Trojan.DisabledAVSecurityCerts

FabioMorais -  
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité -
Bonjour,
Il y a quelques jourd j’ai installé Malwarebytes et mes analyses montrent à chaque fois la même chose : Trojan.DisabledAVSecurityCerts
Je les enlève et ils reviennent tout le temps.
Comment je fais pour les supprimer définitivement ?

3 réponses

Réponse 1 / 3
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité 24 689
 
Salut,

Pour voir déjà s'il y a des malwares :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
FabioMorais Messages postés 10 Statut Membre
 
Je les ai envoyé sur pijoint.malekal, est-ce que je dois les envoyer ici aussi? Si oui, on fait comment, parce que je n'arrive pas
0
FabioMorais Messages postés 10 Statut Membre
 
S’il te plait aide moi... je sais plus quoi faire je désespère vraiment j’arrive pas à enlever ces trucs
0
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité 24 689 > FabioMorais Messages postés 10 Statut Membre
 
il faut donner les liens ici, lire les instructions.
0
FabioMorais Messages postés 10 Statut Membre
 
Merci de votre réponse, voici les liens demandés (FRST - Addition - Shortcut)

https://pjjoint.malekal.com/files.php?id=FRST_20180425_k6m10u10i5r8

https://pjjoint.malekal.com/files.php?id=20180425_v12l11q8o14r12

https://pjjoint.malekal.com/files.php?id=20180425_c15c5l7t512
0
FabioMorais Messages postés 10 Statut Membre > FabioMorais Messages postés 10 Statut Membre
 
Petit bug sur le lien de FRST du message précédant, je le renvoie :

https://pjjoint.malekal.com/files.php?id=FRST_20180425_h10m10x11y11w10
0
Réponse 2 / 3
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité 24 689
 
A désinstaller :
Bing Bar
CCleaner

PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:() 
 HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION  
 HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION  
 HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION  
 HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION  
 Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
Il faudrait faire cela aussi : https://www.malekal.com/impossible-fonctionner-antivirus-apres-attaque-virus/
Notamment vérifier que tu n'as pas de certificats pourris.
0
FabioMorais Messages postés 10 Statut Membre
 
ésultats de correction de Farbar Recovery Scan Tool (x64) Version: 25.04.2018
Exécuté par User (25-04-2018 15:42:56) Run:1
Exécuté depuis C:\Users\User\Downloads
Profils chargés: User (Profils disponibles: User)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:()
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF => impossible à supprimer, clé était peut-être protégé(e)
C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
Hosts restauré(es) avec succès.

========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2782374141-2786478825-1656671063-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
"HKU\S-1-5-21-2782374141-2786478825-1656671063-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 9199616 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 16966016 B
Java, Flash, Steam htmlcache => 1246 B
Windows/system/drivers => 11765661 B
Edge => 16896 B
Chrome => 76481465 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
Users => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 4970 B
NetworkService => 1812 B
User => 112637087 B

RecycleBin => 256652352 B
EmptyTemp: => 461.3 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 25-04-2018 15:49:08)


Résultats de la suppression planifiée des clés après redémarrage:

HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\AD4C5429E10F4FF6C01840C20ABA344D7401209F => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\DB77E5CFEC34459146748B667C97B185619251BA => impossible à supprimer, clé était peut-être protégé(e)
HKLM\Software\Microsoft\SystemCertificates\Disallowed\Certificates\E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF => impossible à supprimer, clé était peut-être protégé(e)

Fin de Fixlog 15:49:08

0
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité 24 689 > FabioMorais Messages postés 10 Statut Membre
 
ok passe à la suite.
0
FabioMorais
 
Et j'ai aussi vérifié pour les certificats, et je n'ai rien trouvé de mal
0
FabioMorais Messages postés 10 Statut Membre > Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité
 
J’ai déjà tout fait, j’ai réinitialiser Google Chrome mais pas Firefox puisque je n’ai pas Firefox et comme j’ai dit avant, j’ai vérifié les certificats et tout va bien je fais quoi maintenant ?
0
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité 24 689 > FabioMorais
 
et Malwarebytes fonctionne ?
Refais un scan FRST et donne les nouveaux rapports pour voir.
0
Réponse 3 / 3
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité 24 689
 
On devrait parvenir à nettoyer cela, je pense.

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.


et ensuite :
Touche Windopws + R
tape regedit et OK.
Déroule à gauche
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates
A droite, si tu as des trucs, tu supprimes tout.
Pour n'avoir que cela :



Redémarre l'ordinateur.
0
FabioMorais
 
Voici le lien pour l'analyse ESET

https://pjjoint.malekal.com/files.php?id=20180426_z6y13c5f9m13
0
FabioMorais
 
Et je n'arrive pas à supprimer les certificats que tu m'as dit d'enlever... c'est écrit impossible de supprimer
0
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité 24 689 > FabioMorais
 
essaye de te donner les autorisations sur les clés, voir ce lien : https://www.malekal.com/modifier-autorisations-cles-registre-windows/
0
FabioMorais
 
Suppression toujours impossible, l'accès est encore refusé.
0
Malekal_morte- Messages postés 184347 Statut Modérateur, Contributeur sécurité 24 689 > FabioMorais
 
et si tu lances regedit en suivant le paragraphe "Exécuter une application en AUTORITE NT" de cette page https://www.malekal.com/utilisateur-autorite-nt/ ?
0