Sujet Précédent Sujet Suivant

Trojan.DisabledAVSecurityCerts

Fermé
FabioMorais - 24 avril 2018 à 13:32
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 19 mai 2018 à 10:40
Bonjour,
Il y a quelques jourd j’ai installé Malwarebytes et mes analyses montrent à chaque fois la même chose : Trojan.DisabledAVSecurityCerts
Je les enlève et ils reviennent tout le temps.
Comment je fais pour les supprimer définitivement ?

3 réponses

Réponse 1 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 662
24 avril 2018 à 14:17
Salut,

Pour voir déjà s'il y a des malwares :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
FabioMorais Messages postés 10 Date d'inscription mardi 24 avril 2018 Statut Membre Dernière intervention 19 mai 2018
24 avril 2018 à 18:26
Je les ai envoyé sur pijoint.malekal, est-ce que je dois les envoyer ici aussi? Si oui, on fait comment, parce que je n'arrive pas
0
FabioMorais Messages postés 10 Date d'inscription mardi 24 avril 2018 Statut Membre Dernière intervention 19 mai 2018
24 avril 2018 à 22:59
S’il te plait aide moi... je sais plus quoi faire je désespère vraiment j’arrive pas à enlever ces trucs
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 662 > FabioMorais Messages postés 10 Date d'inscription mardi 24 avril 2018 Statut Membre Dernière intervention 19 mai 2018
24 avril 2018 à 23:02
il faut donner les liens ici, lire les instructions.
0
FabioMorais Messages postés 10 Date d'inscription mardi 24 avril 2018 Statut Membre Dernière intervention 19 mai 2018
25 avril 2018 à 13:19
Merci de votre réponse, voici les liens demandés (FRST - Addition - Shortcut)

https://pjjoint.malekal.com/files.php?id=FRST_20180425_k6m10u10i5r8

https://pjjoint.malekal.com/files.php?id=20180425_v12l11q8o14r12

https://pjjoint.malekal.com/files.php?id=20180425_c15c5l7t512
0
FabioMorais Messages postés 10 Date d'inscription mardi 24 avril 2018 Statut Membre Dernière intervention 19 mai 2018 > FabioMorais Messages postés 10 Date d'inscription mardi 24 avril 2018 Statut Membre Dernière intervention 19 mai 2018
25 avril 2018 à 13:22
Petit bug sur le lien de FRST du message précédant, je le renvoie :

https://pjjoint.malekal.com/files.php?id=FRST_20180425_h10m10x11y11w10
0
Réponse 2 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 662
25 avril 2018 à 13:58
A désinstaller :
Bing Bar
CCleaner

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:() 
 HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION  
 HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION  
 HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION  
 HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION  
 Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
Il faudrait faire cela aussi : https://www.malekal.com/impossible-fonctionner-antivirus-apres-attaque-virus/
Notamment vérifier que tu n'as pas de certificats pourris.
0
FabioMorais Messages postés 10 Date d'inscription mardi 24 avril 2018 Statut Membre Dernière intervention 19 mai 2018
25 avril 2018 à 15:53
ésultats de correction de Farbar Recovery Scan Tool (x64) Version: 25.04.2018
Exécuté par User (25-04-2018 15:42:56) Run:1
Exécuté depuis C:\Users\User\Downloads
Profils chargés: User (Profils disponibles: User)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:()
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF => impossible à supprimer, clé était peut-être protégé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2782374141-2786478825-1656671063-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2782374141-2786478825-1656671063-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 16966016 B
Java, Flash, Steam htmlcache => 1246 B
Windows/system/drivers => 11765661 B
Edge => 16896 B
Chrome => 76481465 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 4970 B
NetworkService => 1812 B
User => 112637087 B

RecycleBin => 256652352 B
EmptyTemp: => 461.3 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 25-04-2018 15:49:08)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF => impossible à supprimer, clé était peut-être protégé(e)

Fin de Fixlog 15:49:08

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 662 > FabioMorais Messages postés 10 Date d'inscription mardi 24 avril 2018 Statut Membre Dernière intervention 19 mai 2018
25 avril 2018 à 15:54
ok passe à la suite.
0
FabioMorais
25 avril 2018 à 16:05
Et j'ai aussi vérifié pour les certificats, et je n'ai rien trouvé de mal
0
FabioMorais Messages postés 10 Date d'inscription mardi 24 avril 2018 Statut Membre Dernière intervention 19 mai 2018 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
25 avril 2018 à 16:15
J’ai déjà tout fait, j’ai réinitialiser Google Chrome mais pas Firefox puisque je n’ai pas Firefox et comme j’ai dit avant, j’ai vérifié les certificats et tout va bien je fais quoi maintenant ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 662 > FabioMorais
25 avril 2018 à 16:25
et Malwarebytes fonctionne ?
Refais un scan FRST et donne les nouveaux rapports pour voir.
0
Réponse 3 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 662
26 avril 2018 à 19:44
On devrait parvenir à nettoyer cela, je pense.

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.


et ensuite :
Touche Windopws + R
tape regedit et OK.
Déroule à gauche
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates
A droite, si tu as des trucs, tu supprimes tout.
Pour n'avoir que cela :



Redémarre l'ordinateur.
0
FabioMorais
26 avril 2018 à 23:45
Voici le lien pour l'analyse ESET

https://pjjoint.malekal.com/files.php?id=20180426_z6y13c5f9m13
0
FabioMorais
26 avril 2018 à 23:47
Et je n'arrive pas à supprimer les certificats que tu m'as dit d'enlever... c'est écrit impossible de supprimer
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 662 > FabioMorais
27 avril 2018 à 11:24
essaye de te donner les autorisations sur les clés, voir ce lien : https://www.malekal.com/modifier-autorisations-cles-registre-windows/
0
FabioMorais
27 avril 2018 à 17:53
Suppression toujours impossible, l'accès est encore refusé.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 662 > FabioMorais
28 avril 2018 à 11:36
et si tu lances regedit en suivant le paragraphe "Exécuter une application en AUTORITE NT" de cette page https://www.malekal.com/utilisateur-autorite-nt/ ?
0