Fichier impossible à supprimer "Ouvert dans Sytem" Virus ?

Qu3nt1n. Messages postés 9 Statut Membre -  
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité -

Bonjour à tous !

J'espère que vous allez bien !

Premièrement, je tenais à remercier par avance la / les personnes qui va/vont m'aider.

Je me permets de venir vers vous car je rencontre un petit soucis avec un fichier que j'ai installé, j'ai téléchargé un jeu sur le site skidrowreloaded, je sais que ce n'est pas bien, j'en suis très conscient malheureusement, mais bon, je ne suis pas là pour me faire la morale.

Voici ce que j'ai fait, j'ai installé le jeu, j'ai mis le fichier sur mon bureau, je l'ai ouvert, et j'ai cliqué sur ce document "setup.exe" pour lancer le jeu, comme j'ai fait pour les autres. En ouvrant le fichier dans le dossier du jeu "sr-beerfactory.iso" rien ne s'est passé, HORMIS une belle alerte de mon anti virus (Panda Dome) pour me dire que j'ai été infecté par un cheval de troie.

Premier reflex que j'ai eu, je voulais supprimer le fichier, cependant, impossible... ça me met mot pour mot "Cette action ne peut pas être réalisée car le fichier est ouvert dans System". J'ai donc voulu utiliser des applications tiers pour forcer la suppression, j'ai utilisé "Unlocker" et "FileAssassin" cependant, ça n'a rien fait, impossible de l'enlever.

Savez-vous m'aider ?

Jusque là, je ne rencontre aucun ralentissement, aucune connexion sur mes différentes adresses mails, aucun autre message d'alerte.

J'attends avec impatience votre retour afin de me rassurer / m'aider.

Encore merci d'avance de m'avoir lu et de potentiellement m'aider ;

Belle journée ! :)

A voir également:

2 réponses

Réponse 1 / 2
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité 19 831
 

Bonjour @Qu3nt1n. StatutMembre 

Quel est le nom du fichier récalcitrant?

Avant de poser ta question tu aurais dû lire cet entête du forum sécurité :

https://forums.commentcamarche.net/forum/affich-38063320-a-lire-avant-toute-demande-de-desinfection

J'attends tes deux rapports FRST et Addition.
0
Qu3nt1n. Messages postés 9 Statut Membre
 

Bonjour Bazfile,

Merci pour votre retour, désolé, je n'y ai pas prêté attention. 

Je regarde ce soir quand je sors du travail, je vous répondrai au plus vite avec l'analyse faite. 

Merci pour votre retour ;

Belle journée !

Quentin 

0
Qu3nt1n. Messages postés 9 Statut Membre
 

Bazfile, 

Le nom du fichier récalcitrant est "sr-beerfactory.iso".

Je te fais le rapport FRST dès que possible donc ce soir. 

Belle journée à toi ! 

0
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité 19 831 > Qu3nt1n. Messages postés 9 Statut Membre
 

@Qu3nt1n. StatutMembre

C'est un ISO rien de grave, il doit être monté sur un lecteur virtuel de Windows.

On verra ça ce soir ou demain, je suis en déplacement pour la journée.

Bonne journée à toi également.

1
Qu3nt1n. Messages postés 9 Statut Membre > bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité
 

Bazfile,

J'espère que ça va toujours.

 Comme promis, voici ci-dessous les 2 documents demandés

FRST : https://www.cjoint.com/c/NJEsrMVLr3Z 

Addition : https://www.cjoint.com/c/NJEssN2KtsZ 

Merci d'avance pour ton aide ;

Belle soirée ! :)

0
Réponse 2 / 2
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité 19 831
 

Il n'y a pas d'infection sur ton pc.

Il n'y a que quelques processus obsolètes/orphelins si tu veux les supprimer il y a une correction FRST plus bas.

Comme je te l'ai dit dans mon précédent message ton fichier ISO est monté sur un lecteur virtuel, enfin il est monté sur 2 lecteurs virtuels le lecteur F et G, il suffit d'ouvrir l'explorateur Windows cliquer droit sur les lecteurs F et G et de choisir Éjecter une fois l'ISO éjecté tu pourras supprimer manuellement ton fichier sr-beerfactory.iso qui est sur ton bureau.

Correction FRST pour supprimer les orphelins et aussi l'ISO récalcitrant sr-beerfactory.iso.

Procédure à faire dans l'ordre indiqué :

1- Ouvre FRST en tant qu'administrateur pour cela clique avec le bouton droit de ta souris sur FRST et choisis exécuter en tant qu'administrateur
2 - Copie l'intégralité du script qui est dans l'encadré qui suit :

Start::
CreateRestorePoint:
CloseProcesses:
CustomCLSID: HKU\S-1-5-21-894461759-3188476174-3164893948-1001_Classes\CLSID\{66d7c868-b22d-c2f9-ef63-90654392c6da}\localserver32 -> "D:\Voicemod Desktop\VoicemodDesktop.exe" -ToastActivated => Pas de fichier
HKLM\...\RunOnce: [Delete Cached Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Program Files\Microsoft OneDrive\Update\OneDriveSetup.exe" (Pas de fichier)
HKU\S-1-5-21-894461759-3188476174-3164893948-1001\...\Run: [AF_uuid_2167580] => 85eb8047-6a18-4274-94fa-8f9f3bc4b25e********************l**ã***€******* (Pas de fichier)
HKU\S-1-5-21-894461759-3188476174-3164893948-1001\...\Run: [AF_counter_2167580] => 4 (Pas de fichier)
HKU\S-1-5-21-894461759-3188476174-3164893948-1001\...\Run: [GalaxyClient] => [X]
ShortcutTarget: SetupRST_ModeSwitch.lnk -> C:\Users\quent\Downloads\intel_rst_17.9\17.9\SetupRST.exe (Pas de fichier)
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Restriction 
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Restriction 
GroupPolicyScripts: Restriction 
Task: {36A78C3E-A142-4F86-903E-AE26291F646C} - \Microsoft\Windows\Autochk\Proxy -> Pas de fichier <==== ATTENTION
Task: {3A92573F-61C5-4F73-AB0F-0A9B791545CB} - \Microsoft\Windows\Windows Media Sharing\UpdateLibrary -> Pas de fichier <==== ATTENTION
S3 kpm_launch_service; "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Password Manager 9.0.2\kpm_service.exe" [X]
S3 NEProtect; \??\E:\SteamLibrary\steamapps\common\Lost Light\Engine\Binaries\Win64\NEProtect.sys [X]
S3 VBAudioVMAUXVAIOMME; \SystemRoot\System32\drivers\vbaudio_vmauxvaio64_win10.sys [X]
Task: {02D78EC1-1E5C-49B8-A5E4-7BDABF433419} - pas de chemin du fichier. 
Task: {06300F97-924A-412C-902A-05BB4BAAB5F6} - pas de chemin du fichier. 
Task: {0742809C-4A1E-4951-BB96-D1B8451D8D53} - pas de chemin du fichier. 
Task: {07B9C9C3-F639-43B7-94ED-8417B4B32DC9} - pas de chemin du fichier. 
Task: {23AC90E7-6BC5-4CEB-BB85-58224ECA3395} - pas de chemin du fichier. 
Task: {34ADEFE8-89DB-43BC-8C0B-14BB34D69F6D} - pas de chemin du fichier. 
Task: {3F913425-BD44-4957-8B5C-D84954D2FFEB} - pas de chemin du fichier. 
Task: {4C3FB3C7-9F0B-42BF-A1EA-5132D6D35F5D} - pas de chemin du fichier. 
Task: {592E390E-518D-4772-AA2C-C1BBF48B8E70} - pas de chemin du fichier. 
Task: {6104A747-BB08-40E7-931E-9BEB827EDE14} - pas de chemin du fichier. 
Task: {6A91BB84-F785-4319-8D33-0626692486BC} - pas de chemin du fichier. 
Task: {6D168CFE-4E03-40A1-B639-0A07025655E3} - pas de chemin du fichier. 
Task: {86B6E4DC-1B73-4BBF-99EF-F3CCC22663D4} - pas de chemin du fichier. 
Task: {87094343-6C1F-4855-A6B9-305BA74AB761} - pas de chemin du fichier. 
Task: {9F40FC03-8ADD-4FE4-8CA7-8A7E0ED9F74C} - pas de chemin du fichier. 
Task: {A11A5D58-FC88-4095-8ACE-50B05914CE0A} - pas de chemin du fichier. 
Task: {A8DD2BF8-32F7-4DBC-ABC2-745340D685A1} - pas de chemin du fichier. 
Task: {AB8A6B04-CD82-40C5-B7B5-4AAAE35E5658} - pas de chemin du fichier. 
Task: {AC628518-2566-404E-A90B-6ABFC7DA8DB6} - pas de chemin du fichier. 
Task: {B015B82C-7152-4F71-87B2-7D48547B2286} - pas de chemin du fichier. 
Task: {BC29534F-6FEB-46B2-A241-471E271AA030} - pas de chemin du fichier. 
Task: {CC4D6494-16BF-4950-A195-F14600C64F34} - pas de chemin du fichier. 
Task: {CD38AD7C-E033-460D-A571-5E222451054C} - pas de chemin du fichier. 
Task: {CD963B97-08C6-4966-9562-9B8C80415427} - pas de chemin du fichier. 
Task: {D7A79AC5-09E9-4CD1-BABE-5786FA410F5A} - pas de chemin du fichier. 
Task: {DB686DEC-7487-4D19-90AC-E850F325091F} - pas de chemin du fichier. 
Task: {F4776E5A-959B-432B-8C4E-EC5C09A71C64} - pas de chemin du fichier. 
Task: {FED83FB9-A985-4BA2-9A81-40B4A1A6B4CE} - pas de chemin du fichier. 
Task: {FEF195F8-A3CE-471D-A990-5B779F72F710} - pas de chemin du fichier. 
AlternateDataStreams: C:\Windows\Temp:A96ECA9E [48]
AlternateDataStreams: C:\Windows\Temp:DeviceUUID [64]
AlternateDataStreams: C:\Users\quent:Heroes & Generals [38]
AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5154]
AlternateDataStreams: C:\ProgramData\ntuser.dat:D4F6BC83AF [5154]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG1:94949E25BC [5154]
AlternateDataStreams: C:\ProgramData\ntuser.dat.LOG2:CCE2DBB696 [5154]
AlternateDataStreams: C:\ProgramData\ntuser.dat{9eb912be-a5f4-11ec-b606-d8bbc1565af5}.TM.blf:79BA6EE48C [5154]
AlternateDataStreams: C:\ProgramData\ntuser.dat{9eb912be-a5f4-11ec-b606-d8bbc1565af5}.TMContainer00000000000000000001.regtrans-ms:1A8710E50F [5154]
AlternateDataStreams: C:\ProgramData\ntuser.dat{9eb912be-a5f4-11ec-b606-d8bbc1565af5}.TMContainer00000000000000000002.regtrans-ms:983F99143D [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AZ Launcher - Minecraft.lnk:EE97536411 [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5 Multi-Instance Manager.lnk:35C0D57199 [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BlueStacks 5.lnk:088221F38A [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Camo Studio.lnk:71E7D1430C [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink Notification Center.lnk:E455A39848 [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CyberLink PowerDirector 365.lnk:5F53DC88AF [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:C8B6D970BF [5154]
AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky VPN.lnk:D9AE717392 [5154]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [6818]
AlternateDataStreams: C:\Users\quent\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\quent\Application Data:dc2fbb8b303cabdec52ed28927f75974 [394]
AlternateDataStreams: C:\Users\quent\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\quent\AppData\Roaming:dc2fbb8b303cabdec52ed28927f75974 [394]
C:\Users\quent\Desktop\sr-beerfactory.iso
cmd: netsh advfirewall reset
End::

