Trojan.Heur.FU.Gqz
Résolu
Enilor
Messages postés
120
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Depuis hier mon pc, après démarrage, est très très lent (au minimum 5 à 10 min pour ouvrir n'importe quelle application, quand elle arrive à s'ouvrir... : explorateur windows, internet, malwarebytes, antivirus orange...).
Comme je ne pouvais plus accéder à rien ce matin, j'ai démarré en mode sans echec et ait pu effectuer une analyse malwarebytes (qui n'a rien détecté) et j'ai demandé un scandisk au redémarrage mais je n'ai pas pu lancer une analyse antivirus.
Suite au redemarrage en mode "normal" et après une très longue attente, j'ai enfin pu ouvrir mon antivirus (mais pas l'exécuter) qui m'indique avoir stopper une attaque de trojan.Heur.FU.Gqz le 22/11 (jeudi dernier).
En consultant l'historique je constate que ce n'est pas la première fois que mon pc subit ces attaques puisqu'il y en a eu aussi le 3/11 et le 22/10 mais je n'ai pas eu (ou pas vu..) de messages d'alerte.
Pouvez-vous m'aider svp ?
config Windows 7 / Internet Explorer 9.0 / Firefox 16.0.2, mais il a beaucoup de mal à répondre...)
Depuis hier mon pc, après démarrage, est très très lent (au minimum 5 à 10 min pour ouvrir n'importe quelle application, quand elle arrive à s'ouvrir... : explorateur windows, internet, malwarebytes, antivirus orange...).
Comme je ne pouvais plus accéder à rien ce matin, j'ai démarré en mode sans echec et ait pu effectuer une analyse malwarebytes (qui n'a rien détecté) et j'ai demandé un scandisk au redémarrage mais je n'ai pas pu lancer une analyse antivirus.
Suite au redemarrage en mode "normal" et après une très longue attente, j'ai enfin pu ouvrir mon antivirus (mais pas l'exécuter) qui m'indique avoir stopper une attaque de trojan.Heur.FU.Gqz le 22/11 (jeudi dernier).
En consultant l'historique je constate que ce n'est pas la première fois que mon pc subit ces attaques puisqu'il y en a eu aussi le 3/11 et le 22/10 mais je n'ai pas eu (ou pas vu..) de messages d'alerte.
Pouvez-vous m'aider svp ?
config Windows 7 / Internet Explorer 9.0 / Firefox 16.0.2, mais il a beaucoup de mal à répondre...)
29 réponses
Voici les rapports
OTL.txt => https://www.cjoint.com/?3Kzp03mLIFQ
Extras.txt => https://www.cjoint.com/?3Kzp2NLC6YY
OTL.txt => https://www.cjoint.com/?3Kzp03mLIFQ
Extras.txt => https://www.cjoint.com/?3Kzp2NLC6YY
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
[8 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"QuickTime Task"=-
"TkBellExe"=-
:Files
C:\ProgramData\.zreglib
C:\Windows\SysNative\acovcnt.exe
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
[8 C:\Windows\system32\*.tmp files -> C:\Windows\system32\*.tmp -> ]
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"QuickTime Task"=-
"TkBellExe"=-
:Files
C:\ProgramData\.zreglib
C:\Windows\SysNative\acovcnt.exe
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
J'ai oublié de désactiver l'antivirus avant de lancer OTL en "correction".
Je ne sais pas si c'était important. Il a travaillé quand même :)
Dis moi s'il faut le relancer ou pas.
Le rapport OTL donne ça =>
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
C:\Windows\system32\REN5850.tmp deleted successfully.
C:\Windows\system32\REN5851.tmp deleted successfully.
C:\Windows\system32\REN5FCD.tmp deleted successfully.
C:\Windows\system32\REN5FDE.tmp deleted successfully.
C:\Windows\system32\REN78DC.tmp deleted successfully.
C:\Windows\system32\REN78DD.tmp deleted successfully.
C:\Windows\system32\REN7AF9.tmp deleted successfully.
C:\Windows\system32\REN7AFA.tmp deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TkBellExe deleted successfully.
========== FILES ==========
C:\ProgramData\.zreglib moved successfully.
C:\Windows\SysNative\acovcnt.exe moved successfully.
