Redémarrage d'un Trojan suite à une suppression par Anti-Virus Résolu/Fermé

Question

Bonjour, 

Je me suis fait infecter par un Trojan, qui d'après mes recherches est relativement dangereux.

Le problème est que suite à la suppression du fichier infecté, une analyse de mon anti-virus (Microsoft Security Essentials), la suppression par celui-ci et le redémarrage (forcé par mon Anti-Virus), le Trojan se "réinstalle" ou je ne sais par quel procédé "survie" et est donc toujours présent lorsque je ré-ouvre ma session.

Petit détail, Microsoft Security Essential ne se relance pas a l'ouverture de ma session, je suis obligé de la lancer manuellement, et lorsque celui-ci s'ouvre il me re-détecte donc le Trojan.

J'ai essayé de redémarrer en mode "Sans Échecs" et de refaire une analyse mais la il ne trouve rien du tout.

Le nom du Trojan : Win64/Sirefef.P
L'élément (dont le chemin n'existe pas lorsque je vais fouiller dans les dossiers) : C:\Windows\assembly\GAC_64\Desktop.ini

J'ai donc besoin d'un coup de main pour faire réussir a faire enfin disparaitre cette menace.

Merci d'avance pour vos réponses, si vous avez besoin de détails supplémentaires, demandez.

lilidurhone · Answer

Hello

Laisse tomber pour zhpdiag!

@King c'est zacces!

Fais ceci 


 * Télécharge sur le bureau RogueKiller

* Quitte tous tes programmes en cours.

* Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, puis clique sur le bouton Scan

* Un rapport RKreport.txt a du se créer sur le bureau, poste-le.

Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

Gwakamol · Answer

Je n'ai pas saisi le début de ton message. Voilà qui est fait, d'après ce que j'en comprends il ne détecte pas la menace que je signale, à savoir que mon anti-virus le met en quarantaine directement. ______________________________________________________________ RogueKiller V8.7.1 [Oct 3 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : Baby Doll [Droits d'admin] Mode : Recherche -- Date : 10/05/2013 23:47:21 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 1 ¤¤¤ [ZeroAccess][SERVICE] ???etadpug -- "C:\Program Files (x86)\Google\Desktop\Install\{3bb70280-1138-8248-5695-e693108242ee}\ \...\?????\{3bb70280-1138-8248-5695-e693108242ee}\GoogleUpdate.exe" < [x] -> STOPPÉ ¤¤¤ Entrees de registre : 18 ¤¤¤ [RUN][ZeroAccess] HKCU\[...]\Run : Google Update ("C:\Users\Baby Doll\AppData\Local\Google\Desktop\Install\{3bb70280-1138-8248-5695-e693108242ee}\?????????\?????????\?????\{3bb70280-1138-8248-5695-e693108242ee}\GoogleUpdate.exe" >) -> TROUVÉ [RUN][ZeroAccess] HKUS\S-1-5-21-1851859824-1846927337-1345631277-1001\[...]\Run : Google Update ("C:\Users\Baby Doll\AppData\Local\Google\Desktop\Install\{3bb70280-1138-8248-5695-e693108242ee}\?????????\?????????\?????\{3bb70280-1138-8248-5695-e693108242ee}\GoogleUpdate.exe" >) -> TROUVÉ [SERVICE][ZeroAccess] HKLM\[...]\CCSet\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{3bb70280-1138-8248-5695-e693108242ee}\ \...\?????\{3bb70280-1138-8248-5695-e693108242ee}\GoogleUpdate.exe" < [x]) -> TROUVÉ [SERVICE][ZeroAccess] HKLM\[...]\CS001\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{3bb70280-1138-8248-5695-e693108242ee}\ \...\?????\{3bb70280-1138-8248-5695-e693108242ee}\GoogleUpdate.exe" < [x]) -> TROUVÉ [SERVICE][ZeroAccess] HKLM\[...]\CS002\[...]\Services : ???etadpug ("C:\Program Files (x86)\Google\Desktop\Install\{3bb70280-1138-8248-5695-e693108242ee}\ \...\?????\{3bb70280-1138-8248-5695-e693108242ee}\GoogleUpdate.exe" < [x]) -> TROUVÉ [HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> TROUVÉ [HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ [HJ SMENU][PUM] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ [HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ [HJ DESK][PUM] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HID SVC][Masqué de l'API] HKLM\[...]\CCSet\[...]\Services : . e () -> TROUVÉ [HID SVC][Masqué de l'API] HKLM\[...]\CS001\[...]\Services : . e () -> TROUVÉ [HID SVC][Masqué de l'API] HKLM\[...]\CS002\[...]\Services : . e () -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_32\Desktop.ini [-] --> TROUVÉ [ZeroAccess][Fichier] Desktop.ini : C:\Windows\assembly\GAC_64\Desktop.ini [-] --> TROUVÉ [ZeroAccess][Repertoire] Install : C:\Users\Baby Doll\AppData\Local\Google\Desktop\Install [-] --> TROUVÉ ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ST9500325AS +++++ --- User --- [MBR] 305597581b411115f89d5a70a8737a76 [BSP] 2ee18edf56eb573bfe8fc4993312b762 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 100000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 257230848 | Size: 351337 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_10052013_234721.txt >> ______________________________________________________________ Edit : Après recherches Zacces est donc le nom du Trojan si j'ai bien compris. Il est donc bien connu. Je vais voir si je peux trouver une solution suite a cette info, en attendant une nouvelle réponse.

