Bonjour,
Ma configuration : Windows Vista Home Edition 32 bits, Avast 2014 à jour, firewall Comodo à jour.
Jusqu’à maintenant mon Avast 2014 me donnait entière satisfaction.
Aujourd’hui j’ai voulu lancer un “scan minutieux”, et l’opération s’est bloquée presque instantanément sur le fichier C:\WINDOWS\System32\winlogon.exe (le module d’ouverture/fermeture de session).
J’ai retenté plusieurs fois la manoeuvre, après avoir éteint et rallumé, en tant qu’utilisateur “ordinaire” ou en tant qu’administrateur. A chaque fois, c’est la même chose. Idem avec un “scan rapide”. Les rapports Avast confirment que le scan a parcouru 10 fichiers en tout et pour tout avant de se bloquer.
En revanche, à un moment où j’avais lâché l’affaire, l’écran de veille Avast s’est lancé et a réussi à lancer un scan, jusqu’à ce que je l’interrompe en reprenant la main. J’ai aussi lancé une analyse du fichier winlogon.exe via le clic-droit dans C:\WINDOWS\System32, et Avast a bien mené son analyse et répondu “Aucune menace détectée”.
Ce qui m’inquiète, c’est que j’ai d’autres comportements anormaux de la part de mes autres outils de sécurité :
- Spybot Search&Destroy est bien dans la barre d’icônes, mais quand je lance le centre de démarrage, l’analyse système, ou toute autre option du menu, aucune fenêtre ne s’affiche. Cependant, des processus sont bien lancés et visibles dans le gestionnaire de tâches.
- TDSS Killer de Kaspersky, le plus récent fraîchement téléchargé, se lance, puis se bloque à 80% de chargement en mémoire. D’après mon expérience, c’est à ce stade de la progression qu’il devrait ouvrir sa fenêtre.
- Malwarebytes Anti-Malware (MBAM) se lance, affiche son icône dans la barre d’icônes, mais n’ouvre aucune fenêtre. Mais son processus est bien lancé …
- Je visualise tout ce petit monde dans le gestionnaire de tâches, et j’essaye de tuer leurs processus avec la fonction “Terminer le processus”. Mais rien ne se passe, alors que je suis bien Administrateur.
- J’utilise alors l’outil “Process Explorer” de la suite SysInternals, fraîchement mise à jour depuis le site de Microsoft. Habituellement, rien ne lui résiste, mais là, les processus se cramponnent.
- Process Explorer me permet de voir que ces processus n’ont pas de fenêtre (elles ne sont donc pas ouvertes en-dehors de l’écran, ce qui était une possibilité).
- J’ai tenté une désinstallation de Spybot Search&Destroy, mais la désinstallation s’est bloquée. Je vois le processus de désinstallation, mais lui aussi refuse de se faire tuer.
- J’ai aussi utilisé l’outil “PsKill” de SysInternals pour tenter de tuer les processus. Bien qu’il affirme “Process XXXX killed”, les processus sont toujours là.
Le seul outil qui a fonctionné est Trend Micro HijackThis 2.0, qui ne m’a pas permis de trouver quoi que ce soit, à part la trace de 2 services dont les fichiers résidaient dans le dossier Administrateur\AppData\Local\Temp mais qui n’existaient plus. Ils ont peut-être servis de BackDoor ?
En revanche, lorsque j’ai ouvert une session Administrateur en mode sans échec, j’ai pu lancer sans difficulté Spybot, TDSS et MBAM, sans qu’ils ne trouvent rien.
Or, en mode sans échec, Avast est désactivé … (mais il n’y a pas que lui).
Bref, ça pue.
Si quelqu’un a une idée ? Merci d’avance pour vos lumières.