bonjour,
J’ai depuis quelques jours des pop-up rouges d’Avast me disant qu’une infection de rootkit est détectée. Régulièrement, des fenêtres Avast s’ouvrent me disant de faire un scan au démarrage, ce que je fait. Peu après (environ 5-10 minutes) les fenêtres d’Avast réapparaissent me parlant d’infection et de rootkit : “Un objet suspect (rookit a été trouvé sur votre système…Win32:evo-gen[Susp]”.
Lorsque je fais un scan complet par Avast, il me trouve 1 infection (fichier rootkit…C:\Windows\systems32\msiexec.exe), mais refuse de la mettre en quarantaine. Je clique alors sur supprimé et tout semble ok, mais, par après, tout recommence.
Lorsque je scanne avec Spybot, Malwarebytes ou même Hijacktis, rien de dangereux n’est trouvé.
Je ne m’y connais pas beaucoup en informatique, mais ce problème de Rootkit et toutes les alertes d’Avast qui apparaissent régulièrement me tracassent, surtout lorsque je pense à mes transactions sécurisées (banque, Paypal, etc)
Pourriez-vous m’aider et me dire si mon pc est en danger et comment y remédier?
Spécifier quelles mesures doivent être prises si une menace est détectée. Avast peut se déplacer en quarantaine ou le supprimer. En outre, vous pouvez configurer l’action à prendre est appelée à chaque fois qu’une menace est détectée.
Lancez-le en double-cliquant TDSSKiller.exe
Pour Windows Vista ou Windows 7, cliquez droit et l’exécuter en tant qu’administrateur.
Appuyez sur Commencer scan
Dans “Modifier les paramètres”, cocher toutes les cases.
puis cliquez sur “Démarrer scan”
Postez le rapport en cliquant rapport.
Sélectionnez-le et copiez-le dans le Bloc-notes. (TDSSKiller_Report)
J’ai fait un scan au démarrage (avec l’option mise en quarantaine) et le scan n’a rien détecté (comme auparavant). Ensuite, j’ai lancé un scan minutieux Avast et au même endroit qu’avant (environ 2,1 Gb, avant que le pourcentage se mettent en route), j’ai eu un avis d’infection.
Comma avant, j’ai voulu le mettre en quarantaine et le message suivant s’est affiché :
(X) Erreur: Cette demande n’est pas prise en charge (50)
Lorsque j’ai alors cliqué sur l’action “supprimer”, le message suivant s’est inscrit :
Action décalée jusqu’au prochain redémarrage
Donc, j’ai téléchargé le killer de Kaspersky en cochant les cases comme indiqué et il a trouvé 1 Treath au niveau de :
C:\windows\system32\Drivers\tcpip.sys
le Tcpip est noté comme ( UnsignedFile.Multi.Generic )
Lorsque je clique sur skip et relance un scan, il me retrouve cette infection
Lorsque je clique “copy to quarantine” et relance un scan, il la retrouve encore…
Pourriez-vous aussi m’indiquer comment copier le rapport (avec mon clic droit ça ne marche pas) et qu’en faire?
• Décompresser / unrar MBAR un dossier sur votre bureau
• Ouvrez le dossier où le contenu décompressé afin de fonctionner mbar.exe
• Cliquez sur Suivant>, puis sur le bouton Mettre à jour pour télécharger les nouvelles définitions.
• Lorsqu’une mise à jour de la base de données cliquez sur Suivant
• Dans la fenêtre suivante assurer «cibles» pour numériser les conducteurs, les Secteurs; système sont marqués. Ensuite, sélectionnez “bouton Scan”
• Si une infection / s sont sûrs “Créer un point de restauration” est cochée, puis sélectionnez l’option “nettoyage Bouton” afin de supprimer les menaces.
Ou si vous êtes sûr aucune entrée ne devrait pas être conservé, il suffit de décocher eux. La liste des fichiers infectés sera répertorié.
• La procédure de nettoyage est prévue pour le processus.
• À la fin de pop-up va vous montrer. Sélectionnez le bouton Oui et le système doit redémarrer pour terminer le processus de nettoyage.
J’ai téléchargé Malwarebytes anti-rootkit, j’ai fait l’update et j’ai lancé le scan en cochant tout.(drivers, sectors, system)
Pendant le scan, un pop-up rouge d’Avast m’a dit qu’il avait bloqué une menace. (il me fait le même cirque lors des scan Malwarebytes et Spybot).
