fichier impossible à supprimer [résolu]

[larry3460]

Bonjour,

Je suis nouveau sur ce forum mais utilisateur de Windows depuis de nombreuses années.
Actuellement, je tourne sous Windows 10 64 bits, édition Family.

Je bute sur un problème récurrent, que je n'arrivais déjà pas à résoudre sous les versions précédentes de Windows : certains fichiers sont impossibles à effacer !

Je pense qu'il s'agit de chevaux de Troyes pusique mon antivirus (Bitdefender) les place en quarantaine. Mais il ne parvient pas à les effacer, malgré le rédémarrage. Et moi non plus.

J'ai testé plusieurs méthodes, via des logiciels libres comme Unlocker ou File Assassin, sans résultat.
La réponse de windows est, systématiquement : https://www.dropbox.com/s/n66idmed8v070 ... 9.png?dl=0

Dernièrement, j'ai tenté de passer par la console, en mode administrateur.
J'ai installé Handle64.exe, pour connaitre le programme suspect, sans succès.
Alors j'ai voulu utiliser l’outil intégré open files. Et là, encore un échec : https://www.dropbox.com/s/odexti2l3pyym ... 9.png?dl=0

Ces fichiers se cachent dans C:\Windows\System32\drivers\
Ils portent des noms tels que 1ee00d8fec8ec1a00666a46f149e2f86.sys et sont une dizaine.

Si vous avez une solution : je suis preneur

[chantal11]

Bonjour,

J'ai transféré ton sujet dans la section "Désinfections".

Pour info, je n'ai pas regardé ce que tu as posté via Dropbox, je ne télécharge aucun fichier dans le cadre d'une prise en charge.
Utilise cet hébergeur pour poster tes images -> http://security-x.fr/up/


Nous allons commencer par établir un rapport de diagnostic pour cibler les éléments néfastes avec cet outil :

---------------------------------------------------------------------------------------------

FRST :

• Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau <-- Important
  
  Pour un système en 32 bits -> FRST
  Pour un système en 64 bits -> FRST64
  Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
  
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page.
  Rappel : FRST doit être enregistré sur ton Bureau <-- Important
• Ferme toutes les applications, y compris ton navigateur
• Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser et patiente le temps de l'analyse
  
• A la fin du scan, les rapports FRST.txt et Addition.txt sont créés. Poste ces rapports dans ta prochaine réponse.
  Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

---------------------------------------------------------------------------------------------

Sont attendus les rapports FRST.txt et Addition.txt

Tous les rapports doivent être hébergés sur ce site d'hébergement de fichiers et tu indiques les liens obtenus dans ta réponse -> Aide à l'utilisation

@+

PS : par contre, je ne pourrais pas lire tes rapports avant demain lundi, je vais être indisponible aujourd'hui dimanche.

[larry3460]

Bonjour Chantal,

pardon d'avoir tardé à revenir, mais je n'ai pas été notifié de ta réponse. du coup je ne savais pas que tu avais répondu.
Merci de prendre en compte mon problème (qui n'a pas l'air d'un problème facile... pour moi, en tous cas).

Donc, je te joins les deux fichiers demander et je prends, note, à l'avenir (pour les images à joindre aux posts).
...et je guette ton prochain message

FRST.txt : https://up.security-x.fr/file.php?h=Rff ... 53fe1d72b9

Addition.txt : https://up.security-x.fr/file.php?h=R38 ... 1268aae037

[chantal11]

Bonjour,

Le système est effectivement bien infecté.
Il faudrait être plus vigilant sur le net et dans la gestion de ton système.

Tu appliques les procédures dans l'ordre où elles sont présentées.

/!\ Les outils ne doivent être lancés qu'une seule fois afin de ne pas fausser les rapports demandés. /!\

--------------------------------------------------------------------------------------------------------------

La restauration système est désactivée sur ton système, il faut la réactiver <- Important
Activer la protection du système – Windows 10

--------------------------------------------------------------------------------------------------------------

FRST - Correctif :

• Ferme toutes les applications, y compris ton navigateur
• Exécute FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
• Copie la totalité du contenu, de Start:: à End:: de la zone Code ci-dessous (clic-droit -> Sélectionner -> Copier) (le correctif est copié dans le Presse-Papier)
  

  Start::
  CreateRestorePoint:
  CloseProcesses:
  GroupPolicy: Restriction
  BHO: Pas de nom -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Pas de fichier
  BHO-x32: Pas de nom -> {13D67BB7-DB5F-48AA-884D-7A5D94168509} -> Pas de fichier
  FF Extension: (Video Downloader professional) - C:\Users\roland\AppData\Roaming\Mozilla\Firefox\Profiles\2zc2vpnp.default-1470829052815\Extensions\ffext_basicvideoext@startpage24.xpi [2018-01-05]
  FF Extension: (Flash Video Downloader) - C:\Users\roland\AppData\Roaming\Mozilla\Firefox\Profiles\2zc2vpnp.default-1470829052815\Extensions\artur.dubovoy@gmail.com.xpi [2018-01-06]
  C:\Users\roland\AppData\Local\Google\Chrome\User Data\System Profile\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-09-12]
  R2 17664cb2c0ff802368a8aa6cabddc412; C:\WINDOWS\17664cb2c0ff802368a8aa6cabddc412.dll [957952 2018-01-20] () [Fichier non signé]
  R1 1ee00d8fec8ec1a00666a46f149e2f86; C:\WINDOWS\system32\drivers\1ee00d8fec8ec1a00666a46f149e2f86.sys [97776 2018-01-20] ()
  R1 37c94ae739eef7a401ad95b6c3921afe; C:\WINDOWS\system32\drivers\37c94ae739eef7a401ad95b6c3921afe.sys [97256 2018-01-09] ()
  R1 50152603ed5007648a460c41dab3d1d5; C:\WINDOWS\system32\drivers\50152603ed5007648a460c41dab3d1d5.sys [97272 2018-01-03] ()
  R1 8a61b2c61dd807906ca7759b5abe4424; C:\WINDOWS\system32\drivers\8a61b2c61dd807906ca7759b5abe4424.sys [97272 2018-01-08] ()
  R1 b6a8f77c278ce0055f80a78d189a2355; C:\WINDOWS\system32\drivers\b6a8f77c278ce0055f80a78d189a2355.sys [101408 2017-12-08] ()
  R1 cce4cb2dceed2c4a453ea98ed1b1eb1f; C:\WINDOWS\system32\drivers\cce4cb2dceed2c4a453ea98ed1b1eb1f.sys [97272 2018-01-16] ()
  R1 fbcc7b730c7bf844560f6768926e9700; C:\WINDOWS\system32\drivers\fbcc7b730c7bf844560f6768926e9700.sys [106520 2017-12-19] ()
  2018-01-20 10:59 - 2018-01-20 10:59 - 000906240 _____ C:\WINDOWS\e7d0a2b1b5c601fece22e9d7da466f25.exe
  2018-01-20 10:59 - 2018-01-20 10:59 - 000097776 _____ C:\WINDOWS\system32\Drivers\1ee00d8fec8ec1a00666a46f149e2f86.sys
  2018-01-20 10:59 - 2018-01-20 10:59 - 000037165 _____ C:\WINDOWS\uninstaller.dat
  2018-01-17 20:24 - 2018-01-20 20:32 - 000957952 _____ C:\WINDOWS\17664cb2c0ff802368a8aa6cabddc412.dll
  2018-01-16 16:28 - 2018-01-16 16:28 - 000097272 _____ C:\WINDOWS\system32\Drivers\cce4cb2dceed2c4a453ea98ed1b1eb1f.sys
  2018-01-09 17:51 - 2018-01-09 17:51 - 000097256 _____ C:\WINDOWS\system32\Drivers\37c94ae739eef7a401ad95b6c3921afe.sys
  2018-01-08 13:54 - 2018-01-08 13:54 - 000097272 _____ C:\WINDOWS\system32\Drivers\8a61b2c61dd807906ca7759b5abe4424.sys
  2018-01-05 11:17 - 2018-01-24 13:03 - 000000000 ____D C:\Program Files\0c24e463d34d7012a3d797890a6011e9
  2018-01-03 11:38 - 2018-01-03 11:38 - 000097272 _____ C:\WINDOWS\system32\Drivers\50152603ed5007648a460c41dab3d1d5.sys
  C:\Program Files\Advanced-PC-Care
  C:\PROGRA~2\FASTDA~1
  C:\WINDOWS\17664cb2c0ff802368a8aa6cabddc412.ps1
  C:\WINDOWS\17664cb2c0ff802368a8aa6cabddc412.dll
  C:\WINDOWS\system32\drivers\b6a8f77c278ce0055f80a78d189a2355.sys
  C:\WINDOWS\system32\drivers\fbcc7b730c7bf844560f6768926e9700.sys
  HKU\S-1-5-21-1113307766-930362309-2852264658-1001\...\ChromeHTML: ->
  Task: {181EE515-366F-4132-8429-50589DD9CA2A} - System32\Tasks\Advanced-PC-Care_Logon => C:\Program Files\Advanced-PC-Care\apc.exe
  Task: {3514FEF6-6EBF-42FA-B8DD-618C56105A63} - System32\Tasks\FastDataX Task => C:\PROGRA~2\FASTDA~1\FASTDA~1.EXE
  Task: {9C405CD9-3A05-4D2B-99AF-BA5661C8A569} - System32\Tasks\0c24e463d34d7012a3d797890a6011e9 => sc start 0c24e463d34d7012a3d797890a6011e9
  Task: {E0DC5E30-4991-46B0-B50E-4424A7C2AB8C} - System32\Tasks\Launch 4478 => msiexec /q /x "{33BABF46-8430-47a8-A98C-88B1E9DA5DE6}"
  Task: {E43A1558-468C-4CCB-AA4E-C2E14E97CE17} - System32\Tasks\17664cb2c0ff802368a8aa6cabddc412 => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\WINDOWS\17664cb2c0ff802368a8aa6cabddc412.ps1"
  Hosts:
  EmptyTemp:
  End::

• Sur le menu principal de FRST, clique une seule fois sur Corriger et patiente le temps de la correction
  
• Accepte le redémarrage du système si demandé
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

--------------------------------------------------------------------------------------------------------------

Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware (version gratuite) et enregistre le sur le Bureau
• Exécute mb3-setup-consumer.exe par clic-droit -> Exécuter en tant qu'administrateur
• La version Premium est automatiquement installée pour un essai gratuit de 14 jours
• Clique sur Terminer. Malwarebytes s'ouvre
  
• Si dans Etat de l'analyse, Mises à jour est orange, cliquer sur la flèche tournante
• Dans Paramètres, puis Protection, sélectionne Traiter les détections comme des malveillants pour les détections PUP et PUM
• Dans Analyse, clique sur Analyse des Menaces puis clique sur Lancer l'analyse
• Patiente le temps de l'analyse
• En fin d'analyse, clique sur Afficher les résultats d'analyse
• Pour supprimer les éléments détectés, veille à ce que tous les éléments détectés soient cochés puis clique sur Quarantaine sélectionnée
• Un résumé d'analyse s'affiche. Clique sur Exporter le résumé puis sur Fichier texte (*.txt) pour enregistrer le rapport d'analyse
• Enregistre le rapport sur ton Bureau. Poste ce rapport dans ta prochaine réponse
  Si un redémarrage est demandé, valide par Oui et laisse le système redémarrer.
  Le journal d'examen est aussi enregistré sous C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Tutoriel d'utilisation Malwarebytes en images

--------------------------------------------------------------------------------------------------------------

Sont attendus les rapports
Fixlog
Malwarebytes

@+

[larry3460]

Un grand merci, Chantal, pour cette aide précieuse !

voici les résultats de la démarche :

- FRST : https://up.security-x.fr/file.php?h=R69 ... 63427c009c

- MB : https://up.security-x.fr/file.php?h=Rc6 ... 0ff0f4b657

[chantal11]

Bonjour,

OK pour les rapports.

Nous continuons avec une analyse avec cet outil :

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Analyser :

• Télécharge AdwCleaner de Malwarebytes et enregistre le fichier sur ton Bureau
  Patiente le temps que ton navigateur te propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
• Ferme toutes les applications, y compris ton navigateur
• Exécute AdwCleaner.exe par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Rapport
• Un rapport AdwCleaner(Sx).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport AdwCleaner-Analyse

@+

[larry3460]

Bonjour,

et moi qui me croyais déjà tiré d'affaire. lol

Voici le rapport AdwCleaner-Analyse : https://up.security-x.fr/file.php?h=R35 ... d8dc982307

J'ai hâte de connaître la suite.

[chantal11]

Re,

Oui, il y a donc encore un peu de nettoyage.

--------------------------------------------------------------------------------------------------------------

AdwCleaner - Nettoyer :

• Ferme toutes les applications, y compris ton navigateur
• Exécute AdwCleaner.exe par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Analyser[/b]
• Les éléments détectés s'affichent dans les différents onglets. Clique sur Nettoyer et valide par OK la fermeture des programmes
• Patiente le temps de l'analyse et valide le message d'informations
• Un redémarrage est demandé, valider par OK
• Au redémarrage, un rapport AdwCleaner(Cx).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Cx).txt (ou C:\Program Files (x86)\AdwCleaner)

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outil

--------------------------------------------------------------------------------------------------------------

Est attendu le rapport AdwCleaner-Nettoyer

Comment se comporte le système maintenant par rapport aux symptômes signalés au début ?

@+

[larry3460]

Re,

Je n'ai pas perdu ma connexion après l'utilisation d'ADWcleaner.

Voici le log de nettoyage : https://up.security-x.fr/file.php?h=Rd9 ... 31149063c8

A présent mon antivirus ne met plus de fichiers en quarantaine, ce qui est bon signe.

Le problème semble donc résolu, a priori.

J'aimerais des infos sur "travassactechnology". Faut-il ouvrir un nouveau fil ?

[chantal11]

Re,

OK pour le rapport.

Avant de finaliser, je vais répondre à tes questions posées en MP.
Ici, tous les échanges sont publics, cela peut intéresser les lecteurs.

me conseillerais-tu d'acquérir la licence de Malwarebytes premium ?

C'est en effet un plus dans la protection du système surtout au niveau de la navigation internet.

Je pensais que ma licence (à vie) de Bitdefender était suffisante pour protéger mon ordi. Tu crois que ce n'est pas le cas ?

Bof !
Tu as Windows Defender, antivirus natif et intégré Windows 10 qui est tout aussi performant et qui ne crée aucun conflit !
Windows Defender + MBAM Premium est une excellente protection résidente.
Mais tu l'as certainement compris, la meilleure protection pour ton système, c'est toi, l'Utilisateur, avec un surf responsable

Pourrais-tu développer un peu, stp ?
> Le système est effectivement bien infecté.
> Il faudrait être plus vigilant sur le net et dans la gestion de ton système.

Tu as installé volontairement en manquant de vigilance ces Adwares et Trojans, soit en installant une application sponsorisée et les sponsors n'ont pas été décochés, soit en cliquant sur un lien malveillant sur une page d'un site malveillant ou piégé (publicité, validation d'un script, validation d'installation, ......)


Pour finaliser la procédure :

---------------------------------------------------------------------------------------------

Quarantaine de Malwarebytes :

• Lance Malwarebytes (clic droit exécuter en tant qu'administrateur)
• Dans l'onglet Quarantaine, sélectionne tout et clique sur Supprimer

---------------------------------------------------------------------------------------------

DelFix :

• Télécharge DelFix de Xplode et enregistre le fichier sur ton Bureau
• Double-clique sur l'icône Delfix.exe pour lancer l'outil
  /!\ Sous Vista, Windows 7, 8 et 10, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, coche uniquement les options
  - Supprimer les outils de désinfection
  - Purger la restauration système
• Clique ensuite sur Exécuter et laisse l'outil travailler
  
• Un rapport DelFix.txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\DelFix.txt

---------------------------------------------------------------------------------------------

Quelques précisions et conseils :

• D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant.
  
  /!\ Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  
  /!\ Etre vigilant au moment de l'installation d'une application
  Stop la pub !
  Installation d'une application sponsorisée, les pièges à éviter !
  
  /!\ Sauvegarder régulièrement les données personnelles sur un support externe
  
  /!\ Ne jamais ouvrir une pièce-jointe dans un mail d'un expéditeur inconnu
  
  /!\ Change tous tes mots de passe (Administrations, banques, messageries, réseaux sociaux, FAI .......)
• Maintenir son antivrus à jour et analyser le système régulièrement, avec en parallèle un scan avec Malwarebytes
• Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player
  Il faut mettre à jour Flash Player sous chaque navigateur présent sur le système
  Penser à décocher les options proposées en même temps que Java et Flash Player (Barre Google, Scan McAfee ....)
  Mets à jour Java et Flash Player pour Firefox, ce sont des failles de sécurité sur ton système
  
  
  /!\ Une attitude responsable sur le net est la meilleure protection pour ton système
  Eviter les comportements à risques (cracks/keygens, P2P, streaming illégal, pornographie, etc.)