Scan Avast bloqué sur C:\WINDOWS\System32\winlogon.exe

[REDACTED]

Bonjour,

Ma configuration : Windows Vista Home Edition 32 bits, Avast 2014 à jour, firewall Comodo à jour.

Jusqu'à maintenant mon Avast 2014 me donnait entière satisfaction.

Aujourd'hui j'ai voulu lancer un "scan minutieux", et l'opération s'est bloquée presque instantanément sur le fichier C:\WINDOWS\System32\winlogon.exe (le module d'ouverture/fermeture de session).

J'ai retenté plusieurs fois la manoeuvre, après avoir éteint et rallumé, en tant qu'utilisateur "ordinaire" ou en tant qu'administrateur. A chaque fois, c'est la même chose. Idem avec un "scan rapide". Les rapports Avast confirment que le scan a parcouru 10 fichiers en tout et pour tout avant de se bloquer.

En revanche, à un moment où j'avais lâché l'affaire, l'écran de veille Avast s'est lancé et a réussi à lancer un scan, jusqu'à ce que je l'interrompe en reprenant la main. J'ai aussi lancé une analyse du fichier winlogon.exe via le clic-droit dans C:\WINDOWS\System32, et Avast a bien mené son analyse et répondu "Aucune menace détectée".

Ce qui m'inquiète, c'est que j'ai d'autres comportements anormaux de la part de mes autres outils de sécurité :
* Spybot Search&Destroy est bien dans la barre d'icônes, mais quand je lance le centre de démarrage, l'analyse système, ou toute autre option du menu, aucune fenêtre ne s'affiche. Cependant, des processus sont bien lancés et visibles dans le gestionnaire de tâches.
* TDSS Killer de Kaspersky, le plus récent fraîchement téléchargé, se lance, puis se bloque à 80% de chargement en mémoire. D'après mon expérience, c'est à ce stade de la progression qu'il devrait ouvrir sa fenêtre.
* Malwarebytes Anti-Malware (MBAM) se lance, affiche son icône dans la barre d'icônes, mais n'ouvre aucune fenêtre. Mais son processus est bien lancé ...
* Je visualise tout ce petit monde dans le gestionnaire de tâches, et j'essaye de tuer leurs processus avec la fonction "Terminer le processus". Mais rien ne se passe, alors que je suis bien Administrateur.
* J'utilise alors l'outil "Process Explorer" de la suite SysInternals, fraîchement mise à jour depuis le site de Microsoft. Habituellement, rien ne lui résiste, mais là, les processus se cramponnent.
* Process Explorer me permet de voir que ces processus n'ont pas de fenêtre (elles ne sont donc pas ouvertes en-dehors de l'écran, ce qui était une possibilité).
* J'ai tenté une désinstallation de Spybot Search&Destroy, mais la désinstallation s'est bloquée. Je vois le processus de désinstallation, mais lui aussi refuse de se faire tuer.
* J'ai aussi utilisé l'outil "PsKill" de SysInternals pour tenter de tuer les processus. Bien qu'il affirme "Process XXXX killed", les processus sont toujours là.

Le seul outil qui a fonctionné est Trend Micro HijackThis 2.0, qui ne m'a pas permis de trouver quoi que ce soit, à part la trace de 2 services dont les fichiers résidaient dans le dossier Administrateur\AppData\Local\Temp mais qui n'existaient plus. Ils ont peut-être servis de BackDoor ?

En revanche, lorsque j'ai ouvert une session Administrateur en mode sans échec, j'ai pu lancer sans difficulté Spybot, TDSS et MBAM, sans qu'ils ne trouvent rien.
Or, en mode sans échec, Avast est désactivé ... (mais il n'y a pas que lui).

Bref, ça pue.

Si quelqu'un a une idée ? Merci d'avance pour vos lumières.

[jefferson sant]

Bonsoir

la possibilité d'un conflit entre Comodo Firewall et Spybot
Un deepscreen avast doit être désactivée en raison de Sandbox comodo, choisissez ce qui devrait rendre actif, Comodo consomme des ressources sur votre version 6,  je vois la version bêta 8 est pas  bogues cette société n'a pas trouvé une solution permanent .

Je n'ai pas de rapports de problèmes avec spybot et avast,
faire avec l'utilitaire de désinstallation trouve ici dans le forum.

http://forums.comodo.com/install_setup_configuration_help/cleanup_tool_for_comodo_internet_security-t36499.0.html;msg259617#msg259617


http://forums.comodo.com/install-setup-configuration-help-cis/most-effective-way-to-reinstallupdate-cis-to-avoidfix-problems-t58620.0.html

[REDACTED]

Bonjour

je ne prétends pas à apporter une solution à votre problème, mais je voulais revenir sur certains outils utilisés
1)
Pourquoi avoir utilisé TDSSkiller qui n'est pas un outil anodin mais qui est un puissant outil de désinfection utilisé dans l'éradication du "rootkit" TDSS ? lorsqu'on emploie ce type d'outil, il faut être sur qu'il y a infection et que la cible a été véritablement identifiée.

2)  Trend Micro HijackThis 2.0 est incomplet et complétement dépassé. Pour faire une analyse complète du système, c'est l'outil de Nicolas coolman ZHPDiag qu'il faut utilisé:http://www.forum.nicolascoolman.fr/zhpdiag-t304.html si avast grince lors du téléchargement( ça peut arriver mais ce n'est pas grave) il faut le désactiver pendant cette opération et le réactiver après

3) Spybot Search&Destroy lui aussi est obsolète , Malwarebytes est largement suffisant

4) pour vérifier l'intégrité d'un fichier, il vaut mieux utiliser https://www.virustotal.com/

pour avoir déjà une vue d'ensemble de votre système et pour écarter la présence d'une infection il faudrait un rapport  ZHPDiag et Malwarebytes

après s'il y a effectivement infection, ce n'est plus de mon ressort. S'il n'y a pas infection il se pourrait que ce soit comme le dit jefferson une incompatibilité entre logiciels qui soit en cause

cordialement