3- Une fois le script copié clique sur Corriger, FRST prend automatiquement le script qui est dans le presse-papier.
 


Laisse la correction se faire une fois qu'elle est terminée il te sera demandé de redémarrer ton pc, fait-le dès que cela te sera demandé, voir ci-dessous.

Puis une fois ton ordinateur redémarré :
4- Tu auras un fichier Fixlog sur ton bureau ensuite envoie ce rapport fixlog sur https://www.cjoint.com/ ou https://pixeldrain.com/ 
 

Puis donne le lien généré par https://www.cjoint.com/ ou https://pixeldrain.com/ dans ta réponse.

5- VÉRIFIE ET DIS-MOI SI TON PROBLÈME EST TOUJOURS PRÉSENT.
0
Qu3nt1n. Messages postés 9 Statut Membre
 

Hello Bazfile, 

Comment vas-tu ? 

Merci pour ton retour ! Je n'ai pas accès à mon pc jusqu'à lundi, je vais donc faire ça dès que possible. 

Encore merci pour ton aide et pour ton temps accordé. 

Bon weekend à toi ! 

Quentin

0
bazfile Messages postés 60854 Statut Modérateur, Contributeur sécurité 19 831 > Qu3nt1n. Messages postés 9 Statut Membre
 

Bon week-end également.

0