Comment se débarrasser des fausses alertes d'Avast ? [Résolu]

Bonjour,

J'ai moi aussi été contaminé par le virus "Win32:Agent-GXN", mais d'une manière qui me fait pencher pour une fausse alerte. J'aimerais donc avoir votre avis sur le sujet. Le fichier infecté est une image ISO de 200 Mb que je n'ai pas trop envie d'effacer et de re-télécharger, d'autant plus que j'ai déjà eu le même coup avec un exe de +/- 10Mb (même virus détecté par Avast). Un peu paniqué, j'avais alors effacé le fichier et l'ai ensuite re-téléchargé sur un site de confiance : il a été déclaré infecté lui-aussi.
Ce qui me fait pencher pour une fausse alerte est surtout le fait que lorsque j'ai téléchargé cette image ISO, le 16 mars 2007, sur http://www.rebirthmuseum.com (qui est un site parent de http://www.propellerheads.se et donc supposé sûr), Avast n'avait rien détecté. Ce n'est qu'aujourd'hui, durant le transfert sur mon HDD externe, que l'alerte s'est déclenchée (idem pour l'exe effacé). Il est bien sûr possible que la définition de "Win32:Agent-GXN" n'était pas connue le 16 mars... Mais comment ce virus serait-il parvenu à s'introduire dans l'image ISO, alors que celle-ci était en principe propre lors de son téléchargement ? Et si elle était déjà infectée sur le site de Propellerheads, tous ceux qui l'ont téléchargée depuis - et ils sont nombreux - devraient être infectés eux-aussi. Or, je n'ai rien lu de semblable sur Google.
Un tout tout grand merci d'avance.

Le rapport d'Avast :

2/06/2007 3:38:40 Administrateur 1968 Sign of "Win32:Agent-GXN [Trj]" has been found in "H:\Backup Home\Datas 02\Programmes Audio\Rebirth 338 v2.0.1\Rebirth 2.0.1.iso\RB20FUL.DAT" file.
2/06/2007 3:41:21 Administrateur 1968 Sign of "Win32:Agent-GXN [Trj]" has been found in "H:\Backup Home\Datas 02\Programmes Audio\Rebirth 338 v2.0.1\Rebirth 2.0.1.iso" file.

Le rapport de Haxfix :

HAXFIX logfile - by Marckie

version 4.45
sam. 02/06/2007 20:36:09,21

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
no matching notify keys found

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found

checking for other Haxdoor-files
no other Haxdoor-files found


--- Checking for Goldun ---

checking for SSODL keys
no ssodl keys found

checking for notify keys
no notify keys found

checking for services
no services found

checking for other Goldun-files
no other Goldun-files found

checking iexplore.exe
iexplore.exe is not infected


--- Catchme logfile - thank you Gmer ---

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-02 20:36:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


--- Analysing Catchme logfile ---

no matching regkeys found


Finished!

Le rapport de HijackThis :

ogfile of HijackThis v1.99.1
Scan saved at 20:32:42, on 2/06/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrateur\Bureau\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Personne pour m'aider ? (Même un avis...)

Ca y est, j'ai trouvé la solution : c'était bien une fausse alerte. Il existe une méthode simple pour se débarrasser des fausses alertes d'Avast, mais vu que personne dans ce charmant forum ne s'est donné la peine de m'aider, ne comptez pas sur moi pour vous donner le lien du tutoriel. Démerdez-vous :-)

Schlangan, personne dans ce forum ne savait si un virus (ou trojan) est ou non capable d'infecter une image ISO ? Toi-même tu ne le sais pas ?Tu ne me fera pas croire une chose pareille, ou alors c'est que tu es encore plus nul que moi en informatique .
Ce qui est remarquable, c'est qu'en posant [Résolu], il n'a pas fallu 10 minutes pour que tu me répondes. Tires-en les conclusions.

D'accord avec toi : créer un fichier ISO infecté est bien sûr possible, mais ma question était : est-ce qu'un fichier ISO SAIN peut tout-à-coup être infecté par un virus ? (ou bien, si tu préfères, un virus téléchargé peut-il "pénétrer" tout seul à l'intérieur d'une image ISO saine - et non montée - déjà présente sur le disque dur ?).

J'ai peut-être insisté, mais pas "lourdement"... C'était plutôt gentil, il me semble... et juste histoire de faire remonter le post ^^.

Non, je ne sais toujours pas si c'est une fausse alerte ou non, et je n'ai absolument aucune idée de la manière de se débarrasser de ces "fausses alertes". Mais maintenant, et même si ce n'est qu'en partie, quelqu'un m'a au moins répondu...


J'espère sincèrement que tu as eu plus de chance que moi et que ton problème est résolu.

Sans vouloir te décourager, sache que j'attends tjrs la réponse de chez Avast (que je n'aurai sans doute jamais), et que je n'ai rien trouvé sur le net, mis à part sur ce forum, où il n'était pas question de la présence de ce virus dans un fichier, mais bien dans un répértoire temporaire.
Quoiqu'il en soit, merci pour ton aide. Heureusement qu'il existe encore des gens qui ont le sens de l'humour et... l'esprit ouvert.

Non.
Penses-tu que cela soit utile (j'ai toutes les mises-à-jour) ?
En revanche, je vais réinstaller Windows et en profiter pour faire une image bootable de "C:\", juste après l'install.

Ok, je vais faire les réinstalls (Win et Avast) et te tiendrai au courant.