Win32/Zpevdo.A et Win32/Occamy.C
Résolu/Fermé
ulfheonar
-
26 juin 2018 à 13:45
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 juil. 2018 à 09:22
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 2 juil. 2018 à 09:22
A voir également:
- Pua:win32/occamy
- Win32:malware-gen ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Win32/offercore ✓ - Forum Virus
- Puabundler win32 - Forum Virus
- Hacktool win32 - Forum Virus
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
26 juin 2018 à 13:48
26 juin 2018 à 13:48
Salut,
Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Pour vérifier l'ordinateur, je t'invite à faire cette analyse FRST et donner les rapports en retour :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.
Trois rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
26 juin 2018 à 14:04
26 juin 2018 à 14:04
Pas l'air infecté.
Path: file:_C:\Windows\System32\EnrollCertXaml.dll est plutôt lié à un miner : https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/troj64_wmine.b
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
Path: file:_C:\Windows\System32\EnrollCertXaml.dll est plutôt lié à un miner : https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/troj64_wmine.b
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur https://pjjoint.malekal.com/ et donne le lien ici.
Merci Malekal
Le PC a mis longtemps à télécharger la base de signatures des virus, le débit est faible.
Même si cela ne sert a rien voici la capture d'écran montrant que ESET n'a rien trouvé : https://ibb.co/dSJzUo
Je n'ai pas vu de rapport, je pense que c'est uniquement lorsqu'il trouve quelque chose qu'il génère un fichier.
Je vous poste ici une analyse du dump du dernier BSOD, au cas ou cela vous parlerai
https://pjjoint.malekal.com/files.php?id=20180626_h1514w14l12q11
Le PC a mis longtemps à télécharger la base de signatures des virus, le débit est faible.
Même si cela ne sert a rien voici la capture d'écran montrant que ESET n'a rien trouvé : https://ibb.co/dSJzUo
Je n'ai pas vu de rapport, je pense que c'est uniquement lorsqu'il trouve quelque chose qu'il génère un fichier.
Je vous poste ici une analyse du dump du dernier BSOD, au cas ou cela vous parlerai
https://pjjoint.malekal.com/files.php?id=20180626_h1514w14l12q11
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
26 juin 2018 à 16:51
26 juin 2018 à 16:51
il faut utiliser whocrashed pour les BSOD.
Tu en as eu des nouveaux ?
On peut aussi utiliser WhoCrashed pour obtenir des informations sur ces plantages.
Télécharger et exécute Whocrashed : Telecharger WhoCrashed
=> Tutoriel WhoCrashed
Fais un copier/coller du contenu ici comme indiqué dans le tuto.
Tu en as eu des nouveaux ?
On peut aussi utiliser WhoCrashed pour obtenir des informations sur ces plantages.
Télécharger et exécute Whocrashed : Telecharger WhoCrashed
=> Tutoriel WhoCrashed
Fais un copier/coller du contenu ici comme indiqué dans le tuto.
J'ai eu un nouveau BSOD ce matin, après avoir fait des scan de malwarebytes, adwcleaner, et un scan profond de microsoft essential security.
En théorie depuis le dernier BSOD rien n'a changé car j'ai toujours microsoft essential security qui s'ouvre toutes les deux minutes pour signaler un trojan.
J'ai mis le rapport de Whocrashed ici car il est un peu long :
https://pjjoint.malekal.com/files.php?read=20180626_z13b8x14k9c8
En théorie depuis le dernier BSOD rien n'a changé car j'ai toujours microsoft essential security qui s'ouvre toutes les deux minutes pour signaler un trojan.
J'ai mis le rapport de Whocrashed ici car il est un peu long :
https://pjjoint.malekal.com/files.php?read=20180626_z13b8x14k9c8
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié le 26 juin 2018 à 18:05
Modifié le 26 juin 2018 à 18:05
essaye ça :
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.
CreateRestorePoint:
CloseProcesses:
C:\Windows\System32\EnrollCertXaml.dll
C:\Windows\System32\wmassrv.dll
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:
Enregistre le contenu par le menu fichier puis enregistrer.
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
Malekal, merci pour ton retour.
