Sujet Précédent Sujet Suivant

Trojan.Heur.FU.Gqz

Résolu/Fermé
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015 - 24 nov. 2012 à 14:01
 Utilisateur anonyme - 25 nov. 2012 à 19:21
Bonjour,

Depuis hier mon pc, après démarrage, est très très lent (au minimum 5 à 10 min pour ouvrir n'importe quelle application, quand elle arrive à s'ouvrir... : explorateur windows, internet, malwarebytes, antivirus orange...).

Comme je ne pouvais plus accéder à rien ce matin, j'ai démarré en mode sans echec et ait pu effectuer une analyse malwarebytes (qui n'a rien détecté) et j'ai demandé un scandisk au redémarrage mais je n'ai pas pu lancer une analyse antivirus.

Suite au redemarrage en mode "normal" et après une très longue attente, j'ai enfin pu ouvrir mon antivirus (mais pas l'exécuter) qui m'indique avoir stopper une attaque de trojan.Heur.FU.Gqz le 22/11 (jeudi dernier).
En consultant l'historique je constate que ce n'est pas la première fois que mon pc subit ces attaques puisqu'il y en a eu aussi le 3/11 et le 22/10 mais je n'ai pas eu (ou pas vu..) de messages d'alerte.

Pouvez-vous m'aider svp ?

config Windows 7 / Internet Explorer 9.0 / Firefox 16.0.2, mais il a beaucoup de mal à répondre...)

29 réponses

Précédent
  • 1
  • 2
Réponse 21 / 29
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015
25 nov. 2012 à 15:55
Voici les rapports
OTL.txt => https://www.cjoint.com/?3Kzp03mLIFQ
Extras.txt => https://www.cjoint.com/?3Kzp2NLC6YY
0
Réponse 22 / 29
Utilisateur anonyme
25 nov. 2012 à 16:04
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
[8 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"QuickTime Task"=-
"TkBellExe"=-

:Files
C:\ProgramData\.zreglib
C:\Windows\SysNative\acovcnt.exe

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

0
Réponse 23 / 29
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015
25 nov. 2012 à 16:15
J'ai oublié de désactiver l'antivirus avant de lancer OTL en "correction".
Je ne sais pas si c'était important. Il a travaillé quand même :)
Dis moi s'il faut le relancer ou pas.

Le rapport OTL donne ça =>

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
C:\Windows\system32\REN5850.tmp deleted successfully.
C:\Windows\system32\REN5851.tmp deleted successfully.
C:\Windows\system32\REN5FCD.tmp deleted successfully.
C:\Windows\system32\REN5FDE.tmp deleted successfully.
C:\Windows\system32\REN78DC.tmp deleted successfully.
C:\Windows\system32\REN78DD.tmp deleted successfully.
C:\Windows\system32\REN7AF9.tmp deleted successfully.
C:\Windows\system32\REN7AFA.tmp deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TkBellExe deleted successfully.
========== FILES ==========
C:\ProgramData\.zreglib moved successfully.
C:\Windows\SysNative\acovcnt.exe moved successfully.
========== COMMANDS ==========
Restore point Set: OTL Restore Point

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: JBF
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5088762 bytes
->Java cache emptied: 1131925 bytes
->FireFox cache emptied: 86584567 bytes
->Flash cache emptied: 529 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50674 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 89,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 11252012_160656

Files\Folders moved on Reboot...
C:\Users\JBF\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
Réponse 24 / 29
Utilisateur anonyme
25 nov. 2012 à 16:51
ok tu fais un petit topo des soucis restants ??
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 29
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015
25 nov. 2012 à 16:54
Le pc a l'air d'avoir retrouvé sa vitesse "normale"...donc pour moi ça semble ok.
0
Réponse 26 / 29
Utilisateur anonyme
25 nov. 2012 à 16:58
dans ce cas , le menage :

https://gen-hackman.kanak.fr/
0
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015
25 nov. 2012 à 17:11
c'est parti pour le grand ménage ^^

Encore merci pour ton aide et ta disponibilité.

Est-ce que ça t'embête de me donner quelques infos sur ce qui s'est passé ?
En vrac :
Quand l'anti-virus indique qu'il bloque une attaque faut-il le croire ?
Comment on sait qu'il s'est fait bypassé ?
Est-ce que le problème venait du trojan.heur.fu.gqz ? ou pas seulement ?
Pourquoi Pre_scan ne fonctionne pas jusqu'au bout sur mon pc ?

