Trojan.heur Jp.pmx

pat57

Bonjour,

Je ne sais pas comment ce truc m'a infecté, mais rien n'y fait il est détecté lors de l'analyse, mais aucune action possible selon Bitdefender, je voudrais quand trouver un moyen simple de m'en débarrasser, je suis pas spé######te. Si quelqu'un connaît une solution simple?

Sincères salutations.

Yann A.

Bonjour pat58,

J'ai déplacé votre message dans la bonne section du forum, merci.

Ca n'est pas parce qu'un fichier est détecté que vous êtes réellement infecté ! C'est sans doute un fichier qui traîne sur votre disque tout simplement. Merci de me donner plus de renseignements si vous souhaitez être aidé, car dans l'état actuel des choses, nous n'avons aucune information sur le fichier qui a été détecté.

Merci de communiquer l'extrait du journal d'analyse où nous pouvons voir le nom du fichier et son emplacement.

pat57

Bonjour pat58,

J'ai déplacé votre message dans la bonne section du forum, merci.

Ca n'est pas parce qu'un fichier est détecté que vous êtes réellement infecté ! C'est sans doute un fichier qui traîne sur votre disque tout simplement. Merci de me donner plus de renseignements si vous souhaitez être aidé, car dans l'état actuel des choses, nous n'avons aucune information sur le fichier qui a été détecté.

Merci de communiquer l'extrait du journal d'analyse où nous pouvons voir le nom du fichier et son emplacement.

Bonjour Yann,

Virus Gen:Trojan.Heur.JP.pmX@a8QWoVd, emplacement C:\pagefile.sys=>(Embedded EXE g). Voilà ce que j'ai extrait du journal et Bitdefender me dit que mon système est infecté.

Sincères salutations.

Yann A.

Bonjour pat58,

Il est possible qu'il s'agisse d'un faux positif ou que cela soit provoqué par un conflit de protection, faites moi parvenir les fichiers demandés ci-dessous afin qu'on détermine ce qui se passe:

1. Rapports Autoruns:

- Téléchargez autorun.zip depuis cette adresse et enregistrez le fichier sur votre bureau :

http://download.sysinternals.com/files/Autoruns.zip

- Une fois enregistré, décompressez le fichier Autoruns.zip sur votre bureau, deux fichiers devraient être créés dans un dossier, autoruns.exe et autorunsc.exe. Double-cliquez sur le fichier 'autoruns.exe'.

- Attendez que la liste qui défile dans la fenêtre de l'application Autoruns ait fini de s'afficher. Vérifiez que vous vous trouvez bien sur l'onglet 'Everything'.

- Cliquez sur le petit icône représentant une disquette qui se trouve sous 'File'. Une fenêtre va s'ouvrir vous demandant de choisir l'emplacement pour sauvegarder le rapport nommé par défaut Autoruns.Arn, choisissez un nom (par exemple votre nom, celui de votre ordinateur) puis choisissez le bureau par exemple et cliquez sur 'Enregistrer'.

- Merci ensuite de me faire parvenir le fichier ainsi créé sur votre bureau.

2. Faites nous parvenir des captures d'écran montrant les effets du malware s'il y'en a de visibles (messages d'erreurs, fausses alertes, etc...).

Si vous ne savez pas en faire voici le lien qui vous explique comment faire:

http://www.astwinds.com/astuces/captureecran.html

3. Mettez à jour BitDefender, lancez une analyse approfondie du système avec BitDefender et faites nous parvenir le rapport d'analyse (accessible à la fin de l'analyse)

4. Rapport bdsyslog :

- Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :

http://www.bitdefender.com/files/Knowledge.../BDSysLog_i.exe

- Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées

- Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez.

Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.

Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.

pat57

Bonjour pat58,

Il est possible qu'il s'agisse d'un faux positif ou que cela soit provoqué par un conflit de protection, faites moi parvenir les fichiers demandés ci-dessous afin qu'on détermine ce qui se passe:

1. Rapports Autoruns:

- Téléchargez autorun.zip depuis cette adresse et enregistrez le fichier sur votre bureau :

http://download.sysinternals.com/files/Autoruns.zip

- Une fois enregistré, décompressez le fichier Autoruns.zip sur votre bureau, deux fichiers devraient être créés dans un dossier, autoruns.exe et autorunsc.exe. Double-cliquez sur le fichier 'autoruns.exe'.

- Attendez que la liste qui défile dans la fenêtre de l'application Autoruns ait fini de s'afficher. Vérifiez que vous vous trouvez bien sur l'onglet 'Everything'.

- Cliquez sur le petit icône représentant une disquette qui se trouve sous 'File'. Une fenêtre va s'ouvrir vous demandant de choisir l'emplacement pour sauvegarder le rapport nommé par défaut Autoruns.Arn, choisissez un nom (par exemple votre nom, celui de votre ordinateur) puis choisissez le bureau par exemple et cliquez sur 'Enregistrer'.

- Merci ensuite de me faire parvenir le fichier ainsi créé sur votre bureau.

2. Faites nous parvenir des captures d'écran montrant les effets du malware s'il y'en a de visibles (messages d'erreurs, fausses alertes, etc...).

Si vous ne savez pas en faire voici le lien qui vous explique comment faire:

http://www.astwinds.com/astuces/captureecran.html

3. Mettez à jour BitDefender, lancez une analyse approfondie du système avec BitDefender et faites nous parvenir le rapport d'analyse (accessible à la fin de l'analyse)

4. Rapport bdsyslog :

- Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :

http://www.bitdefender.com/files/Knowledge.../BDSysLog_i.exe

- Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées

- Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez.

Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.

Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.

Yann A.

Bonjour pat58,

Pour me faire parvenir l'ensemble des fichiers demandés, utilisez le système d'hébergement de fichier gratuit d'OVH, http://demo.ovh.eu/fr/ (ou tout autre service d'hébergement de fichiers comme dl.free.fr fileserve.com rapidshare.com ou up.sur-la-toile.com). Une fois que les fichier sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer le fichier mis en ligne.

pat57

Bonjour pat58,

Pour me faire parvenir l'ensemble des fichiers demandés, utilisez le système d'hébergement de fichier gratuit d'OVH, http://demo.ovh.eu/fr/ (ou tout autre service d'hébergement de fichiers comme dl.free.fr fileserve.com rapidshare.com ou up.sur-la-toile.com). Une fois que les fichier sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer le fichier mis en ligne.

Merci Yann, je vais essayer de faire tout ça dès demain, car je suis un peu perdu .

Sincères salutations

pat57

Bonjour Yann,

Voilà le lien: http://demo.ovh.eu/fr/1243456f8b2e2d1760db92a60e08131d/.

Pour éviter des confusions je précise que malwarbytes et CCcleaner ont été installés après la détection du virus.

Concernant le point 2, je n'ai aucune manifestation du virus, si ce n'est dans les analyses (captures d'écran jointes).

Sincères salutations.

pat57

Bonjour Yann,

J'ai envoyé le lien, j'espère que tout y est.

Merci.

Sincères salutations.

Yann A.

Bonjour pat58,

Vous les avez envoyé en MP ? Je n'ai rien reçu.

pat57

Bonjour pat58,

Vous les avez envoyé en MP ? Je n'ai rien reçu.

Il figure au-dessus dans un autre message.

Copie ici:

http://demo.ovh.eu/fr/1243456f8b2e2d1760db92a60e08131d/

Sincères salutations.

Yann A.

Bonjour pat58,

Ah désolé, je n'avais pas vu le message plus haut.

pat57

Bonjour Yann,

Encore une nouveauté.

Sincères salutations.

Yann A.

Bonjour pat58,

En attendant que les fichiers soient complètement analysés, comme il s'agit certainement d'un faux positif, faites une exclusion du fichier pagefile.sys comme expliqué dans cette faq (qui explique comment faire une exclusion):

http://www.bitdefender.fr/support/comment-...ifier-1467.html

pat57

Bonjour pat58,

En attendant que les fichiers soient complètement analysés, comme il s'agit certainement d'un faux positif, faites une exclusion du fichier pagefile.sys comme expliqué dans cette faq (qui explique comment faire une exclusion):

http://www.bitdefender.fr/support/comment-...ifier-1467.html

Bonjour Yann,

Merci pour l'information, j'ai effectué le procédé indiqué, soit arrivé sur exclusions, j'ai été sur Fichiers et dossier exclus ensuite utilisé la commande Ajouter. Fenêtre suivante Parcourir, clic sur Windows ensuite sur le fichier pagefile.sys. Rien ne se produit , je continue je clic sur Ajouter réponse Exclusions , Le chemin n'est pas valide. En conclusion ça n'a pas fonctionné.

Sincères salutations.

Yann A.

Bonjour pat58,

Faites moi parvenir une copie d'écran de cette erreur svp (où l'on peut voir le chemin également d'accès à pagefiles.sys).

pat57

Bonjour pat58,

Faites moi parvenir une copie d'écran de cette erreur svp (où l'on peut voir le chemin également d'accès à pagefiles.sys).

Bonjour Yann,

J'espère que les images s'affichent, si non j'essaye encore.

Sincère salutations.

pat57

Bonjour Yann,

http://demo.ovh.eu/fr/807658bb0f1a8bea330d4dfbedf8dc78/

Ne parvenant pas à joindre les captures d'écrans, voici le lien ci-dessus.

Sincères salutations.

pat57

Bonjour pat58,

Faites moi parvenir une copie d'écran de cette erreur svp (où l'on peut voir le chemin également d'accès à pagefiles.sys).

Bonjour Yann,

http://demo.ovh.eu/fr/807658bb0f1a8bea330d4dfbedf8dc78/

Ne parvenant pas à joindre les captures d'écrans, voici le lien ci-dessus.

Sincères salutations.

Yann A.

Bonjour pat58,

J'ai bien récupéré les captures d'écran, merci.

pat57

Bonjour pat58,

J'ai bien récupéré les captures d'écran, merci.

Bonjour Yann,

Donc je fais quoi maintenant.

Sincères salutations

Yann A.

Bonjour pat58,

Vous ne faites rien.

Je vous ai dit que je vous recontacterais quand j'aurais plus de nouvelles.

pat57

Bonjour pat58,

Vous ne faites rien.

Je vous ai dit que je vous recontacterais quand j'aurais plus de nouvelles.

Bonjour Yann,

Vous ne m'aviez rien dit, raison pour laquelle j'ai posé la question.

Sincères salutations

Yann A.

Bonjour pat58,

Ah désolé, il me semblait vous l'avoir dit par message privé, mais je me trompe certainement.

pat57

Bonjour pat58,

Ah désolé, il me semblait vous l'avoir dit par message privé, mais je me trompe certainement.

Bonjour Yann,

Toujours pas de nouvelles?

Sincères salutations.

Yann A.

Bonjour pat58,

Non désolé.

Yann A.

Bonjour pat58,

Je vous confirme que vous n'êtes pas infecté et qu'il s'agit donc d'un faux positif.

Est-ce que la détection persiste ?

pat57

Bonjour pat58,

Je vous confirme que vous n'êtes pas infecté et qu'il s'agit donc d'un faux positif.

Est-ce que la détection persiste ?

Bonjour Yann,

Merci pour vos recherches. Effectivement lors de chaque analyse la détection persiste et pour rappel l'exclusion de ce fichier lors de l'analyse ne fonctionne pas, comme je l'ai expliqué ultérieurement.

Si vous avez une idée pour résoudre le problème, elle serait la bienvenue.

Sincères salutations.

Yann A.

Bonjour pat58,

Faites moi parvenir une nouvelle copie d'écran des détections qui apparaissent dans les alertes et événements svp.

pat57

Bonjour pat58,

Faites moi parvenir une nouvelle copie d'écran des détections qui apparaissent dans les alertes et événements svp.

Bonjour Yann,

Les captures souhaitées sont toujours hébergées et consultables via ce lien : http://demo.ovh.eu/fr/1243456f8b2e2d1760db92a60e08131d/

Sincères salutations.

Yann A.

Bonjour pat58,

Je demandais de nouvelles copies d'écran pour être certain qu'il s'agissait des mêmes détections.

Vous me confirmez que ce sont exactement les mêmes détections ?

Yann A.

Bonjour pat58,

Donc il me faudrait des copies d'écran plus récents et surtout une détail de la détection qui montre le chemin d'accès de pagefile.sys.

pat57

Bonjour pat58,

Donc il me faudrait des copies d'écran plus récents et surtout une détail de la détection qui montre le chemin d'accès de pagefile.sys.

Bonjour Yann,

Je suppose que ceci devrait convenir.

Sincères salutations

Yann A.

Bonjour pat58,

Merci.

C'est presque ça. En fait il faut cliquer sur le lien qui vous est proposé dans la fenêtre de détection pour avoir le détail de le détection.

Yann A.

Bonjour pat58,

Communiquez-moi par message privé, votre adresse email svp.

Je vais vous envoyer un mail pour envisager éventuellement une prise à distance de votre système.

pat57

Bonjour pat58,

Merci.

C'est presque ça. En fait il faut cliquer sur le lien qui vous est proposé dans la fenêtre de détection pour avoir le détail de le détection.

Bonjour Yann,

Je viens de refaire l'analyse du fichier en question (que j'ai faite il y a une heure et qui était positive comme sur les captures d'écran) à présent l'analyse ne détecte plus rien.

Je vais refaire une analyse approfondie.

Sincères salutations.

Yann A.

Bonjour pat58,

Ok tenez moi au courant.

pat57

Bonjour pat58,

Ok tenez moi au courant.

Bonjour Yann,

Après analyse complète du système, aucune détection. Encore un nouveau mystère... Toutefois si le problème devait resurgir je reviendrai vers vous.

Sincères salutations.

Yann A.

Bonjour pat58,

Cela confirme que la fausse détection a été corrigée.

pat57

Bonjour pat58,

Cela confirme que la fausse détection a été corrigée.

Bonjour Yann,

Merci à l'équipe.

Sincères salutations.