> Tous les forums > Forum Sécurité
 Avast Menace détectée: Rookit
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
Gedeon133
  Posté le 08/06/2011 @ 10:02 
Aller en bas de la page 
Petit astucien

Bonjour,

Mon PC ramait terriblement j'ai fait un scan minutieux avec avast et il a détecté une menace dans system32/CONFIG/systemprofile/local setting/temp/CR_33AF0.tmp/setup.exe avec le message ROOTKIT:HIDDEN file

+ deuxieme message : Erreur dans doc et setting/application data/mozilla/firefox/mteitq8.defaut/bookmarkbackup/bookmark2011.05.09.json

Avast propose de mettre le 1er en quarantaine...cela va t il suffire? dois je faire cela vu que c'est dans system32?merci pour vos conseils

Publicité
Anonyme
 Posté le 08/06/2011 à 10:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

Oui quand il y as une alerte il vaut mieux mettre en quarantaine (qui te laisse la possiblitée de récupérer en cas de besoin)

Ensuite suis cette procédure https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm et met les rapports et attend qu'un membre du Groupe Sécurité te prenne en charge.

Bonne journée.

Pierre Nicolas
 Posté le 08/06/2011 à 10:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour tout le monde,

Oui quand il y as une alerte il vaut mieux mettre en quarantaine

Et si cela fait planter le système au démarrage suivant, on fait quoi? Dans ce cas, la quarantaine ne servira à rien. Les faux-positifs ne sont pas rares (je viens encore d'en observer un; si j'avais mis la détection en quarantaine, je faisais planter un programme).

Des plantages de systèmes suite à des actions prématurées (mise en quarantaine, effacement de fichiers,...), cela existe.

Mon conseil: attendre la prise en charge par un membre du groupe sécurité qui pourra confirmer ou infirmer l'infection.

En attendant tu peux réaliser une analyse du fichier sur VirusTotal: http://www.virustotal.com/index.html



Modifié par Pierre Nicolas le 08/06/2011 10:19
Gedeon133
 Posté le 08/06/2011 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ok, j'ai fait virustotal du fichier, il a rien detecté...donc je peux mettre en quarantaine?

Pierre Nicolas
 Posté le 08/06/2011 à 10:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Ok, j'ai fait virustotal du fichier, il a rien detecté...donc je peux mettre en quarantaine?

Non justement c'est sans doute un faux positif.

Gedeon133
 Posté le 08/06/2011 à 11:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Super!!! alors je fais quoi? la procédure indiquée par Leon76? mais il y a tjrs la fenetre d'avast ouverte et je ne peux acceder a mon bureau, donc pour la menace faut que je fasse quelque chose avec/ soit mettre en quarantaine soit réparer soit ignorer pour pouvoir fermer la fenetre avast....

le tarbais
 Posté le 08/06/2011 à 11:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

à tous Tu n'es peut être pas tout seul à avoir ce problème Gedeon. Voir ce lien sur le forum "Avast" :

http://forum.avast.com/index.php?topic=79509.0

Gedeon133
 Posté le 08/06/2011 à 11:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

c'est rassurant!!!! Apparement ca lui est arrivé hier....mais il n'y a aucune réponse pour la résolution du pb....apparement heureusement que je ne l'ai pas mis en quarantaine ou supprimé...je serais bloqué là...(merci pierre nicolas). Mais tous cela ne m'avance pas vraiement....que dois-je faire maintanant?

le tarbais
 Posté le 08/06/2011 à 11:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Moi à ta place, je ferai "Ignorer" et relancerai un scan minutieux après avoir fait une mise à jour manuelle de la base virale...

Gedeon133
 Posté le 08/06/2011 à 11:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

et comment on fait une MAJ manuelle de la base virale?

le tarbais
 Posté le 08/06/2011 à 11:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bouton droit sur l'icone orange d'avast " Mise à jour moteur et base de données virales VPS "

Gedeon133
 Posté le 08/06/2011 à 12:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok,j'ai fais ce que tu as dis (le tarbais) c.a.d: MAJ avast et j'ai relancé un scan minutieux: aucune menace détectéé.....donc c'est bon?

le tarbais
 Posté le 08/06/2011 à 12:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

regarde par curiosité dans le chemin que tu donnes " system32/CONFIG/systemprofile/local setting/temp/CR_33AF0.tmp/setup.exe " si ce " rootkit " y est toujours...

CCleaner nettoie les fichiers temporaires aussi..

Gedeon133
 Posté le 08/06/2011 à 13:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ben si je fais ce chemin:system32/CONFIG/systemprofile/local setting/temp/CR_33AF0.tmp

J'arrive a un fichier zippé s'appelant: setup_patch.packed.7Z donc pour voir si setup.exe y est je dois l'"extraire ici"????

Fill
 Posté le 08/06/2011 à 13:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Salut,

Le mieux serait tout de même de suivre la procédure d'aide au diagnostic et d'éditer les rapports.

Fill

Gedeon133
 Posté le 08/06/2011 à 13:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Fill
 Posté le 08/06/2011 à 14:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

  • Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici).
  • Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
  • Clique sur l'onglet "rootkit", puis vérifie que toutes les cases sont bien cochées,
  • Clique sur scan.
  • A la fin du scan, clique sur le bouton copy.
  • Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
  • Edite ce rapport dans ta prochaine réponse.

Fill

Gedeon133
 Posté le 08/06/2011 à 18:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : gmr.txt

Fill
 Posté le 08/06/2011 à 20:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

1/

  • Télécharge TFC par Old_Timer sur ton Bureau,
  • Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  • L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  • Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  • Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système. S'il ne le fait pas, fais-le redémarrer manuellement le PC toi-même pour parachever le nettoyage.

2/ Utilise malwarebyte's comme indiqué ici et édite le rapport.

Fill

Gedeon133
 Posté le 08/06/2011 à 21:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Malware fait, zéro infection. Fini?

Fill
 Posté le 08/06/2011 à 21:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

Non. Tu suis ce tuto et tu édites ce rapport.

Fill

Gedeon133
 Posté le 08/06/2011 à 22:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

ok, fait, aucune menace détectée....une suite?

Fill
 Posté le 08/06/2011 à 22:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

1/

  • Ouvre le bloc-note (Démarrer>programmes>Accessoires>Bloc-notes),
  • Sélectionne et copie ces lignes. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler] =>Toolbar.Crawler
[HKCR\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}] =>Toolbar.Crawler
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}] =>Toolbar.Crawler

  • Enregistre le fichier dans le dossier C:\Program Files\ZHPDiag en choisisissant Fichiers>Enregistrer sous.... En nom de fichier, tu indiques ZHPDiag.txt. Une demande de confirmation est demandée car tu vas écraser l'ancien rapport. Tu acceptes.
  • Lance ZHPFix de Nicolas Coolman qui se trouve lui aussi dans le dossier ZHPDiag. Pour XP, double-clique sur ZHPFix ; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
  • Le logiciel s'ouvre. Il doit contenir dans la fenêtre de rapport uniquement les lignes que tu as sélectionnées au-dessus. Si ça ne correspond pas, tu interromps la procédure et tu me préviens.
  • Clique sur OK comme indiqué ci-dessous :

  • Les lignes du rapport apparaissent alors avec des cases à cocher.
  • Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Nettoyer" comme ceci :

  • Ceci va avoir pour effet de réaliser un correctif.
  • Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
  • Si un redémarrage est demandé, effectue-le.
  • Copie-colle le contenu du rapport situé dans le dossier ZHPDiag et qui se nomme ZHPFixreport.txt

2/

  • Ouvre ZHPFix dans C:\Program files\ZHPDiag
  • Clique sur ces boutons pour supprimer tous les éléments de la quarantaine et pour supprimer les outils utilisés :

.
3/
Tu peux par contre, garder Malwarebytes'Anti-malware et CCleaner. Utilise CCleaner tous les soirs avant de couper le PC (ne prends que quelques secondes!).