lilidurhone · Answer

Hello

Il y a eu un couac :)

Passe à la suppression

* Quitte tous tes programmes en cours

* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, clique sur Scan

* Vérifie que tous les éléments sont cochés puis clique sur Suppression

* Poste le rapport RKreport.txt présent sur le bureau.

Dis moi si ensuite si les services de windows fonctionnent(parefeu,mise à jour)

Si ça marche pas je te fais passer l'outil de Gen h@ckm@n 

Regarde cette fiche => 
 http://www.security-helpzone.com/gen-hackman/pre_scan-2/canned-speech/


Si problème il y a il existe toujours une solution 
N'oubliez pas de mettre votre sujet en résolu

Gwakamol · Answer

Thunderbird m'indique que le couac c'était une belle dérive du sujet ^^

Bref, ça à marché ! Nikel, un grand merci, première fois que j'ai à faire à un tel virus.

Juste que MSE ne s'est pas lancé tout seul mais en le démarrant : plus aucune menace. Et Rogue m'as remis pas mal de trucs en réglages d'origine... Mais vaut mieux ça que me faire pirater.

Sur ce bonne soirée à toi et encore merci ;)

g3n-h@ckm@n · Answer

hello windows update fonctionne ? le parefeu aussi ? windows defender aussi ?

lilidurhone · Answer

C'est pas fini....

Tu es encore infecté...

Continue avec pre scan

Il est pas venu tout seul....

Gwakamol · Answer

A priori oui j'ai vérifié l'état du pare-feu, Windows Update vient de m'installer la dernière mise à jour de MSE,  par contre je n'utilise pas Defender puisque MSE.

Alors ce n'est pas terminé pour autant ... Coriace ..

Je lance Pre Scan et te redis.

g3n-h@ckm@n · Answer

nous sommes tous à l'écoute :)

Gwakamol · Answer

A mon avis ca ne s'est pas passé comme prévu.

Mon ordinateur a redémarré sans prévenir pendant le scan et ça m'a posé quelques problèmes de me reconnecter a ma box...

(Petite question au passage : quel est l'intérêt de lancer les logiciels à partir du bureau ?)

g3n-h@ckm@n · Answer

tu dois avoir un rapport dans c:\

Gwakamol · Answer

Exact, donc le redémarrage était normal.

