Virus:Win32/Grenam.A - Renamer.Virus.FileInfector.DDS et ground.exe [résolu]

[sam]

Bonjour,

J ai pris un crack d'un petit jeux vidéo (the house of the dead) pour le tester sur un site normalement fiable.
Je suis un peu insouciant.
En l installant Windows defender m a averti d un problème de sécurité. J'ai cru a un faux positif, il était tard et j ai lancer l'exe sans trop réfléchir.
Après ça j ai remarquer un fichier ground.exe dans mon gestionnaire de tache, je l ai effacer, sauf qu'il a eu le temps de me remplacer tout mes fichier exe et de cacher les originaux avec la lettre g devant.

Donc je lance un scan Windows defender qui me trouve un virus Virus:Win32/Grenam.A sur les fichier exe remplacer.
Je lance Malwarebytes Anti-Malware (MBAM) qui me trouve Renamer.Virus.FileInfector.DDS comme infection, mis en quarantaine puis effacer.
J ai effacer mon disque dur C et j ai restaurer une image système saine.
Le problème qu il me reste est que j ai 3 disques dur ou le virus m a changer les exes et qui sont donc infecter.
J'ai effacé tous les exes infecter avec les option pour démasqué les fichier système Windows.
Avec tout ça j ai l impression de toujours être infecter. Je peux me refaire infecter avec les disque dur de mon pc? Comment vérifier ces disques dur sans perdre mes données?
Merci d avance pour toute aide.

[Malekal_morte]

Salut,

Virus:Win32/Grenam.A est un virus de compagnon écrit à Delphi, soit 534 016 octets de taille, et infecte des fichiers avec des extensions .EXE.
La nature exacte des virus de compagnon varie; Ce virus particulier remplace les fichiers de programme légitimes avec une copie de lui-même, puis lorsqu'un utilisateur infecté exécute le programme, le virus fonctionne également.

~~

Faut voir si tu peux désinfecter chaque exécutable et éradiquer complètement le système...
Par exemple avec : https://www.malekal.com/supprimer-virus-kaspersky/

~~

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Attendre la fin du scan, un message indique que l'analyse est terminée.
Télécharge et lance le scan FRST,

Trois rapports FRST seront générés :
* FRST.txt
* Shortcut
* Additionnal.txt

Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

(Les liens bleus mènent à des tutoriels explicatifs pas à pas, clic dessus pour avoir les instructions plus précises à suivre).

[sam]

Salut,

Merci pour ta réponse,je suis en train de scanner tout le système et mes disques dur avec virus removal tool mais avec 4to de données ça va être long )=
Pour l instant tous les scans que j ai fait avec windows defender et malwarebytes me disent que tout va bien.C est possible qu ils puissent passer à coter?
Je ne comprend pas comment fonctionne ces virus de type worm.Si je ne clique sur aucuns des exécutables malveillant, peuvent t ils quand même agir sur mon pc?
Avant de réinstaller mon image windows 10 hier ,quand je supprimais tous les fichiers infecter windows defender me marquait une alerte juste en ouvrant un dossier qui avait un exe modifier a l intérieur et me marquait Virus:Win32/Grenam.A actif.

[sam]

Je viens de lancer le logiciel Rem-vbsworm,je poste le résultat, je ne suis pas assez fort en informatique pour comprendre si il y a un problème ou non...
Il marque Possible Andromeda/Gamarue infection, c est pas bon signe j imagine )=

Rem-VBSworm v8.0

=========== - General info:

Running under: samae on profile: C:\Users\samae
Computer name: DESKTOP-L8L30FM

Operating System:
Microsoft Windows 10 Professionnel

Boot Mode:
Normal boot

Antivirus software installed:
Windows Defender

Malwarebytes


Executed on: 15/05/2022 @ 12:16:44,00

=========== - Drive info:

Listing currently attached drives:
Caption Description VolumeName

C: Disque mont‚ local

D: Disque mont‚ local Stockage pc

E: Disque mont‚ local Ultrafast

F: Disque CD-ROM

G: Disque mont‚ local programmes et jeux video

H: Disque mont‚ local jeux fast load

J: Disque mont‚ local WDMB 4To

L: Disque CD-ROM




Physical drives information:
C: \Device\HarddiskVolume9 NTFS
D: \Device\HarddiskVolume4 NTFS
G: \Device\HarddiskVolume2 NTFS
E: \Device\HarddiskVolume10 NTFS
H: \Device\HarddiskVolume6 NTFS
J: \Device\HarddiskVolume11 NTFS

=========== - Disinfection info:

Op‚ration r‚ussieÿ: le processus "rundll32.exe" de PID 6344 a ‚t‚ arrˆt‚.
Op‚ration r‚ussieÿ: le processus avec PID 12688 a ‚t‚ termin‚.
Op‚ration r‚ussieÿ: le processus avec PID 12508 a ‚t‚ termin‚.
Op‚ration r‚ussieÿ: le processus avec PID 5364 a ‚t‚ termin‚.

Informationÿ: aucune tƒche en service ne correspond aux critŠres sp‚cifi‚s.

=========== - Shortcut info:

Shortcut: "C:\Users\samae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DS4Windows.lnk"
----------------------------------------------------------------
Shortcut: "C:\Users\samae\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk"
----------------------------------------------------------------

=========== - Scheduled tasks info:

Commentaire: Collecteur d'informations r‚seau

=========== - USB drive info:

J: selected

USB Device ID:
SCSI\DISK&VEN_NVME&PROD_KINGSTON_SA2000M\5&2E6AFE8D&0&000000

SCSI\DISK&VEN_NVME&PROD_PNY_CS2130_1TB_S\5&4D0EA3&0&000000

SCSI\DISK&VEN_PNY&PROD_CS900_480GB_SSD\4&2D010F8D&0&030000

USBSTOR\DISK&VEN_WD&PROD_ELEMENTS_25A3&REV_1019\574343374B374E5636333952&0

SCSI\DISK&VEN_WDC&PROD_WDS500G2B0A-00SM\4&2D010F8D&0&000000

SCSI\DISK&VEN_&PROD_ST3000DM007-1WY1\4&2D010F8D&0&020000




Fichier supprim‚ - J:\$RECYCLE.BIN\S-1-5-21-668399905-1853566478-3995270993-1001\$I7FCFVP.lnk
Fichier supprim‚ - J:\mod skyrim\gta back up\epic\OpenIV.lnk
Fichier supprim‚ - J:\mod skyrim\Fallout 4\Papyrus Compiler\ScriptCompile.bat
Fichier supprim‚ - J:\mod skyrim\Fallout 4\Papyrus Compiler\ScriptCompileRelease.bat
Fichier supprim‚ - J:\mod skyrim\Fallout 4\Papyrus Compiler\ScriptCompileReleaseFinal.bat
Fichier supprim‚ - J:\mod skyrim\skyrim lastback up\lod defauttest\backup clothesland\clothesland merge\merge\clothesland-Copy.bat
Fichier supprim‚ - J:\mod skyrim\skyrim lastback up\Skyrim Special Edition\Papyrus Compiler\ScriptCompile.bat
Fichier supprim‚ - J:\mod skyrim\skyrim lastback up\Skyrim Special Edition\Tools\HavokBehaviorPostProcess\UpgradeHavokBehavior.bat
Fichier supprim‚ - J:\iso jeu video\star wars battlefront 2\autorun.inf
WARNING... Possible Andromeda/Gamarue infection...
Listing root contents of J:
Le volume dans le lecteur J s'appelle WDMB 4To
Le num‚ro de s‚rie du volume est 684E-4CFB

R‚pertoire de J:\

07/06/2016 09:48 114ÿ176 Rem-VBSworm.exe
21/07/2018 17:27 <DIR> Recovery
21/07/2018 17:27 <DIR> MSOCache
25/03/2019 15:34 <DIR> dead or alive 6
09/01/2020 19:48 40 setting.ini
16/06/2020 15:52 <DIR> Program Files
07/10/2020 02:57 <DIR> WindowsApps
15/06/2021 23:20 <DIR> msdownld.tmp
26/09/2021 15:40 <DIR> WindowsImageBackup
11/11/2021 21:55 <DIR> mod skyrim
14/05/2022 01:25 <DIR> $RECYCLE.BIN
14/05/2022 01:37 <DIR> jeu video
14/05/2022 02:08 <DIR> titan 2
14/05/2022 02:08 <DIR> vampyr
14/05/2022 02:10 <DIR> xcom 2
14/05/2022 20:44 <DIR> metro exodus
15/05/2022 00:32 296 WMPInfo.xml
3 fichier(s) 114ÿ512 octets
21 R‚p(s) 2ÿ425ÿ419ÿ350ÿ016 octets libres

USB drive disinfected and files unhidden

[sam]

Voici les liens FRST

https://pjjoint.malekal.com/files.php?i ... z8f9k15x14
https://pjjoint.malekal.com/files.php?i ... 10x15g11d8
https://pjjoint.malekal.com/files.php?i ... e13x13d6q7

[Malekal_morte]

Faudrait faire le scan avec Kaspersky Removal Tool.

~~

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2022-05-15] () <==== ATTENTION [zéro octet Fichier/Dossier]
HKLM\...\RunOnce: [14460054-a431-411a-b26f-7d1d45d352ee] => "C:\Users\samae\AppData\Local\Temp\{3a20bb24-41b5-42a5-a7ac-259275ffedac}\14460054-a431-411a-b26f-7d1d45d352ee.cmd" (Pas de fichier) <==== ATTENTION
Reboot:
End:

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)

[sam]

Merci de prendre du temps pour moi
Voici le log

ésultats de correction de Farbar Recovery Scan Tool (x64) Version: 11-05-2022
Exécuté par samae (15-05-2022 18:44:59) Run:1
Exécuté depuis C:\Users\samae\Desktop
Profils chargés: samae
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
Start:
CloseProcesses:
CreateRestorePoint:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt [2022-05-15] () <==== ATTENTION [zéro octet Fichier/Dossier]
HKLM\...\RunOnce: [14460054-a431-411a-b26f-7d1d45d352ee] => "C:\Users\samae\AppData\Local\Temp\{3a20bb24-41b5-42a5-a7ac-259275ffedac}\14460054-a431-411a-b26f-7d1d45d352ee.cmd" (Pas de fichier) <==== ATTENTION
Reboot:
End:
*****************

Processus fermé avec succès.
Le Point de restauration a été créé avec succès.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt => déplacé(es) avec succès
"HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\\14460054-a431-411a-b26f-7d1d45d352ee" => non trouvé(e)


Le système a dû redémarrer.

==== Fin de Fixlog 18:45:10 ====

[sam]

Salut,du coup l HKLM non trouvé c est bon signe?Vous pensez que mon pc est toujours infecté ou c est bon?
Merci.

[Malekal_morte]

Tu as utilisé Kaspersky Removal Tool ?
Il détecte encore des choses ?

[sam]

oui,je l ai utiliser il detecte rien sur mon disque windows mais j ai pas continuer sur mes autres disques dur, c est beaucoup trop long,apres 4 heures d analyse sur les autres disques j ai arreter l analyse,il n avait rien detecter.
j avais pas beaucoup de .exe sur les autres disques c etait surtout de la musiques et des films.J ai effacer tous les .exe des disques externe et j ai reinstaller windows 10 a zero.

J ai aussi fait un check avec usbfix qui me dit que tout va bien.
J ai lancer process explorer avec virustotal,il trouve rien a part process explorer.exe
Je vais maintenant lancer hitmanpro.

Le log que j ai laissé est bon?

[Malekal_morte]

Si tu as réinstallé Windows, tu as supprimé le virus.
Si tu n'as gardé aucun exécutable infecté, tu ne devrais pas le réinstaller.

Pour terminer, à lire : que faire après une attaque de virus informatique.
Change tes mots de passe et suis les instructions pour la bonne conduite pour ne plus te faire infecter.

Pour éviter les virus, il faut savoir comment les pirates s'y prennent pour infecter les ordinateurs : Comment les virus informatiques sont distribués
Enfin pour protéger ton PC : Comment protéger son PC des virus et des pirates ?