Votre question

Comment se débarrasser des fausses alertes d'Avast ? [Résolu]

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
2 Juin 2007 22:30:39

Bonjour,

J'ai moi aussi été contaminé par le virus "Win32:Agent-GXN", mais d'une manière qui me fait pencher pour une fausse alerte. J'aimerais donc avoir votre avis sur le sujet. Le fichier infecté est une image ISO de 200 Mb que je n'ai pas trop envie d'effacer et de re-télécharger, d'autant plus que j'ai déjà eu le même coup avec un exe de +/- 10Mb (même virus détecté par Avast). Un peu paniqué, j'avais alors effacé le fichier et l'ai ensuite re-téléchargé sur un site de confiance : il a été déclaré infecté lui-aussi.
Ce qui me fait pencher pour une fausse alerte est surtout le fait que lorsque j'ai téléchargé cette image ISO, le 16 mars 2007, sur http://www.rebirthmuseum.com (qui est un site parent de http://www.propellerheads.se et donc supposé sûr), Avast n'avait rien détecté. Ce n'est qu'aujourd'hui, durant le transfert sur mon HDD externe, que l'alerte s'est déclenchée (idem pour l'exe effacé). Il est bien sûr possible que la définition de "Win32:Agent-GXN" n'était pas connue le 16 mars... Mais comment ce virus serait-il parvenu à s'introduire dans l'image ISO, alors que celle-ci était en principe propre lors de son téléchargement ? Et si elle était déjà infectée sur le site de Propellerheads, tous ceux qui l'ont téléchargée depuis - et ils sont nombreux - devraient être infectés eux-aussi. Or, je n'ai rien lu de semblable sur Google.
Un tout tout grand merci d'avance.

Le rapport d'Avast :

2/06/2007 3:38:40 Administrateur 1968 Sign of "Win32:Agent-GXN [Trj]" has been found in "H:\Backup Home\Datas 02\Programmes Audio\Rebirth 338 v2.0.1\Rebirth 2.0.1.iso\RB20FUL.DAT" file.
2/06/2007 3:41:21 Administrateur 1968 Sign of "Win32:Agent-GXN [Trj]" has been found in "H:\Backup Home\Datas 02\Programmes Audio\Rebirth 338 v2.0.1\Rebirth 2.0.1.iso" file.

Le rapport de Haxfix :

HAXFIX logfile - by Marckie

version 4.45
sam. 02/06/2007 20:36:09,21

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found

checking for other Haxdoor-files
no other Haxdoor-files found


--- Checking for Goldun ---

checking for SSODL keys
no ssodl keys found

checking for notify keys
no notify keys found

checking for services
no services found

checking for other Goldun-files
no other Goldun-files found

checking iexplore.exe
iexplore.exe is not infected


--- Catchme logfile - thank you Gmer ---

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-02 20:36:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


--- Analysing Catchme logfile ---

no matching regkeys found


Finished!

Le rapport de HijackThis :

ogfile of HijackThis v1.99.1
Scan saved at 20:32:42, on 2/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Autres pages sur : debarrasser fausses alertes avast resolu

3 Juin 2007 01:10:41

Encore un détail, mais vraiment curieux :ouch: ...

Pour plus de sécurité, je viens de placer le fichier ISO (sensé contenir le virus "Win32:Agent-GXN") dans la zone de quarantaine d'Avast.
Puis, sous le coup d'une impulsion aussi soudaine qu'inexpliquable, je l'ai scanné, toujours dans la zone de quarantaine. Et là, surprise :

Scan des fichiers sélectionnés

L'action a été accomplie avec succès !

