GAC_64 ET 32

Résolu
flotte32 Messages postés 377 Statut Membre -  
flotte32 Messages postés 377 Statut Membre -
Bonjour, alors voilà j'ai choper un virus que hitman me signal il me signal desktop.ini dans c:\windows\assembly\GAC_64\ et un autre desktop.ini c:\windows\assembly\GAC_32\ impossible de supprimer avec hitman ou microsoft security essential ni de mettre en quarantaine comment supprimer SVP je préviens que je ne formaterais pas.
Merci d'avance.

39 réponses

  • 1
  • 2
Résumé de la discussion

Des fichiers desktop.ini situés dans C:\Windows\assembly\GAC_32 et C:\Windows\assembly\GAC_64 posent problème car ils restent détectés comme éléments malveillants et ne peuvent pas être supprimés par Hitman Pro ni par Windows Security. La solution principale préconisée est d'utiliser TDSSKiller et d'analyser le système, puis de redémarrer pour appliquer les corrections, plutôt que d'intervenir manuellement sur les dossiers système. En cas de détection, il faut suivre les instructions pour poursuivre le scan, et consulter le rapport généré après redémarrage; certains outils suggèrent aussi RogueKiller comme analyse complémentaire. Notez que le rapport TDSSKiller, enregistré après redémarrage, peut clarifier l'infection et qu'il est utile de sauvegarder ses résultats dans un endroit sûr pour consultation future.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Il faut surtout pas supprimer le GAC!!!!
    C'est un dossier indispensable dans lequel windows place beaucoup de dlls, notamment celles du framework .NET, et bien d'autres

    https://en.wikipedia.org/wiki/Global_Assembly_Cache

    Télécharge la nouvelle version de RogueKiller et passe un scan.
    ça peut le faire
    Contributeur SECURITE *** Développeur de RogueKiller ***
    Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
    3
    1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      Merci pour cette info.

      Tu viens de sortir une nouvelle version de RogueKiller ?
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      J'ai corrigé un bug.
      On va voir si ya toujours un accès refusé sur la clé registre de ZeroAccess
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      et quoi c'juste le desktop.ini alors à virer ?
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Nope, le desktop.ini c'est un autre composant. C'est juste pour la détection.
      Sinon , il y a une clé de registre dans HKCR/CLSID
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Haaaaaaaan
      Quelle clé ?
      0
  2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    Ton PC est infecté par Sirefef / Z.Access.

    --> Télécharge TDSSKiller sur le Bureau :
    https://support.kaspersky.com/downloads/utils/tdsskiller.exe

    --> Lance TDSSKiller.
    (Sous Vista/Win7, il faut cliquer droit sur TDSSKiller et choisir Exécuter en tant qu'administrateur)

    --> Clique sur [Start Scan] pour démarrer l'analyse.

    --> Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now].

    --> Un rapport s'ouvrira au redémarrage du PC.

    --> Copie-colle son contenu ici.

    Note : le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

    Note 2 : si TDSSKiller trouve un fichier nommé "Sptd.sys", tu sélectionnes Skip juste pour ce fichier.
    1
  3. flotte32 Messages postés 377 Statut Membre 22
     
