Sujet Précédent Sujet Suivant

GAC_64 ET 32

Résolu
flotte32 Messages postés 377 Statut Membre -  
flotte32 Messages postés 377 Statut Membre -
Bonjour, alors voilà j'ai choper un virus que hitman me signal il me signal desktop.ini dans c:\windows\assembly\GAC_64\ et un autre desktop.ini c:\windows\assembly\GAC_32\ impossible de supprimer avec hitman ou microsoft security essential ni de mettre en quarantaine comment supprimer SVP je préviens que je ne formaterais pas.
Merci d'avance.

39 réponses

  • 1
  • 2
Résumé de la discussion

Des fichiers desktop.ini situés dans C:\Windows\assembly\GAC_32 et C:\Windows\assembly\GAC_64 posent problème car ils restent détectés comme éléments malveillants et ne peuvent pas être supprimés par Hitman Pro ni par Windows Security. La solution principale préconisée est d'utiliser TDSSKiller et d'analyser le système, puis de redémarrer pour appliquer les corrections, plutôt que d'intervenir manuellement sur les dossiers système. En cas de détection, il faut suivre les instructions pour poursuivre le scan, et consulter le rapport généré après redémarrage; certains outils suggèrent aussi RogueKiller comme analyse complémentaire. Notez que le rapport TDSSKiller, enregistré après redémarrage, peut clarifier l'infection et qu'il est utile de sauvegarder ses résultats dans un endroit sûr pour consultation future.

Généré automatiquement par IA
sur la base des meilleures réponses
Réponse 1 / 39
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Il faut surtout pas supprimer le GAC!!!!
C'est un dossier indispensable dans lequel windows place beaucoup de dlls, notamment celles du framework .NET, et bien d'autres

https://en.wikipedia.org/wiki/Global_Assembly_Cache

Télécharge la nouvelle version de RogueKiller et passe un scan.
ça peut le faire
Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
3
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
 
Merci pour cette info.

Tu viens de sortir une nouvelle version de RogueKiller ?
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
J'ai corrigé un bug.
On va voir si ya toujours un accès refusé sur la clé registre de ZeroAccess
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
et quoi c'juste le desktop.ini alors à virer ?
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Nope, le desktop.ini c'est un autre composant. C'est juste pour la détection.
Sinon , il y a une clé de registre dans HKCR/CLSID
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Haaaaaaaan
Quelle clé ?
0
Réponse 2 / 39
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
 
Bonjour,

Ton PC est infecté par Sirefef / Z.Access.

--> Télécharge TDSSKiller sur le Bureau :
https://support.kaspersky.com/downloads/utils/tdsskiller.exe

--> Lance TDSSKiller.
(Sous Vista/Win7, il faut cliquer droit sur TDSSKiller et choisir Exécuter en tant qu'administrateur)

--> Clique sur [Start Scan] pour démarrer l'analyse.

--> Si des éléments sont trouvés, clique sur [Continue] puis sur [Reboot Now].

--> Un rapport s'ouvrira au redémarrage du PC.

--> Copie-colle son contenu ici.

Note : le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

Note 2 : si TDSSKiller trouve un fichier nommé "Sptd.sys", tu sélectionnes Skip juste pour ce fichier.
1
Réponse 3 / 39
flotte32 Messages postés 377 Statut Membre 22
 
