Page 1 sur 2

user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 14:20
par Malekal_morte
Il semblerait qu'AVG fasse un faux positif sur le fichier user32.dll (qui est légitime).
Le supprimer risque de faire crasher Windows.

J'essayerai d'obtenir plus d'informations, sachant que certaines infections peuvent patcher ce fichier (donc le rendre infectieux).

EDIT :
c'est donc bien un faux positif
Restorer les fichiers user32.dll winserv.dll et crss.exe depuis la quarantaine "virus vault"

Si erreur winsrv :
" STOP c0000135 {composant introuvable}
cette application n'a pas pu démarrer car winsrv est introuvable. La réinstallation de cette application peut corriger ce problème "

Démarrez en mode sans échec avec prise en charge du réseau (F8 avant le logo Windows et choisir Mode sans échec avec prise en charge du réseau).
Téléchargez la DLL depuis : http://www.fichier-dll.fr/winsrv.dll,4474
(ou transférer la DLL depuis un autre PC)
à mettre dans system32.

EDIT de EDIT:
FAQ officiel sur le prob : http://www.avg.com/fr.faq.num-1579#faq_1580

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 14:22
par Malekal_morte
Le scan VirusTotal :
Fichier user32.dll reçu le 2008.11.09 14:17:52 (CET)
Situation actuelle: terminé
Résultat: 1/36 (2.78%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.11.7.1 2008.11.09 -
AntiVir 7.9.0.26 2008.11.07 -
Authentium 5.1.0.4 2008.11.08 -
Avast 4.8.1248.0 2008.11.08 -
AVG 8.0.0.161 2008.11.09 PSW.Banker4.APSA
BitDefender 7.2 2008.11.09 -
CAT-QuickHeal 9.50 2008.11.08 -
ClamAV 0.94.1 2008.11.09 -
DrWeb 4.44.0.09170 2008.11.09 -
eSafe 7.0.17.0 2008.11.06 -
eTrust-Vet 31.6.6199 2008.11.08 -
Ewido 4.0 2008.11.09 -
F-Prot 4.4.4.56 2008.11.06 -
F-Secure 8.0.14332.0 2008.11.09 -
Fortinet 3.117.0.0 2008.11.09 -
GData 19 2008.11.09 -
Ikarus T3.1.1.45.0 2008.11.09 -
K7AntiVirus 7.10.520 2008.11.08 -
Kaspersky 7.0.0.125 2008.11.09 -
McAfee 5428 2008.11.08 -
Microsoft 1.4104 2008.11.09 -
NOD32 3597 2008.11.08 -
Norman 5.80.02 2008.11.07 -
Panda 9.0.0.4 2008.11.09 -
PCTools 4.4.2.0 2008.11.09 -
Prevx1 V2 2008.11.09 -
Rising 21.02.62.00 2008.11.09 -
SecureWeb-Gateway 6.7.6 2008.11.09 -
Sophos 4.35.0 2008.11.08 -
Sunbelt 3.1.1785.2 2008.11.08 -
Symantec 10 2008.11.09 -
TheHacker 6.3.1.1.146 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
VBA32 3.12.8.9 2008.11.09 -
ViRobot 2008.11.7.1457 2008.11.07 -
VirusBuster 4.5.11.0 2008.11.08 -
Information additionnelle
File size: 578560 bytes
MD5...: 753354f594809a9b96f73999b435a533
SHA1..: 4821a71cad16b8bc10feaa77fa5f1fc82d5ad574

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 16:34
par juju267
Salut,

Bizarre, chez moi il n'y a pas de FP sur ce fichier avec AVG free version 8.0.175!

@+

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 16:47
par SkyTech
Salut,

Cela touche Vista, XP ?

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 16:58
par angelique
juju267 a écrit :Salut,

Bizarre, chez moi il n'y a pas de FP sur ce fichier avec AVG free version 8.0.175!

@+
apparemment ça ne touche que celle patché par la KB925902 avec un MD5:: 753354f594809a9b96f73999b435a533

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 17:03
par SkyTech
Re,

Donc en gros ça touche que les PCs à jour. PDT_039

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 17:15
par angelique
Skytech a écrit :Re,

Donc en gros ça touche que les PCs à jour. PDT_039
pas vraiement , c'est un correctif de securité que microsoft à developpé l'année derniere: http://www.microsoft.com/downloads/deta ... laylang=fr
http://www.f-secure.com/weblog/archives ... l#00001154


cependant certains utilisateurs avec carte son realteck avaient un probleme de repositionnement de la dll en memoire:
ftopic3028.php

Ils ont alors sorti le patch du correctif lol (puissant!!)
http://www.microsoft.com/technet/securi ... 35423.mspx
http://www.microsoft.com/downloads/deta ... laylang=en

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 17:25
par SkyTech
Re,

Ok et merci angelique, je viens de scanner le fichier sur VirusTotal, pas d'évolution. PDT_013

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 17:29
par angelique
Skytech a écrit :Re,

Ok et merci angelique, je viens de scanner le fichier sur VirusTotal, pas d'évolution. PDT_013
tu es touché toi aussi?? tu as ce KB925902 d'installé chez toi?? tu as bien le meme MD5: 753354f594809a9b96f73999b435a533

sur ta dll ??

pour verifier MD5 checkSum :: http://siri.urz.free.fr/Softs/WinMD5.zip

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 17:31
par SkyTech
Re,

Non pour moi tous va bien mais je pense que j'aurais des coups de téléphones dans la soirée,
j'ai installé AVG chez quelques amis. PDT_039

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 17:40
par juju267
Salut,

Le problème ne touche pas VISTA apparament, je suis sous vista SP1 à jour et j'ai cette KB925902 d'installé mais un MD5 différent ,ceci explique cela...

@+

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 09 nov. 2008 20:16
par SkyTech
Salut,

Apparemment c'est bon AVG a corrigé ce faux positif, plus de détection sur VirusTotal.

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 12 nov. 2008 17:41
par Malekal_morte
FAQ officiel sur le prob : http://www.avg.com/fr.faq.num-1579#faq_1580
J'ai édité le post initial.

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 15 nov. 2008 14:40
par SkyTech

Re: user32.dll / Trojan Horse PSW.Banker4.APSA et AVG

Publié : 21 nov. 2008 14:11
par ccool
comment faire quand on ne peut plus ouvrir l'ordi avec F8 (à cause du user32 introuvable)???
Faut il réinstaller tout windows xp ou y a t il un autre moyen?
je n'ai pas les cds d'installation windows xp...