Infection virale sur logonui.exe - Win32/ASuspect.HAAXE

Bonjour à tous. J’ai un PC Medion MT6 avec Windows XP SP3. Hier, alors que mon PC était resté allumé depuis quelques heures, j’ai reçu un message de mon Antivirus CA (Computer Associates - Version produit : 8.4.0.24 - Version moteur : 35.1.0) me disant que mon fichier logonui.exe (dans C:\WINDOWS\system32) était infecté par le virus “Win32/ASuspect.HAAXE”. Il a mis le fichier en quarantaine. Comme logonui.exe contrôle l’écran d’ouverture et de fermeture des sessions, c’est plutôt embêtant. A présent, je n’ai accès qu’à la session administrateur. Je n’ai donc pas éteint mon PC (comme je ne suis pas sûr de pouvoir le rallumer correctement) et j’essaye depuis de résoudre le problème, mais j’ai quelques soucis. Pour information, j’avais installé le jeu Sonic Riders juste avant cette histoire, mais il s’agit d’un CD du commerce acheté en magasin. Je l’ai quand même désinstallé par précaution.
Voilà donc ce que j’ai fait dans l’ordre :

1 - D’abord, je n’ai trouvé aucune trace de ce virus nulle part.
2 - Quand je clique sur le lien hypertexte (nom du virus), je tombe sur une page du site CA mentionnant un virus appelé “Alfons.1344”.
3 - CA m’a demandé de mettre mon CD Windows XP SP 3 afin de récupérer le fichier original. Mais bien entendu, je n’ai pas ce CD, puisque mon PC à plus de 5 ans. J’ai le CD de la version SP1 et les mises à jours se sont faites automatiquement par Internet (Windows Update - pas moyen de rechercher la MàJ par Internet).
4 - Sur le site de Microsoft, j’ai téléchargé une version complète de Windows XP SP3 que j’ai gravé sur un CD, mais là, l’antivirus me dit que le fichier logonui.exe que je copie est aussi infecté ; c’est plutôt suspect. Je me demande si cette alerte ne serait pas un faux positif ?
5 - Pour en avoir le coeur net, j’ai restauré le fichier logonui.exe et j’ai immédiatement désactivé l’analyseur en temps réel de CA.
6 - Là, j’ai récupéré toutes mes sessions sans problème et logonui.exe. J’ai lancé une analyse complète et là…pas la moindre trace de virus !
7 - J’ai donc remis l’analyseur en temps réel en route, et dès que l’écran de veille s’est déclenché, et je que j’ai voulu avoir accès à ma session, j’ai de nouveau eu l’alerte concernant cette infection.
8 - En farfouillant un peu, j’ai lu que des utilisateurs de Kaspersky avaient aussi eu des faux positifs sur ce même fichier logonui.exe.
9 - Question à 0,3 € : CA Antivirus n’aurait-il pas abusé du champagne pour le réveillon, ou bien suis-je vraiment infecté par une cochonnerie ?
10 - Je n’ai pas voulu installer un antivirus supplémentaire car j’ai peur de créer des conflits et des problèmes supplémentaires. Je préfère m’en remettre à des gens plus savants que moi.
11 - Bien que j’y fasse très attention, il est probable que mon ordinateur aurait besoin d’un nettoyage. J’ai bien essayé Uniblue, mais l’analyse se plante au milieu et il me demande sans cesse un CD. Comme j’en avais assez d’appuyer sur continuer, j’ai annulé.
12 - Au fait, comme j’ai l’impression d’être le seul en France à utiliser CA Antivirus, pourriez-vous me dire ce que vaut ce logiciel ?

En vous remerciant pour votre aide, je souhaite à tous ceux qui me liront une très Bonne Année 2010 !

J’ai EXACTEMENT le même problème depuis hier soir sur 2 PC… J’ai le souvenir que CA antivirus nous avait fait une blague du genre il y a quelques mois avec un faux positif quelque peu destructeur qui m’avait obligé à tout réinstaller. J’ai beau faire le tour des forums peu de mention de ce “virus” et en tout cas à chaque fois la même question “ne serait-ce pas un faux positif ?”

