> Tous les forums > Forum Sécurité
 netfilter2.sys bizarre bizarre!Sujet résolu
Ajouter un message à la discussion
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]
Br_Fr
  Posté le 16/04/2017 @ 13:29 
Aller en bas de la page 
Maîtresse astucienne

bonjour à tous

En novembre quand j'ai acheté mon PC,j'avais utilisé à tout hasard AdwCleaner et il m'avait détecté ce netfilter2.sys :

C:\WINDOWS\SysNative\drivers\netfilter2.sys

Comme le PC était neuf j'ai pensé à un faux-positif et n'ai pas supprimé.Et d'autant plus que j'ai la suite Bitdefender security 2017 qui ne l'a pas détecté.

Ce matin j'ai voulu voir ce qu'il en était et toujours pareil:

***** [ Services ] *****

Service trouvé: netfilter2


***** [ Dossiers ] *****

Aucun dossier malveillant trouvé.


***** [ Fichiers ] *****

Fichier trouvé: C:\WINDOWS\SysNative\drivers\netfilter2.sys


J'ai voulu analyser avec virustotal mais pas possible de trouver le dossier SysNative?alors avec Executer ,j'ai saisi "C:\WINDOWS\SysNative\drivers\netfilter2.sys" et voilà ce qui s'est affiché:

Bizarre bizarre!

Publicité
Pierre95
 Posté le 16/04/2017 à 13:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonnes Paques, Brigitte

Tu vas essayer de le tester par Virus Total autrement

c'est à dire via Zoek:

Script Zoek avec Virus Total

Charge cet outil

Zoek By Smeenk

Lien de téléchargement de l'outil :

http://telecharger.malekal.com/download/zoek/" href="http://telecharger.malekal.com/download/zoek/" download="">http://telecharger.malekal.com/download/zoek/

Désactive ton antivirus car Zoek.exe sera sans doute supprimé au chargement, l'outil est reconnu néfaste mais ne l'est pas, c'est un faux positif.

==> Ferme tous tes navigateurs internet

Double clique sur l'exe, pour obtenir ceci

Tu copies colles dans le cadre à partir de tout en haut à gauche le contenu de la ligne bleue ci dessous

C:\WINDOWS\SysNative\drivers\netfilter2.sys;virustotal
  • Clique sur "Run Script"

Une fenêtre Virus Total va apparaitre sur ton écran.

A la fin, un compte rendu ZOEK-RESULTS.TXT apparait sur le bureau, enregistre le sur le bureau et envoie le nous en utilisant le bouton “insérer un rapport”
ou en l’hébergeant sur CJOINT (diffusion: privée, durée: 21 jours)

http://www.cjoint.com/index.php

CJOINT te donne un lien internet que tu postes dans ta réponse

==> ZOEK-RESULTS.TXTse retrouve aussi sous C:

Pierre



Modifié par Pierre95 le 16/04/2017 13:52
Evasion60
 Posté le 16/04/2017 à 15:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Brigitte

Si ce problème vient d'un PC portable ASUS, qui inclus GoldenGate, ne pas t'inquiéter
Cela semble récurant

Maintenant ZOEK va nous en dire plus

Pierre95
 Posté le 16/04/2017 à 17:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Brigitte,

J'ai oublié de te dire de me poster aussi ton rapport Adwcleaner en l'hébergeant sur CJOINT

Car avec le rapport analyse Virus Total, je pourrais , si ce dernier est négatif, faire une signalisation dans le site de Toolslib qui gère Adwcleaner.

Pierre

Br_Fr
 Posté le 16/04/2017 à 19:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Bonsoir Pierrebonsoir Evasion

suis sur un autre PC car ce matin j'ai lié mon compte microsoft à la licence numérique et impossible de me connecter ce soir en compte local car il m'est demandé un mot de passe et je n'ai pas mis de mot de passe,étant seule à utiliser ce portable.

https://forum.pcastuces.com/impossible_de_me_connecter_en_compte-f13s7881.htm

et de surcroit demain je ne suis pas chez moi pour des manips!

