VirTool:Win32/Obfuscator.XZ​​​​​​​ hante mon PC! Help!!

Résolu/Fermé
DaRhKain Messages postés 6 Date d'inscription mardi 22 novembre 2022 Statut Membre Dernière intervention 24 novembre 2022 - 22 nov. 2022 à 23:46
bazfile Messages postés 56490 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 novembre 2024 - 24 nov. 2022 à 06:11

Bonjour,

Suite à l'installation d'un crack PC du jeu Avatar: The Game j'ai choppé un virus nommé VirTool:Win32/Obfuscator.XZ qui fait ramer et perdre énormement de perfs à mon PC. J'ai essayé différentes tecniques trouvées par-ci par-là, mais rien ni fait. J'ai bien supprimer les deux éléments indiqués dans les chemins du screen ci-dessous... j'ai testé plusieurs antivirus et malware remover mais aucun n'arrive à l'annihiler, certains ne le détecte même pas..

Je viens donc ici demander de l'aide en dernier recours en éspérant que l'un de vous aura une solution pour supprimer ce parasites de mon PC!.. j'ai pus voir que certains sur le forum avait pus y parvenir grâce à l'aide d'autres personnes...

Merci d'avance à ceux qui m'aiderons et auront solution.

7 réponses

bazfile Messages postés 56490 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 novembre 2024 19 300
Modifié le 23 nov. 2022 à 11:24

Bonjour @DaRhKain StatutMembre

Télécharge FRST une fois téléchargé enregistre-le sur le bureau puis clique avec le bouton droit de ta souris sur FRST et choisi Exécuter en tant qu'administrateur tu auras ceci :

Clique sur Analyser


Attention, attendre que les messages disant que l'analyse est terminée s'affichent.

À la fin de l'analyse tu auras deux fichiers texte sur le bureau FRST et Addition.

Ensuite envoie les rapports FRST et ADDITION sur PJJOINT voir CE TUTORIEL puis donne les deux liens générés par PJJOINT dans ta réponse.


0
DaRhKain Messages postés 6 Date d'inscription mardi 22 novembre 2022 Statut Membre Dernière intervention 24 novembre 2022
Modifié le 23 nov. 2022 à 16:00
0
bazfile Messages postés 56490 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 novembre 2024 19 300
23 nov. 2022 à 16:21

@DaRhKain StatutMembre

D'après ta capture d'écran tu as utilisé un keygen pour activer un jeu, évite ce genre d'outils ils ne t'apporteront que des ennuis.

Une fois la désinfection terminée change tous tes mots de passe en ligne ils ont pu être dérobés.

Désinstalle CleanMy® PC évite ce genre de bouse qui ne sert à rien.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

 
Start::
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-862702042-419670871-1284822462-1001\...\Run: [GalaxyClient] => [X]
HKU\S-1-5-21-862702042-419670871-1284822462-1001\...\Run: [vidnotifier.exe] => C:\Program Files (x86)\Common Files\DVDVideoSoft\lib\vidnotifier\vidnotifier.exe (Pas de fichier)
HKU\S-1-5-21-862702042-419670871-1284822462-1001\...\Run: [Windows Updates Service] => C:\Users\fonta\AppData\Roaming\Windows Updates Files\Windows Updates Service.vbe [1000 2022-11-21] () [Fichier non signé] 
Policies: C:\ProgramData\NTUSER.pol: Restriction 
Task: {180FFC47-88A4-472F-9A20-B00C867D9F4A} - System32\Tasks\Opera scheduled Autoupdate 1661613207 => C:\Users\fonta\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) (Pas de fichier)
C:\Users\fonta\AppData\Roaming\Windows Updates Files
CustomCLSID: HKU\S-1-5-21-862702042-419670871-1284822462-1001_Classes\CLSID\{89b2b650-c4dd-d68b-46e7-3176f1973c8b}\localserver32 -> "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Pas de fichier
AlternateDataStreams: C:\Users\fonta\AppData\Local\Temp:$DATA​ [34]
S2 WTabletServicePro; "C:\Program Files\Tablet\Wacom\WTabletServicePro.exe" [X]
S3 wacomrouterfilter; \SystemRoot\System32\drivers\wacomrouterfilter.sys [X]
cmd: netsh advfirewall reset
EmptyTemp:
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur PJJOINT puis donne le lien généré par PJJOINT dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT


0
DaRhKain Messages postés 6 Date d'inscription mardi 22 novembre 2022 Statut Membre Dernière intervention 24 novembre 2022
23 nov. 2022 à 17:09

Effectivement c'est bien dû à un keygen.

Okk pour CleanMyPc, je l'ai bien désinstallé!..

Voici le lien :

https://pjjoint.malekal.com/files.php?id=20221123_s7v5l9l6x15

J'ai fais une nouvelle analyse et VirTool:Win32/Obfuscator.XZ est t oujours détecté par Windows...

0
bazfile Messages postés 56490 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 novembre 2024 19 300
Modifié le 23 nov. 2022 à 17:53

@DaRhKain StatutMembre

As-tu toujours des baisses de performances ?

Que ce passe-t-il si tu cliques sur intervenir ? Clique aussi sur voir les détails et donne-moi la capture d'écran.

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
DaRhKain Messages postés 6 Date d'inscription mardi 22 novembre 2022 Statut Membre Dernière intervention 24 novembre 2022
23 nov. 2022 à 20:36

Je viens de faire des test et les perfs m'ont on plutôt l'air d'être redevenu comme avant, du moins c'est mieux.

Lorsque je fais intervenir, que ce soit pour n'importe laquelle des 3 mesures, il refait une analyse et revient toujours sur le même résultat comme sur le précédent screen. J'ai beau recommencer c'est toujours la même finalité en boucle.

"Voir les détails" me permet d'afficher la fenêtre du tout premier screen que j'ai posté:

Cliquer sur "En savoir plus" me mène sur cette page: https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=VirTool%3AWin32%2FObfuscator.XZ&threatid=2147625929

0
bazfile Messages postés 56490 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 novembre 2024 19 300
23 nov. 2022 à 21:04

La detction que tu vois sur Windows Defender date du 21 nous sommes le 23 et la désinfection a été faite avec le script FRST donc je pense que c'est simplement une détection qui est restée dans l'historique de Windows Defender, supprime l'historique de Windows Defender et normalement cette détection devrait disparaître.

0
DaRhKain Messages postés 6 Date d'inscription mardi 22 novembre 2022 Statut Membre Dernière intervention 24 novembre 2022
23 nov. 2022 à 21:12

C'est bon!!!.. tout est niquel parfait.

Je te remercie infiniement Bazfile!

0
bazfile Messages postés 56490 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 novembre 2024 19 300
23 nov. 2022 à 21:18

@DaRhKain StatutMembre

Pour éviter des détections inopinées via la quarantaine de FRST. 

Désinstalle FRST, renomme le fichier FRST que tu as téléchargé, renomme-le en uninstall, puis une fois le fichier renommé ouvre-le, la désinstallation se fera automatiquement via un redémarrage du pc.

1
DaRhKain Messages postés 6 Date d'inscription mardi 22 novembre 2022 Statut Membre Dernière intervention 24 novembre 2022
24 nov. 2022 à 00:39

Okk tout est bon!

Merci beaucoup, je passe en Résolu.

0
bazfile Messages postés 56490 Date d'inscription samedi 29 décembre 2012 Statut Modérateur, Contributeur sécurité Dernière intervention 27 novembre 2024 19 300
24 nov. 2022 à 06:11

OK.

@+ sur CCM.

0