C'est pas urgent (je vois que tu as beaucoup de demandes sur le forum), mais ça m'intéresse d'essayer de comprendre un peu plus et essayer d'éviter de faire des erreurs qui entrainent des infections.
Merci d'avance
0
Utilisateur anonyme
25 nov. 2012 à 17:15
Pourquoi Pre_scan ne fonctionne pas jusqu'au bout sur mon pc ?

parce que j'ai été trop pressé et que j'ai pas fait les controles necessaires et qu'il y avait une erreur de bouclage que j'ai corrigé

Quand l'anti-virus indique qu'il bloque une attaque faut-il le croire ?

en general oui mais bon avec FSecure tu dois pas en avoir beaucoup de signalées ^^
0
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015
25 nov. 2012 à 17:25
avec FSecure tu dois pas en avoir beaucoup de signalées
je confirme ^^
0
Utilisateur anonyme
25 nov. 2012 à 17:26
lol vu qu'il detecte pas un élephant dans un couloir.....
0
Réponse 27 / 29
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015
25 nov. 2012 à 17:48
Concernant Java, j'ai une version 6U29 qui ne se désinstalle pas (ni avec JavaRa, ni en désinstallation manuelle), le message est : "Problème détecté dans le package d'installation windows. Un fichier dll requis pour cette installation n'a pas pu être exécuté".

J'ai bien la dernière version de java (7U9) sur mon pc.

Est-ce grave ?

Sinon, voici le rapport Delfix :
# DelFix v6.2 - Rapport créé le 25/11/2012 à 17:40:50
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : JBF - JBF-PC
# Exécuté depuis : C:\Users\JBF\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\_OTL
Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\JBF\Desktop\tonton2.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\Pre_Scan.txt
Supprimé : C:\Users\JBF\Desktop\Defogger.exe
Supprimé : C:\Users\JBF\Desktop\defogger_disable.log
Supprimé : C:\Users\JBF\Desktop\defogger_enable.log
Supprimé : C:\Users\JBF\Desktop\Extras.Txt
Supprimé : C:\Users\JBF\Desktop\OTL.Txt
Supprimé : C:\Users\JBF\Desktop\OTL.exe
Supprimé : C:\Users\JBF\Desktop\Pre_Scan.pif
Supprimé : C:\Users\JBF\Desktop\Pre_script.txt
Supprimé : C:\Users\JBF\Desktop\winlogon.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1566 octets] - [25/11/2012 17:40:50]

########## EOF - C:\DelFix[S1].txt - [1690 octets] ##########


Mais il a pas viré la 1ère version de ComboFix installée.
0
Réponse 28 / 29
Utilisateur anonyme
25 nov. 2012 à 17:50
jette le manuellement
0
Réponse 29 / 29
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015
25 nov. 2012 à 18:06
Ok, c'est fait.

Voici, le lien vers le rapport Slowin_Killer => https://www.cjoint.com/?3KzseFtBiON

Est-ce que je dois garder l'outil ?
Si oui, quand faut-il s'en servir ?
Merci
0
Utilisateur anonyme
25 nov. 2012 à 18:08
bah vu qu'il est souvent mis à jour et qu'il ne possède pas de mise à jour automatique je te suggère de le jeter pour l instant
0
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015
25 nov. 2012 à 18:19
bien chef ! ^^

Voici la suite après exécution de PureRa => Total space cleaned: 6.41 MB


F-Secure c'est pas top, mais que peux-tu me conseiller ?
Je sais que tu n'as pas d'antivirus...
0
Utilisateur anonyme
25 nov. 2012 à 18:23
ben pour les gratuits les petits test que j ai effectué je note bien Avast
0
Enilor Messages postés 120 Date d'inscription samedi 14 juillet 2012 Statut Membre Dernière intervention 5 janvier 2015
25 nov. 2012 à 18:53
Merci, je vais me renseigner sur Avast ;)

J'ai quasiment fini le grand ménage. Il me reste les nettoyage et défragmentation des disques qui ne devraient pas poser de problème.
Je marque donc le sujet comme résolu.

Encore un grand grand merci pour ton aide et ta disponibilité.
ça fait 2 fois que tu me dépannes et même si c'est toujours pour des cas difficiles que ton aide est sollicitée, c'est un vrai plaisir de travailler et d'échanger avec toi sur ce forum.
0
Utilisateur anonyme
25 nov. 2012 à 19:21
:) :) :) :)
0