________________________________________________________________

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | g3n-h@ckm@n | Saachaa | 3.1005 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

~ ¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 00:23:03

~ Update on 05/10/2013 | 21.10 by g3n-h@ckm@n
~ Evolution : http://security-helpzone.com/gen-hackman/pre_scan-2/changelog/2013-2/
~ Pre_Script Infos : http://security-helpzone.com/gen-hackman/pre_scan-2/les-switchs-pre_script/
~ Pre_scan Feedbacks : http://security-helpzone.com/gen-hackman/pre_scan-2/retours-bugs/

~ [Baby Doll (Administrator)] - [SUCKERPUNCH]
~ SID = S-1-5-21-1851859824-1846927337-1345631277-1001

~ System : Windows 7 Home Premium (64 bits) HomePremium Service Pack 1
~ ProcessorNameString : Intel(R) Pentium(R) CPU B950 @ 2.10GHz
~ Identifier : Intel64 Family 6 Model 42 Stepping 7


~ Memory RAM = Total (MB) : 4098 | Free (MB) : 2827
~ Pagefile = Total (MB) : 8195 | Free (MB) : 6824
~ Virtual = Total (MB) : 4194 | Free (MB) : 4051

¤¤¤¤¤¤¤¤¤¤ | Boot's scripts

C:\Windows\Setup\Scriptseadme.txt
C:\Windows\Setup\Scripts\labelc2rdrive.exe
C:\Windows\Setup\Scripts\labelc2rdrive.exe.config
C:\Windows\Setup\Scripts\SetupComplete.cmd
C:\Windows\Setup\Scripts\oobe.cmd

¤¤¤¤¤¤¤¤¤¤ | Drives

c:\-> [Fixed] | [Sweat Pea] | Total : 100000 Mo | Free : 21470 Mo -> NTFS
d:\-> [Fixed] | [Amber] | Total : 351340 Mo | Free : 75340 Mo -> NTFS
e:\-> [CDROM] | [Disk1] | Total : 7170 Mo | Free : 0 Mo -> UDF
g:\-> [CDROM] | [BLAZBLUE_CT] | Total : 5080 Mo | Free : 0 Mo -> UDF

¤¤¤¤¤¤¤¤¤¤ | Windows Updates

No windows updates detected !!! 


¤¤¤¤¤¤¤¤¤¤ | services

WU: Windows Update Service [Auto(2)] = Stopped
AS: Windows Defender [Manual(3)] = Stopped
FW: Windows FireWall Service [Auto(2)] = Running

¤¤¤¤¤¤¤¤¤¤ | Sessions

~ C:\Windows\system32\config\systemprofile
~ C:\Windows\ServiceProfiles\LocalService
~ C:\Windows\ServiceProfiles\NetworkService
~ C:\Users\UpdatusUser
~ C:\Users\Baby Doll

New restorepoint created

Standby deleted !

¤¤¤¤¤¤¤¤¤¤ | stopped Processes


852 | C:\Windows\system32
vvsvc.exe (.NVIDIA Corporation - NVIDIA Driver Helper Service, Version 268.83.) - (8.17.12.6883) -> C:\Windows\system32
vvsvc.exe
572 | C:\Windows\System32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.1.7600.16385) -> C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
364 | C:\Windows\system32\svchost.exe (.Microsoft Corporation - Processus hôte pour les services Windows.) - (6.1.7600.16385) -> C:\Windows\system32\svchost.exe -k netsvcs

¤¤¤¤¤¤¤¤¤¤ | Running processes

Boot : Normal  


¤¤¤¤¤¤¤¤¤¤ | Winlogon User

Deleted : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]|[Shell] : expstart.exe

¤¤¤¤¤¤¤¤¤¤ | Winlogon Machine

Repaired : [HKLM | Winlogon]|[userinit] : userinit.exe, -> C:\Windows\SysWOW64\userinit.exe,
Repaired : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]|[userinit] : C:\Windows\SysWOW64\userinit.exe, -> C:\Windows\System32\userinit.exe,

