Virus détectés dans C:\Windows\Installer Résolu/Fermé

Question

Bonjour, 

Après avoir téléchargé et installé un  logiciel de codecs vidéos, mon antivirus (avira free) l'a détecté comme un virus j'ai alors lancé la recherche intégrale. Il a trouvé de nombreux virus 
dans C:\Windows\assembly\GAC_64\Desktop.ini ou encore dans windows\installer.
De plus, malgré que j'ai déplacé tous les virus en quarantaine d'autre virus sont détectés toutes les 5 min environ.
J'ai fais des recherches et je suis tombé là dessus :
https://answers.microsoft.com/fr-fr/windows/forum/windows_xp-performance/purgervider-le-dossier-cwindowsinstaller/c9367066-a7cd-4f8f-ad76-fe157eb070d1

Faut-il faire la même manipulation ou c'est un autre problèmeet que dois-je faire ?

Je vous remercie d'avance de me répondre.

Configuration: Windows 7 / Chrome 22.0.1229.94

g3n-h@ckm@n · Accepted Answer

salut 

Rootkit ZeroAccess !!!!

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

g3n-h@ckm@n · Answer

je sais , retelecharge-le j'ai corrigé l'erreur y'a 5 mn    

(kalimusic je vais voir ca)
    
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Windows\system32\services.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

g3n-h@ckm@n · Answer

sisi tu as services.exe sinon ton pc marcherait pas ^^

g3n-h@ckm@n · Answer

relance pre_scan clique sur DiaG puis heberge le rapport

g3n-h@ckm@n · Answer

ok arrête-le

supprime le rapport Pre_Diag qu'il y a dans c:\

prends cette version debug et lance le diag

http://www.archive-host.com

g3n-h@ckm@n · Answer

ok copie ce fichier à la racine de ton disque c:\

C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe

dis-moi quand c'est fait

g3n-h@ckm@n · Answer

ok

selectionne ce texte :

Replace::
"C:\Services.exe" "C:\windows\system32\services.exe"

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

g3n-h@ckm@n · Answer

refais script mais avec ceci : 

Info:: 
C:\windows\system32\services.exe  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

c'est tout bon on a depatché Services.exe ^^

==========================

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

g3n-h@ckm@n · Answer

à quel endroit ?

g3n-h@ckm@n · Answer

la quarantaine de pre_scan c est logique

dans l'autre ca veut dire qu'il y a un truc qui le reinstalle...t'es sur que t'as mis malwarebytes à jour ? fais voir le rapport ?

g3n-h@ckm@n · Answer

supprime pre_scan(winlogon) puis retelecharge-le et refais l option Kill

g3n-h@ckm@n · Answer

yes y'a un truc qui refout l infection de plus tu desactives pas antivir comment veux-tu que les outils travaillent convenablement ???? et si on demande que les outils soient sur le bureau c est pas pour rien , c'est quoi ca ? C:\Users\Cyril\Téléchargements\Chrome Download\winlogon.exe ==================== /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<< ===================================================== Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Combofix Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ton antivirus couine encore ?

g3n-h@ckm@n · Answer

ben combofix a viré les restes....

g3n-h@ckm@n · Answer

pas fini on fait le menage

https://gen-hackman.kanak.fr/

g3n-h@ckm@n · Answer

;)

g3n-h@ckm@n · Answer

pas grave elle appartient à antivir

g3n-h@ckm@n · Answer

ben tu devrais l'utiliser il est plus sur que Internet explorer !!!

tu as fait tout le menage et tout lu .?

g3n-h@ckm@n · Answer

:)

Virus détectés dans C:\Windows\Installer

21 réponses

Discussions similaires