Trojan.DisabledAVSecurityCerts

FabioMorais -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
Il y a quelques jourd j’ai installé Malwarebytes et mes analyses montrent à chaque fois la même chose : Trojan.DisabledAVSecurityCerts
Je les enlève et ils reviennent tout le temps.
Comment je fais pour les supprimer définitivement ?

3 réponses

Résumé de la discussion

Le fil traite d'une infection signalée par Malwarebytes avec le Trojan.DisabledAVSecurityCerts réapparaissant après chaque analyse, et vise à trouver une suppression définitive et pérenne par des méthodes manuelles.
Plusieurs réponses évoquent des outils comme FRST et Farbar Recovery Scan Tool, des tentatives de suppression de certificats système désapprouvés et des modifications du fichier hosts via des scripts et des réinitialisations.
Des éléments de restitution indiquent que certaines clés HKLM furent impossibles à supprimer, suggérant une protection, tandis que des opérations de nettoyage temporaire et de restauration ont été effectuées, et l’étape suivante est envisagée.
En cas de persistance, un nouveau scan FRST et des rapports actualisés sont demandés pour évaluer l’évolution et déterminer les prochaines actions à mener ensuite.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Pour voir déjà s'il y a des malwares :

    Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

    Télécharge et lance le scan FRST,
    Attendre la fin du scan, un message indique que l'analyse est terminée.

    Trois rapports FRST seront générés :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
    En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

    0
    1. FabioMorais Messages postés 10 Statut Membre
       
      Je les ai envoyé sur pijoint.malekal, est-ce que je dois les envoyer ici aussi? Si oui, on fait comment, parce que je n'arrive pas
      0
    2. FabioMorais Messages postés 10 Statut Membre
       
      S’il te plait aide moi... je sais plus quoi faire je désespère vraiment j’arrive pas à enlever ces trucs
      0
      1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > FabioMorais Messages postés 10 Statut Membre
         
        il faut donner les liens ici, lire les instructions.
        0
    3. FabioMorais Messages postés 10 Statut Membre
       
      Merci de votre réponse, voici les liens demandés (FRST - Addition - Shortcut)

      https://pjjoint.malekal.com/files.php?id=FRST_20180425_k6m10u10i5r8

      https://pjjoint.malekal.com/files.php?id=20180425_v12l11q8o14r12

      https://pjjoint.malekal.com/files.php?id=20180425_c15c5l7t512
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    A désinstaller :
    Bing Bar
    CCleaner


    PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
    Désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/

    Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

    Ouvre le bloc-notes : Touche Windows + R,
    Dans le champs "Exécuter", saisir notepad et OK.
    Copie/Colle dedans ce qui suit :

    CreateRestorePoint:
    CloseProcesses:()
    HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
    HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
    HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
    HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Une fois, le texte collé dans le Bloc-notes,
    Menu "Fichier" puis "Enregistrer sous",
    A gauche, place toi sur le Bureau,
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

    Relance FRST et clique sur le bouton "Corriger / Fix"
    Un redémarrage sera peut-être nécessaire ( pas obligatoire )
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur.

    2°)
    Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

    3°)
    Il faudrait faire cela aussi : https://www.malekal.com/impossible-fonctionner-antivirus-apres-attaque-virus/
    Notamment vérifier que tu n'as pas de certificats pourris.
    0
    1. FabioMorais Messages postés 10 Statut Membre
       
      ésultats de correction de Farbar Recovery Scan Tool (x64) Version: 25.04.2018
      Exécuté par User (25-04-2018 15:42:56) Run:1
      Exécuté depuis C:\Users\User\Downloads
      Profils chargés: User (Profils disponibles: User)
      Mode d'amorçage: Normal
      ==============================================

      fixlist contenu:

      CreateRestorePoint:
      CloseProcesses:()
      HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
      HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
      HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
      HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
      Hosts:
      EmptyTemp:
      RemoveProxy:
      Reboot:


      Le Point de restauration a été créé avec succès.
      Processus fermé avec succès.
      HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 => impossible à supprimer, clé était peut-être protégé(e)
      HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F => impossible à supprimer, clé était peut-être protégé(e)
      HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA => impossible à supprimer, clé était peut-être protégé(e)
      HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF => impossible à supprimer, clé était peut-être protégé(e)
      C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
      Hosts restauré(es) avec succès.

      ========= RemoveProxy: =========

      "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
      "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
      "HKU\S-1-5-21-2782374141-2786478825-1656671063-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
      "HKU\S-1-5-21-2782374141-2786478825-1656671063-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


      ========= Fin de RemoveProxy: =========


      =========== EmptyTemp: ==========

      BITS transfer queue => 9199616 B
      DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 16966016 B
      Java, Flash, Steam htmlcache => 1246 B
      Windows/system/drivers => 11765661 B
      Edge => 16896 B
      Chrome => 76481465 B
      Firefox => 0 B
      Opera => 0 B

      Temp, IE cache, history, cookies, recent:
      Default => 0 B
      Users => 0 B
      ProgramData => 0 B
      Public => 0 B
      systemprofile => 0 B
      systemprofile32 => 0 B
      LocalService => 4970 B
      NetworkService => 1812 B
      User => 112637087 B

      RecycleBin => 256652352 B
      EmptyTemp: => 461.3 MB données temporaires supprimées.

      ================================

      Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 25-04-2018 15:49:08)


      Résultats de la suppression planifiée des clés après redémarrage:

      HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 => impossible à supprimer, clé était peut-être protégé(e)
      HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F => impossible à supprimer, clé était peut-être protégé(e)
      HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA => impossible à supprimer, clé était peut-être protégé(e)
      HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF => impossible à supprimer, clé était peut-être protégé(e)

      Fin de Fixlog 15:49:08

      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > FabioMorais Messages postés 10 Statut Membre
       
      ok passe à la suite.
      0
    3. FabioMorais
       
      Et j'ai aussi vérifié pour les certificats, et je n'ai rien trouvé de mal
      0
    4. FabioMorais Messages postés 10 Statut Membre > Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
       
      J’ai déjà tout fait, j’ai réinitialiser Google Chrome mais pas Firefox puisque je n’ai pas Firefox et comme j’ai dit avant, j’ai vérifié les certificats et tout va bien je fais quoi maintenant ?
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > FabioMorais
       
      et Malwarebytes fonctionne ?
      Refais un scan FRST et donne les nouveaux rapports pour voir.
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    On devrait parvenir à nettoyer cela, je pense.

    Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.

    et ensuite :
    Touche Windopws + R
    tape regedit et OK.
    Déroule à gauche
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates
    A droite, si tu as des trucs, tu supprimes tout.
    Pour n'avoir que cela :



    Redémarre l'ordinateur.
    0
    1. FabioMorais
       
      Voici le lien pour l'analyse ESET

      https://pjjoint.malekal.com/files.php?id=20180426_z6y13c5f9m13
      0
    2. FabioMorais
       
      Et je n'arrive pas à supprimer les certificats que tu m'as dit d'enlever... c'est écrit impossible de supprimer
      0
    3. FabioMorais
       
      Suppression toujours impossible, l'accès est encore refusé.
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712 > FabioMorais
       
      et si tu lances regedit en suivant le paragraphe "Exécuter une application en AUTORITE NT" de cette page https://www.malekal.com/utilisateur-autorite-nt/ ?
      0