Problème résolu



Modifié par Br_Fr le 16/04/2017 20:19
Br_Fr
 Posté le 16/04/2017 à 20:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Evasion60 a écrit :

Bonjour Brigitte

Si ce problème vient d'un PC portable ASUS, qui inclus GoldenGate, ne pas t'inquiéter
Cela semble récurant

Maintenant ZOEK va nous en dire plus

c'est un portable Asus.Je ne vois pas dans Programmes et fonctionnalités de GoldenGate.

Br_Fr
 Posté le 16/04/2017 à 20:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

voilà le rapport de AdwCleaner:

http://www.cjoint.com/c/GDqswX3EsH8

Br_Fr
 Posté le 16/04/2017 à 20:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
Pierre95
 Posté le 16/04/2017 à 21:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Brigitte,

j'ai constaté que parfois les pilotes sont durs d'accès à tester ou à supprimer.

Ainsi il m'est arrivé de buter pour tester un pilote à la main par Virus Total.

Mais Zoek est un outil puissant qui force l'accès au fichier , ce qui permets le test.

Ceci dit le test est mitigé et j'attends l'avis d' Evasion 60 pour la suppression ou pas en effet 5 antivirus le trouvent nuisible

Par contre:

Dans l'onglet file detail :

Le dossier est signé et la signature a été vérifiée.

EDIT:

J'ai déposé une demande dans le Forum Adwcleaner de Toolslib

https://toolslib.net/forum/viewthread/11143-netfilter2sys-faux-positif-ou-pas-dadwcleaner/



Modifié par Pierre95 le 16/04/2017 21:33
Publicité
Br_Fr
 Posté le 16/04/2017 à 21:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

J'avais cherché plusieurs fois avant de poser ce sujet et j'étais tombé sur un site english où quelqu'un avait supprimé ce fichier avec adwcleaner et ensuite il avait eu un problème de dll,une dll manquante me semble-t-il.

C'est pourquoi je n'ai pas voulu faire la suppression avec Adwcleaner.

Demain je serai absente .

Merci Pierre



Modifié par Br_Fr le 16/04/2017 21:36
Labougie
 Posté le 17/04/2017 à 11:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Je vais suivre ce sujet, il me semble passionnant. .

Le ficher de brigitte doit avoir ce MD5 => c2f01e084dd48741f1bd5f023881c95a => ce qui fait qu'adwcleaner le trouve. (le matche).

Si l'on regarde le fichier testé le md5 est => c2f01e084dd48741f1bd5f023881c95a => c'est le même.

Alors, l'on pousse un peu + loin.

Recherche du fichier sur "gogol"

Résultat de la page => https://www.google.fr/search?hl=fr&source=hp&biw=&bih=&q=TA_NFC_Driver.sys+herdprotect&btnG=Recherche+Google&gbv=1

Maintenant si nous ouvrons les liens:

  • Le second donne 3 malveillants avec le même MD5 (il est sans doute mauvais - OTD 'ouvert au débat')
  • Le premier possède un autre md5 (il semble y avoir 2 faux positifs)
  • le 3ieme également (pas de mauvaise détection)

Perso, je renommerais ce fichier en .old puis regarderais comment ce comporte la machine. (test sur 30 jours), utilisation normale, si aucun écran bleu ou aucun manque de dll, je supprime (après 30 jours).

Si problème, je supprime l'extension .old afin que le fichier reprenne ces droits.

Labougie

Pierre95
 Posté le 17/04/2017 à 12:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Labougie, Brigitte

Perso, je renommerais ce fichier en .old puis regarderais comment ce comporte la machine. (test sur 30 jours), utilisation normale, si aucun écran bleu ou aucun manque de dll, je supprime (après 30 jours).

Si problème, je supprime l'extension .old afin que le fichier reprenne ces droits.

Labougie

Quand un cas est litigieux, la bonne vieille méthode empirique que tu préconises est souvent ce qu'il y a de mieux à faire pour résoudre concrètement le problème

Pierre

Br_Fr
 Posté le 17/04/2017 à 20:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Bonsoir Pierre et Labougie

1) Comment pourrai-je renommer le fichier "netfilter2.sys" en fichier "netfilter2.old" puisque il serait ici: C:\WINDOWS\SysNative\drivers\netfilter2.sys

et que je n'ai pas de dossier "SysNative" dans C:\WINDOWS??