2012-06-08 17:11:49: Found Service: WwanSvc
2012-06-08 17:11:49: Real Path: C:\Windows\System32\wwansvc.dll
2012-06-08 17:11:49: Display Name: @%SystemRoot%\System32\wwansvc.dll,-257
2012-06-08 17:11:49: Description: @%SystemRoot%\System32\wwansvc.dll,-258
2012-06-08 17:11:49: ServiceDLL: System32\wwansvc.dll
2012-06-08 17:11:49: File size: 0
2012-06-08 17:11:49: DLL File name: wwansvc.dll
2012-06-08 17:11:49: Original File Name: WwanSvc.dll.mui
2012-06-08 17:11:49: Company:
2012-06-08 17:11:49: Mod/Cre/Acc time:
2012-06-08 17:11:49:
2012-06-08 17:11:49: Looking for SHELL key
2012-06-08 17:11:49: Now looking for bad DLL files in system32
2012-06-08 17:12:08: Folder: GAC
2012-06-08 17:12:08: Folder: GAC_32
2012-06-08 17:12:08: ... Fixing permissions on C:\Windows\assembly\GAC_32\desktop.ini
2012-06-08 17:12:08: Folder: GAC_64
2012-06-08 17:12:08: ... Fixing permissions on C:\Windows\assembly\GAC_64\desktop.ini
2012-06-08 17:12:08: Folder: GAC_MSIL
2012-06-08 17:12:08: Folder: NativeImages_v2.0.50727_32
2012-06-08 17:12:08: Folder: NativeImages_v2.0.50727_64
2012-06-08 17:12:08: Folder: NativeImages_v4.0.30319_32
2012-06-08 17:12:08: Folder: NativeImages_v4.0.30319_64
2012-06-08 17:12:08: Folder: temp
2012-06-08 17:12:08: Folder: tmp
2012-06-08 17:12:08: Checking for bad folder
2012-06-08 17:12:08: Found 1 folders.
2012-06-08 17:12:08: Checking C:\Windows\assembly\tmp
2012-06-08 17:12:08: ... Folder test returns: 1
2012-06-08 17:12:08: Done with folder list in C:\Windows\assembly\ tmp
2012-06-08 17:12:08: Requesting bad file: C:\Windows\assembly\GAC_32\desktop.ini
2012-06-08 17:12:08: Requesting bad file: C:\Windows\assembly\GAC_64\desktop.ini
2012-06-08 17:12:08: Running Extractor
2012-06-08 17:12:09: Uploading file
2012-06-08 17:12:09: Locking file: C:\Windows\assembly\GAC_32\desktop.ini
2012-06-08 17:12:09: Locking file: C:\Windows\assembly\GAC_64\desktop.ini
2012-06-08 17:12:09: Autonomous mode, clearing out yt folder
2012-06-08 17:12:09: cmd.exe /c start "C:\Users\FloBF3\Downloads\yorkyt.exe"
2012-06-08 17:12:15: Restarting...
2012-06-08 17:17:35: ****************************************************
2012-06-08 17:17:35: Starting UP ... v 0.0.0.220
2012-06-08 17:17:35: ****************************************************
2012-06-08 17:17:36: Stop TPSRV returns: 2
2012-06-08 17:24:06: Listing processes...
2012-06-08 17:24:06: :[System Process]:0
2012-06-08 17:24:06: :System:4
2012-06-08 17:24:06: :smss.exe:252
2012-06-08 17:24:06: :csrss.exe:440
2012-06-08 17:24:06: :wininit.exe:500
2012-06-08 17:24:06: :csrss.exe:532
2012-06-08 17:24:06: :services.exe:556
2012-06-08 17:24:06: :lsass.exe:588
2012-06-08 17:24:06: :lsm.exe:600
2012-06-08 17:24:06: :winlogon.exe:656
2012-06-08 17:24:06: :svchost.exe:776
2012-06-08 17:24:06: :nvvsvc.exe:848
2012-06-08 17:24:06: :nvSCPAPISvr.exe:872
2012-06-08 17:24:06: :svchost.exe:916
2012-06-08 17:24:06: :svchost.exe:1020
2012-06-08 17:24:06: :svchost.exe:280
2012-06-08 17:24:06: :svchost.exe:296
2012-06-08 17:24:06: :UnsignedThemesSvc.exe:292
2012-06-08 17:24:06: :svchost.exe:1100
2012-06-08 17:24:06: :svchost.exe:1212
2012-06-08 17:24:06: :NvXDSync.exe:1312
2012-06-08 17:24:06: :nvvsvc.exe:1324
2012-06-08 17:24:06: :spoolsv.exe:1364
2012-06-08 17:24:06: :svchost.exe:1396
2012-06-08 17:24:06: :armsvc.exe:1768
2012-06-08 17:24:06: :AppleMobileDeviceService.exe:1792
2012-06-08 17:24:06: :atkexComSvc.exe:1836
2012-06-08 17:24:06: :aaHMSvc.exe:1904
2012-06-08 17:24:06: :AsSysCtrlService.exe:1940
2012-06-08 17:24:06: :AsusFanControlService.exe:1964
2012-06-08 17:24:06: :mDNSResponder.exe:2036
2012-06-08 17:24:06: :HeciServer.exe:1184
2012-06-08 17:24:06: :iRebootd.exe:1488
2012-06-08 17:24:06: :Jhi_service.exe:1648
2012-06-08 17:24:06: :PnkBstrA.exe:1168
2012-06-08 17:24:06: :svchost.exe:2052
2012-06-08 17:24:06: :StarWindServiceAE.exe:2108
2012-06-08 17:24:06: :TuneUpUtilitiesService64.exe:2156
2012-06-08 17:24:06: :WsxService.exe:2220
2012-06-08 17:24:06: :WLIDSVC.EXE:2256
2012-06-08 17:24:06: :WLIDSVCM.EXE:2316
2012-06-08 17:24:06: :taskeng.exe:2748
2012-06-08 17:24:06: :TuneUpUtilitiesApp64.exe:2780
2012-06-08 17:24:06: :dwm.exe:2960
2012-06-08 17:24:06: :MSIAfterburner.exe:2976
2012-06-08 17:24:06: :AsRoutineController.exe:2992
2012-06-08 17:24:06: :explorer.exe:3024
2012-06-08 17:24:06: :taskhost.exe:2004
2012-06-08 17:24:06: :U3BoostSvr64.exe:2704
2012-06-08 17:24:06: :TurboVHelp.exe:2756
2012-06-08 17:24:06: :ICCProxy.exe:2916
2012-06-08 17:24:06: :yorkyt.exe:2944
2012-06-08 17:24:06: :RTSS.exe:3304
2012-06-08 17:24:06: :RtkNGUI64.exe:3360
2012-06-08 17:24:06: :leftsider64.exe:3368
2012-06-08 17:24:06: :Nexus.exe:3380
2012-06-08 17:24:06: :iReboot.exe:3416
2012-06-08 17:24:06: :WiFiStation.exe:3432
2012-06-08 17:24:06: :ObjectBar.exe:3492
2012-06-08 17:24:06: :TrayServer.exe:3708
2012-06-08 17:24:06: :nvtray.exe:3772
2012-06-08 17:24:06: :EPUHelp.exe:3836
2012-06-08 17:24:06: :SearchIndexer.exe:3252
2012-06-08 17:24:06: :AI Suite II.exe:1052
2012-06-08 17:24:06: :AlertHelper.exe:1048
2012-06-08 17:24:06: :GoogleUpdate.exe:4076
2012-06-08 17:24:06: :daemonu.exe:3140
2012-06-08 17:24:06: :sppsvc.exe:1668
2012-06-08 17:24:06: :TrustedInstaller.exe:3948
2012-06-08 17:24:06: :WmiPrvSE.exe:2644
2012-06-08 17:24:06: :audiodg.exe:3348
2012-06-08 17:24:06:
2012-06-08 17:24:06: Starting cleanup mode...
2012-06-08 17:24:06: ... Done with files, now folders
2012-06-08 17:24:08: All DONE
Hitman me trouve toujours les deux gac
1
Réponse 4 / 39
flotte32 Messages postés 377 Statut Membre 22
 
Ha oui et c'est deux trojan
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 39
flotte32 Messages postés 377 Statut Membre 22
 
En effet serefef c'est ce que me dit security essential mais le truc que tu ma dit de télécharger ne trouve rien
0
Réponse 6 / 39
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
 
Utilise ComboFix et poste le rapport :
https://www.commentcamarche.net/faq/33099-supprimer-l-infection-zaccess-sirefef#cinquieme-outils-combofix
0
Réponse 7 / 39
flotte32 Messages postés 377 Statut Membre 22
 
et security essential s'énerve à chaque fois que je scanne avec hitman ou tdsskiller et au redémarrage aussi
0
Réponse 8 / 39
flotte32 Messages postés 377 Statut Membre 22
 
D'autres outils ? SVP sa m'énerve se truc là !
0
Réponse 9 / 39
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
 
Ok, désactive ton antivirus le temps du scan avec ComboFix.
0
Réponse 10 / 39
flotte32 Messages postés 377 Statut Membre 22
 
Mon parefeu est revenue mais j'ai deux fois plus de pb les racoucis ne fonctionnement plus et j'ai des pubs qui s'ouvrent tout le temps sur firefox c'est quoi que tu ma fais télécharger ?
0
Réponse 11 / 39
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
 
Ce n'est pas terminé.

Tu peux me donner le rapport de ComboFix, tu le trouveras dans ton disque dur C.

Pour les pubs, c'est sûrement des adwares :

--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
0
Réponse 12 / 39
flotte32 Messages postés 377 Statut Membre 22
 
J'ai des truc qui s'ouvrent tous seuls et explorer.exe qui se fourme à cause de ton logiciel avant tout fonctionner parfaitement punaise comment je fais et ton logiciel ne souvre plus
0
Réponse 13 / 39
flotte32 Messages postés 377 Statut Membre 22
 
C'est ou le rapport dans quoi j'ai un fichier combo fix dans C mais il ne s'ouvre pas avec blocnote STP
0
Réponse 14 / 39
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
 
Est-ce que tu vois un dossier ComboFix ?

Si oui, va dedans et regarde s'il n'y a pas le rapport.
0
Réponse 15 / 39
flotte32 Messages postés 377 Statut Membre 22
 
C'est pas un dossier et le adwcleaner ma virer babylon ok mais j'ai toujours des redirections quand je veut aller vers un site sa marche un coup sur deux obliger de faire retour et les deux virus ne sont pas suprimer et conbofix plus possible a ouvrir
0
Réponse 16 / 39
flotte32 Messages postés 377 Statut Membre 22
 
c'est pas un dossier en fait sa me ramene sur ordinateur quand je clique dessus
0
Réponse 17 / 39
flotte32 Messages postés 377 Statut Membre 22
 
help ?
0
Réponse 18 / 39
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
 
Ok, utilise l'utilitaire suivant et poste le rapport :
https://www.pandasecurity.com/en/support/card?id=1672&idIdioma=2
0
Réponse 19 / 39
flotte32 Messages postés 377 Statut Membre 22
 
J'ai fais le truc sa a fais redemarrer le pc et il a verifier le pc et une fois sur le bureau il a dit analyse terminer c'est tout ou se trouve le rapport stp
0
Réponse 20 / 39
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
 
Au même endroit que l'utilitaire nommé "yorkyt".
0
  • 1
  • 2