========== COMMANDS ==========
Restore point Set: OTL Restore Point
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: JBF
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5088762 bytes
->Java cache emptied: 1131925 bytes
->FireFox cache emptied: 86584567 bytes
->Flash cache emptied: 529 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50674 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 89,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 11252012_160656
Files\Folders moved on Reboot...
C:\Users\JBF\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Je ne sais pas si c'était important. Il a travaillé quand même :)
Dis moi s'il faut le relancer ou pas.
Le rapport OTL donne ça =>
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
C:\Windows\system32\REN5850.tmp deleted successfully.
C:\Windows\system32\REN5851.tmp deleted successfully.
C:\Windows\system32\REN5FCD.tmp deleted successfully.
C:\Windows\system32\REN5FDE.tmp deleted successfully.
C:\Windows\system32\REN78DC.tmp deleted successfully.
C:\Windows\system32\REN78DD.tmp deleted successfully.
C:\Windows\system32\REN7AF9.tmp deleted successfully.
C:\Windows\system32\REN7AFA.tmp deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\TkBellExe deleted successfully.
========== FILES ==========
C:\ProgramData\.zreglib moved successfully.
C:\Windows\SysNative\acovcnt.exe moved successfully.
========== COMMANDS ==========
Restore point Set: OTL Restore Point
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: JBF
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 5088762 bytes
->Java cache emptied: 1131925 bytes
->FireFox cache emptied: 86584567 bytes
->Flash cache emptied: 529 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50674 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 89,00 mb
OTL by OldTimer - Version 3.2.69.0 log created on 11252012_160656
Files\Folders moved on Reboot...
C:\Users\JBF\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
dans ce cas , le menage :
https://gen-hackman.kanak.fr/
https://gen-hackman.kanak.fr/
c'est parti pour le grand ménage ^^
Encore merci pour ton aide et ta disponibilité.
Est-ce que ça t'embête de me donner quelques infos sur ce qui s'est passé ?
En vrac :
Quand l'anti-virus indique qu'il bloque une attaque faut-il le croire ?
Comment on sait qu'il s'est fait bypassé ?
Est-ce que le problème venait du trojan.heur.fu.gqz ? ou pas seulement ?
Pourquoi Pre_scan ne fonctionne pas jusqu'au bout sur mon pc ?
C'est pas urgent (je vois que tu as beaucoup de demandes sur le forum), mais ça m'intéresse d'essayer de comprendre un peu plus et essayer d'éviter de faire des erreurs qui entrainent des infections.
Merci d'avance
Encore merci pour ton aide et ta disponibilité.
Est-ce que ça t'embête de me donner quelques infos sur ce qui s'est passé ?
En vrac :
Quand l'anti-virus indique qu'il bloque une attaque faut-il le croire ?
Comment on sait qu'il s'est fait bypassé ?
Est-ce que le problème venait du trojan.heur.fu.gqz ? ou pas seulement ?
Pourquoi Pre_scan ne fonctionne pas jusqu'au bout sur mon pc ?
C'est pas urgent (je vois que tu as beaucoup de demandes sur le forum), mais ça m'intéresse d'essayer de comprendre un peu plus et essayer d'éviter de faire des erreurs qui entrainent des infections.
Merci d'avance
Pourquoi Pre_scan ne fonctionne pas jusqu'au bout sur mon pc ?
parce que j'ai été trop pressé et que j'ai pas fait les controles necessaires et qu'il y avait une erreur de bouclage que j'ai corrigé
Quand l'anti-virus indique qu'il bloque une attaque faut-il le croire ?
en general oui mais bon avec FSecure tu dois pas en avoir beaucoup de signalées ^^
parce que j'ai été trop pressé et que j'ai pas fait les controles necessaires et qu'il y avait une erreur de bouclage que j'ai corrigé
Quand l'anti-virus indique qu'il bloque une attaque faut-il le croire ?
en general oui mais bon avec FSecure tu dois pas en avoir beaucoup de signalées ^^
Concernant Java, j'ai une version 6U29 qui ne se désinstalle pas (ni avec JavaRa, ni en désinstallation manuelle), le message est : "Problème détecté dans le package d'installation windows. Un fichier dll requis pour cette installation n'a pas pu être exécuté".