2) Pourquoi Virustotal n'indique pas "netfilter2.sys" mais "TA_NFC_Driver.sys"??

Pierre95
 Posté le 17/04/2017 à 20:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Brigitte,

Au préalable tu dois démasquer les fichiers et dossiers cachés et les dossiers protégés du système d'exploitation

Pour cela regarde ici comment faire:

Windows Vista, 7 et 8 : http://www.chantal11.com/2009/04/afficher-les-fichiers-caches-systeme-windows-7-vista/

Windows 10 : http://www.pcastuces.com/pratique/astuces/4563.htm

Note :Ne pas oublier de faire la manipulation inverse, surtout pour les dossiers protégés du système d'exploitation

Pierre

Br_Fr
 Posté le 17/04/2017 à 22:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Pierre

j'ai fait cela le premier jour où j'ai ouvert mon PC et je ne les cache jamais,comme j'ai toujours fait sur mes PC.C'est visible en permanence!

C'est en voulant faire analyser le fichier netfilter2.sys par Virustotal que je me suis rendu compte que je n'avais pas ce dossier SysNative!

Pierre95
 Posté le 17/04/2017 à 22:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonsoir Brigitte,

On va s'y prendre autrement pour le renommer.

Tu vas utiliser un fixlist de FRST

FRST correctif

Chargez la version qui convient à votre PC. La version 32 bits pour un pc en X86 (32bits) ou la version 64 bits pour un pc en X64 (64bits).

Frst 64 bits version=>Cliquez sur le lien, le chargement se lancera tout seul.

Frst 32 bits version=>Cliquez sur le lien, le chargement se lancera tout seul.

Déposez Frst.exe sur votre bureau.

/!\ ce correctif est personnalisé, il est conçu uniquement pour cet utilisateur,si vous entreprenez de l'utiliser sur votre machine, c'est à vos risques et périls

Enregistre sur ton bureau au même endroit que FRST.exe le fichier fixlist.txt ci dessous:

https://1fichier.com/?y03npcgnuh

comme sur la figure ci dessous

Que les cases soient cochées ou pas n’a aucune importance

double cliquez sur FRST.exe , puis validez le Disclaimer par "Ok"

clique sur "CORRIGER"

Laisse l'outil faire son job, c'est normalement assez rapide.

Poste le rapport fixlog.txt quand celui-ci est obtenu

Au plaisir de t'aider

Pierre



Modifié par Pierre95 le 17/04/2017 22:48
enfermedehors
 Posté le 17/04/2017 à 23:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grande Maîtresse astucienne

et que je n'ai pas de dossier "SysNative" dans C:\WINDOWS??

C'est normal, c'est un alias :

http://www.samlogic.net/articles/sysnative-folder-64-bit-windows.htm

Publicité
Pierre95
 Posté le 18/04/2017 à 08:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Bonjour Brigitte,

merci Yolande

Pour Brigitte,

Je prévois pour toi un fixlist dans les 2 cas possibles:

1 - Si tout ce passe bien tu passeras ce fixlist avec FRST après la période de 1 mois de quarantaine

https://1fichier.com/?42pq0tgy4z

2 - Si tu as des soucis et que tu dois revenir en arrière, tu passeras alors ce fixlist

https://1fichier.com/?1loyjy7y7q

Je te conseille de les télécharger tous les 2 maintenant car ils seront effacés de 1fichier.com au bout de 15 jours de non téléchargement.

Quand à la fin de la quarantaine , tu passeras le fixlist, vérifies bien et fait qu'il s'appelle fixlist.txt et pas autre chose

A ton service

Pierre



Modifié par Pierre95 le 18/04/2017 10:27
Pierre95
 Posté le 18/04/2017 à 11:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Brigitte,

Je rajoute ceci à mon post précédent:

Fr33tux , administrateur d' Adwcleaner, suite à ma demande maintient actuellement la signalisation comme nuisible dans Adwcleaner.

https://toolslib.net/forum/viewthread/11143-netfilter2sys-faux-positif-ou-pas-dadwcleaner/

ce qui me parait compréhensible au vu de ton rapport Adwcleaner que tu as fourni.