Les détections windows essential security sont toujours là après un redémarrage.
En attendant de trouver mieux, j'ai créé un fichier C:\Windows\System32\EnrollCertXaml.dll et un fichier C:\Windows\System32\wmassrv.dll et je leur ai ajouter des droits NTFS de refus de modifications.
J'espère que cela solutionnera tous les problèmes même si je ne suis pas de nature optimiste.
Ci-dessous le résultat du fix-it
Les détections windows essential security sont toujours là après un redémarrage.
En attendant de trouver mieux, j'ai créé un fichier C:\Windows\System32\EnrollCertXaml.dll et un fichier C:\Windows\System32\wmassrv.dll et je leur ai ajouter des droits NTFS de refus de modifications.
J'espère que cela solutionnera tous les problèmes même si je ne suis pas de nature optimiste.
Ci-dessous le résultat du fix-it
Fix result of Farbar Recovery Scan Tool (x64) Version: 20.06.2018
Ran by machine (26-06-2018 23:11:18) Run:2
Running from C:\Users\machine\Desktop
Loaded Profiles: machine & LogMeInRemoteUser (Available Profiles: machine & LogMeInRemoteUser)
Boot Mode: Normal
==============================================
fixlist content:
- CreateRestorePoint:CloseProcesses:C:\Windows\System32\EnrollCertXaml.dllC:\Windows\System32\wmassrv.dllHosts:EmptyTemp:RemoveProxy:Reboot:*****************Restore point was successfully created.Processes closed successfully.C:\Windows\System32\EnrollCertXaml.dll => moved successfully"C:\Windows\System32\wmassrv.dll" => not foundC:\Windows\System32\Drivers\etc\hosts => moved successfullyHosts restored successfully.========= RemoveProxy: ========="HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully"HKU\S-1-5-21-4149413486-1410009691-3048948754-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => removed successfully"HKU\S-1-5-21-4149413486-1410009691-3048948754-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => removed successfully========= End of RemoveProxy: ==================== EmptyTemp: ==========BITS transfer queue => 8388608 BDOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 9036576 BJava, Flash, Steam htmlcache => 0 BWindows/system/drivers => 32613 BEdge => 0 BChrome => 0 BFirefox => 0 BOpera => 0 BTemp, IE cache, history, cookies, recent:Users => 0 BDefault => 0 BPublic => 0 BProgramData => 0 Bsystemprofile => 128 Bsystemprofile32 => 0 BLocalService => 0 BNetworkService => 517500 Bmachine => 1694337 BLogMeInRemoteUser => 0 BRecycleBin => 83510374 BEmptyTemp: => 98.4 MB temporary data Removed.================================The system needed a reboot.==== End of Fixlog 23:11:53 ====
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
>
ulfheonar
26 juin 2018 à 21:40
26 juin 2018 à 21:40
Désinstalle MSE puis installe Kaspersky Free : https://www.malekal.com/kaspersky-security-cloud-free/
Fais un scan complet avec.
Fais un scan complet avec.
Bonjour Malekal,
Si Kaspersky ne détecte rien, cela ne voudra pas forcément dire qu'il n'y a plus rien, de la même manière que Malwarebytes ne détecte rien non?
Le PC étant chez un client en Thaïlande qui utilise un logiciel en production, je ne pourrais faire cela que cet après midi.
Cette nuit j'ai essayé de détecter si un driver avait un problème avec la commande verifier.
Et cela m'a fait un nouveau écran bleu.
J'aimerai savoir ce que vous en pensez mais d'après moi l'écran bleu suivant signifie qu'il y a eu un conflit entre le logiciel verifier et le driver mais pas forcément que le driver à un problème.
Bug check name: DRIVER_VERIFIER_DETECTED_VIOLATION
Bug check code: 0xC4
Bug check parm 1: 0x100B
Bug check parm 2: 0xFFFFF9800C8EAEF8
Bug check parm 3: 0xFFFFFA8009E7B610
Bug check parm 4: 0xFFFFFA8004EA27F0
Probably caused by: baslergevk.sys
Complément d'information :
paramètre 1 : 0x100B (Windows 7 operating systems and later)
paramètre 2 : Lock address
paramètre 3 : Owner thread address
paramètre 4 : Driver Verifier internal address
Cause de l'erreur : The deleted lock is still owned by a thread.
Si Kaspersky ne détecte rien, cela ne voudra pas forcément dire qu'il n'y a plus rien, de la même manière que Malwarebytes ne détecte rien non?
Le PC étant chez un client en Thaïlande qui utilise un logiciel en production, je ne pourrais faire cela que cet après midi.
Cette nuit j'ai essayé de détecter si un driver avait un problème avec la commande verifier.
Et cela m'a fait un nouveau écran bleu.
J'aimerai savoir ce que vous en pensez mais d'après moi l'écran bleu suivant signifie qu'il y a eu un conflit entre le logiciel verifier et le driver mais pas forcément que le driver à un problème.
Bug check name: DRIVER_VERIFIER_DETECTED_VIOLATION
Bug check code: 0xC4
Bug check parm 1: 0x100B
Bug check parm 2: 0xFFFFF9800C8EAEF8
Bug check parm 3: 0xFFFFFA8009E7B610
Bug check parm 4: 0xFFFFFA8004EA27F0
Probably caused by: baslergevk.sys
Complément d'information :
paramètre 1 : 0x100B (Windows 7 operating systems and later)
paramètre 2 : Lock address
paramètre 3 : Owner thread address
paramètre 4 : Driver Verifier internal address
Cause de l'erreur : The deleted lock is still owned by a thread.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
>
ulfheonar
27 juin 2018 à 10:22
27 juin 2018 à 10:22
sur FRST, il y a rien, on a viré la DLL détecté par MSE.
NOD32 et Kaspersky ne détecte rien.
Le nom de la DLL a l'air malveillante, mais bon deux autres antivirus qui disent rien, c'est biz.
Probably caused by: baslergevk.sys
Ca semble être lié à ta camera : Basler GigE Vision Driver.
Peut-être mettre à jour là : https://fr.mathworks.com/matlabcentral/fileexchange/50681-basler-camera-driver
NOD32 et Kaspersky ne détecte rien.
Le nom de la DLL a l'air malveillante, mais bon deux autres antivirus qui disent rien, c'est biz.
Probably caused by: baslergevk.sys
Ca semble être lié à ta camera : Basler GigE Vision Driver.
Peut-être mettre à jour là : https://fr.mathworks.com/matlabcentral/fileexchange/50681-basler-camera-driver
Je n'ai pas encore pu faire le test de Kaspersky car le PC tourne en production.
Comme je n'ai plus d'alerte MSE depuis que j'ai bloqué les fichiers, je vais attendre de voir si un nouveau BSOD arrive ou pas.
Pour l'instant j'espère que le driver basler n'a pas de problème d’où mon interrogation sur le BSOD de "driver verifier".
Si un nouveau BSOD arrive, je testerai de supprimer et réinstaller le driver, je ne peux pas installer un autre driver qui correspond a une version plus récente ou plus vieille de pylon car le programme installé ne connait que les DLL de pylon 2.2.
Merci Malekal, je vous tiendrai informer de la suite.
Comme je n'ai plus d'alerte MSE depuis que j'ai bloqué les fichiers, je vais attendre de voir si un nouveau BSOD arrive ou pas.
Pour l'instant j'espère que le driver basler n'a pas de problème d’où mon interrogation sur le BSOD de "driver verifier".
Si un nouveau BSOD arrive, je testerai de supprimer et réinstaller le driver, je ne peux pas installer un autre driver qui correspond a une version plus récente ou plus vieille de pylon car le programme installé ne connait que les DLL de pylon 2.2.
Merci Malekal, je vous tiendrai informer de la suite.
26 juin 2018 à 14:00
Merci beaucoup, voici les fichiers :
Addition :
https://pjjoint.malekal.com/files.php?id=20180626_j7j8z11g6j11
FRST :
https://pjjoint.malekal.com/files.php?id=FRST_20180626_w5p11y11u6y7
Shortcut :
https://pjjoint.malekal.com/files.php?id=20180626_r9u7r5r12y13