N'oublie pas de vacicner tes clés USB, disques durs externes etc...

Cela permet d'éviter un certain nombre d'infections utilisant ce moyen pour se propager.

Tu peux lire cet article qui explique les risques d'infections par supports amovibles.
Tu peux télécharger USBSet de Loup Blanc. Voici un tuto pour configurer correctement l'outil préventif. Comment c'est le cas pour tout vaccin, il n'évitera pas toutes les infections par ce type de support mais permet de réduire le facteur de risques en configurant correctement la machine et la clé.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.


4/ J'aimerais que tu fasses une petite chose pour moi; modifie le titre de ton sujet. Comme on connait l'infection,
je te propose de le modifier afin de faciliter la lecture et la recherche, pour tous les autres astuciens/nes.

Replace-toi sur ton premier message du sujet, clique sur ce bouton -> et modifie ton titre de cette manière :
adware et clique sur "Publier le message". Merci!


.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
5/

Il est fortement recommandé d'avoir tous ses logiciels de sécurité à jour, afin d'éviter les failles par lesquelles s'engouffrent les infections.
Cela englobe les mises à jour de windows, du navigateur, de Java, des lecteurs pdf, et notamment reader.

Pour Java, il est possible d'utiliser Javara. Cela permet d'installer la dernière version De Java et d'effacer les anciennes versions.

Pour le lecteur pdf, on peut utiliser des lecteurs alternatifs plus légers, comme Sumatra pdf, à la place de reader.

Pour tester les vulnérabilités et les logiciels non à jour, il est possible de se rendre sur le site de Secunia et de faire une analyse de la machine.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.
6/

/!\ Maintenant que ton PC n'est plus infecté, désactive la "Restauration du système" afin de créer un point de restauration sain.

Pour désactiver ou activer la Restauration du système, tu dois ouvrir une session Administrateur sous Windows XP.

Désactivation :
Clique droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > coche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok.

Ré-activation :
Suivre le même chemin ; décoche la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer et Ok. Redémarre l'ordinateur.

Comment faire pour désactiver la Restauration du système sous XP

Vider les points de Restauration système sous Vista

Activer ou désactiver la Restauration du système sous Windows 7

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

7/ Il est très important d'adopter un logiciel permettant de créer des images de son système. En cas de gros plantage, de défaillance matérielle, d'infection incurable, on peut ainsi en quelques minutes remettre sa machine sur pied à partir d'un CD de démarrage spécialement conçu à cet effet. On peut alors conserver une image disque sur sa machine et sur un support extérieur (Disque dur externe). Il existe des solutions commerciales payantes de qualité (Acronis true type, Ghost, Paragon), mais aussi des versions bridées gratuites de ces outils.

Voici DiskWizard, qui est une version bridée gratuite du logiciel Acronis. Elle s'utilise pour les disques de marque Seagate.
Téléchargement : Diskwizard
Tuto : Diskwizard

Pour les disques Western Digital :
Téléchargement : Acronis True Image WD Edition
Tuto : Acronis True Image WD Edition

Pour les disques Maxtor :
Téléchargement : Maxblast
Tuto : Maxblast

Le programme Macrium permet lui aussi de créer des images disques. Un tuto présenté sur cette page.
Il y a aussi DriveImage, qui offre des fonctionnalités intéressantes. Voici un tuto bien sur le site libellule.
Enfin, on peut aussi citer Drive Backup 9 free edition.

Pour windows7, il y a l'outil natif intégré à cette architecture qui est décrit ici.

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

/!\ Pour améliorer la sécurité de ton PC, prends quelques instants pour lire...

Sécuriser son PC +WIFI (versions "hot" & "light") : https://forum.pcastuces.com/sujet.asp?f=25&s=25892

Prévention et protection - Comment vous prémunir : https://forum.pcastuces.com/sujet.asp?f=25&s=36131

Les risques sécuritaires du peer-to-peer en 10 points : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.-.