J'ai bien la dernière version de java (7U9) sur mon pc.
Est-ce grave ?
Sinon, voici le rapport Delfix :
# DelFix v6.2 - Rapport créé le 25/11/2012 à 17:40:50
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : JBF - JBF-PC
# Exécuté depuis : C:\Users\JBF\Desktop\delfix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\Qoobox
Supprimé : C:\_OTL
Supprimé : C:\pre_scan
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\Users\JBF\Desktop\tonton2.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\Pre_Scan.txt
Supprimé : C:\Users\JBF\Desktop\Defogger.exe
Supprimé : C:\Users\JBF\Desktop\defogger_disable.log
Supprimé : C:\Users\JBF\Desktop\defogger_enable.log
Supprimé : C:\Users\JBF\Desktop\Extras.Txt
Supprimé : C:\Users\JBF\Desktop\OTL.Txt
Supprimé : C:\Users\JBF\Desktop\OTL.exe
Supprimé : C:\Users\JBF\Desktop\Pre_Scan.pif
Supprimé : C:\Users\JBF\Desktop\Pre_script.txt
Supprimé : C:\Users\JBF\Desktop\winlogon.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [1566 octets] - [25/11/2012 17:40:50]
########## EOF - C:\DelFix[S1].txt - [1690 octets] ##########
Mais il a pas viré la 1ère version de ComboFix installée.
J'ai bien la dernière version de java (7U9) sur mon pc.
Est-ce grave ?
Sinon, voici le rapport Delfix :
# DelFix v6.2 - Rapport créé le 25/11/2012 à 17:40:50
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : JBF - JBF-PC
# Exécuté depuis : C:\Users\JBF\Desktop\delfix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
Supprimé : C:\Qoobox
Supprimé : C:\_OTL
Supprimé : C:\pre_scan
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\Users\JBF\Desktop\tonton2.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\JavaRa.log
Supprimé : C:\Pre_Scan.txt
Supprimé : C:\Users\JBF\Desktop\Defogger.exe
Supprimé : C:\Users\JBF\Desktop\defogger_disable.log
Supprimé : C:\Users\JBF\Desktop\defogger_enable.log
Supprimé : C:\Users\JBF\Desktop\Extras.Txt
Supprimé : C:\Users\JBF\Desktop\OTL.Txt
Supprimé : C:\Users\JBF\Desktop\OTL.exe
Supprimé : C:\Users\JBF\Desktop\Pre_Scan.pif
Supprimé : C:\Users\JBF\Desktop\Pre_script.txt
Supprimé : C:\Users\JBF\Desktop\winlogon.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [1566 octets] - [25/11/2012 17:40:50]
########## EOF - C:\DelFix[S1].txt - [1690 octets] ##########
Mais il a pas viré la 1ère version de ComboFix installée.
Ok, c'est fait.
Voici, le lien vers le rapport Slowin_Killer => https://www.cjoint.com/?3KzseFtBiON
Est-ce que je dois garder l'outil ?
Si oui, quand faut-il s'en servir ?
Merci
Voici, le lien vers le rapport Slowin_Killer => https://www.cjoint.com/?3KzseFtBiON
Est-ce que je dois garder l'outil ?
Si oui, quand faut-il s'en servir ?
Merci
Merci, je vais me renseigner sur Avast ;)
J'ai quasiment fini le grand ménage. Il me reste les nettoyage et défragmentation des disques qui ne devraient pas poser de problème.
Je marque donc le sujet comme résolu.
Encore un grand grand merci pour ton aide et ta disponibilité.
ça fait 2 fois que tu me dépannes et même si c'est toujours pour des cas difficiles que ton aide est sollicitée, c'est un vrai plaisir de travailler et d'échanger avec toi sur ce forum.
J'ai quasiment fini le grand ménage. Il me reste les nettoyage et défragmentation des disques qui ne devraient pas poser de problème.
Je marque donc le sujet comme résolu.
Encore un grand grand merci pour ton aide et ta disponibilité.
ça fait 2 fois que tu me dépannes et même si c'est toujours pour des cas difficiles que ton aide est sollicitée, c'est un vrai plaisir de travailler et d'échanger avec toi sur ce forum.