj en quarantaine, on ne peut pas accéder à « réparer » ?  (Read 20165 times)

0 Members and 1 Guest are viewing this topic.

chris287

  • Guest
Bonsoir,

Pourriez vous svp m'aider à comprendre ?

J'ai programmé un scan au demarrage et Avast a trouvé un adw dans C : et un trojan dans « D : » (D etant le disk recovery/factory image » de mon PC (HP, vista 32).

l'adw : Win32:Yabector-B  dans C : users … documents format factory converter (programme zip de setup)

le trj : Win32:SMSSend-IG dans D : HP apps APP ... src (fichier jre … exe)

- 1ere question : comment se fait il que ce soit trouvé en programmant un scan au demarrage, alors que Avast est déjà réglé pour se lancer en 1er (avant ouverture du bureau et des programmes) et que jusque là il n'avait rien trouvé, ni lors de scans récents à la demande ?

- 2eme question : quand Avast a signalé ces 2 objets j'ai choisi « mise en quarantaine » (comme Avast le conseille d'ailleurs). Mais ensuite j'ai voulu essayer l'option « réparer » ; or rien ne se passe dans le rapport de scan quand je choisis « réparer » dans la «liste d actions » et que je clique sur l'un ou l'autre des 2 objets mis en quarantaine. Et dans la zone « quarantaine » il n'y a pas d'option « réparer », seulement «supprimer ». Or je crains de « supprimer » sans être sûre que je peux le faire, surtout dans le D : étant donné ce qu'il est (un disk à ne pas toucher a priori) ; et d'autant qu'en faisant une recherche sur le Net, j'ai vu que des personnes ont eu de gros ennuis en Septembre dernier, après avoir choisi « supprimer » ce qui était en fait un faux positif. 

Pour l'adware, certains sites disent que c est un faux positif ; pour le trojan, j'ai du mal à me faire une idée d'autant que je ne le retrouve que sur des sites anglais et même en utilisant un traducteur, j'ai du mal à piger …
J'ai fait « scanner » chacun des objets dans la quarantaine, Avast les désigne toujours comme étant (-des saletés-)  un adw et un trj.

le fait que je ne puisse pas "reparer" apres mise ne quarantaine est bien une anomalie ?

- dernière question : j'avais l intention de desinstaller Avast 7 et le reinstaller, à cause du blocage conséquent au demarrage du PC depuis la version 7 (j'avais vu dans ce forum que des personnes avaient ce pb et que cette solution etait préconisée) et de divers troubles une fois sur le Net (ça semble aller mieux -mais c'est peut être un hasard- depuis que j'ai dernièrement désactivé la surveillance des mails par Avast (d apres la recherche que j'avais faite elle n'est pas forcément nécessaire) ; et le fait que je ne puisse acceder à « reparer » pour ce qui est de la quarantaine, me fait penser que c est une raison supplementaire de desinstaller-réinstaller Avast.
mais quand on desinstalle un antivirus, qu'est ce qu'il advient des objets mis en quarantaine ? Ils sont detruits par l antivirus au cours de la desinstallation ? (d'où un autre intérêt de la fonction « réparer » en préalable).
Sans doute cette question fera rire les pros de l informatique, mais tant pis, j'assume de ne pas en être une  ;)

Merci d'avance et bonne soirée.

jeepava

  • Guest
Bonjour

Vous pourrais avoir des explications sur vos interrogations.
6. Les scans
7. Zone de quarantaine
http://www.6ma.fr/tuto/avast+antivirus+gratuit+2-598

chris287

  • Guest
Bonjour Jeepava,

D'abord et avant tout, merci beaucoup de m'avoir répondu.

La page dont vous donnez le lien est bien faite et claire, un bon point de départ. Sauf erreur de compréhension de ma part, tout à fait possible, donc ce sera sympa de me le dire si je n'ai pas compris, je ne me vexerai pas  :): j'en déduis que la réponse à ma question 2 est que en effet on ne peut pas tenter la fonction « réparer » une fois qu'on a choisi la fonction « mettre en quarantaine ».  Après, si on ne veut pas laisser en quarantaine, on ne peut choisir que les options listées dans la zone « quarantaine » (donc sans option d'essai de « réparation »).

Il s'agit donc bien d'être sûr de ce qu'on fait, en l’occurrence être sûr qu'il s'agit bien de nuisibles ou au contraire de faux positifs. En l'état actuel des choses, je ne peux donc ni « supprimer », ni « restaurer ».

Il y a bien la fonction « - Extraire : Le fichier sera copié vers le dossier sélectionné. » que je n'avais pas osé faire, créer un dossier sur le bureau, y mettre ces deux « douteux » l'un après l'autre et les faire analyser par exemple par MBAM. Car en faisant ça, sauf erreur de ma part, je les sors du blocage/quarantaine et ils sont donc ré-activés, avec le risque qu'ils se propagent en d'autres endroits le temps (même bref) que MBAM commence son analyse (et à supposer qu'il les reconnaisse, aucun système de protection n'étant infaillible) ...

Reste l'option « - Envoyer à Avast Software : Le fichier sera envoyé à Avast par e-mail pour une analyse plus poussée. «, en espérant que Avast, lui, prend bien en compte ce type d'envoi (j'ai eu dans les années précédentes 2 expériences décevantes -pour rester polie- sur ce sujet avec 2 autres programmes de protection).

Je viens d'envoyer la ligne du TRJ ; mais pas de possibilité d'envoi sur la ligne de l'ADW ; est ce que Avast ne recontrôle pas quand il s agit d'adwares ? Ou est ce un bug ?

- ma question 1 est annulée, j'en connais la réponse mais sur le coup j'y perdais mon latin car j'avais aussi lancé un scan MBAM en mode sans échec, qui n'avait rien donné. Quant à ma question 3, on peut considérer qu'elle est contenue dans la 2, et qu'en fait il faut avoir traité les objets en quarantaine avant de désinstaller un AV.

Bon comme je le disais au début, que personne n'hésite à me dire que je me trompe, je ne me vexerai pas  :)

Encore merci donc Jeepava et bonne journée.

jeepava

  • Guest
Bonjour chris287

(Avec le risque qu'ils se propagent en d'autres endroits)
C’est plutôt une mise en garde

-------------------------------------------

(blocage/quarantaine et ils sont donc ré-activés)
Voici la page n°2
8. Créer un scan personnalisé

1 - Protection Résidente
2 - Agent des fichiers  - Paramètres Expert
3 - Dans l'onglet "Actions"
4 - Vous pouvez Demander
http://www.6ma.fr/tuto/avast+antivirus+gratuit+2-605

Une fois que avast trouvera les fichiers dans votre dossier
5 - détecte...
6 - Actions à effectuer -  bloquer
7 - Lancé un scan MBAM

-------------------------------------------

([AdW])
Envoyez à partir de fichiers de l'utilisateur de la section
(Sélectionnez le fichier, clic droit, e-mail à Alwil Software)
Il sera chargé (pas réellement envoyé) à avast lorsque
l'auto prochaine avast (ou manuel) mise à jour se fait.

Donc il y a un délais entre les mises à jours
Il est de source connue ou bloquer ((documents format factory converter (programme zip de setup))
Donc peut-être pas d'envoi.

chris287

  • Guest
Une fois que avast trouvera les fichiers dans votre dossier
5 - détecte...
6 - Actions à effectuer -  bloquer
7 - Lancé un scan MBAM

Merci bien pour cette info, j'ignorais qu'il était possible de bloquer l'objet trouvé, une fois extrait de la quarantaine. Super, je ferai ça demain pour le faire analyser par MBAM ; je parle de l' ADW car comme j'ai envoyé le TRJ à Avast pour un nouveau contrôle, j'attends les prochaines MAJ d'Avast. Je présume que si dans quelques jours, donc quelques MAJ, le TRJ est toujours en quarantaine, c'est que le nouveau contrôle par Avast aura déterminé que c'est bien un TRJ.

En revanche, je ne suis pas sûre de piger ce que vous dites «envoyez à partir de fichiers de l'utilisateur de la section »
si par « section » vous entendez la zone de quarantaine, c'est bien ce que j'avais tenté de faire ; mais ça a fonctionné pour le trojan, pas pour l'adware ; je viens de réessayer, toujours pas de réaction quand je clique sur « envoyer à Avast » dans le menu déroulant ; la fenêtre d envoi ne s'ouvre pas.  
Et quand vous dites « Il est de source connue ou bloquer … Donc peut-être pas d'envoi. », je suppose que vous voulez dire que c'est peut être pourquoi cette fenêtre d envoi ne s'ouvre pas, parce que c'est un fichier déjà connu ou/et déjà bloqué par Avast. Ce qui suppose que quand un objet est mis en quarantaine, il est d'office ré-analysé par la suite, parmi les tâches courantes d'Avast ?

Merci encore et bonne soirée.

jeepava

  • Guest
Re Bonjour chris287

Envoyer les fichiers à partir de la Zone de Quarantaine aux Laboratoires d'analyse de virus d'avast!

1Note:
Les champs Nom du programme, l'Editeur du Programme, la Version du Programme seront actives seulement si vous sélectionnez 'Faux positif' comme type de fichier de l'échantillon à envoyer.

2Note:
Si le fichier n'a pu être envoyé, vérifiez que sa taille ne dépasse pas la taille maximale requise spécifiée dans les Réglages de la Zone de Quarantaine.

http://support.avast.com/index.php?languageid=4&group=fre&_m=knowledgebase&_a=viewarticle&kbarticleid=513#idt_07

Une info de plus !

chris287

  • Guest
Bonjour Jeepava,

Je n'avais pas assez paginé le support lors de mes recherches, car je suis passée à coté de cette page ; cela dit pour ma défense votre Honneur  ;)  quand j'ai envoyé le TRJ j avais sélectionné « logiciel malveillant potentiel », pas « faux positif » et ça a fonctionné ; et dans ma logique, sélectionner « faux positif » c'est savoir qu'il s'agit d un faux positif et en informer le service concerné de l'AV ; comme d'ailleurs indiqué ici « … et la raison pour laquelle vous croyez que le fichier ou le programme ne devrait pas être détecté. « ; de + j'avais utilisé en zone de quarantaine l' option « scan «  dont il est question ici « Les fichiers contenus dans la Zone de Quarantaine peuvent être manuellement analysés ou re-analysés … « , ils étaient toujours identifiés comme nuisibles.

A part ça je me suis souvenue ce matin (décidément j'ai le cerveau lent  :)  ) en voyant le pop up informant de la MAJ d'Avast que je pouvais voir les derniers virus répertoriés en cliquant sur le lien dans le pop up ; j'ai fait une recherche par le nom, il y a plusieurs Win32:SMSSend … mais pas celui qui me concerne, qui se termine par -IG, y compris en paginant par « get virus history ». A suivre donc.

Bon j'espère trouver le temps de voir tout ça dans la journée, merci pour les infos et bonne journée  :)


chris287

  • Guest
Bonjour, quelques nouvelles du front …

Après sortie ponctuelle du fichier-ADW de la quarantaine d'Avast, l'analyse de MBAM n'avait rien donné.
Une analyse de MBAM faite ensuite, d'une copie du disk D : (copie que j'avais fait sur mon DDE, qq jours avant que Avast ne découvre un TRJ sur le D : du PC lors d'un scan au demarrage programmé) n'a rien donné non plus, rien à signaler pour MBAM.

En faisant une recherche/dossiers cachés visibles, sur le préfixe jre (nom du fichier qui serait infecté par un TRJ), ce fichier concerne Java OpenOffice 3.3 ; (Qu'est ce qu'un fichier Java-OO fait dans le D : -D etant le disk recovery/factory image » de mon PC (HP, vista 32)- ? C'est un « type de couverture » que peuvent se créer les trojans ? )
Et une recherche « fichiers non cachés « partout » « inclure les non indexés etc ... » sur le nom de l'emplacement d'origine donné par Avast : hp apps APP24829 src, ne donne rien, y compris en ne tapant le nom que partiellement, apps APP24829.

Suite à mon envoi à Avast le 27 mars de ce fichier comme « logiciel malveillant potentiel », je n'ai pas eu de retour pour infos complémentaires du service Avast concerné.

<<< A ce jour, dans la quarantaine, si je clique sur scan, Avast les présente toujours comme étant 1 adware et 1 trojan …

Vous me dire que je peux les laisser en quarantaine, mais j'aimerais bien régler ce problème car si j'ai à désinstaller Avast un jour pour une raison ou une autre, la question se posera de toutes façons et de + le TRJ concerne le disque de partition de réinstallation. 

Le fichier avec Trojan étant celui qui me pose le + de problème étant donné qu'il est situé dans le D : (disk recovery/factory image), j'ai refait aujourd'hui une recherche sur la page d'Avast de la derniere MAJ , virus update history (qui remonte au 8 avril) ; il y a toujours une tripotée de « Win32:SMSSend- (Q...[Trj]  ; P …[Trj] ) mais toujours pas de  Win32:SMSSend-IG [Trj] ; et si je le mets en zone « rechercher » en haut de page, j'ai toujours « Le mot recherché n'a pas été trouvé ».

En faisant une nouvelle recherche sur le Net, curieusement (comme la 1ere fois), je ne vois ce TRJ évoqué que sur des sites en anglais (et peu, juste sur 2 pages du moteur de recherche),

dont ici le forum Avast-anglais (déc 2011) : Topic: win32:smssend-IG Trojan help  http://forum.avast.com/index.php?topic=90819.0

traducteur Bing :
- Salut. Aujourd'hui j'ai couru un balayage de temps de démarrage et a fini par trouver les 2 fichiers infectés. Les deux semblent être « win32:smssend-IG » et il ne peut pas être déplacé à la poitrine, réparé ou supprimé. Curieusement, rien n'est trouvé lorsque je recherche google. J'ai couru Malwarebytes et SuperAntiSpyware aujourd'hui aussi bien et n'a rien trouvé. Notez également que le dernier scan de temps démarrage que j'ai couru était il y a 3 jours, et rien n'a été trouvé alors. Info ou conseils est les bienvenus. Voici le journal. Merci.

- J'ai juste eu la même menace sur mon analyse. J'ai été incapable de se déplacer vérifier ainsi!! Veuillez un conseiller sur ce sujet.

- Celui qui dire corrompu est juste une erreur d'analyse.... les fichiers qui ne peuvent pas être analysés ou sont endommagés sont exactement ce que [...] cela ne signifie pas qu'elles sont infectées

   Citation {L'opération n'est pas supportée pour ce type d'archive.}
signifie que le fichier détecté est à l'intérieur d'une archive zip..... et le scanner ne peut pas rip it out
donc pour supprimer, décompresser et analyser le contenu du dossier... ou essayez de rechercher le fichier et le supprimer
Si vous savez ce fichier « youtubeuploader » ?
   Citation Fichier C:\System Volume Information\_restore{202550A8-7A33-4BCA-9586-051D24DDBF8F}\RP2150\A0389175.msi| > Uploader.cab| > ShellEXE est infecté par Win32:SMSSend-IG [Trj]
Ceci je pense est juste une sauvegarde du fichier même détecté au-dessus.... situé en un point de restauration
pour que supprimer, supprimer le redémarrage de point de restauration et de créer de nouvelles


Autre site (février 2012) : http://community.norton.com/t5/Norton-Internet-Security-Norton/NIS-2012-causing-blue-screens/td-p/668871

trad Bing : NIS 2012 causant des écrans bleus

- … J 'ai utilisé Norton depuis 2007, mise à jour chaque année.
La gradation problème a été résolu, c'est grâce à mes préférences moniteurs. Je ne peux l'autre pouvoir fournir en parce que j'ai envoyé à Corsair (il n'a pas, donc ils me mis à niveau vers une 600w).
J'ai suivi le processus de balayage avec OTL, vérifiant le Master Boot Record (MBR), analyse avec Malwarebytes et balayage avec ComboFix. Rien n'a d'abord trouvé mais Avast a fait venir avec
« Fichier : C:\Windows\system32\jureg.exe ** infectés ** Win32:SMSSend-IG [Trj] »

- Fichier jureg.exe est mise à jour de JAVA alors assurez-vous que vous avez la version la plus récente qui est actuellement version 6 mise à jour 31


Pas le même cas de figure non plus que chez moi sur la nature du fichier, mais en revanche dans les 2 cas, seul Avast annonce cette infection.


En résumé, ce Trojan Win32:SMSSend-IG [Trj] semble n'être trouvé que par Avast, pour divers autres programmes ce TRJ n'y est pas.
Mais sur la zone « recherche » de la page de MAJ d'Avast », il n'existait pas ni dans la liste des dernieres MAJ à l'époque de la « découverte » fin Mars, pour mon cas, et n'existe toujours pas aujourd'hui, + d'un mois après.

Ca ressemble assez à un faux positif, non ? 
Mais alors pourquoi le scan dans la quarantaine d'Avast le décrit toujours comme étant un TRJ ?
Et pourquoi est il toujours inconnu en zone « recherche » de la page de MAJ d'Avast et dans sa liste de Mai à Avril ? D'autant que j'ai envoyé à Avast la demande de nouvelle analyse le 27 Mars ; on est le 8 Mai, il a du être analysé … ?

Merci et bonne fin de journée.

chris287

  • Guest
PS alors là je ne comprends rien : Ce matin j'ai fait la MAJ de Java ; je viens de procéder à la sortie du fichier /TRJ de la quarantaine et lancer un scan personnalisé de Avast : surprise ! « aucune menace détectée » dit Avast (pour MBAM non plus).
Quand je vais voir ce fichier dans le dossier que j'ai créé pour ce test, en fait c'est une application (.exe) Java re-6u1-windows-i586-p (de 13,1 Mo), en date d’aujourd’hui,
et quand je reviens dans la quarantaine, que je relance un scan du fichier-TRJ qui y est, Avast me dit encore que c est bien un TRJ. En date initiale du 19/03 et en emplacement initial D :  … (le fichier d'origine donc).

Et si je fait une recherche approfondie par le nom de l'application, Windows ne la trouve que dans ce dossier créé pour l'extraction du fichier en quarantaine.

<<< J'ai vidé le Appdata local temp de tous les fichiers Java qui s'y sont mis après sa MAJ, puis refait le tout (extraction du fichier de la quarantaine etc ) dans un dossier2 de test : le scan personnalisé d'avast dit à nouveau « aucune menace », MBAM aussi.

Mais qq minutes après, je lance un scan directement sur l'application qui est ds ce dossier d'extraction, par le menu déroulant/clic droit, alors là AVAST dit  « MENACE DETECTEE «, toujours le meme nom de TRJ avec sévérité haute, et le nom du fichier que donne Avast est different, il y a à la suite [Embedded_R ….. Data1.cab … patchjre.exe

du coup je fais la meme chose avec le fichier du dossier1 de test : idem ! Alors que le scan personnalisé avait dit aucune menace, en lançant directement un scan sur le fichier là alerte rouge ! Et meme nom modifié dans le descriptif Avast,

et MBAM ne trouve toujours rien d'alarmant, ni sur le 1er ni sur le second..

Mais qu'est ce que c'est que ce binz ??