Bonjour Euristis. Pour information, je viens de passer plus d’une demi-heure avec la hot-line de CA (n° en Angleterre qui atterit en Espagne) :
En résumé :
1 - Mon antivirus est périmé depuis 1 semaine bien qu’il m’indique que ma licence soit valide jusqu’au 30/12/2010 (il s’agit d’une salade hallucinante causée par le fait que j’ai changé mon adresse e-mail l’année dernière). Cela n’a probablement rien à voir, mais je mentionne le fait au cas où.
2 - Le type de la hot-line m’a conseillé de passer à la nouvelle version de “MyAntivirusPlus 2011” - il m’a fait un prix très intéressant (14,99 €). Il n’a pas eu l’air inquiet par mes soucis.
3 - Par ailleurs, il se peut qu’il reste des lignes de code du précédent Antivirus qui s’appelait Excid et qui a été remplacé par CA Antivirus ; il m’a donné un lien pour faire un nettoyage complet.
4 - Au bout du compte, je suis convaincu qu’il s’agit d’un faux positif lié à une mise-à-jour bancale des définitions de virus de CA.
5 - Moralité : je vais désinstaller CA Antivirus, nettoyer les restes de Excid avec le lien fourni, et installer la nouvelle suite “MyInternetSecurityPlus 2011”. Je tiens la communauté au courant si ça marche.

A plus pour de bonnes nouvelles (enfin j’espère).

@Rocket Reducer

Merci beaucoup de ces précisions.

En lisant un forum néerlandais (merci Google Transalte), j’ai trouvé un début de solution que je viens de mettre en place il y a quelques minutes sur un des PC (pour voir au cas où).

Selon ledit forum il s’agirait bien d’un faux positif, et ils conseillent de procéder de cette manière :

• Mettre à jour CA Anti Virus (effectivement étrangement il met à jour les définitions des signatures des virus
• Restaurer le fichier System32\logonui.exe via l’option de quarantaine de l’anti-virus
• Redémarrer immédiatement et c’est tout

Il semblerait selon le forum que CA soit resté ultra discret sur ce petit bug dans les signatures (comme la dernière fois).

J’ai procédé comme décrit et O miracle après la mise à jour et le redémarrage plus de problème … je vais attendre un peu avant de faire l’autre PC

Je te tiens au courant

Ciao Euristis,

Je viens de faire la même manipulation que celle que tu as décrites ci-dessus et ça marche. Merci beaucoup.
En regardant l’historique, j’ai constaté qu’il y avait eu une mise à jour de CA Antivirus hier peu après 15H00, juste avant que le bug ne se produise…

En conclusion, c’est bien un faux positif et le bug a été corrigé discrètement par CA.
Pour ceux qui connaissent encore le problème, faire exactement ce qui décrit par Euristis dans le message ci-dessus et tout devrait rentrer dans l’ordre.
Le sujet est donc clos.

Bonne Année 2010 à tous !

Bonjour Rocket Reducer

Tu n’es pas le seul en France à utiliser CA Anti-Virus, c’est le logiciel livré avec les PC de marque TARGA (assembleur) achetés dans les magasins discount LIDL d’origine allemande. Je possède un pc portable (7 ans) et un PC de bureau (5ans) avec cet antivirus renouvelé ( payant ) sans problème jusqu’à présent …
Mêmes symptômes sur les 2 PC (et une grande perplexité de prime abord avec cette signalisation car l’utilisation des 2 PC est très différente notamment vis à vis d’internet, le portable étant très 'bétonné" du moins je le crois, ce qui indirectement peut induire que CA est efficace si j’en juge par l’utilisation disons… moins rigoureuse du PC de bureau)
Conséquences, investigations identiques (je suis avec windows XP familial (portable) et XP pro( bureau) SP3 mis à jour automatiquement par internet , de base j’ai deux CD version SP1).

D’où mon grand soulagement quand je suis tombé sur ce forum (avec conséquence latérale inscription aujourd’hui ! sur ce forum pour l’instant le seul).

Grâce à toi et à Euristis tout est rentré dans l’ordre.
Bonne Année et Merci à t ous les deux ( je ne sais pas encore si cette réponse est "visible " pour Euristis et comment il faut opérer pour qu’elle le soit)

nota : point négatif pour CA, je n’ai toujours pas de réponse au mail que j’ai envoyé " what about this virus?")

Bonjour Epinettes,

Content d’avoir pu t’aider, mais la plus grande part du mérite revient à Euristis.
Au départ, c’était eTrust Antivirus qui était livré avec les PC de marque MEDION vendus par Carrefour, avec une période d’essai gratuite de quelques mois. En Avril 2008, j’ai été informé par e-mail que eTrust n’était plus supporté par CA et il m’a été proposé CA Antivirus (à présent MyAntiVirusPlus 2011). Comme toi, je n’ai jamais eu de souci avec cet antivirus à part le petit bug d’aujourd’hui.

Par ailleurs, je ne suis pas surpris du manque de réponse de CA ; l’année dernière, j’ai reçu un e-mail (en anglais) de leur service client m’indiquant que je n’avais pas renouvelé mon incription (alors que je l’avais fait 3 semaines avant !). Cette personne voulait en connaître les raisons et me demandait de lui écrire en retour, ce que j’ai fait en demandant les raisons de ce mic-mac. Je n’ai jamais reçu de réponse !

Normalement, Euristis doit pouvoir voir ta réponse.

Bonne Année 2010 !

Bonjour,

Merci beaucoup à Rocket Reducer et Epinettes, j’utilise depuis plusieurs années les antivirus de CA, et j’ai moi aussi rencontré ce problème avec logonui mis en quarantaine par CA.
Je viens de restaurer logonui via l’option quarantaine de l’antivirus, il se trouve que j’ai un autre truc mis en quarantaine, je pense depuis mercredi 30 décembre également, qui s’appelle A0162983.exe, dois je également le restaurer, avez vous eu le même symptome?
En tout cas je m’apprètais à formater, merci mille fois de vos conseils!

J’utilise Computer Associate depuis longtemps, au début il était gratuit pour 1 an, il avait pour moi des avantages importants par rapport à d’autres antivirus. Ensuite je l’ai renouvelé en payant, et jusqu’à l’an dernier j’étais satisfaite.

Sauf que la dernière fois que je suis arrivée au bout de l’abonnement, en avril 2009, j’ai décidé de ne pas le renouveler tout de suite, car je n’en avais pas besoin pour quelques temps, et là j’ai eu une drole de surprise, tout simplement il a été absolument impossible de le désinstaller, et j’étais en permanence dérangée par des fenetres qui me demandaient de renouveler CA.
Quand après qqs mois j’ai eu besoin à nouveau d’un antivirus, j’étais tellement agacée par CA que je me suis consacrée à le désinstaller, de plus cela m’empechait d’installer un autre antivirus( qui me réclamait de désinstaller CA au préalable)
J’ai avisé par email le support de CA, qui m’a donné une réponse, ça n’a pas du tout fonctionné.

Finalement j’ai renoncé, j’ai résolu mon problème en me réabonnant pour 1 an, c’était en septembre 2009, mais quand j’ai payé ils m’ont fait courir l’abonnement d’avril à avril 2010! J’ai vérifié que je pouvais désinstaller, après avoir payé, et oui je pouvais!
Peut etre que dans ma grande incompétence quelque chose m’échappe, que je me trompe, que CAssociates ne cherche pas à me forcer à repayer chaque année? à ce jour j’ai un sentiment d’être victime de vente forcée de leur part. Partagez vous ce problème?

Bonne année 2010 à vous tous.
Armineso

bonjour armineso
je t’expliquerai également plus complètement mes problèmes avec CA plus tard, car en ce moment je suis en pleine réinstallation ( plusieurs fois de windows X pro de SP1 à SP3 pour un autre pb de virus détecté mais non éliminé par CA) et bien sûr le pb de réinstallation de CA (en première approche il y a certainement une tentative de vente forcée non seulement du CA anti-virus de base mais également de toute la suite anti-spam, firewal anti-spywarel au moment de la réinstallation). Pour ne pas renouveller il faut dénoncer selon eux 3 mois avant la fin du contrat en cours (je pense que ce n’est pas légal suivant la “législation” française ) mais je n’ai pas essayé. Par contre j’ai pu désinstaller CA pendant la phase de réinstallation et mettre AVAST car je n’arrivais pas à valider la clé de license de CA ( j’attends toujours une réponse qui se fera dans au moins 5 jours ! en réponse à mon mail… d’où AVAST en attendant)
A bientôt et bonne année

Bonjour Epinettes
Merci pour ta réponse, je suis très intéressée pour bénéficier de tes conseils et expérience, j’ai besoin de faire des progrès pour gérer mes ordinateurs et leurs maladies, traitements antivirus, etc…
Je déteste être embrigadée dans quoi que ce soit c’est pourquoi je vais quitter CA même si d’un point de vue technique j’ai été plutot satisfaite. J’aimerais que tu m’expliques la marche à suivre pour se désabonner, quand tu auras le temps. S’il faut les aviser 3 mois avant la fin de l’abonnement, c’est hallucinant, encore pire qu’une assurance ou un bail d’appartement!!! Pour me perdre comme cliente c’est ce qu’il faut faire! J’étais chez eux depuis 2001! Ils ont réussi à me refourguer la suite et tout, 70 euros par an, et le firewall je ne m’en sers pas car il me bloque mes emails et plein de trucs.
Bon courage pour tes réinstallations
A bientot et merci