¤¤¤¤¤¤¤¤¤¤ | Associations

Repaired : [HKCR\Folder\shell\open\command] : %SystemRoot%\Explorer.exe -> C:\Windows\Explorer.exe


¤


¤¤¤¤¤¤¤¤¤¤ | Registry

Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{9343812e-1c37-4a49-a12e-4b2d810d956b}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{F02C1A0D-BE21-4350-88B0-7367FC96EF3C}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{20D04FE0-3AEA-1069-A2D8-08002B30309D}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{208D2C60-3AEA-1069-A2D7-08002B30309D}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{871C5380-42A0-1069-A2EA-08002B30309D}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{5399E694-6CE5-4D6C-8FCE-1D8870FDCBA0}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{59031a47-3f72-44a7-89c5-5595fe6b30ee}] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Policies\Explorer]|[NoActiveDesktop] : 1 -> 0
Repaired : [HKLM\software\Microsoft\Windows\CurrentVersion\Policies\Explorer]|[NoActiveDesktopChanges] : 1 -> 0
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel]|[{59031a47-3f72-44a7-89c5-5595fe6b30ee}] : 1 -> 0
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu]|[{59031a47-3f72-44a7-89c5-5595fe6b30ee}] : 1 -> 0
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1000\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]|[Hidden] : 2 -> 0
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]|[Hidden] : 1 -> 0

¤¤¤¤¤¤¤¤¤¤ | Taskmgr and Registry Access



¤¤¤¤¤¤¤¤¤¤ | SafeBoot | Control | Repair

Safeboot Keys are O.K

Alternate shell is OK !

¤

Safeboot Minimal Subkeys : O.K !

¤

Safeboot Network Subkeys : O.K !

¤¤¤¤¤¤¤¤¤¤ | IFEO


¤¤¤¤¤¤¤¤¤¤ | Mountpoints2

Deleted : HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{093e44a0-c1a0-11e2-ac25-806e6f6e6963} | AutoRun\command : E:\Autorun.exe
Deleted : HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Mountpoints2\{e174239c-1187-11e3-b5a6-5404a6031d92} | AutoRun\command : G:\BLAZBLUEAutoRun.exe


Contenu de E:\Autorun.inf : 

[autorun]
open=Autorun.exe
icon=Autorun.exe

Contenu de G:\Autorun.inf : 

[Autorun]
open=BLAZBLUEAutoRun.exe
icon=Icon.ico

¤¤¤¤¤¤¤¤¤¤ | Windows

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini\Boot]|[Shell] : SYS:Microsoft\Windows NT\CurrentVersion\Winlogon

Winsrv : OK !


[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[AppInit_DLLS] : c:\windows\syswow64
vinit.dll 
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]|[LoadAppInit_DLLs] : 1

[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]|[AppInit_DLLS] : c:\windows\syswow64
vinit.dll 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows]|[LoadAppInit_DLLs] : 1

¤¤¤¤¤¤¤¤¤¤ | Security Center




¤¤¤¤¤¤¤¤¤¤ | Services Corrections


Repaired : [HKLM | Services\agp440] : 3 -> 2
Repaired : [HKLM | Services\Browser] : 2 -> 3
Repaired : [HKLM | Services\EapHost] : 3 -> 2
Repaired : [HKLM | Services\SharedAccess] : 4 -> 2
Repaired : [HKLM | Services\windefend] : 3 -> 2
Repaired : [HKLM | Services\wudfsvc] : 3 -> 2
Repaired : [HKLM | Services\WerSvc] : 3 -> 2