Le virus a été détruit !
Nom du fichier : Rebirth 2.0.1.iso
ID du fichier : 4
Description du Virus : Win32:Agent-GXN [Trj]

Le virus a été détruit !
Nom du fichier : Rebirth 2.0.1.iso
ID du fichier : 4
Description du Virus : Win32:Agent-GXN [Trj]

Informations détaillées

Scan des fichiers sélectionnés
------------------------------------------------------------------------------------------
Le programme va essayer de scanner le(s) 1 fichier(s) sélectionné(s) de la zone de quarantaine

Déplacer les fichiers vers le dossier temporaire : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp
ID du fichier : 0000000004 Nom original : H:\Backup Home\Datas 02\Programmes Audio\Rebirth 338 v2.0.1\Rebirth 2.0.1.iso Nouveau dossier : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso

Scan des fichiers du dossier temporaire : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\ACROBATR.01\README.WRI\WordDocument -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\ACROBATR.01\README.WRI\_1_CompObj -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\ACROBATR.01\README.WRI -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\ACROBATR.01\AR32E301.EXE\abcpydoc.ini -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\ACROBATR.01\AR32E301.EXE -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\AUTORUN.INF -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\DIRECTX\README.TXT -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\DIRECTX\DX5ENG.EXE -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\DEMO95.BAT -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\FILE_ID.DIZ -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\HOWTOI~1.GID -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\HWMDCABL.EXE -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\HWMDCB.DLL -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\HOWTOINS.GID -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\HOWTOINS.HLP -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\INST95.BAT -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\MIDLPBK.DRV -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\MIDLPBK.TXT -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\OEMSETUP.INF -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\README.TXT -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\TRANSFRM.TXT -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\HLD\WFPATCH.WRI -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\INSTALLM.EXE\Wise0001.bin -- pas de virus --

Je coupe ici toute une partie dont le résultat est similaire (-- pas de virus --) car c'est très long... Voici la fin :

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\SOUNDSGO\READ_ME.TXT -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso\REBIRTH.ICO -- pas de virus --
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_avast4_\unp180401740.tmp\4.iso Win32:Agent-GXN [Trj]
-----------------------

Soulagé, je décide de replacer le fichier dans son répértoire d'origine, puis, pour dormir tranquille, je le re-scanne... Bien évidement, l'alarme d'Avast se met en route : ce p..... de virus de m.... est toujours là :pt1cable: 
Aidez-moi, s'il vous plaît, je cherche partout une solution (rien chez Avast, bien sûr).
Merci d'avance.
3 Juin 2007 19:37:04

Personne pour m'aider ? (Même un avis...)
Contenus similaires
5 Juin 2007 09:23:03

Toujours pas d'âme charitable à l'horizon ?
6 Juin 2007 11:42:45

Ca y est, j'ai trouvé la solution : c'était bien une fausse alerte. Il existe une méthode simple pour se débarrasser des fausses alertes d'Avast, mais vu que personne dans ce charmant forum ne s'est donné la peine de m'aider, ne comptez pas sur moi pour vous donner le lien du tutoriel. Démerdez-vous :-)
:kaola: 
6 Juin 2007 11:51:33

Je te trouve bien gonflé quand même... Tu insistais lourdement parce que personne ne venait, mais ça ne change rien d'insister comme ça.

De plus, si personne n'a répondu c'est peut être parce que personne ne savait, non ? Et généralement les forums sont là pour donner des informations ou des aides. Donc en l'occurrence si tu donnes une technique, ceux qui passent ici peuvent la retenir et aider ultérieurement des personnes ayant le même problème que toi.
6 Juin 2007 12:07:49

Schlangan, personne dans ce forum ne savait si un virus (ou trojan) est ou non capable d'infecter une image ISO ? Toi-même tu ne le sais pas ?Tu ne me fera pas croire une chose pareille, ou alors c'est que tu es encore plus nul que moi en informatique .
Ce qui est remarquable, c'est qu'en posant [Résolu], il n'a pas fallu 10 minutes pour que tu me répondes. Tires-en les conclusions.
6 Juin 2007 12:34:56

Vois-tu je suis sur forum car moi aussi j'ai un problème avec un spyware. C'est en passant voir si l'on m'avait répondu que j'ai vu ton message.

Tout type de fichier peut être infecté par un virus, puisque bien souvent un fichier infecté ce n'est qu'un fichier dans lequel quelques valeurs hexadécimales ont été modifiées ou ajoutées. Mais franchement je ne suis pas capable d'interpréter les rapports d'HiJackThis, sinon je ne serais pas ici.

