Virus détectés dans C:\Windows\Installer

Résolu
c1995c Messages postés 35 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Après avoir téléchargé et installé un logiciel de codecs vidéos, mon antivirus (avira free) l'a détecté comme un virus j'ai alors lancé la recherche intégrale. Il a trouvé de nombreux virus
dans C:\Windows\assembly\GAC_64\Desktop.ini ou encore dans windows\installer.
De plus, malgré que j'ai déplacé tous les virus en quarantaine d'autre virus sont détectés toutes les 5 min environ.
J'ai fais des recherches et je suis tombé là dessus :
https://answers.microsoft.com/fr-fr/windows/forum/windows_xp-performance/purgervider-le-dossier-cwindowsinstaller/c9367066-a7cd-4f8f-ad76-fe157eb070d1

Faut-il faire la même manipulation ou c'est un autre problèmeet que dois-je faire ?

Je vous remercie d'avance de me répondre.

21 réponses

  • 1
  • 2
Résumé de la discussion

La problématique concerne des détections d’un antivirus après l’installation d’un codec vidéo, signalant plusieurs virus dans C:\Windows\assembly\GAC_64 et dans Windows\Installer et des détections récurrentes malgré la mise en quarantaine. Des réponses évoquent une infection potentielle par rootkit et des outils, dont des liens supposés officiels et des scans, tout en avertissant des risques et des faux positifs. Parmi les réponses, Pre_Scan et DelFix apparaissent, avec des conseils sur des rapports et sur l’usage d’outils fiables et officiels. En cas d’incertitude, la discussion distingue faux positifs et infections réelles et privilégie des outils reconnus et des scans sécurisés pour évaluer la situation.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut

    Rootkit ZeroAccess !!!!

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Ne transmets pas le lien de suppression !!!
    2
    1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      salut g3n,

      J'ai supprimé mon message, régale toi bien ;o
      0
    2. g3n-h@ckm@n
       
      oui je t'y disais "salut grilled ^^'

      merci je vais l 'exploser le rootkit ^^
      0
    3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
       
      on verra bien.......non je plaisante :p
      le plus ch**nt c'est quand l'infection a fait des dégâts dans les services.
      parfois ça se répare facile et d'autres fois un peu moins.
      0
    4. g3n-h@ckm@n
       
      ouaip , j'y ai intégré la reparation des principaux services touchés par le rootkit
      0
  2. g3n-h@ckm@n
     
    je sais , retelecharge-le j'ai corrigé l'erreur y'a 5 mn

    (kalimusic je vais voir ca)

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
  3. g3n-h@ckm@n
     
    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\Windows\system32\services.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      Je n'ai pas services.exe mais services.msc
      c'est normal ?
      0
  4. g3n-h@ckm@n
     
    sisi tu as services.exe sinon ton pc marcherait pas ^^
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      ^^ Bah il me met fichier introuvable ...
      Et pourtant il marche bien !
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    relance pre_scan clique sur DiaG puis heberge le rapport
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      Le chargement bloque sur [.......\software\7-Zip] mdr
      0
    2. g3n-h@ckm@n
       
      ?
      0
    3. c1995c Messages postés 35 Statut Membre 1
       
      Lorsqu'on lance le programme, et qu'on appuie sur DiaG, y a une barre de chargement qui s'affiche avec les répertoires pour montrer là ou il en est je pense et ça fait 5 min que ça reste sur [HKU-S-15-21-pleins de chiffres-1000\software\7-Zip]
      0
  7. g3n-h@ckm@n
     
    ok arrête-le

    supprime le rapport Pre_Diag qu'il y a dans c:\

    prends cette version debug et lance le diag

    http://www.archive-host.com
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      et voilà !
      https://forums-fec.be/upload/www/?a=d&i=3647983083
      0
  8. g3n-h@ckm@n
     
    ok copie ce fichier à la racine de ton disque c:\

    C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe

    dis-moi quand c'est fait
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      C bon !
      0
  9. g3n-h@ckm@n
     
    ok

    selectionne ce texte :

    Replace::
    "C:\Services.exe" "C:\windows\system32\services.exe"


    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      https://forums-fec.be/upload/www/?a=d&i=0275909994
      0
  10. g3n-h@ckm@n
     
    refais script mais avec ceci :

    Info::
    C:\windows\system32\services.exe


    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      https://forums-fec.be/upload/www/?a=d&i=2861871354
      0
  11. g3n-h@ckm@n
     
    c'est tout bon on a depatché Services.exe ^^

    ==========================

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      Il n'a rien détecté ...
      Mais mon antivirus continue toujours à trouver des virus ...
      0
  12. g3n-h@ckm@n
     
