Menaces Adware Generic_r.ALK et .ALH Fermé

Question

Bonjour, 

Je rencontre de gros problème de virus et/ou menaces depuis quelques jours. Impossible de corriger moi-même malgré l'utilisation de MBAM, AVG, Avast, AdwCleanner, CCleaner... 

J'ai AVG qui me détecte Adware Generic_r.ALK et Adware Generic_r.ALH dans le fichier Windows\Temp. Même en effaçant, ça revient régulièrement... 

De même, Avast détecte des menaces type win32 Root Kit ou un truc du genre, j'ai 5 ou 6 alertes régulièrement.

Quelqu'un aurait il la gentillesse, les compétences et le temps de m'aider? Merci!

Fabien.


Configuration: Windows / Firefox 38.0

Malekal_morte- · Answer

Salut

Pour verifier

Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

Malekal_morte- · Answer

A part ce fichier qui est un reste d'adware C:\Users\Fabien\AppData\Local
sp6BDA.tmp 
Rien d'anormal sur le rapport.

En gros y a que AVG qui détecte qq chose ?
Si oui j'aurai tendance à dire que c'est un faux positif
Tu as le nom du fichier détecté ?

bon j'imagine que tu as installé tous les antitrucs en croyant que ton PC est infecté, tu peux faire du ménage.
Garde Avast! et Malwarebytes, c'est largement suffisant .

;AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AV: avast! Antivirus (Enabled - Up to date) {17AD7D40-BA12-9C46-7131-94903A54AD8B}
AV: Emsisoft Anti-Malware (Enabled - Up to date) {2F44E1F9-850B-1C7A-0E56-EB2E0A3E20C9}
AV: AVG AntiVirus Free Edition 2015 (Enabled - Up to date) {4D41356F-32AD-7C42-C820-63775EE4F413}

judeblast · Answer

Tout à fait! 
Alors, AVG me détecte les 2 Adware Generic_R tandis que Avast déclenche 5 ou 6 alertes d'affilée pour me parler de RootKit et de DropGen de mémoire dans le dossier Windows/Temp... jusqu'à la prochaine alerte.

Malekal_morte- · Answer

Mouais, je ne pense pas que le PC soit infecté.
Faudrait parvenir à envoyer le fichier détecte sur https://www.virustotal.com/gui/ ou http://upload.malekal.com

Ca peut-être généré par un programme.

Malekal_morte- · Answer

yep pas grand chose, les mêmes temp détectés :

C:\Windows\Temp	mp00003643	rz5C2C.tmp a variant of Win32/ELEX.DJ potentially unwanted application cleaned by deleting - quarantined
C:\Windows\Temp	mp00003643	rz5C2D.tmp a variant of Win32/ELEX.DJ potentially unwanted application cleaned by deleting - quarantined
C:\Windows\Temp	mp00007a66	mp000000df a variant of Win32/ELEX.DJ potentially unwanted application cleaned by deleting - quarantined

C'est ça l'origine des fichiers temp, ce Everything
Il n'apparaissait pas sur ton rapport FRST :

Fichier d?plac? avec succ?s vers la zone de quarantaine...
16/06/2015 22:30:29 C:\Users\Fabien\AppData\Everything\SFKEX64.dll [L] Win64:Dropper-gen [Drp] (0) 

~~

16/06/2015 22:30:09	C:\Users\Fabien\AppData\Everything\SFKEX64.exe [L] Win64:Dropper-gen [Drp] (0)
16/06/2015 22:30:09	C:\Users\Fabien\AppData\Everything\SFKEX.exe [L] Win32:Dropper-gen [Drp] (0)
16/06/2015 22:30:10	C:\Users\Fabien\AppData\Local\Temp\NSIS_00000000\yacdl.exe [L] Win32:Dropper-gen [Drp] (0)
16/06/2015 22:30:15	C:\Users\Fabien\AppData\Everything\SearchBase.exe [L] Win32:Evo-gen [Susp] (0) 

~~


 
 Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

C:\Users\Fabien\AppData\Everything
EmptyTemp:

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST qui doit se trouver sur le bureau et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

judeblast · Answer

En allant dans C:\Users\Fabien\, j'ai affiché les "éléments masqués" et je ne trouve pas trace du dossier AppData. Ci-dessous le rapport de FRST :



Fix result of Farbar Recovery Scan Tool (x64) Version:21-06-2015 01
Ran by Fabien at 2015-06-23 09:36:38 Run:1
Running from C:\Users\Fabien\Desktop
Loaded Profiles: UpdatusUser & Fabien (Available Profiles: UpdatusUser & Fabien)
Boot Mode: Normal
==============================================

fixlist content:


C:\Users\Fabien\AppData\Everything
EmptyTemp:



"C:\Users\Fabien\AppData\Everything" => File/Folder not found.
EmptyTemp: => 90.6 MB temporary data Removed.


The system needed a reboot.. 
 End of Fixlog 09:36:55

Malekal_morte- · Answer

Sur cette page : https://pjjoint.malekal.com/files.php?read=20150623_l15t14b12y12r11

L'alerte Rootkit est généré par a2service.exe soit Emisisoft.

Je vais encore te le redire, mais arrange toi pour n'avoir qu'un seul antivirus.
Désinstalle tout et ne garde qu'Avast! et Malwarebytes.

judeblast · Answer

Voilà, tout est supprimé, il ne reste plus qu'Avast et Malwaresbytes.... et FRST64, je ne sais pas si tu le considère comme un antivirus ou un logiciel de dépannage... Pour ce qui est des AppData, je ne vois rien d'installer récemment qui pourrait être la cause des perturbations. J'ai néanmoins viré pas mal de truc inutile.

Malekal_morte- · Answer

Tu as un collègue : https://forums.commentcamarche.net/forum/affich-32156595-comment-enlever-le-virus-tr-crypt-xpack-116704

On va voir les points communs.

Menaces Adware Generic_r.ALK et .ALH

9 réponses

End of Fixlog 09:36:55

Discussions similaires

Newsletters