Reconnais au moins qu'insister ne sert à rien ^^

N'oublions pas l'essentiel : au moins ton problème est réglé, même s'il n'a pas été réglé ici.
6 Juin 2007 16:31:13

Schlangan a dit :
Tout type de fichier peut être infecté par un virus, puisque bien souvent un fichier infecté ce n'est qu'un fichier dans lequel quelques valeurs hexadécimales ont été modifiées ou ajoutées.

D'accord avec toi : créer un fichier ISO infecté est bien sûr possible, mais ma question était : est-ce qu'un fichier ISO SAIN peut tout-à-coup être infecté par un virus ? (ou bien, si tu préfères, un virus téléchargé peut-il "pénétrer" tout seul à l'intérieur d'une image ISO saine - et non montée - déjà présente sur le disque dur ?).

Schlangan a dit :
Reconnais au moins qu'insister ne sert à rien ^^

J'ai peut-être insisté, mais pas "lourdement"... C'était plutôt gentil, il me semble... et juste histoire de faire remonter le post ^^.

Schlangan a dit :
N'oublions pas l'essentiel : au moins ton problème est réglé, même s'il n'a pas été réglé ici.

Non, je ne sais toujours pas si c'est une fausse alerte ou non, et je n'ai absolument aucune idée de la manière de se débarrasser de ces "fausses alertes". Mais maintenant, et même si ce n'est qu'en partie, quelqu'un m'a au moins répondu...
:bounce:  :bounce:  :bounce: 

J'espère sincèrement que tu as eu plus de chance que moi et que ton problème est résolu. :hello: 
6 Juin 2007 18:01:49

Puisque je repasse ici, je vais essayer de t'aider alors :p 
Mais fait bien attention, je vais te dire ce que je pense, mais je ne suis pas sûr à 100%

Un fichier SAIN peut parfaitement être infecté. Rajouter des valeurs hexadécimales à un fichier est très simple, donc ton image a très bien pu être infectée.

L'antivirus ne verra pas le virus s'il est placé dans sa quarantaine, car il considérera qu'il l'a déjà intercepté je pense.

Je vais chercher ce que je trouve sur ce Trojan, et je te tiendrai au courant.

PS : On m'a bien aidé pour mon problème, et il a l'air résolu maintenant. Essayons de faire de même pour toi ^^
7 Juin 2007 00:01:54

Sans vouloir te décourager, sache que j'attends tjrs la réponse de chez Avast (que je n'aurai sans doute jamais), et que je n'ai rien trouvé sur le net, mis à part sur ce forum, où il n'était pas question de la présence de ce virus dans un fichier, mais bien dans un répértoire temporaire.
Quoiqu'il en soit, merci pour ton aide. Heureusement qu'il existe encore des gens qui ont le sens de l'humour et... l'esprit ouvert. ;) 
7 Juin 2007 00:04:08

Bon oon va essayer de décortiquer par ordre...

As-tu essayé de réinstaller Avast ?
8 Juin 2007 14:48:15

Schlangan a dit :
Bon oon va essayer de décortiquer par ordre...

As-tu essayé de réinstaller Avast ?


Non.
Penses-tu que cela soit utile (j'ai toutes les mises-à-jour) ?
En revanche, je vais réinstaller Windows et en profiter pour faire une image bootable de "C:\", juste après l'install.
8 Juin 2007 18:51:22

Je pense qu'avast lui même a pu subir une infection, ce qui l'empêcherait de détecter correctement.
9 Juin 2007 17:48:42

Ok, je vais faire les réinstalls (Win et Avast) et te tiendrai au courant.
17 Juin 2007 00:18:05

Bon, j'ai la finalement la solution. Il y a trois jours, j'ai reçu enfin la réponse d'Awil Software me signalant une erreur de détection d'Avast et me demandant de bien vouloir patienter, le temps pour eux d'appliquer les correctifs d'après leur liste des fausses alertes (il y en a donc plusieurs). Aujourd'hui, c'est chose faite, et la nouvelle base de donnée des virus est corrigée. Mon fichier ISO est clean. Encore merci pour ton aide.
Buddy Spike
Contenus similaires
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS