VirTool:Win32/Obfuscator.XZ hante mon PC! Help!!
Résolu/Fermé
bazfile Messages postés 53693 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 24 avril 2024 - 24 nov. 2022 à 06:11
- Virtool:win32/obfuscator.xz
- Virtool win32/defendertamperingrestore ✓ - Forum Virus
- Virtool win32 defender tampering restore - Forum Virus
- Gros probleme avec un : virtool win32 obfuscator xz - Forum Virus
7 réponses
Modifié le 23 nov. 2022 à 11:24
Bonjour @DaRhKain StatutMembre
Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :
Clique sur Analyser
Attention, attendre que les messages disant que l'analyse est terminée s'affichent.
À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.
Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.
Modifié le 23 nov. 2022 à 16:00
Hello,
Merci de la réponse rapide.
Voici les liens que tu m'as demandé :
https://pjjoint.malekal.com/files.php?id=FRST_20221123_y12l6x10e9w12
https://pjjoint.malekal.com/files.php?id=20221123_j15t5e613m6
23 nov. 2022 à 16:21
@DaRhKain StatutMembre
D'après ta capture d'écran tu as utilisé un keygen pour activer un jeu, évite ce genre d'outils ils ne t'apporteront que des ennuis.
Une fois la désinfection terminée change tous tes mots de passe en ligne ils ont pu être dérobés.
Désinstalle CleanMy® PC évite ce genre de bouse qui ne sert à rien.
Procédure à faire dans l'ordre indiqué :
1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-862702042-419670871-1284822462-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-862702042-419670871-1284822462-1001\...\Run: [vidnotifier.exe] => C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\vidnotifier\vidnotifier.exe (Pas de fichier)
HKU\S-1-5-21-862702042-419670871-1284822462-1001\...\Run: [Windows Updates Service] => C:\Users\fonta\AppData\Roaming\Windows Updates Files\Windows Updates Service.vbe [1000 2022-11-21] () [Fichier non signé]
Policies: C:\ProgramData\NTUSER.pol: Restriction
Task: {180FFC47-88A4-472F-9A20-B00C867D9F4A} - System32\Tasks\Opera scheduled Autoupdate 1661613207 => C:\Users\fonta\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
C:\Users\fonta\AppData\Roaming\Windows Updates Files
CustomCLSID: HKU\S-1-5-21-862702042-419670871-1284822462-1001_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Pas de fichier
AlternateDataStreams: C:\Users\fonta\AppData\Local\Temp:$DATA [34]
S2 WTabletServicePro; "C:\Program Files\Tablet\Wacom\WTabletServicePro.exe" [X]
S3 wacomrouterfilter; \SystemRoot\System32\drivers\wacomrouterfilter.sys [X]
cmd: netsh advfirewall reset
EmptyTemp:
End::
3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.
Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.
5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT
23 nov. 2022 à 17:09
Effectivement c'est bien dû à un keygen.
Okk pour CleanMyPc, je l'ai bien désinstallé!..
Voici le lien :
https://pjjoint.malekal.com/files.php?id=20221123_s7v5l9l6x15
J'ai fais une nouvelle analyse et VirTool:Win32/Obfuscator.XZ est t oujours détecté par Windows...
Modifié le 23 nov. 2022 à 17:53
@DaRhKain StatutMembre
As-tu toujours des baisses de performances ?
Que ce passe-t-il si tu cliques sur intervenir ? Clique aussi sur voir les détails et donne-moi la capture d'écran.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
23 nov. 2022 à 20:36
Je viens de faire des test et les perfs m'ont on plutôt l'air d'être redevenu comme avant, du moins c'est mieux.
Lorsque je fais intervenir, que ce soit pour n'importe laquelle des 3 mesures, il refait une analyse et revient toujours sur le même résultat comme sur le précédent screen. J'ai beau recommencer c'est toujours la même finalité en boucle.
"Voir les détails" me permet d'afficher la fenêtre du tout premier screen que j'ai posté:
Cliquer sur "En savoir plus" me mène sur cette page: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=VirTool%3AWin32%2FObfuscator.XZ&threatid=2147625929
23 nov. 2022 à 21:04
La detction que tu vois sur Windows Defender date du 21 nous sommes le 23 et la désinfection a été faite avec le script FRST donc je pense que c'est simplement une détection qui est restée dans l'historique de Windows Defender, supprime l'historique de Windows Defender et normalement cette détection devrait disparaître.
23 nov. 2022 à 21:12
C'est bon!!!.. tout est niquel parfait.
Je te remercie infiniement Bazfile!
23 nov. 2022 à 21:18
@DaRhKain StatutMembre
Pour éviter des détections inopinées via la quarantaine de FRST.
Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.
24 nov. 2022 à 00:39
Okk tout est bon!
Merci beaucoup, je passe en Résolu.
24 nov. 2022 à 06:11
OK.
@+ sur CCM.
