Menaces Adware Generic_r.ALK et .ALH

judeblast Messages postés 18 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je rencontre de gros problème de virus et/ou menaces depuis quelques jours. Impossible de corriger moi-même malgré l'utilisation de MBAM, AVG, Avast, AdwCleanner, CCleaner...

J'ai AVG qui me détecte Adware Generic_r.ALK et Adware Generic_r.ALH dans le fichier Windows\Temp. Même en effaçant, ça revient régulièrement...

De même, Avast détecte des menaces type win32 Root Kit ou un truc du genre, j'ai 5 ou 6 alertes régulièrement.

Quelqu'un aurait il la gentillesse, les compétences et le temps de m'aider? Merci!

Fabien.

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut

    Pour verifier

    Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    Cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
    0
    1. judeblast Messages postés 18 Statut Membre
       
      Merci, je fais ça!
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    A part ce fichier qui est un reste d'adware C:\Users\Fabien\AppData\Local\nsp6BDA.tmp
    Rien d'anormal sur le rapport.

    En gros y a que AVG qui détecte qq chose ?
    Si oui j'aurai tendance à dire que c'est un faux positif
    Tu as le nom du fichier détecté ?

    bon j'imagine que tu as installé tous les antitrucs en croyant que ton PC est infecté, tu peux faire du ménage.
    Garde Avast! et Malwarebytes, c'est largement suffisant .

    ;AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
    AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    AV: Emsisoft Anti-Malware (Enabled - Up to date) {2F44E1F9-850B-1C7A-0E56-EB2E0A3E20C9}
    AV: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413}

    0
  3. judeblast
     
    Tout à fait!
    Alors, AVG me détecte les 2 Adware Generic_R tandis que Avast déclenche 5 ou 6 alertes d'affilée pour me parler de RootKit et de DropGen de mémoire dans le dossier Windows/Temp... jusqu'à la prochaine alerte.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      temp quoi ?
      Tu peux donner les rapports Avast! : https://forum.malekal.com/viewtopic.php?t=26356&start=

      Malwarebytes détecte quelque chose ?

      Désinstale les antivirus en trop.


      Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
      Fais skip sur les détections.
      Clic en haut à droite sur reports.
      Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
      Donne le lien du rapport pjjoint ici dans un nouveau message.

      ~~

      Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
      Enregistre le rapport
      Envoie le sur http://pjjoint.malekal.com
      Donne le lien ici.
      0
    2. judeblast Messages postés 18 Statut Membre
       
      Désolé, je m'étais absenté.
      Les menaces sont détectées par Avast dans ce type de dossier
      C:\Windows\Temp\tmp00000660
      C:\Windows\Temp\tmp000079a6
      C:\Windows\Temp\tmp00007a66
      OK, je vais faire ce que tu me demande, merci.
      0
    3. judeblast Messages postés 18 Statut Membre
       
      Malwarebytes, rien du tout!
      0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Mouais, je ne pense pas que le PC soit infecté.
    Faudrait parvenir à envoyer le fichier détecte sur https://www.virustotal.com/gui/ ou http://upload.malekal.com

    Ca peut-être généré par un programme.
    0
    1. judeblast Messages postés 18 Statut Membre
       
      Oups, désolé, j'ai écrit trop vite. Je pensais que tu voulais que j'envoie le rapport sur ces site mais tu parlais des fichiers...
      0
    2. judeblast Messages postés 18 Statut Membre
       
      Bonjour. Bon bah apparement, les 18 menaces étaient pour la plupart des fichiers .exe qui proposent pendant l'installation des logiciels des toolbars.
      Malgré leur mise en quarantaine et suppression :
      - toujours des alertes AVG pour Adawe Generic_R ce matin (une quinzaine dans la nuit)
      - et également des alertes Avast pour Rootkit et Drop Gen (ou un truc du genre). Généralement, les 2 se déclenchent en même temps toutes les heures peut-être, je n'ai pas vraiment regardé les horaires...
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Regadre mon message en dessous.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    yep pas grand chose, les mêmes temp détectés :

    C:\Windows\Temp\tmp00003643\trz5C2C.tmp a variant of Win32/ELEX.DJ potentially unwanted application cleaned by deleting - quarantined
    C:\Windows\Temp\tmp00003643\trz5C2D.tmp a variant of Win32/ELEX.DJ potentially unwanted application cleaned by deleting - quarantined
    C:\Windows\Temp\tmp00007a66\tmp000000df a variant of Win32/ELEX.DJ potentially unwanted application cleaned by deleting - quarantined


