Gen:Variant.Kazy.173253 (B) Fermé

Question

Bonjour ,

Après une infestion par systemcare anivirus (réglée avec roguekiller)
un probleme avec Spyhunter4 (reglé par Avira Antivir)

j'ai fait tourné A-squared qui me trouve ce virus

Gen:Variant.Kazy.173253 (B)

dans 

C:\RECYCLER\S-1-5-18\$f3975270c26e7d56d03207bb42f7f23e


A-Squared ne peut le supprimer , je ne peut le faire manuellement et Avira ne le trouve pas
(un scan de C:\Recycler uniquement ne donne aucun résultat positif)

Je suis sur XP

Dois-je m'inquiter (faux positif) , et si oui , quelqu'un a-t-il une idée ?

Merci d'avance !!

Bridget. · Answer

Bonjour Anto-74,

On va commencer par faire un bilan 

1) Télécharge le logiciel de diagnostic ZHPDiag ici : 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/ 

- Comme emplacement d'installation, choisis : Bureau 
- Laisse-toi guider lors de l'installation et coche "Ajouter une icône sur le bureau". 
Tu verras alors 3 nouvelles icônes sur ton bureau : ZHPDiag, ZHPFix et MBRcheck. 
Seul ZHPDiag nous intéresse pour l'instant. 

2) Pour lancer ZHPDiag : 

- Sous Windows xp, faîs un double clic sur l'icône ZHPDiag en forme de parchemin. 
Tu dois avoir les droits d'administrateur du pc.

- Quand la photo du créateur apparaît : Cliquez sur Ok; 

- ZHPDiag s'ouvre : Si la fenêtre est trop large, réduis-la pour voir tous les boutons. 

- Lance le diagnostic en cliquant sur le 1èr bouton à gauche représentant une loupe. 

- Laisse l'examen se dérouler sans toucher à rien. Il ne dure que quelques minutes. Le logiciiel peut s'arrêter un moment sur une ligne puis repartir, c'est normal. 

- En fin de scan, un message en bas de la page prévient que c'est terminé. 

3) Pour le rapport : - 

- Clique sur l'appareil photo en haut, à gauche pour le copier dans le presse-papier. 
- Puis clique sur le bouton avec la flèche bleue à droite 
- Tu arrives directement sur http://pjjoint.malekal.com 
- Faîs un clic droit dans le cadre vide et choisis "Coller", puis clique sur "Envoyer". 
- Un message de confirmation apparaît : "L'upload a réussi .." avec un lien. 
- Copie et colle ce lien dans ta réponse. 

Si quelque chose te pose problème, n'hésite-pas à demander :) 

J'aimerais également que tu me communiques, par liens, les différents rapports des outils que tu as passés : en particulier Roguekiller. Héberge-les sur https://www.cjoint.com/ 

Cordialement Bridget.

Anto-74 · Answer

Bonjour Bridget et merci pour ta réponse .... ultra rapide !!


Entre temps , j'ai fait un examen rapide avec Malwarebytes Antimalware qui m'a bien trouvé ce trojan dans le recycler (en fait c'est Malwarebyte qui m'a viré Spyhunter 4 pas Avira) , mais il n'etait pas forcement bien a jour hier (mais aujourd'hui , oui)

J'ai quand meme fait la manip que tu me conseillais le rapport est ici

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130517_o5k14l9t6z10


Sinon , rapports de Rogue killer (j'en ai eu 2 ?)

https://www.cjoint.com/c/CErl60YWtZd

https://www.cjoint.com/c/CErl7T3diMS



Rapport Malwarebyte (tout frais , 5-10 min)

https://www.cjoint.com/c/CErmf2SQWlH


Mais je n'arrive pas a trouver le rapport Emisoft Antimalware (anciennement A-squarred)


Question subsidiaire , il y a toujours 2 fichiers dans le C:\recycler (icone corbeille) nommés S-1-5-18  et S-1-5-21- etc etc -etc -etc  ... normal ?


   Un grand merci pour ton aide precieuse , c'est quand meme super sympa de prendre du temps pour t'occuper de pauvres perdus comme nous !!

Bon baisers des alpes !!

Bridget. · Answer

Me revoilà, entre deux, j'ai eu un rendez-vous. Pour répondre à ta question sur les 2 rapports de  Roguekiller : tu en as un en mode recherche et un en mode suppression. Avec une telle infection, tu aurais du venir dès le départ demander de l'aide. De plus, toutes les lignes ne sont pas forcément à supprimer dans un rapport. Certaines lignes peuvent être légitimes et on peut planter un pc en les supprimant.

Relance Roguekiller en mode recherche et donne-moi le lien du rapport, stp.
Il fait beau dans les Alpes ?

Anto-74 · Answer

Re-bonjour Bridget ,



voici le lien pour le dernier rapport RK

https://www.cjoint.com/c/CErqoMkWUVz


J'apprécie beaucoup les aides que l'on peut recevoir mais j'ai toujours un peu peur d'abuser , j'essaie de trouver des réponses deja postées et je n'appelles a l'aide que lorsque je ne trouve pas tout seul .... effectivement il y as toujours le risque de faire des bêtises en voulant trop faire seul

Super temps sur les Alpes aujourd'hui , environ 3 minutes de soleil , sinon , pluie , pluie et neige a 2000m ....

Encore merci pour ton aide

Anto-74 · Answer

Bonjour Bridget ,

j'ai refait tourné Malwarebytes cette nuit et il m'a retrouvé un trojan ... grrrr
je l'ai fait supprimer

Rapport

https://www.cjoint.com/c/CEslkHgfE4J


J'ai refait un Roguekiller pour etre a jour

https://www.cjoint.com/c/CEslmPv4RvR


La bonne nouvelle , c'est le soleil qui a fait son apparition , momentanée j'en ai peur ...


 Bonne journée et bon week-end !

Anto

Bridget. · Answer

Bonsoir Anto-74,

Tu as eu plus de chance que moi côté soleil, je ne l'ai pas vu de la journée. 
Durant une désinfection, évite de passer des outils de toi-même car on se base sur les précédents rapports pour les scripts. Je vais devoir refaire celui que je t'avais préparé :) 


Mets-toi en mode sans échec  et relance Roguekiller pour recommencer la recherche.
- Si tu as les deux mêmes lignes, supprime-les et redémarre en mode normal. 
Transmets-moi le rapport de suppression.
- Au cas où il y aurait de nouvelles lignes, transmets-moi le rapport de recherche pour vérification.

Cordialement Bridget.

Anto-74 · Answer

Bonsoir Bridget , 

" Je vais devoir refaire celui que je t'avais préparé :) "

Oups , vraiment désolé ...

"- Si tu as les deux mêmes lignes, supprime-les et redémarre en mode normal. "

Qu'est ce que tu appelles les 2 mêmes lignes ?

Merci !

Anto-74 · Answer

Re ,

ecoutes , je suis pas bien sûr de moi ...

Bref , j'ai refait RK en mode sans echec


https://www.cjoint.com/c/CEsuVQaiD1n


Ca me semble pareil que le 4

Que fais-je , je redemarre en mode sans echec , relance RK , scan puis supprimer (bouton "supprimer dans RK )  ?

Merci !!

Anto-74 · Answer

Ok , c'est fait


https://www.cjoint.com/c/CEsvkMyz7sb


Promis , je touche plus rien en attendant   ;-)

Bridget. · Answer

On va traiter un autre problème. L'infection de ton fichier hosts par des sites vérolés. Relance RK en mode normal. scan.
Une fois le scan terminé, tu cliques sur le bouton  Host RAZ . 

Puis tu relances RK et tu refais une recherche simple.

Tu me transmets les deux rapports.

Je m'absente une 1/2 h pour un petit encas :) et je reviens.
On a encore pas mal de boulot.

Anto-74 · Answer

Ok , je fais ça ... Bon'ap !!

