McAfee bloque sur un RootkitRésolu/Fermé

Question

Bonjour, 
Je ne suis pas très douée en informatique et je rencontre un problème sur mon ordinateur dell XPS 13 , sous windows 8.
L'antivirus (MacAfee LiveSafe) se bloque en analyse rapide à 98 % sur un élément "Rootkit"
J'ai recherché des solutions sur votre forum et suite aux conseils données aux utilisateurs ayant un problème similaire au mien, j'ai téléchargé Malwarebytes qui ne trouve aucun problème d'après son rapport :

Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 05/02/2015
Scan Time: 15:40:49
Logfile: rapport malewarebytes.txt
Administrator: Yes

Version: 2.00.4.1028
Malware Database: v2015.02.05.05
Rootkit Database: v2015.02.03.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Self-protection: Disabled

OS: Windows 8.1
CPU: x64
File System: NTFS
User: Juliette

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 333732
Time Elapsed: 11 min, 46 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)


(end)


J'ai donc poursuivi les recherches en téléchargeant AdwCleaner qui a analysé mon ordinateur et supprimé deux fichiers comme indiqué dans le rapport suivant :

# AdwCleaner v4.109 - Rapport créé le 05/02/2015 à 16:12:07
# Mis à jour le 24/01/2015 par Xplode
# Database : 2015-02-04.1 [Live]
# Système d'exploitation : Windows 8.1  (64 bits)
# Nom d'utilisateur : Juliette - JU-S
# Exécuté depuis : C:\Users\Juliette\Downloads\adwcleaner_4.109.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Fichier Supprimé : C:\Users\Juliette\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.audienceinsights.net_0.localstorage
Fichier Supprimé : C:\Users\Juliette\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.audienceinsights.net_0.localstorage-journal

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Donnée Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17416


-\ Google Chrome v40.0.2214.94


*************************

AdwCleaner[R0].txt - [1176 octets] - [05/02/2015 16:08:27]
AdwCleaner[S0].txt - [1100 octets] - [05/02/2015 16:12:07]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1160 octets] ##########




Suite à cela j'ai redémarré mon ordinateur comme me le demandait AdwCleaner puis j'ai relancé une analyse rapide de mon antivirus... A mon grand désespoir il persiste à bloquer à 98% sur ce fameux Rootkit.

Auriez-vous une solution pour résoudre ce problème ?

Merci d'avance !

juju666 · Answer

Salut,

Surement Mac à Fric qui déraille.

Pour voir :

&#9654 Télécharge et lance TDSSKiller.

&#9654 Clique sur Change parameters
&#x25CF Cocher la case Loaded modules. Le message Reboot is required s'affiche.
&#x25CF Il faut le valider en cliquant sur Reboot now.
&#x25CF Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
&#x25CF L'outil TDSSKiller se relance.

&#9654 Cliquer de nouveau sur Change parameters.
&#x25CF Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
&#x25CF Valider par OK 

&#9654 Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.

&#x25CF Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
&#x25CF Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
&#x25CF Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
&#x25CF Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
&#x25CF Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
&#x25CF Si TDSS File System est détecté, sélectionner l'option Delete
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut. 

&#9654 Si l'outil te le demande, redémarre pour finir le nettoyage.

&#9654 Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.

&#9654 Héberge le rapport sur CJOINT et donne le lien obtenu en retour.

jeanbern · Answer

Salut,
as tu passé un petit RogueKiller ?

moutonette91 · Answer

Wahou quelle rapidité de réponse ! Merci ! =)

J'ai suivi les instructions et il n'a rien trouvé des différents points que tu avais proposé (TDSS.tdl2...etc)

Je joins le rapport :

https://www.cjoint.com/?3Bfrr26qvDW

juju666 · Answer

Ouep tu peux essayer RogueKiller mais je doute qu'il trouve quelque chose.
C'est à coup sûr mac à fric qui déraille, c'est pas ce qu'on fait de mieux en antivirus ....

moutonette91 · Answer

Bon, RogueKiller travaille, je mettrai le rapport quand il aura terminé.
Et s'il n'y a rien, je considère que c'est l'antivirus qui a un souci... Mais en attendant, s'il se bloque systématiquement pendant ses analyses, il ne protège pas mon PC si ?
Quel conseil tu donnerais pour un antivirus performant ?

juju666 · Answer

Avast! 

