Pour demander de l'aide, vous devez vous créer un compte et vous connecter. Utilisez les boutons sociaux ci-dessous depuis ce lien : S'inscrire sur le forum
Plus d'informations : Comment demander de l’aide sur le forum

Infection ou séquelles

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

PapDuc
newbie
newbie
Messages : 11
Inscription : 15 janv. 2020 11:51

Infection ou séquelles

Message par PapDuc »

Bonjour,
(toutes mes excuses à Angélique que j’avais par ignorance contactée directement)

J’ai un ordinateur Windows 7 Dell /I5/ 64b / antivirus McAfee LiveSafe. Il a un certain âge, est maintenant poussif avec des problèmes de souris, des bugs divers, notamment d’affichage mais aussi blocage complet nécessitant un redémarrage sauvage. Récemment est apparu un blocage de Malwarebytes, difficile à désinstaller et qui réinstallé s’interrompt en cours de traitement avec une fenêtre disant qu’il va redémarrer… en boucle ! Par ailleurs, 2 fenêtres « errorlog » vides reviennent à chaque ouverture de l’ordi.
J’ai pratiqué un certain nombre d’opérations de nettoyage de ce qui doit être une infection malware USB : McAfee (0), antivirus en ligne ESET (3 menaces), Rogue killer (9 menaces) en supprimant chaque fois qu’on me le demandait, le tout suivi d’un scan FRST.
J’ai « traité » mes diverses clé USB et mon disque dur externe (WD My Passeport) par Remediate-VBS, tout cela en restant frustré du manque d’explication concernant la réalité ou non du nettoyage ainsi que la façon de lire les rapports Rem-VBS ou FRST.
Je lis : « Warning… possible Androma/gamarue infection… » ( ?!) sur le log Rem-VBS du DD externe sans comprendre s’il reste des fichiers infectés et lesquels. Quant aux rapports FRST, mystère total ! Existe-t-il toujours un virus ou des séquelles de son passage ?
Je me permets donc de solliciter votre aide avec l’objectif :
1) D’une part d’être sûr de nettoyer correctement ordinateur et disque dur externe afin de pouvoir au moins récupérer en sécurité une partie des fichiers et les passer sur un autre support.
2) Comprendre si possible ce qu’on aura fait, moi de façon ignorante et vous avec l’expérience nécessaire.

Merci
P.
Nb : Vu les difficultés que je connais à la pratique pour la première fois d’un forum, je crains n’être pas arrivé !...
J’ai enfin trouvé le site « pjjoint » et espère passer les rapports FRST (trop long) et Rem-VBS… à suivre.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30548
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: Infection ou séquelles

Message par angelique »

Bonjour/Bonsoir,
  • Télécharge sur ton Bureau pas ailleurs FRST.EXE:



    La page de téléchargement : le tutoriel FRST ou FRST



    !! Placez le programme sur le bureau et pas ailleurs!!
  • Exécute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
    Le scan se lance, les éléments scannés apparaissent en haut.

    -------------
  • Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )

    -------------

    Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

PapDuc
newbie
newbie
Messages : 11
Inscription : 15 janv. 2020 11:51

Re: Infection ou séquelles

Message par PapDuc »

Re Bonjour,
je n'en sors pas avec "pjjoint"!

Tu trouveras ici (je l'espère) les liens vers:
FRST : https://pjjoint.malekal.com/files.php?i ... 14y9h7i5m5 (raccourci, trop long pour le système : plusieurs pages de sigles incompréhensibles coupés dans documents.
Addition : https://pjjoint.malekal.com/files.php?i ... p12b6i14i5
Rem_VBS : https://pjjoint.malekal.com/files.php?i ... 11o7s14j11
Rem_VBSqt : https://pjjoint.malekal.com/files.php?i ... 5o6m8i12j8
Ces deux derniers log ont été obtenu hier après Remediate-VBS

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30548
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: Infection ou séquelles

Message par angelique »

Bonjour/Bonsoir


.1èrement sur E:\Mes Documents\TÃÃââ........ ça fait penser à une corruption du système de fichier sur E:\

Lit cette page très bien expliqué , il faudra effectuer un checkdisk de E: ➯ viewtopic.php?t=51734


.2èmement sur R‚pertoire de K:\ ton support USB , tu peux supprimer:

Lupas.exe

Autorun.inf

.3émement

Image Télécharge à coté de FRST64.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

➯ Relance FRST(clic droit exécuter en tant qu'administrateur) et clic sur le bouton corriger/fix
Un redémarrage peut être nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message avec ton commentaire.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\
Pièces jointes
fixlist.txt
(4 Kio) Téléchargé 9 fois
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

PapDuc
newbie
newbie
Messages : 11
Inscription : 15 janv. 2020 11:51

Re: Infection ou séquelles

Message par PapDuc »

Bonjour Angelique,
Correction fixlist faite sans soucis, je m’en étonne moi-même !
Merci
Actuellement :
- Pas de double « error log » mais je n’en ai pas eu non plus au démarrage ce matin.
- Malwarebytes Anti-Malware (MBAM) (gratuit) bloque encore mais cette fois à 1’40s au lieu de 40s avant.
- RogueKiller ne trouve pas de menace alors qu’hier il y avait encore une menace dans le registre concernant Malwaresbyres. À noter 8 logiciels périmés mais ç’est sûrement vieux comme eux.
- Durant mes diverses manœuvres avec « pjjoint », encore un blocage affichage-souris avec la notification genre : « Le pilote d’affichage ne répondait plus et a été récupéré », mais c’est ancien aussi …

Ça à l’air pour le reste de fonctionner et faute d’avoir tout fouillé dans le E:/ qui paraît suspect (hiéroglyphes), je ne vois pas comment l’expliquer car il est rare que l’USB ne soit pas reconnu et plutôt qu’arracher le support je préfère redémarrer l’ordi. Le contenu d’une des clés avait pourtant une partie de ses fichiers corrompus…

Donc « infection ou séquelles » ?
Ce qui me soucie surtout c’est de savoir si je peux transférer sans soucis une partie des fichier naccessibles dans E:/ ou du disque dur externe dont je te renvoie le rapport Rem-VBS_dd_17 ainsi que celui, Rem-VBS_17 d’une clé où il il a des fichiers à récupérer. Je ne sais toujours pas ce que signifie l’alerte :
« Warning… possible Andromeda / Gamarue infection , traitée ou non et dans ce cas, quels sont les fichiers suspects à éviter, traiter ou broyer.
J’espère ne pas emboliser tout ton temps et j’admire la patience qu’il doit falloir dans ton job !
Merci de ces éclaircissements
P.

NB suite pjjoint:

Rem-VBS_dd_17
https://pjjoint.malekal.com/files.php?i ... 3t11n13d13
Rem-VBS_17
https://pjjoint.malekal.com/files.php?i ... 12x5w7q6f9

Malekal_morte
Site Admin
Site Admin
Messages : 102804
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infection ou séquelles

Message par Malekal_morte »

PapDuc a écrit :
17 janv. 2020 15:20
Ça à l’air pour le reste de fonctionner et faute d’avoir tout fouillé dans le E:/ qui paraît suspect (hiéroglyphes), je ne vois pas comment l’expliquer car il est rare que l’USB ne soit pas reconnu et plutôt qu’arracher le support je préfère redémarrer l’ordi. Le contenu d’une des clés avait pourtant une partie de ses fichiers corrompus…
Ouaip le système de fichiers a pris un coup.
Voir : viewtopic.php?t=51734
« Warning… possible Andromeda / Gamarue infection , traitée ou non et dans ce cas, quels sont les fichiers suspects à éviter, traiter ou broyer.
J’espère ne pas emboliser tout ton temps et j’admire la patience qu’il doit falloir dans ton job !
Il ne faut pas tenir compte de ce message.
Image

Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Les tutoriels Windows 10 du moment : Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30548
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: Infection ou séquelles

Message par angelique »

Sur J: tu as le fichier Autorun.inf à supprimer

POur Malwarebytes Anti-Malware (MBAM) il a peut être du mal à fonctionner avec McAfee comme résident

tu peux supprimer C:\FRST et les rapports frst
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

PapDuc
newbie
newbie
Messages : 11
Inscription : 15 janv. 2020 11:51

Re: Infection ou séquelles

Message par PapDuc »

Bonjour Angélique,
Merci de ton message car je reste perplexe. Entretemps j’ai plusieurs fois essayé de désinstaller réinstaller Malwarebytes qui bloque toujours en cours de scan et demande à redémarrer… en boucle.
J’ai essayé d’exclure Mbam de McAfee, mais idem.
J’ai supprimé tous les fichiers FRST et Rem-VBS.
Je vais maintenant réessayer de désactiver complètement McAfee
A suivre

PapDuc
newbie
newbie
Messages : 11
Inscription : 15 janv. 2020 11:51

Re: Infection ou séquelles

Message par PapDuc »

Re Bonjour,
Malwarebytes bloque toujours même en désactivant McAfee. (J'ai d'ailleurs un autre ordinateur ou les deux cohabitent sans problème).
Tu m'avais rappelé qu'il y avait un autorun.inf sur mon support USB effectivement visible sur le rapport Rem-VSB que j'avais envoyé mais qui est introuvable sur l'explorateur, y compris en affichant les fichiers cachés...?
Tout ça ne m'encourage pas à transférer ce qui est récupérable sur un ordinateur propre.
Merci de ton avis
P.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30548
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: Infection ou séquelles

Message par angelique »

D'après ton gestionnaire d' événements , mbam est en erreur:

Error: (01/14/2020 04:40:58 PM) (Source: Application Error) (EventID: 1000) (User: )
Description: Nom de l’application défaillante MBAMService.exe, version : 3.2.0.874, horodatage : 0x5da8d87c
Nom du module défaillant : MBAMCore.dll, version : 3.0.0.943, horodatage : 0x5e0a445a
Code d’exception : 0xc0000417
Décalage d’erreur : 0x0000000000235afa
ID du processus défaillant : 0x1af4
Heure de début de l’application défaillante : 0x01d5caef42280e13
Chemin d’accès de l’application défaillante : C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe
Chemin d’accès du module défaillant: C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\MBAMCore.dll


Désinstalle le avec leur tool https://support.malwarebytes.com/docs/DOC-2674 voir si à sa réinstallation il fonctionne mieux.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

PapDuc
newbie
newbie
Messages : 11
Inscription : 15 janv. 2020 11:51

Re: Infection ou séquelles

Message par PapDuc »

Re, re Bonjour,
J'ai fait ce que tu m'as proposé avec l'outil MBAM. Désinstallation réinstallation et en désactivant McAfee et c'est la même chose, le scan s'arrêtant en cours de route.
D'autre part, sont réapparus à nouveau les 2 fichiers errorlog au démarrage
L'analyse par USBFix ne détecte rien ni dans l'ordi, ni dans le DD externe, ni dans mes clés USB. A noter que sur les rapports log il existe (clé et DD) un fichier autorun.inf invisible dans l'explorateur (même en fichier caché).
Enfin je constate que sur le site de téléchargement de Marmiton Download n'est pas accessible (site inaccessible, même en désactivant le pistage Firefox ainsi que McAfee.
Tout ça me laisse perplexe
Merci
P.

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30548
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: Infection ou séquelles

Message par angelique »

les fichiers errorlog doivent être au même endroit

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt

C:\Users\MIRQUETTE\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\errorlog.txt

il suffit de les supprimer.

--------

Regarde via une invite de commande si tu vois autorun.inf

tu y tapes et valide;

cd c:
dir /p

puis pour les supports usb, modifie la lettre en fonction

cd f:
dir /p

---------------

Pour marmiton le lien n'est plsu valable https://secuboxlabs.fr/outils/marmiton/ ... nstall.exe

par contre il y'a une version portable là http://easy.pc.blog.free.fr/public/Opti ... rmiton.rar

il suffit juste de décompresser l'archive ou vous le souhaitez, pour ensuite exécuter directement Marmiton.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

PapDuc
newbie
newbie
Messages : 11
Inscription : 15 janv. 2020 11:51

Re: Infection ou séquelles

Message par PapDuc »

Bonjour Angélique,
Pour NBAM je renonce si tu penses qu’on n’a plus de problème d’infection

Pour les fichiers errorlog au démarrage les deux chemins existent mais manifestement ils n’y vont pas tous seuls (?)

Enfin par l’invite de commande je ne vois pas les fichiers autorun.inf qui apparaissent sur les listings UBSfix avec ce que je suppose être l’attribut RSHD (?). Non visibles sur l'explorateur en affichant les fichiers cachés. Y a-t-il quelque chose à faire (à mon niveau limité) ?

Bien cordialement

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 30548
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne gauloise Fée Du Rosé
Contact :

Re: Infection ou séquelles

Message par angelique »

Pour les fichiers errorlog au démarrage les deux chemins existent mais manifestement ils n’y vont pas tous seuls (?)
Certes, tu les supprimes, et analyse dans tes actions quand ils se remettent, ce que tu fais quand ils reviennent.

ajoute le commutateur /a pour les fichiers RSHD

donc

cd c:
dir /a /p
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image

PapDuc
newbie
newbie
Messages : 11
Inscription : 15 janv. 2020 11:51

Re: Infection ou séquelles

Message par PapDuc »

Bonjour Angélique,

J'ai fini par réussir à supprimer tous les autorun.inf de mes clés sauf une qui me refuse l'accès. Je vais la formater.
Pour le reste, je n’ai pas progressé :

- MBAM refuse de fonctionner malgré une nouvelle réinstallation après un nettoyage poussé par Revo Desinstaller

- Pour « errorlog » Je n’ai pas du comprendre ce que tu me demandais de faire. Les deux chemins existent, vides et après redémarrage, j’ai toujours un « errorlog » (au lieu de 2 !)
Ne crois-tu pas qu’il existe des dysfonctionnements pouvant justifier une nouvelle correction. Je t’envoie au besoin de nouveaux rapports FRST.

Désolé et merci de ta patience

FRST : https://pjjoint.malekal.com/files.php?i ... y12p8w9p11
Addition : https://pjjoint.malekal.com/files.php?i ... h9x10o5d12
Shortcut : https://pjjoint.malekal.com/files.php?i ... 9k15l10w13

Répondre

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »