Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Natho le mai 29, 2016, 08:03:39
-
Bonjour,
Je viens de faire un scan avec '' microsoft safety scanner'' ( suite à un fonctionnement devenu lent du PC)
2 trojans ont été détecté (Win32/Itspro!gmb et Win32/Lilod.A)
Aprés détection le message a été : Trojan partiellement supprimé: question que faut il faire pour que ces Trojan soient complètement supprimé ?
Est-ce un probléme si ces virus ne sont pas totalement supprimé ?
j'ai comme antivirus : FSecure Internet Secrity ? qui semble ne pas avoir bloqué ces virus.
Je suis sous windows 10 aprés avoir été à l'origine sous wondows8 - systeme 64 bits
Merci de votre aide
Gérard
http://www.radiocountryfamily.info/doc/Trojans.png
-
Bonsoir
On va utiliser un outil de diagnostique que tu connais ...
/!\ Ne passe l'outil qu'une seule fois afin de ne pas fausser le rapport /!\
choisis ci-dessous la version compatible avec ton système (32 bits ou 64 bits)
Clique sur ce lien si tu ne sais pas: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
et, Important, Enregistre FRST sur ton Bureau
- Télécharge FRST 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/) de Farbar
- Télécharge FRST 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/) de Farbar
Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer
/!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
- A la fin du scan, un rapport FRST.txt s'ouvre.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt
- Héberge ces rapports sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs
*****
tu as donc deux rapports à fournir
--> FRST.txt
--> Addition.txt
-
Voici les deux fichiers
Addition
https://up.security-x.fr/file.php?h=Rf850c7ab4bd8b8df5b146db9a195ecc3
FRST
https://up.security-x.fr/file.php?h=R88e56ee6395e0efbe79c880ac080b9d9
Merci
Gérard
-
re
peux tu faire analyser le fichier WDPABKP.dat
--> Va sur VirusTotal (https://www.virustotal.com/)
--> Clique sur Choisir un fichier (pour chercher le fichier à analyser)
--> Sélectionne le fichier à analyser en suivant le chemin --> C:\WINDOWS\SysWOW64\WDPABKP.dat
--> Clique sur Analyser!
Note: Si le fichier a déjà été analysé, clique sur Re-analyser
Copie-colle l'url affichée dans la barre d'adresse et poste la dans ta prochaine réponse
***
Ensuite:
Désinstalle via Panneau de configuration -> Désinstaller un programme: (si un programme ne veut pas se désinstaller ou bien absent de la liste, passes à la suite)
--> simpliclean (scareware (http://assiste.com/Scareware.html))
--> Java 8 Update 71 (pas à jour = faille de sécurité)
***
Tu utilises UseNeXT ? c'est à dire, as tu créer un compte lié à ta carte bancaire ?
Tu utilises Memeo ?
***
FRST - Correctif :
fais un couper/coller de FRST pour le placer sur ton bureau
une fois fait:
- Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
- Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes
--> de start inclus dans le copié à end inclus dans le copié
start
CreateRestorePoint:
CloseProcesses:
Task: {2611E1E3-0CFC-47AE-8C2E-083F6A277F56} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Pas de fichier <==== ATTENTION
Task: {2CF9BF46-9BB1-4F88-9D75-A456EDCE0C0D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Pas de fichier <==== ATTENTION
Task: {34340909-1A07-47C1-83ED-022D70E703A6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Pas de fichier <==== ATTENTION
Task: {44778DF1-8D67-4D8F-AAF0-CE6521868FAA} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Pas de fichier <==== ATTENTION
Task: {637B213A-BEB5-4A7A-A7B5-D2A9EA1FDF81} - System32\Tasks\Power Suite (Tray) => C:\Program Files (x86)\simplitec\simpliclean\ServiceProvider.exe [2015-02-03] (simplitec GmbH)
Task: {64176C03-8BA0-49EE-AA73-3352A019D5A1} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Pas de fichier <==== ATTENTION
Task: {6CD7A3B0-66EE-4242-AAFD-73A78765B16C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Pas de fichier <==== ATTENTION
Task: {7D85AF2F-FB0B-47FD-A8C1-C5B925D51442} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Pas de fichier <==== ATTENTION
Task: {84CF3AB6-2858-4AF3-94F7-B2BAF4DB366D} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Pas de fichier <==== ATTENTION
Task: {AE728E97-610D-4810-8FCD-B6E728E88EF1} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Pas de fichier <==== ATTENTION
Task: {AE8FF0C2-B4E6-4968-AF65-0B54D3DB2BBD} - System32\Tasks\Power Suite => C:\Program Files (x86)\simplitec\simpliclean\PowerSuite.exe [2015-02-03] (simplitec GmbH)
Task: {B002EEFF-C1AF-4ED7-B733-F1AD515E00CE} - \CCleanerSkipUAC -> Pas de fichier <==== ATTENTION
Task: {BCBF8113-71EA-4771-BC5B-D5C5B2E3FEED} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Pas de fichier <==== ATTENTION
Task: {BD61E5DA-9B2C-4C32-94D2-6E0C06AAB5BB} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Pas de fichier <==== ATTENTION
Task: {C23CEE94-24F9-45A9-971C-C3CBD988AC7F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Pas de fichier <==== ATTENTION
Task: {DEDD9720-FAD0-42AF-965D-24771F74B0AF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Pas de fichier <==== ATTENTION
Task: C:\WINDOWS\Tasks\Power Suite (Tray).job => C:\Program Files (x86)\simplitec\simpliclean\ServiceProvider.exe
Task: C:\WINDOWS\Tasks\Power Suite.job => C:\Program Files (x86)\simplitec\simpliclean\PowerSuite.exe
FirewallRules: [{576625BE-EE81-4F7E-A2CB-9889983FC806}] => (Allow) C:\Program Files (x86)\simplitec\simpliclean\PowerSuite.exe
FirewallRules: [{B2AE9655-8371-46E1-8E08-9A6580B876A3}] => (Allow) C:\Program Files (x86)\simplitec\simpliclean\PowerSuite.exe
FirewallRules: [{BDBA8A31-C7CF-462F-B56C-07F9FF9958D1}] => (Allow) C:\Program Files (x86)\simplitec\simpliclean\ServiceProvider.exe
FirewallRules: [{4AC42375-BBEC-4E21-B6D1-8BA0C0B87564}] => (Allow) C:\Program Files (x86)\simplitec\simpliclean\ServiceProvider.exe
FirewallRules: [{5C1DAECE-3945-49A2-A340-1A73B190A121}] => (Allow) C:\Program Files (x86)\simplitec\simpliclean\ServiceProvider.exe
FirewallRules: [{56ECE4B5-D098-48A7-AD1C-84CC334F5E84}] => (Allow) C:\Program Files (x86)\simplitec\simpliclean\ServiceProvider.exe
FirewallRules: [{E379A14D-9C63-4705-A558-A0BD7D3334D6}] => (Allow) C:\Program Files (x86)\simplitec\simpliclean\ServiceProvider.exe
FirewallRules: [{305B4B91-D289-4BFE-9236-4C64D8077ED5}] => (Allow) C:\Program Files (x86)\simplitec\simpliclean\ServiceProvider.exe
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-2807486580-4053390095-1347264516-1001\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-2807486580-4053390095-1347264516-1001\...\Policies\system: [DisableChangePassword] 0
SearchScopes: HKLM -> DefaultScope la valeur est absente
SearchScopes: HKLM-x32 -> DefaultScope la valeur est absente
U3 idsvc; pas de ImagePath
U3 wpcsvc; pas de ImagePath
2016-05-22 14:29 - 2016-04-22 07:03 - 00000448 _____ C:\WINDOWS\Tasks\Power Suite (Tray).job
2016-05-11 08:21 - 2016-04-22 07:02 - 00000394 _____ C:\WINDOWS\Tasks\Power Suite.job
C:\Program Files (x86)\simplitec
EmptyTemp:
end
- Enregistre le fichier au même endroit que FRST= ton bureau /!\Important/!\ sous le nom fixlist.txt
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 , 8.1 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Sur le menu principal, clique une seule fois sur Corriger et patiente le temps de la correction
- L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.
Redémarre ton ordinateur s'il ne le fait pas automatiquement
Héberge ce rapport sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\
***
deux rapports attendus:
--> Lien de VirusTotal pour WDPABKP.dat
--> Fixlog.txt
-
Bonsoir,
Impossible de trouver le chemin '' C:\WINDOWS\SysWOW64\WDPABKP.dat '' le message est , vous de disposez pas des droits administrateur
Bien supprimé '' Java 8 Update 71 ''
Impossible de supprimer '' simpliclean ''
Oui, j'utilise UseNeXT , j'ai crée un compte avec ma carte bancaire , faut-il supprimer cela au niveau carte ?
C 'est quoi '' Memeo ''
J 'ai fait le couper/coller de FRST sur mon bureau
Fait '' fixlist.txt '' et placé sur le bureau
Mis en oeuvre de FRST.exe et clic sur '' Corriger '' , le PC ne réagit plus ( blocage ) est ce que je fais un arrêt et j 'attends ?
merci de ton éclairage
Gérard
-
Bonjour j'ai éteint et relancer le PC.