    2012-06-08 17:11:49: Found Service: WwanSvc
    2012-06-08 17:11:49: Real Path: C:\Windows\System32\wwansvc.dll
    2012-06-08 17:11:49: Display Name: @%SystemRoot%\System32\wwansvc.dll,-257
    2012-06-08 17:11:49: Description: @%SystemRoot%\System32\wwansvc.dll,-258
    2012-06-08 17:11:49: ServiceDLL: System32\wwansvc.dll
    2012-06-08 17:11:49: File size: 0
    2012-06-08 17:11:49: DLL File name: wwansvc.dll
    2012-06-08 17:11:49: Original File Name: WwanSvc.dll.mui
    2012-06-08 17:11:49: Company:
    2012-06-08 17:11:49: Mod/Cre/Acc time:
    2012-06-08 17:11:49:
    2012-06-08 17:11:49: Looking for SHELL key
    2012-06-08 17:11:49: Now looking for bad DLL files in system32
    2012-06-08 17:12:08: Folder: GAC
    2012-06-08 17:12:08: Folder: GAC_32
    2012-06-08 17:12:08: ... Fixing permissions on C:\Windows\assembly\GAC_32\desktop.ini
    2012-06-08 17:12:08: Folder: GAC_64
    2012-06-08 17:12:08: ... Fixing permissions on C:\Windows\assembly\GAC_64\desktop.ini
    2012-06-08 17:12:08: Folder: GAC_MSIL
    2012-06-08 17:12:08: Folder: NativeImages_v2.0.50727_32
    2012-06-08 17:12:08: Folder: NativeImages_v2.0.50727_64
    2012-06-08 17:12:08: Folder: NativeImages_v4.0.30319_32
    2012-06-08 17:12:08: Folder: NativeImages_v4.0.30319_64
    2012-06-08 17:12:08: Folder: temp
    2012-06-08 17:12:08: Folder: tmp
    2012-06-08 17:12:08: Checking for bad folder
    2012-06-08 17:12:08: Found 1 folders.
    2012-06-08 17:12:08: Checking C:\Windows\assembly\tmp
    2012-06-08 17:12:08: ... Folder test returns: 1
    2012-06-08 17:12:08: Done with folder list in C:\Windows\assembly\ tmp
    2012-06-08 17:12:08: Requesting bad file: C:\Windows\assembly\GAC_32\desktop.ini
    2012-06-08 17:12:08: Requesting bad file: C:\Windows\assembly\GAC_64\desktop.ini
    2012-06-08 17:12:08: Running Extractor
    2012-06-08 17:12:09: Uploading file
    2012-06-08 17:12:09: Locking file: C:\Windows\assembly\GAC_32\desktop.ini
    2012-06-08 17:12:09: Locking file: C:\Windows\assembly\GAC_64\desktop.ini
    2012-06-08 17:12:09: Autonomous mode, clearing out yt folder
    2012-06-08 17:12:09: cmd.exe /c start "C:\Users\FloBF3\Downloads\yorkyt.exe"
    2012-06-08 17:12:15: Restarting...
    2012-06-08 17:17:35: ****************************************************
    2012-06-08 17:17:35: Starting UP ... v 0.0.0.220
    2012-06-08 17:17:35: ****************************************************
    2012-06-08 17:17:36: Stop TPSRV returns: 2
    2012-06-08 17:24:06: Listing processes...
    2012-06-08 17:24:06: :[System Process]:0
    2012-06-08 17:24:06: :System:4
    2012-06-08 17:24:06: :smss.exe:252
    2012-06-08 17:24:06: :csrss.exe:440
    2012-06-08 17:24:06: :wininit.exe:500
    2012-06-08 17:24:06: :csrss.exe:532
    2012-06-08 17:24:06: :services.exe:556
    2012-06-08 17:24:06: :lsass.exe:588
    2012-06-08 17:24:06: :lsm.exe:600
    2012-06-08 17:24:06: :winlogon.exe:656
    2012-06-08 17:24:06: :svchost.exe:776
    2012-06-08 17:24:06: :nvvsvc.exe:848
    2012-06-08 17:24:06: :nvSCPAPISvr.exe:872
    2012-06-08 17:24:06: :svchost.exe:916
    2012-06-08 17:24:06: :svchost.exe:1020
    2012-06-08 17:24:06: :svchost.exe:280
    2012-06-08 17:24:06: :svchost.exe:296
    2012-06-08 17:24:06: :UnsignedThemesSvc.exe:292
    2012-06-08 17:24:06: :svchost.exe:1100
    2012-06-08 17:24:06: :svchost.exe:1212
    2012-06-08 17:24:06: :NvXDSync.exe:1312
    2012-06-08 17:24:06: :nvvsvc.exe:1324
    2012-06-08 17:24:06: :spoolsv.exe:1364
    2012-06-08 17:24:06: :svchost.exe:1396
    2012-06-08 17:24:06: :armsvc.exe:1768
    2012-06-08 17:24:06: :AppleMobileDeviceService.exe:1792
    2012-06-08 17:24:06: :atkexComSvc.exe:1836
    2012-06-08 17:24:06: :aaHMSvc.exe:1904
    2012-06-08 17:24:06: :AsSysCtrlService.exe:1940
    2012-06-08 17:24:06: :AsusFanControlService.exe:1964
    2012-06-08 17:24:06: :mDNSResponder.exe:2036
    2012-06-08 17:24:06: :HeciServer.exe:1184
    2012-06-08 17:24:06: :iRebootd.exe:1488
    2012-06-08 17:24:06: :Jhi_service.exe:1648
    2012-06-08 17:24:06: :PnkBstrA.exe:1168
    2012-06-08 17:24:06: :svchost.exe:2052
    2012-06-08 17:24:06: :StarWindServiceAE.exe:2108
    2012-06-08 17:24:06: :TuneUpUtilitiesService64.exe:2156
    2012-06-08 17:24:06: :WsxService.exe:2220
    2012-06-08 17:24:06: :WLIDSVC.EXE:2256
    2012-06-08 17:24:06: :WLIDSVCM.EXE:2316
    2012-06-08 17:24:06: :taskeng.exe:2748
    2012-06-08 17:24:06: :TuneUpUtilitiesApp64.exe:2780
    2012-06-08 17:24:06: :dwm.exe:2960
    2012-06-08 17:24:06: :MSIAfterburner.exe:2976
    2012-06-08 17:24:06: :AsRoutineController.exe:2992
    2012-06-08 17:24:06: :explorer.exe:3024
    2012-06-08 17:24:06: :taskhost.exe:2004
    2012-06-08 17:24:06: :U3BoostSvr64.exe:2704
    2012-06-08 17:24:06: :TurboVHelp.exe:2756
    2012-06-08 17:24:06: :ICCProxy.exe:2916
    2012-06-08 17:24:06: :yorkyt.exe:2944
    2012-06-08 17:24:06: :RTSS.exe:3304
    2012-06-08 17:24:06: :RtkNGUI64.exe:3360
    2012-06-08 17:24:06: :leftsider64.exe:3368
    2012-06-08 17:24:06: :Nexus.exe:3380
    2012-06-08 17:24:06: :iReboot.exe:3416
    2012-06-08 17:24:06: :WiFiStation.exe:3432
    2012-06-08 17:24:06: :ObjectBar.exe:3492
    2012-06-08 17:24:06: :TrayServer.exe:3708
    2012-06-08 17:24:06: :nvtray.exe:3772
    2012-06-08 17:24:06: :EPUHelp.exe:3836
    2012-06-08 17:24:06: :SearchIndexer.exe:3252
    2012-06-08 17:24:06: :AI Suite II.exe:1052
    2012-06-08 17:24:06: :AlertHelper.exe:1048
    2012-06-08 17:24:06: :GoogleUpdate.exe:4076
    2012-06-08 17:24:06: :daemonu.exe:3140
    2012-06-08 17:24:06: :sppsvc.exe:1668
    2012-06-08 17:24:06: :TrustedInstaller.exe:3948
    2012-06-08 17:24:06: :WmiPrvSE.exe:2644
    2012-06-08 17:24:06: :audiodg.exe:3348
    2012-06-08 17:24:06:
    2012-06-08 17:24:06: Starting cleanup mode...
    2012-06-08 17:24:06: ... Done with files, now folders
    2012-06-08 17:24:08: All DONE
    Hitman me trouve toujours les deux gac
    1
  4. flotte32 Messages postés 377 Statut Membre 22
     
    Ha oui et c'est deux trojan
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. flotte32 Messages postés 377 Statut Membre 22
     
    En effet serefef c'est ce que me dit security essential mais le truc que tu ma dit de télécharger ne trouve rien
    0
  7. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Utilise ComboFix et poste le rapport :
    https://www.commentcamarche.net/faq/33099-supprimer-l-infection-zaccess-sirefef#cinquieme-outils-combofix
    0
  8. flotte32 Messages postés 377 Statut Membre 22
     
    et security essential s'énerve à chaque fois que je scanne avec hitman ou tdsskiller et au redémarrage aussi
    0
  9. flotte32 Messages postés 377 Statut Membre 22
     
    D'autres outils ? SVP sa m'énerve se truc là !
    0
  10. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ok, désactive ton antivirus le temps du scan avec ComboFix.
    0
  11. flotte32 Messages postés 377 Statut Membre 22
     
    Mon parefeu est revenue mais j'ai deux fois plus de pb les racoucis ne fonctionnement plus et j'ai des pubs qui s'ouvrent tout le temps sur firefox c'est quoi que tu ma fais télécharger ?
    0
  12. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ce n'est pas terminé.

    Tu peux me donner le rapport de ComboFix, tu le trouveras dans ton disque dur C.

    Pour les pubs, c'est sûrement des adwares :

    --> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
    http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
    0
  13. flotte32 Messages postés 377 Statut Membre 22
     
    J'ai des truc qui s'ouvrent tous seuls et explorer.exe qui se fourme à cause de ton logiciel avant tout fonctionner parfaitement punaise comment je fais et ton logiciel ne souvre plus
    0
  14. flotte32 Messages postés 377 Statut Membre 22
     
    C'est ou le rapport dans quoi j'ai un fichier combo fix dans C mais il ne s'ouvre pas avec blocnote STP
    0
  15. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Est-ce que tu vois un dossier ComboFix ?

    Si oui, va dedans et regarde s'il n'y a pas le rapport.
    0
  16. flotte32 Messages postés 377 Statut Membre 22
     
    C'est pas un dossier et le adwcleaner ma virer babylon ok mais j'ai toujours des redirections quand je veut aller vers un site sa marche un coup sur deux obliger de faire retour et les deux virus ne sont pas suprimer et conbofix plus possible a ouvrir
    0
  17. flotte32 Messages postés 377 Statut Membre 22
     
    c'est pas un dossier en fait sa me ramene sur ordinateur quand je clique dessus
    0
  18. flotte32 Messages postés 377 Statut Membre 22
     
    help ?
    0
  19. flotte32 Messages postés 377 Statut Membre 22
     
    J'ai fais le truc sa a fais redemarrer le pc et il a verifier le pc et une fois sur le bureau il a dit analyse terminer c'est tout ou se trouve le rapport stp
    0
  20. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Au même endroit que l'utilitaire nommé "yorkyt".
    0
  • 1
  • 2