¤¤¤¤¤¤¤¤¤¤ | Internet Explorer

Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1000\Software\Microsoft\Internet Explorer\Main]|[Start Page] : https://www.msn.com/fr-fr/?cobrand=asus.msn.com&ocid=ASUDHP&pc=ASU2 -> https://www.google.com/?gws_rd=ssl
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\Software\Microsoft\Internet Explorer\Main]|[Start Page] : https://fr.search.yahoo.com/?type=512435&fr=spigot-yhp-ie -> https://www.google.com/?gws_rd=ssl
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1000\Software\Microsoft\Internet Explorer\Main]|[Local Page] : C:\Windows\system32\blank.htm -> C:\Windows\SysWOW64\blank.htm
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\Software\Microsoft\Internet Explorer\Main]|[Local Page] : C:\Windows\system32\blank.htm -> C:\Windows\SysWOW64\blank.htm
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1000\Software\Microsoft\Internet Explorer\Main]|[Search Page] : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\Software\Microsoft\Internet Explorer\Main]|[Search Page] : https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Repaired : [HKLM\Software\Microsoft\Internet Explorer\Main]|[Start Page] : https://www.msn.com/fr-fr/?cobrand=asus.msn.com&ocid=ASUDHP&pc=ASU2 -> https://www.msn.com/fr-fr/?ocid=iehp

¤

Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1000\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 -> 1
Repaired : [HKU\S-1-5-21-1851859824-1846927337-1345631277-1001\Software\Microsoft\Windows\CurrentVersion\Internet settings]|[WarnonZoneCrossing] : 0 -> 1

¤¤¤¤¤¤¤¤¤¤ | Hosts

C:\Windows\System32\Drivers\etc\hosts : Cleaned 

¤¤¤¤¤¤¤¤¤¤ | reparsepoint



¤¤¤¤¤¤¤¤¤¤ | Offsets detection

______________________________________________________________

g3n-h@ckm@n · Answer

ca aurait été cool si tu avais écouté ce qu'on te disait et hebergé le rapport comme demandé .... savent pas lire les gens c'est pas possible !

Gwakamol · Answer

Il ne me semble pas que ça ai été stipulé... Ou il me manque un oeil et j'ai mal relu le sujet...

Bref, je dois en conclure que c'est bon pour moi ou tu analyses le rapport ?

g3n-h@ckm@n · Answer

si tu avais lu le sujet jusqua'u bout......

Gwakamol · Answer

OK tu parlais du tuto qui explique comment se servir du logiciel et non du sujet en cours, autant pour moi dans ce cas, je n'ai en effet pas pris la peine d'aller jusqu'au bout...

g3n-h@ckm@n · Answer

c'est l'erreur que tout le monde fait :D

Gwakamol · Answer

Je peux donc considérer mon problème résolu ?

g3n-h@ckm@n · Answer

je peux avoir mon rapport hébergé ???????

Gwakamol · Answer

Voilà : https://www.cjoint.com/c/CJgbzZ3Ujk8

Edit : Pour la facilité de lecture... En me le précisant de suite j'aurais compris

g3n-h@ckm@n · Answer

non pas normal

relance-le en mode sans echec à mon avis tu dois pas desactiver l antivirus comme demandé

Gwakamol · Answer

En effet je pensais pas qu'il s'était réactivé mais si
Donc voila le scan refait, et ce coup ci jusqu'au bout : https://www.cjoint.com/?CJgcwfN6WEn

g3n-h@ckm@n · Answer

extra ! ^^

relance l'outil , clique sur diag , heberge le rapport c:\pre_diag_xx_xx_xx.txt sur https://www.cjoint.com/ et donne le lien

Gwakamol · Answer

Avec de la chance ça devrait être bon du premier coup cette fois :/

https://www.cjoint.com/?CJgcRwuZcAT

g3n-h@ckm@n · Answer

fais ca :

http://ww7.purforum.com

Gwakamol · Answer

https://www.cjoint.com/?CJgdorHs3uJ 

Va-t-on s'en sortir ^^

g3n-h@ckm@n · Answer

bien sur que oui mais une desinfection n'est pas si simple :)

en tout cas , ca ne vaut pas ce que tout "professsionel" pourra te faire croire , à savoir une somme astronomique.....