    à quel endroit ?
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      Dans la quarantaine de prescan et dans le répertoire c:\Reciclebin\S-1-5-21 ...
      0
  13. g3n-h@ckm@n
     
    la quarantaine de pre_scan c est logique

    dans l'autre ca veut dire qu'il y a un truc qui le reinstalle...t'es sur que t'as mis malwarebytes à jour ? fais voir le rapport ?
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      Oui je l'ai mis à jour à l'installation.
      https://forums-fec.be/upload/www/?a=d&i=9576179777
      0
  14. g3n-h@ckm@n
     
    supprime pre_scan(winlogon) puis retelecharge-le et refais l option Kill
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      https://forums-fec.be/upload/www/?a=d&i=5021793593
      voilà !
      0
  15. g3n-h@ckm@n
     
    yes y'a un truc qui refout l infection de plus tu desactives pas antivir comment veux-tu que les outils travaillent convenablement ????

    et si on demande que les outils soient sur le bureau c est pas pour rien , c'est quoi ca ?

    C:\Users\Cyril\Téléchargements\Chrome Download\winlogon.exe

    ====================

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
    =====================================================


    Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Combofix

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage
    de l'outil.
    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur combofix renommé

    !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!


    n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      https://forums-fec.be/upload/www/?a=d&i=0439164073
      c bon !
      0
  16. g3n-h@ckm@n
     
    ton antivirus couine encore ?
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      non
      c normal parce qu'il y en a plus ou c pas normal ?
      0
  17. g3n-h@ckm@n
     
    ben combofix a viré les restes....
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      Merci beaucoup !
      Et merci pour toute la patience que vous avez eu ;)
      0
  18. g3n-h@ckm@n
     
    pas fini on fait le menage

    https://gen-hackman.kanak.fr/
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      # DelFix v9.0 - Rapport créé le 28/10/2012 à 18:42:35
      # Mis à jour le 23/09/12 par Xplode
      # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
      # Nom d'utilisateur : Cyril - C1995C (Administrateur)
      # Exécuté depuis : C:\Users\Cyril\Desktop\delfix.exe
      # Option [Suppression]


      ~~~~~~ Dossiers(s) ~~~~~~

      Supprimé : C:\Qoobox

      ~~~~~~ Fichier(s) ~~~~~~

      Supprimé : C:\Windows\grep.exe
      Supprimé : C:\Windows\PEV.exe
      Supprimé : C:\Windows\NIRCMD.exe
      Supprimé : C:\Windows\MBR.exe
      Supprimé : C:\Windows\SED.exe
      Supprimé : C:\Windows\SWREG.exe
      Supprimé : C:\Windows\SWSC.exe
      Supprimé : C:\Windows\SWXCACLS.exe
      Supprimé : C:\Windows\Zip.exe

      ~~~~~~ Registre ~~~~~~

      Clé Supprimée : HKCU\Software\g3n-h@ckm@n
      Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
      Clé Supprimée : HKLM\SOFTWARE\Swearware
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

      ~~~~~~ Autres ~~~~~~

      -> Prefetch Vidé

      *************************

      DelFix[S1].txt - [997 octets] - [28/10/2012 18:42:35]

      ########## EOF - C:\DelFix[S1].txt - [1120 octets] ##########
      0
    2. c1995c Messages postés 35 Statut Membre 1
       
      Total space cleaned: 66.28 MB
      Pour PureRa
      0
  19. g3n-h@ckm@n
     
    ;)
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      Ccleaner me trouve toujours la même erreur de registre malgré que je la corrige : HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
      0
  20. g3n-h@ckm@n
     
    pas grave elle appartient à antivir
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      Il n'y aurait pas un antivirus gratuit plus performant qu'avira faisant anti-spyware ou il faut que je garde avira avec malwarebytes ?
      Je peux supprimer PureRa, JavaRa ou ça va encore servir ?
      quand j'ai désinstallé les anciennes versions avec javara il m'a mis qu'il y avait une erreur dans c:\pragramfiles 86\mosillafirefox, le problème est que je n'ai pas firefox ...
      0
  21. g3n-h@ckm@n
     
    ben tu devrais l'utiliser il est plus sur que Internet explorer !!!

    tu as fait tout le menage et tout lu .?
    0
    1. c1995c Messages postés 35 Statut Membre 1
       
      ça y est j'ai tout terminé ! Merci encore c'est super sympa :)
      0
  • 1
  • 2