S'il te plait, note ton sujet [Résolu] en cliquant sur Marquer comme résolu, à gauche, en bas de la page ou dans la barre de titre de ton sujet. Merci !

Gedeon133
 Posté le 09/06/2011 à 08:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

hello Good Morning, au niveau 1 de la procedure, dans zhp.fix il n'y a pas les lignes que j'ai copié. J'ai cliqué sur H...les lignes copié non apparue puis sur OK - Non traité zhp.diag....alors je fais quoi?

Fill
 Posté le 09/06/2011 à 14:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Gedeon133 a écrit :

hello Good Morning, au niveau 1 de la procedure, dans zhp.fix il n'y a pas les lignes que j'ai copié. J'ai cliqué sur H...les lignes copié non apparue puis sur OK - Non traité zhp.diag....alors je fais quoi?

Bonjour,

As-tu bien :

  • Sélectionné lesdites lignes,
  • Copié ces lignes (CTRL+C) dans le bloc-note,
  • Enregistré ce fichier nommé ZHPDiag.txt dans le dossier C:\Program Files\ZHPDiag ?

Fill

Fill
 Posté le 10/06/2011 à 21:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Salut,

Où en es-tu ?

Fill

Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
399,99 €Tablette 11 pouces Xiaomi Mi Pad 5 (120 Hz, Snapdragon 860, 6Go/128 Go, Android 11) à 399,99 €
Valable jusqu'au 29 Octobre

Fnac propose actuellement la nouvelle tablette 11 pouces Xiaomi Mi Pad 5 à 399,99 €. Cette superbe tablette possède un écran 11 pouces IPS WQHD+ (2560x1600 pixels) 120 Hz, un processeur Snapdragon 860 à 8 coeurs, 6 Go de RAM, 128 Go de stockage et tourne sous Android 11. Elle est compatible avec les stylets Xiaomi Smart Pen. 

Notez que jusqu'à 13h ce lundi, vous pourrez obtenir 20 € de remise supplémentaires avec le code REM20.


> Voir l'offre
129,99 €Ecran PC 27 pouces Dell SE2722HX (FHD, IPS, 75 Hz) à 129,99 €
Valable jusqu'au 30 Octobre

Amazon fait une promotion sur l'écran PC 27 pouces Dell SE2722HX qui passe à 129,99 € au lieu de plus de 159 € ailleurs. L'écran à cadre fin dispose d'une dalle IPS Full HD (1920x1080) à 75 Hz. Il est compatible Freesync et dispose d'une prise HDMI et d'une prise VGA. Il est garanti 3 ans.


> Voir l'offre
Gratuit3 mois d'abonnement à Amazon Music Unlimited gratuits
Valable jusqu'au 29 Octobre

Amazon vous permet d'essayer son service de streaming musical pendant 3 mois gratuitement. Avec Amazon Music Unlimited, accédez à plus de 50 millions de titres, sans publicité et en illimité sur tous vos appareils : smartphone, tablette, PC/Mac, Fire, Alexa. Vous avez même la possibilité de télécharger vos playlists pour des écoutes hors connexion. A la fin de ces 3 mois, vous pourrez basculer vers l'offre payante à 9,99 € / mois ou bien arrêter sans frais le service. A noter l'existence d'une offre famille à 14,99 € / mois qui permet jusqu'à 6 utilisateurs d'écouter leur musique à tout moment et sur leurs appareils préférés. Vous pouvez annuler l'abonnement à tout moment.


> Voir l'offre

Sujets relatifs
Menace détectée par avast sur pcastuces
Avast une menace a été détectée
Menace détectée par Avast
Menace détectée dans Free OCR
menace détectée
avast:une menace à été détecté:adresse url bloquée
menace avast systeme32 svchost, ordi qui démare +
menace detectée : adware offerbox
avast qui bloque les départs de courriel
antivirus avast
Plus de sujets relatifs à Avast Menace détectée: Rookit
 > Tous les forums > Forum Sécurité