Après le scan complet, Malwarebytes anti-rootkit m’a dit qu’il n’avait rien trouvé.
J’ai fait un scan Avast minutieux qui m’a trouvé l’infection habituelle avec les mêmes résultats…
J’ai alors déconnecté Avast (les 8 agents) et ai relancé un scan anti-rootkit de Malwarebytes, sans rien détecter.
Avast, lors d’un scan, me confirme que le problème est toujours là.
Vers le 26 septembre, je crois, j’avais reçu notation d’Avast, de renouveler mon Avast free pour un an, ce que j’ai fait.
C’est après cela que les ennuis ont commencé. Comme je n’arrivais pas à supprimer la menace, j’ai supprimé Avast de mon ordinateur et l’ai téléchargé à nouveau via Clubic.(le 28 septembre je crois).
C’est peut-être un faux positif, faire un scan avec Avast à partir de Windows. Si ce n’est pas le détecter alors la prochaine fois qu’il apparaît, sélectionnez “Ignorer”
Il se trouve que j’ai exactement le même problème depuis quelques jours, avec le même fichier (SVC:MSIServer> …C:\Windows\systems32\msiexec.exe) dont Avast me signale qu’il s’agit d’un rootkit nommé Win32:evo-gen[Susp] à chaque redémarrage… Pourtant, en allant chercher le fichier manuellement, celui-ci date de 2008 sur mon pc… Et Malwarebytes ne le détecte pas comme un virus lorsque je l’analyse.
J’ai également fait la mise à jour d’Avast free antivirus il y a quelques jours et le problème a commencer peu de temps après…
Peut-être y a t-il un problème de compatibilité entre la dernière mise à jour d’Avast et Windows XP ?
Au final, savez-vous s’il s’agit d’un faux positif, auquel cas je dois cocher “ignorer l’avertissement de ce rootkit” ? Ou est-ce que ce fichier doit être supprimé, et si oui de quelle manière ?
Envoyez le fichier (chaîne de nom de fichier est écrit après “SVC: MSIServer>” dans la colonne “Nom du Fichier”) à virus@avast.com, mis “faux positif” pour envoyer un courriel sujet.
Merci pour la réponse jefferson,
donc je dois envoyer le fichier msiexec.exe par mail à cette adresse ?
Faut-il le compresser dans un zip au préalable ?
Ou est-ce qu’une prochaine mise à jour d’avast résoudra le problème prochainement ?
Pourriez-vous me tenir au courant de la suite qu’Avast donnera à votre mail?
Je ne m’y connais pas du tout en informatique, mais comme je ne sais pas copier-coller ce fichier “msiexec.exe” pour en envoyer une copie à Avast, doit-je cliquer dessus et l’envoyer directement? Auquel cas, ne va t-il pas être enlevé de mon pc et ne va t-il pas manqué?
si vous ne pouvez pas résoudre votre problème, vous pouvez présenter une demande à notre support technique. Encore une fois, vous devrez vous inscrire pour ce faire, et quand vous nous écrivez, s’il vous plaît n’oubliez pas d’inclure toutes les informations possibles
vous pouvez essayer de soumettre un ticket de support
Le lien pour le support ne semble pas fonctionner chez moi, donc je comptais envoyer un mail à avast comme suggéré précédemment… Mais ne sachant pas à quoi correspond et sert le fichier dit ‘infecté’ (msiexec.exe), est-ce qu’il n’y a aucun risque que je l’envoie par mail, niveau sécurité et conservation de donnée ?
Merci par avance
Pour ce qui me concerne, depuis une mise a jour récente, mon bel anti virus arrive a me trouver un rootkit … sur un fichier qui n’existe même pas !!!
En effet, lorsque je suis le chemin indiqué par la fenêtre d’alerte "C:/WINDOWS/Systeme32/Drivers/dppi2o.sys, ce fichier est purement et simplement absent de mon disque dur … apres chargement d’autres outils (et scans multiples de mon disque), j’en arrive a me demander si un plaisantin aurait pas vérolé le serveur de mise a jour d’avast XD
Je vais voir demain avec les analystes.
si vous pouvez prendre un instantané de détection d’alerte avast il aidera beaucoup, le même fichier est détecté?
samedi et dimanche ne peuvent pas résoudre les problèmes de faux positifs, sauf via la page de contact.