La procédure préconisée par Labougie en ressort confortée

Pierre

Br_Fr
 Posté le 18/04/2017 à 11:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Merci Pierre

Avant d'effectuer cela,je vais déjà faire une image disque avec Macrium.Et je te tiens au courant de ce que j'ai fait!

enfermedehors,tu es incroyable

Br_Fr
 Posté le 18/04/2017 à 12:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

pierre,j'ai l'esprit d'escalier,je viens de relire tout et dis-moi si j'ai bien compris:

il faut d'abord que je passe avec FRST ce fix:

https://1fichier.com/?y03npcgnuh

Ensuite je ferai ce que tu indiques dans ton post ici:

https://forum.pcastuces.com/sujet.asp?page=-1&f=25&s=78802&REP_ID=5668224

c'est à dire le 1 si tout va bien et le 2 dans le cas contraire?

Pierre95
 Posté le 18/04/2017 à 12:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Brigitte,

oui tu as raison , tu as tout compris

Tu vas faire maintenant ce que j'ai indiqué hier à 22h 44

enfermedehors
 Posté le 18/04/2017 à 13:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grande Maîtresse astucienne

Pierre95 a écrit :

Brigitte,

Je rajoute ceci à mon post précédent:

Fr33tux , administrateur d' Adwcleaner, suite à ma demande maintient actuellement la signalisation comme nuisible dans Adwcleaner.

https://toolslib.net/forum/viewthread/11143-netfilter2sys-faux-positif-ou-pas-dadwcleaner/

Dommage qu'il ne dise pas sur quels critères il s'appuie pour prendre cette décision.

Br_Fr
 Posté le 18/04/2017 à 13:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne
enfermedehors a écrit :
Pierre95 a écrit :

Brigitte,

Je rajoute ceci à mon post précédent:

Fr33tux , administrateur d' Adwcleaner, suite à ma demande maintient actuellement la signalisation comme nuisible dans Adwcleaner.

https://toolslib.net/forum/viewthread/11143-netfilter2sys-faux-positif-ou-pas-dadwcleaner/

Dommage qu'il ne dise pas sur quels critères il s'appuie pour prendre cette décision.

D'accord avec toi!

Pourquoi ai-je ce fichier "malfaisant" sur un PC neuf,car je rappelle que j'avais passé adwcleaner dès mon achat et qui l'aurait mis,Asus?Microsoft?

Image disque faite et copiée sur 2 DD externes.

je vais procéder à la suite.

Br_Fr
 Posté le 18/04/2017 à 14:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

Je viens de faire le fix de 22h44 mais tu n'avais pas dit de désactiver les suites de sécurité et Bitdefender m'a affiché ceci:

et pas de fichier fixlog.txt sur le Bureau

Br_Fr
 Posté le 18/04/2017 à 14:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Maîtresse astucienne

J'ai donc recommencé en désactivant temporairement Bitdefender comme indiqué ici:

https://www.bitdefender.fr/support/comment-desactiver-temporairement-bitdefender-1776.html

et le premier paragraphe:"Désactivez temporairement la protection Antivirus"

J'ai eu l'indication que le fichier étaitbien enregistré là où se situait FRST (donc sur le Bureau) puis redémarrage mais pas de fichier fixlog.txt sur le Bureau!

Publicité
Pages : [1] 2 3 ... Fin
Page 1 sur 3 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Chrome détecte les infections W10 bizarre
Comportement bizarre du PC , lenteur, logiciels qui tournent mal etc..
page bizarre CAF
écran bizarre.
adresse bizarre dans pare-feu.....
Message bizarre avec une référence à newsletter.pcastuces
ADW Cleaner BIZARRE
SPAM bizarre difficile à bloquer ...
Fenêtre bizarre au démarrage
Problème bizarre...
Plus de sujets relatifs à netfilter2.sys bizarre bizarre!
 > Tous les forums > Forum Sécurité