Anto-74 · Answer

Re ,

j'ai fait la manip

Rapport aprés HostRaz

https://www.cjoint.com/c/CEsvMT3ke9a

Rapport Re-scan

https://www.cjoint.com/c/CEsvN6ZwCnR


MAIS , Avira a eu l'air pas trop d'accord et tous les "Host" etaient encore dans l'onglet , du coup j'ai désactivé Avira et recommencé (j'espère que j'ai bien fait mais ça m'a semblé logique)

2ème HostRaz

https://www.cjoint.com/c/CEsvQXnrK9W

Re-scan

https://www.cjoint.com/c/CEsvR1Zxlgk


J'ai réactivé Avira tout de suite après .....

Bridget. · Answer

Me revoilà, ça a pris un peu plus de temps que prévu :)
 
- Télécharge AntiZeroAcess (de Webroot) ici :
http://anywhere.webrootcloudav.com/antizeroaccess.exe
-Comme emplacement d'installation, choisis : Bureau
-Pour lancer l'outil, double clique sur l'icône  qui se trouvera donc sur le bureau.
- Une fenêtre noire va s'ouvrir.
- A la première question, réponds en cliquant sur la lettre Y (pour yes),  puis valide par la touche Entrée.
- Si l'outil trouve des traces du rootkit, des lignes en rouge s'afficheront.
- Dans ce cas, fais-moi une capture d'écran.
- S'il s'agit bien de l' infection, une fenêtre s'ouvrira pour le signaler (car il peut y avoir des lignes rouges marquées error qui ont trait à certains antivirus).
-  L'outil propose alors de nettoyer, accepte en appuyant sur la touche Y, puis valide en cliquant sur la touche Entrée.
- Transmets-moi le rapport.

Si quelquechose n'est pas clair, n'hésite pas à demander.
En général, en cas de problème lors du passage d'un outil, il vaut mieux demander avant d'effectuer car c'est souvent l'indication de quelquechose.

Anto-74 · Answer

Re , 

aucune ligne rouge (mais du vert)
que des lignes avec clean ...

Bridget. · Answer

(Pour vérification) : prépare-moi pour demain un rapport ZHPDiag ordinaire 'comme la 1ère fois. Bonne nuit.

Anto-74 · Answer

Bonjour Bridget !

J'espère que la nuit a été bonne
Ici , petit choc au reveil , il a neigé !! Ca ne tiens pas au sol mais il y en a encore un peu sur les voitures , pas très drôle mais ça n'a rien d'exceptionnel a cette époque .... et un Dimanche au coin du feu , un !


Le rapport ZHPDiag

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130519_p6s13h7l6l6


@river , merci , j'ai deja Emsisoft mais je vais attendre les instruction de ma "tutrice" avant d'aller plus loin

 Bon Dimanche a tous

Anto-74 · Answer

Bonjour Lili ,

merci pour le conseil , mais comme elle m'a demandé plus haut de trop rien toucher sans ses instructions (je crois que je lui ai déja fait perdre un peu de temps en re-scannant mon systeme , j'en suis encore penaud  ;-)

J'avais pensé que Mbam et Emsisoft étaient complementaires , il m'est déja arrivé que Emsisoft trouve des indésirables que Mbam ne trouvait pas et vice-versa (après , c'était peut être que des cookies sans danger)

Cela m'amène a une autre question ; je n'ai que des versions gratuites (Avira , Mbam et Emsisoft) et je me demande s'il ne va pas être indispensable de faire l'upgrade pour l'un ou l'autre ....

Autre chose , peut-être importante , une fois que mon systeme sera propre , il faudra sans doutes que je m'occupe de mes clés USB , disques durs externes ?

Par exemple , lorsque j'insere une clé , Avira ouvre une fenêtre

"Autorun bloqué"
pour votre sécurité  "D:\Autorun.inf" à été bloqué , un souçi de plus ?

Gen:Variant.Kazy.173253 (B)

17 réponses

Discussions similaires