passe JRT : http://www.security-helpzone.com/gen-hackman/tutos-canneds/junkware-removal-tool/

Gwakamol · Answer

Et un rapport de plus, un ^^
https://www.cjoint.com/c/CJgdWi6XGpP

Ouai je sais bien j'ai des bonnes bases en info, j'ai fais du developpement d'appli, mais la j'avou etre dépassé par ce virus. Lorsque ca sera résolu je m'intéresserai a tout ces rapports pour y comprendre qqchose.

g3n-h@ckm@n · Answer

passe mbam , ensuite on fera un diagnostique pour voir les mer$es qui pourraient subsister : https://www.security-helpzone.com/2013/04/17/malwarebytes-anti-malware-mbam-detecteur-generaliste-de-menaces/

Gwakamol · Answer

https://www.cjoint.com/?CJgfIiO2Arc 

Sur ce je vais aller dormir un peu, en espérant que cette dernière étape soit la bonne :)

g3n-h@ckm@n · Answer

ok genial:) 

otl : http://www.security-helpzone.com/gen-hackman/tutos-canneds/otl-2/

lilidurhone · Answer

Coucou

Et dire que je voulais le terminer...

Merci Gen ;)

Gwakamol · Answer

Bonjour et bon réveil ^^

Voici les nouveaux rapports :

Extra.txt : https://www.cjoint.com/?CJgmXxOGlKR

OLT.txt : https://www.cjoint.com/?CJgmYpO394N

g3n-h@ckm@n · Answer

ah ben moi quand je suis parti je m'arrête plus lol ^^

@Gwakamol : va dans ordinateur/programmes/windows updates et prends tout ce qui t'est proposé

Gwakamol · Answer

J'ai lancé les mises à jour mais voilà maintenant bientot 1h que je suis coincé à 93%... :/

g3n-h@ckm@n · Answer

sur laquelle ?

Gwakamol · Answer

Le Service Pack je pense, ce n'était pas cité mais j'ai quitté, relancé sans selectionner le Pack, et la ca vient de terminer donc je vais redémarrer et relancer la MAJ

g3n-h@ckm@n · Answer

oui l'installation du service pack peut durer 2 à 3 h suivant les pc recommence-la

Gwakamol · Answer

C'est le Service Pack pour Office et non Windows, donc pas important pour moi.
Sinon toutes les autres MAJ se sont installés correctement.

g3n-h@ckm@n · Answer

si on te propose une mise à jour faut la prendre peu importe quelle qu'elle soit (du moment qu'elle appartient à Microsoft)

Gwakamol · Answer

Même si j'utilise Open ?

g3n-h@ckm@n · Answer

s'il te propose une mise à jour office , c'est que tu as office d'installé.....

Gwakamol · Answer

C'est bon c'est fait, plus aucun problème à première vue.

g3n-h@ckm@n · Answer

ok fais le ménage : http://www.security-helpzone.com/gen-hackman/nettoyage-en-fin-de-desinfection/

Gwakamol · Answer

Très bien, j'ai passer CCleaner comme à mon habitude, et Delfix, une question par rapport à ce dernier : il s'occupe de supprimer tout ce qu'ont créé les différents logiciels que j'ai utilisé pour nettoyer le virus ?

Edit : En fait j'allait le faire, mais quelques options de Delfix me font hésiter, et je voudrais être sur avant de le lancer.

- Qu'est-ce que l'UAC ?
- A quoi va servir la sauvegarde du registre ?
- Qu'est-ce qui va être réinitialiser dans les paramètres systèmes ? Car j'ai pas mal personnalisé mes paramètres et si ce n'est pas indispensable..