Essayé à nouveau d'utiliser ''virus total'' je te met en fichier joint les messages, je dois faire une mauvaise manip lorsque la sélection du ficher '' C:\WINDOWS\SysWOW64\WDPABKP.dat
A te lire, merci de ton aide
Gérard
http://www.radiocountryfamily.info/doc/WDPABKP.jpg
http://www.radiocountryfamily.info/doc/virus total.png
-
je viens de réussir ce matin sans blocage ??? et voici le lien pour le fichier fixlist.txt
https://up.security-x.fr/file.php?h=R159f37d269518f99e19ff3a5c74a062a
Bonne journée
Gérard
-
re
je ne pouvais pas répondre avant, désolé
ok pour le fixlog
comment se comporte ton système ?
***
Le lien de VirusTotal n'est pas valide, peux tu essayer une nouvelle fois ? sauf si le résultat l'indique comme clean
***
Tu peux installer la dernière version de java (https://www.java.com/fr/download/)
***
simpliclean ne doit plus être dans la liste des programmes
Concernant UseNeXT, les difficultés semblent commencer au moment de vouloir résilier l'abonnement ... (c'est juste pour prévenir)
Pour Memeo (http://memeo.com/home-solutions/memeo-premium-backup/), il peut être une des causes du ralentissement
-
Bonsoir,
Pas de probléme pour le retard de ta réponse, tu fais comme tu le peux et c 'est bien de rendre service dans cette '' jungle '' informatique, surtout pour les novices comme moi.
Je n'arrive pas à exploiter correctement le lien de Virus Total ( impossible de valider dans la fenêtre '' choisir un fichier.. C:\WINDOWS\SysWOW64\PABKP.dat
Je fais un copier/coller de ce chemin dans la fentére, on me dit que l'URL est invalide............. et par l'option '' choisir un fichier , le message est : Vous n'avez pas l'autorisation d'ouvrir ce fichier............. Alors je ne sais pas comment faire, désolé...........
J 'ai installé la dernière version de Java
Supprimé Simpliclean
Supprimé Memeo
Merci pour l'info concernant Usenext ( me sert que pour quelques album d'artistes liés à la country music )
Le pc semble réagir plus correctement.
Je vais faire un don , car les services rendus méritent bien cela . Merci encore
Gérard
-
re
laisse faire pour wdpabkp.dat, je pense qu'il est lié à Western Digital
vois durant deux/trois jours pour voir si ton ordinateur se comporte mieux, et tiens moi au courant
-
Ok, merci, je te tiens au courant
Cordialement
-
Bonsoir,
Il semble que le PC fonctionne correctement.
Merci pour l'aide.
-
re
très bien, on finalise
--> Installe la dernière version de java (https://www.java.com/fr/download/)
***
Télécharge DelFix (https://toolslib.net/downloads/finish/2/) (de Xplode) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
(Utilisateur de Vista/Windows 7/windows 8.1, faites un clic droit -> "Exécuter en tant qu'administrateur")
- laisse l'option "Supprimer les outils de désinfection" cochée
- coche aussi l'option "Purger la restauration système" <-- /!\ important /!\
- Clique sur le bouton "Exécuter"
- Laisse travailler l'outil.
Le rapport est enregistré à la base de ton disque dur, (C:\DelFix.txt généralement)
copie/colle simplement le rapport dans ton prochain message
***
Tu es la meilleure protection pour ton pc , en suivant quelques conditions:
--> /!\ Tenir à jour son système /!\ (windows, navigateurs, java, Adobe Reader, Flash player, etc ...)=> Qu'est-ce qu'une faille de sécurité? (http://www.secuser.com/faq/securite/#faille_securite)
--> D'une manière générale, vérifier/décocher les cases (http://forum.security-x.fr/tutoriels-317/installation-d%27une-application-sponsorisee-les-pieges-a-eviter) qui proposent d'ajouter des logiciels additionnels dans les programmes d'installation , lire ici aussi (http://forum.security-x.fr/securite-generale/stop-la-pub/)
--> P2P (http://assiste.com/Risque_juridique_de_complicite_passive_de_l_Internaute.html), crack, keygen .... <= Attention ... (http://forum.malekal.com/danger-des-cracks-t893.html)
--> Il faut éviter de télécharger des applications sur des plateformes comme Softonic et O1.net (ou toute autre plateforme, sans faire une recherche préalable sur le site en question) qui repackent les logiciels et les redistribuent avec des indésirables, tout simplement pour gagner de l'argent, alors que l'auteur de l'application la distribue gratuitement.
/!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur /!\
--> /!\ Sauvegarder ses données /!\ régulièrement (photos, documents,etc ...) sur un autre support (DVD, disque dur externe ...) avant qu'il ne soit trop tard (ordinateur qui tombe en panne, malware de type Ransomware (http://assiste.com/Ransomware.html), ...etc...) .... ou bien faire des images systèmes régulières