Author Topic: problème rootkit (Read 11534 times)

Jean-Louisl · « **on:** September 30, 2013, 02:10:50 AM »

bonjour,
J'ai depuis quelques jours des pop-up rouges d'Avast me disant qu'une infection de rootkit est détectée. Régulièrement, des fenêtres Avast s'ouvrent me disant de faire un scan au démarrage, ce que je fait. Peu après (environ 5-10 minutes) les fenêtres d'Avast réapparaissent me parlant d'infection et de rootkit : "Un objet suspect (rookit a été trouvé sur votre système....Win32:evo-gen[Susp]".
Lorsque je fais un scan complet par Avast, il me trouve 1 infection (fichier rootkit...C:\Windows\systems32\msiexec.exe), mais refuse de la mettre en quarantaine. Je clique alors sur supprimé et tout semble ok, mais, par après, tout recommence.
Lorsque je scanne avec Spybot, Malwarebytes ou même Hijacktis, rien de dangereux n'est trouvé.
Je ne m'y connais pas beaucoup en informatique, mais ce problème de Rootkit et toutes les alertes d'Avast qui apparaissent régulièrement me tracassent, surtout lorsque je pense à mes transactions sécurisées (banque, Paypal, etc)

Pourriez-vous m'aider et me dire si mon pc est en danger et comment y remédier?

jefferson sant · « **Reply #1 on:** September 30, 2013, 10:31:29 PM »

Bonjour.

cela semble très étrange
vous pouvez planifier un scan au redémarrage

Ouvrir avast> onglet Sécurité> Antivirus> Analyse> parámetres.cliquez le bouton Parcourir
marquer les emplacements.

Spécifier quelles mesures doivent être prises si une menace est détectée. Avast peut se déplacer en quarantaine ou le supprimer. En outre, vous pouvez configurer l'action à prendre est appelée à chaque fois qu'une menace est détectée.

jefferson sant · « **Reply #2 on:** September 30, 2013, 11:11:38 PM »

Télécharger kaspersky TDSSKiller.zip

http://www.bleepingcomputer.com/download/tdsskiller/

Lancez-le en double-cliquant TDSSKiller.exe
Pour Windows Vista ou Windows 7, cliquez droit et l'exécuter en tant qu'administrateur.
Appuyez sur Commencer scan

Si un objet suspect est détecté, l'action par défaut sera Skip, cliquez sur Continuer.

• Si les objets malveillants sont détectés, sélectionnez guérir.

Une fois terminé, un journal est produit à la racine qui est normalement C: \ par exemple, C: \ log.txt <version_date_time> TDSSKiller.

après

Dans "Modifier les paramètres", cocher toutes les cases.
puis cliquez sur "Démarrer scan"
Postez le rapport en cliquant rapport.
Sélectionnez-le et copiez-le dans le Bloc-notes. (TDSSKiller_Report)

Jean-Louisl · « **Reply #3 on:** October 01, 2013, 02:10:56 AM »

Bonjour,

Merci pour votre réponse !

J'ai fait un scan au démarrage (avec l'option mise en quarantaine) et le scan n'a rien détecté (comme auparavant). Ensuite, j'ai lancé un scan minutieux Avast et au même endroit qu'avant (environ 2,1 Gb, avant que le pourcentage se mettent en route), j'ai eu un avis d'infection.

Comma avant, j'ai voulu le mettre en quarantaine et le message suivant s'est affiché :
(X) Erreur: Cette demande n'est pas prise en charge (50)

Lorsque j'ai alors cliqué sur l'action "supprimer", le message suivant s'est inscrit :
Action décalée jusqu'au prochain redémarrage

Donc, j'ai téléchargé le killer de Kaspersky en cochant les cases comme indiqué et il a trouvé 1 Treath au niveau de :
C:\windows\system32\Drivers\tcpip.sys

le Tcpip est noté comme ( UnsignedFile.Multi.Generic )

Lorsque je clique sur skip et relance un scan, il me retrouve cette infection
Lorsque je clique "copy to quarantine" et relance un scan, il la retrouve encore...

Pourriez-vous aussi m'indiquer comment copier le rapport (avec mon clic droit ça ne marche pas) et qu'en faire?

Merci encore pour votre aide !

Jean-Louis

Jean-Louisl · « **Reply #4 on:** October 01, 2013, 02:16:57 AM »

images

jefferson sant · « **Reply #5 on:** October 01, 2013, 05:03:53 AM »

quand le problème a commencé ?
logs tdsskiller seulement détecté un système de fichiers
avec suspicious
pas aucun signe d'infection

=========prochaine===================

Télécharger le Malwarebytes AntiRootkit et enregistrez-le sur votre bureau.

http://www.malwarebytes.org/products/mbar/

Des instructions complètes sur la façon d'utiliser MBAR
http://www.bleepingcomputer.com/virus-removal/how-to-use-malwarebytes-anti-rootkit
Avertissement: Ceci est une version beta donc n'oubliez pas de lire la mise en garde et notes.

• Décompresser / unrar MBAR un dossier sur votre bureau
• Ouvrez le dossier où le contenu décompressé afin de fonctionner mbar.exe

• Cliquez sur Suivant>, puis sur le bouton Mettre à jour pour télécharger les nouvelles définitions.

• Lorsqu'une mise à jour de la base de données cliquez sur Suivant

• Dans la fenêtre suivante assurer «cibles» pour numériser les conducteurs, les Secteurs; système sont marqués. Ensuite, sélectionnez "bouton Scan"

• Si une infection / s sont sûrs "Créer un point de restauration" est cochée, puis sélectionnez l'option "nettoyage Bouton" afin de supprimer les menaces.
Ou si vous êtes sûr aucune entrée ne devrait pas être conservé, il suffit de décocher eux. La liste des fichiers infectés sera répertorié.

• La procédure de nettoyage est prévue pour le processus.
• À la fin de pop-up va vous montrer. Sélectionnez le bouton Oui et le système doit redémarrer pour terminer le processus de nettoyage.

Jean-Louisl · « **Reply #6 on:** October 01, 2013, 08:24:16 AM »

Bonjour,

J'ai téléchargé Malwarebytes anti-rootkit, j'ai fait l'update et j'ai lancé le scan en cochant tout.(drivers, sectors, system)

Pendant le scan, un pop-up rouge d'Avast m'a dit qu'il avait bloqué une menace. (il me fait le même cirque lors des scan Malwarebytes et Spybot).

Après le scan complet, Malwarebytes anti-rootkit m'a dit qu'il n'avait rien trouvé.

J'ai fait un scan Avast minutieux qui m'a trouvé l'infection habituelle avec les mêmes résultats...

J'ai alors déconnecté Avast (les 8 agents) et ai relancé un scan anti-rootkit de Malwarebytes, sans rien détecter.

Avast, lors d'un scan, me confirme que le problème est toujours là.

Vers le 26 septembre, je crois, j'avais reçu notation d'Avast, de renouveler mon Avast free pour un an, ce que j'ai fait.

C'est après cela que les ennuis ont commencé. Comme je n'arrivais pas à supprimer la menace, j'ai supprimé Avast de mon ordinateur et l'ai téléchargé à nouveau via Clubic.(le 28 septembre je crois).

Rien n'avait changé par rapport à avant.

Je ne sais plus quoi penser de ce problème....

Bonne journée,

Jean-Louis

jefferson sant · « **Reply #7 on:** October 01, 2013, 03:37:59 PM »

Quote from: Jean-Louisl on October 01, 2013, 08:24:16 AM

Vers le 26 septembre, je crois, j'avais reçu notation d'Avast, de renouveler mon Avast free pour un an, ce que j'ai fait.

C'est après cela que les ennuis ont commencé. Comme je n'arrivais pas à supprimer la menace, j'ai supprimé Avast de mon ordinateur et l'ai téléchargé à nouveau via Clubic.(le 28 septembre je crois).

Rien n'avait changé par rapport à avant.

Je ne sais plus quoi penser de ce problème....

Bonne journée,

Jean-Louis

C'est peut-être un faux positif, faire un scan avec Avast à partir de Windows. Si ce n'est pas le détecter alors la prochaine fois qu'il apparaît, sélectionnez "Ignorer"

Armstrong · « **Reply #8 on:** October 01, 2013, 08:37:55 PM »

Bonjour,

Il se trouve que j'ai exactement le même problème depuis quelques jours, avec le même fichier (SVC:MSIServer> ...C:\Windows\systems32\msiexec.exe) dont Avast me signale qu'il s'agit d'un rootkit nommé Win32:evo-gen[Susp] à chaque redémarrage... Pourtant, en allant chercher le fichier manuellement, celui-ci date de 2008 sur mon pc... Et Malwarebytes ne le détecte pas comme un virus lorsque je l'analyse.

J'ai également fait la mise à jour d'Avast free antivirus il y a quelques jours et le problème a commencer peu de temps après...
Peut-être y a t-il un problème de compatibilité entre la dernière mise à jour d'Avast et Windows XP ?

Au final, savez-vous s'il s'agit d'un faux positif, auquel cas je dois cocher "ignorer l'avertissement de ce rootkit" ? Ou est-ce que ce fichier doit être supprimé, et si oui de quelle manière ?

Merci par avance

jefferson sant · « **Reply #9 on:** October 01, 2013, 10:58:43 PM »

Quote from: Armstrong on October 01, 2013, 08:37:55 PM

Bonjour,

Il se trouve que j'ai exactement le même problème depuis quelques jours, avec le même fichier (SVC:MSIServer> ...C:\Windows\systems32\msiexec.exe) dont Avast me signale qu'il s'agit d'un rootkit nommé Win32:evo-gen[Susp] à chaque redémarrage... Pourtant, en allant chercher le fichier manuellement, celui-ci date de 2008 sur mon pc... Et Malwarebytes ne le détecte pas comme un virus lorsque je l'analyse.
Merci par avance

Envoyez le fichier (chaîne de nom de fichier est écrit après "SVC: MSIServer>" dans la colonne "Nom du Fichier") à virus@avast.com, mis "faux positif" pour envoyer un courriel sujet.

Armstrong · « **Reply #10 on:** October 02, 2013, 01:26:15 AM »

Merci pour la réponse jefferson,
donc je dois envoyer le fichier msiexec.exe par mail à cette adresse ?
Faut-il le compresser dans un zip au préalable ?

Ou est-ce qu'une prochaine mise à jour d'avast résoudra le problème prochainement ?

Cordialement

jefferson sant · « **Reply #11 on:** October 02, 2013, 04:35:36 AM »

Quote from: Armstrong on October 02, 2013, 01:26:15 AM

Merci pour la réponse jefferson,
donc je dois envoyer le fichier msiexec.exe par mail à cette adresse ?
Faut-il le compresser dans un zip au préalable ?
Cordialement

S'il vous plaît mettre dans le format ZIP ou RAR.
Nous avons besoin de cet échantillon à analyser.

Jean-Louisl · « **Reply #12 on:** October 02, 2013, 05:23:21 AM »

Bonjour Armstrong,

Pourriez-vous me tenir au courant de la suite qu'Avast donnera à votre mail?

Je ne m'y connais pas du tout en informatique, mais comme je ne sais pas copier-coller ce fichier "msiexec.exe" pour en envoyer une copie à Avast, doit-je cliquer dessus et l'envoyer directement? Auquel cas, ne va t-il pas être enlevé de mon pc et ne va t-il pas manqué?

J'ai l'impression de nager dans une soupe épaisse

Bonne journée,

Jean-Louis

jefferson sant · « **Reply #13 on:** October 03, 2013, 12:07:58 AM »

Quote from: Jean-Louisl on October 02, 2013, 05:23:21 AM

Bonjour Armstrong,

Pourriez-vous me tenir au courant de la suite qu'Avast donnera à votre mail?

Je ne m'y connais pas du tout en informatique, mais comme je ne sais pas copier-coller ce fichier "msiexec.exe" pour en envoyer une copie à Avast, doit-je cliquer dessus et l'envoyer directement? Auquel cas, ne va t-il pas être enlevé de mon pc et ne va t-il pas manqué?

J'ai l'impression de nager dans une soupe épaisse

Bonne journée,

Jean-Louis

si vous ne pouvez pas résoudre votre problème, vous pouvez présenter une demande à notre support technique. Encore une fois, vous devrez vous inscrire pour ce faire, et quand vous nous écrivez, s'il vous plaît n'oubliez pas d'inclure toutes les informations possibles

vous pouvez essayer de soumettre un ticket de support

https://support.avast.com/Tickets/Submit/RenderForm

Armstrong · « **Reply #14 on:** October 03, 2013, 12:30:46 AM »

Bonsoir,

Le lien pour le support ne semble pas fonctionner chez moi, donc je comptais envoyer un mail à avast comme suggéré précédemment... Mais ne sachant pas à quoi correspond et sert le fichier dit 'infecté' (msiexec.exe), est-ce qu'il n'y a aucun risque que je l'envoie par mail, niveau sécurité et conservation de donnée ?
Merci par avance

Author Topic: problème rootkit (Read 11534 times)

Jean-Louisl

problème rootkit

jefferson sant

Re: problème rootkit

jefferson sant

Re: problème rootkit

Jean-Louisl

Re: problème rootkit

Jean-Louisl

Re: problème rootkit

jefferson sant

Re: problème rootkit

Jean-Louisl

Re: problème rootkit

jefferson sant

Re: problème rootkit

Armstrong

Re: problème rootkit

jefferson sant

Re: problème rootkit

Armstrong

Re: problème rootkit

jefferson sant

Re: problème rootkit

Jean-Louisl

Re: problème rootkit

jefferson sant

Re: problème rootkit

Armstrong

Re: problème rootkit