Edit 2 : Veux-tu le rapport de fin de nettoyage ?

g3n-h@ckm@n · Answer

Qu'est-ce que l'UAC ? 

https://www.donnemoilinfo.com/sujet/Windows/uac.php

A quoi va servir la sauvegarde du registre ? 

si tu as un souci avec tu pourras revenir dessus 

Qu'est-ce qui va être réinitialiser dans les paramètres systèmes ? Car j'ai pas mal personnalisé mes paramètres et si ce n'est pas indispensable..

plus principalement remettre les fichiers cachés en attribut caché( cela fera disparaitre les fichiers de configuration "desktop.ini de ton bureau par exemple)

Gwakamol · Answer

D'accord merci, je me suis donc contenté des suppressions des outils de désinfections ainsi que la purge des restaurations systèmes.

Par contre il me reste encore les dossiers de Pre_Scan et ADWCleaner dans C:\, puis-je les supprimer ?

g3n-h@ckm@n · Answer

tu as executé Delfix avec le clic droit "executer en tant qu'administrateur" ?

Gwakamol · Answer

Oui oui (Même si je n'ai jamais compris ce point clé si mon compte est un compte administrateur)

g3n-h@ckm@n · Answer

fais voir le rapport de delfix ?

Gwakamol · Answer

https://www.cjoint.com/c/CJhxx7iPzmg

Edit : D'après ce que je lis en fait c'est une suppression simple, aucun lien système donc si je le fais manuellement cela reviendra au même ?

g3n-h@ckm@n · Answer

pourtant ca dit bien que le dossier pre_scan a été supprimé...

Gwakamol · Answer

Oui c'est bien ce que je lis aussi, pas grave je vais le faire manuellement. Mis à part Pre_Scan et ADWCleaner y a-t-il d'autre dossiers créer par les différents outils que tu m'as fait utiliser ?

g3n-h@ckm@n · Answer

essaie de repasser Delfix en mode sans echec

Gwakamol · Answer

Résultat inchangé :/

g3n-h@ckm@n · Answer

mmmmmmmmmm ........ j'en parle au concepteur c'est pas normal

Gwakamol · Answer

Des nouvelles ?
En attendant je voulais quand meme avoir confirmation de ta part sur la suppression de l'indésirable ?

g3n-h@ckm@n · Answer

hello oui oui pour cela oui , juste que delfix n'a pas viré deux outils mais c'est pas grave ca t'empeche pas de surfer :)

Gwakamol · Answer

Ok, c'est bon a savoir, alors merci pour tous ces conseils et cette aide.
Puis-je alors supprimer manuellement les fichiers des outils ?

g3n-h@ckm@n · Answer

bien sûr ! :)

Gwakamol · Answer

Arff, problème : J'ai réussi a supprimer le dossier ADWCleaner, mais lorsque je veux supprimer le dossier de Pre_Scan l''Explorateur "cesse de fonctionner" :/

g3n-h@ckm@n · Answer

en mode sans echec sans prise en charge reseau aussi ?

Gwakamol · Answer

Aussi... :/
J'ai essayé par dossier, il semblerait que c'est le dossier "Quarantaine" qui pose soucis.

g3n-h@ckm@n · Answer

essaye avec unlocker

https://www.clubic.com/telecharger-fiche20237-unlocker.html

Gwakamol · Answer

Ca à fonctionné, aurais tu un bon logiciel qui m'effacerait les fichiers qui ne sont plus associés à des applications, dossiers inutilisés etc pour un bon gros nettoyage final ?

Car j'ai fouillé et il reste pas mal de dossiers que Delfix ne prend pas en compte, et qui ont été créé par les différents outils utilisés (ainsi que les rapports) et je ne suis pas sur d'avoir tout trouvé.

Merci encore pour ta patience ;)

g3n-h@ckm@n · Answer

clic droit supprimer

Gwakamol · Answer

"et je ne suis pas sur d'avoir tout trouvé. "

g3n-h@ckm@n · Answer

bah il te reste quoi ?

Redémarrage d'un Trojan suite à une suppression par Anti-Virus

67 réponses

Discussions similaires