Bah si, il le protège, c'est juste le scan qui foire. A la limite, OSEF, les scans à la demande ça sert à rien.

moutonette91 · Answer

L'analyse de RogueKiller vient de se terminer...
Je n'ai pas l'impression qu'il ait trouvé grand chose :

https://www.cjoint.com/?3Bfswe6WRcs

juju666 · Answer

Non et ce qu'il a trouvé est légitime : http://www.herdprotect.com/scrncap.exe-2c16f0f8e8a48dcb73ad212e42a136f9a6279d5d.aspx

Désinstalle Mac à Fric, redémarre puis :

1. Téléchargez McAFee Removal tool : http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe
2. Cliquez sur Enregistrer et enregistrez le fichier dans un dossier de votre ordinateur.
3. Allez au dossier où est enregistré le fichier.
4. Double-cliquez sur MCPR.exe.
5. Cliquez sur Exécuter. Une fenêtre de commande apparaît, puis se referme automatiquement. Attendez que la seconde fenêtre de commande s'affiche (ne double-cliquez pas une seconde fois sur MCPR.exe.). Le programme va lancer le nettoyage.
6. Attendez la fin du processus, qui peut prendre quelques minutes. Le message suivant apparaîtra dans la fenêtre de commande :

L'ordinateur doit être redémarré pour conclure la désinstallation. Souhaitez-vous redémarrer maintenant ? [o.n]
7. Tapez O (ou Y si l'interface vous propose [y.n] comme choix) sur votre clavier.
8. Attendez que votre ordinateur redémarre.

jeanbern · Answer

Tu devrais refaire après son installation un autre scann avec RogueKiller ou  
 TDSS .
Au cas où !!

moutonette91 · Answer

Bon, et bien pour finir, j'ai tout désinstallé comme indiqué, j'ai réinstallé McAfee parce que j'ai une licence encore valable donc je comptais l'exploiter jusqu'au bout avant de changer pour Avast... Mais il bloque toujours de la même façon et la nouvelle analyse TDSS ne trouve rien... Je suis donc de retour au point de départ... 

Vous voyez quelque chose d'autre à faire ou je considère vraiment que je n'ai pas à m'inquiéter et que ce n'est "que" l'antivirus qui "voit des truc qui n'existent pas" ?

juju666 · Answer

T'as essayé de le laisser tourner une nuit ? 
Au pire, tu mets le fichier sur lequel il bloque dans les exclusions.
Tiens d'ailleurs il bloque sur quel fichier ?

moutonette91 · Answer

Non je n'ai pas essayé de le laisser tourner toute une nuit...
Je ne sais pas exactement sur quel fichier il bloque, il y a seulement noté au niveau des fichiers qu'il analyse "Rootkit"...

juju666 · Answer

Ou désactive l'analyse rootkit. 
De toute manière, un rootkit paralyse un antivirus donc \o/

moutonette91 · Answer

Je suis désolée de poser une question si bête mais... tu fais comment pour désactiver l'analyse rootkit ??

juju666 · Answer

Tu semble ne pas être la seule dans le cas : https://www.jeuxvideo.com/forums/1-1-13308834-1-0-1-0-mcafee-analyse-infinie-rootkit.htm

~~

Écrit au support de McAFee si tu as une licence achetée. 

~~

Je sais pas, je n'utilise pas ce produit. J'ai regardé vite fait sur Google, j'ai pas trouvé :/

moutonette91 · Answer

Je vais faire ça.


Merci beaucoup pour ton aide en tous cas !! =)

juju666 · Answer

Avec plaisir. Tiens nous au jus ;)

moutonette91 · Answer

Bon et bien, comme si bien pressentit par juju666, c'est McAfee qui semblait avoir des petites hallucinations...
J'ai suivi le protocole de résolution des problèmes sur le site de l'antivirus (support technique).
Leur outil McAfee Virtual Technician n'a rien trouvé d'anormal.
Rien n'était évoqué à propos de mon problème dans la FAQ,
Du coup j'ai fait appel à un technicien du support technique par chat. Il a pris le contrôle de mon pc, n'a visiblement pas fait grand grand chose, si ce n'est télécharger un truc pour modifier l'antivirus, redémarrer le PC et là, comme par magie, tout fonctionne !
Bref, mon ordinateur n'était victime d'aucun virus et dès que j'arriverai à la fin de mon abonnement je remplacerai gaiement Mac à Fric par autre chose.
On peut retenir cependant que leur support technique ne fonctionne pas trop mal puisqu'ils ont résolu mon problème. C'est cependant bien long et ils ne donnent aucune explication.
Je pense conserver Malwarebytes pour analyser régulièrement le PC, quant au reste, je peux le supprimer ou le garder est utile ?

Bonne journée et encore merci ! =)

juju666 · Answer

Super :)

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Fais des scans réguliers avec Malwarebytes, il est efficace.
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

~~

IMPORTANT : conserver à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

~~

Attention lors de l'installation de logiciels gratuits :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

Tu peux aussi utiliser Unchecky : https://unchecky.com/
Il décochera la plupart des offres.

Passe le mot à tes amis !

~~

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

McAfee bloque sur un Rootkit

19 réponses

Newsletters