    C'est ça l'origine des fichiers temp, ce Everything
    Il n'apparaissait pas sur ton rapport FRST :

    Fichier d?plac? avec succ?s vers la zone de quarantaine...
    16/06/2015 22:30:29 C:\Users\Fabien\AppData\Everything\SFKEX64.dll [L] Win64:Dropper-gen [Drp] (0)

    ~~

    16/06/2015 22:30:09 C:\Users\Fabien\AppData\Everything\SFKEX64.exe [L] Win64:Dropper-gen [Drp] (0)
    16/06/2015 22:30:09 C:\Users\Fabien\AppData\Everything\SFKEX.exe [L] Win32:Dropper-gen [Drp] (0)
    16/06/2015 22:30:10 C:\Users\Fabien\AppData\Local\Temp\NSIS_00000000\yacdl.exe [L] Win32:Dropper-gen [Drp] (0)
    16/06/2015 22:30:15 C:\Users\Fabien\AppData\Everything\SearchBase.exe [L] Win32:Evo-gen [Susp] (0)


    ~~

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    C:\Users\Fabien\AppData\Everything
    EmptyTemp:

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.

    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur
    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. judeblast Messages postés 18 Statut Membre
       
      Merci beaucoup! C'est sympa.
      0
  7. judeblast Messages postés 18 Statut Membre
     
    En allant dans C:\Users\Fabien\, j'ai affiché les "éléments masqués" et je ne trouve pas trace du dossier AppData. Ci-dessous le rapport de FRST :

    Fix result of Farbar Recovery Scan Tool (x64) Version:21-06-2015 01
    Ran by Fabien at 2015-06-23 09:36:38 Run:1
    Running from C:\Users\Fabien\Desktop
    Loaded Profiles: UpdatusUser & Fabien (Available Profiles: UpdatusUser & Fabien)
    Boot Mode: Normal
    ==============================================

    fixlist content:
    C:\Users\Fabien\AppData\Everything
    EmptyTemp:

    "C:\Users\Fabien\AppData\Everything" => File/Folder not found.
    EmptyTemp: => 90.6 MB temporary data Removed.

    The system needed a reboot..

    End of Fixlog 09:36:55

    0
    1. judeblast Messages postés 18 Statut Membre
       
      Ah oui, c'est bon, il y a bien C:\Users\Fabien\AppData
      Malgré redémarrage du PC, j'ai l'impression qu'il n'y plus d'alerte AVG et Avast... J'm'emballe pas trop vite mais j'ai espoir... :-)
      0
    2. judeblast Messages postés 18 Statut Membre
       
      Bon, je me suis emballé trop vite, ça continue...
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Le dossier Everything a déjà sauté apparemment.

      Tu as quoi dans AppData qui pourrait correspondre à la date des premières alertes virus ?
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Sur cette page : https://pjjoint.malekal.com/files.php?read=20150623_l15t14b12y12r11

    L'alerte Rootkit est généré par a2service.exe soit Emisisoft.

    Je vais encore te le redire, mais arrange toi pour n'avoir qu'un seul antivirus.
    Désinstalle tout et ne garde qu'Avast! et Malwarebytes.
    0
  9. judeblast Messages postés 18 Statut Membre
     
    Voilà, tout est supprimé, il ne reste plus qu'Avast et Malwaresbytes.... et FRST64, je ne sais pas si tu le considère comme un antivirus ou un logiciel de dépannage... Pour ce qui est des AppData, je ne vois rien d'installer récemment qui pourrait être la cause des perturbations. J'ai néanmoins viré pas mal de truc inutile.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      et tu as encore des alertes antivirus ?
      0
    2. judeblast Messages postés 18 Statut Membre
       
      Pour le moment il semble que non. J'ai supprimé AVG qui était le seul antivirus à détecter Adware Generic_r tandis que Avast ne me le détecte pas. Peut-être un faux positif comme tu me le dis... En tout cas, plus d'alerte Avast non plus (j'ai viré Emisisoft). En tout cas, si je n'ai plus de virus, je te remercie infiniment pour ton aide qui m'a permis de voir plus clair dans tout ça...
      0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu as un collègue : https://forums.commentcamarche.net/forum/affich-32156595-comment-enlever-le-virus-tr-crypt-xpack-116704

    On va voir les points communs.
    0