Infection Gen:Variant.Ursu

Andre Rouilhac

rsa (B)Bonjour,

Je me tourne vers vous car je possède BitDefender Total Security depuis un certain temps, et j'avoue que j'aime votre logiciel!

Je suis sous Windows 10 Fall Creators.

Mon problème est dans le titre. Depuis 3 semaines j'ai remarqué des fichiers temp dans le dossier C:Windows\Temp qui me semblaient suspects. Ce qui m'a surtout alerté, c'est qu'ils "s'auto-génèrent", même après que je les ai supprimés, la plupart en "administrateur", mais pour les 2 premiers, veuillez m'excuser de vous parler d'un logiciel tiers, mais je ne vois pas comment Bitdefender pourrait le faire, avec Unlocker.

Mais mon problème, c'est que, une fois "clean", ils réapparaissent, et ce depuis des semaines, sans que je ne puisse rien y faire. Bitfefender les détecte, dit les bloquer, mais, si je vérifie après que j'ai reçu la notification, ils sont toujours présents dans Temp! (???). On dirait qu'une application les "aide" à s'installer dès que je me connecte (navigateur Firefox, que j'ai réinitialisé d'ailleurs, mais sans succès...). En ce moment-même, ils s'installent, et lorsque j'ouvre l'un des dossiers suspects, je les vois apparaître chaque seconde: Un jour, ils pesaient 5Go, gênant pour mon SSD, heureusement qu'il fait 500 Go! Je vous envoie des captures d'écran, à la fois de Bitdefender, mais aussi de mon dossier Temp, en espérant qu'elles passeront.

J'oubliais, quelque chose d'important! Le nom de ce "virus" est Gen:Variant.Ursu.5676, au cas où mes captures ne passeraient pas, mais il avait détecté aussi un Trojan, Trojan.Dropper.RSA (B), qui apparaissait en même temps que l'autre, mais qui semble avoir disparu (je croise les doigs!).

Je précise que les applis (ou logiciels) que je télécharge sont des "paid", la plupart Cyberlink, Magix, Movavi, car je suis passionné de photo/vidéo. Il m'arrive, comme tout le monde, d'en télécharger des gratuits, mais je vérifie toujours sur Google le taux de fiabilité, et je décoche toujours les cases en cas de packaging... Ceci dit, j'en télécharge très peu maintenant, et, depuis que les symptômes sont apparus (vers le 7, 8 octobre), j'ai dû en installer 2 ou 3, sans plus...

Voilà, veuillez m'excuser d'avoir été un peu long, mais j'essaye d'anticiper (pas en totalité, sûrement!) les questions que vous pourriez me poser, si vous avez la gentillesse de prendre mon cas en considération. D'ailleurs, j'aurais voulu faire plus court avec vos logiciels "Bitdefender Compression Tool", où je voulais mettre mon dossier Temp, mais le lien ne fonctionne pas sur votre page, et ne l'ai pas trouvé sur Google non plus....

Au fait, au moment où je m'apprête à envoyer ce post, Bitdefender me signale 20691 fichiers bloqués, au lieu des 15036 depuis que j'ai commencé à vous écrire! Il va falloir encore que je les efface manuellement, et c'est là ce que je ne comprends pas, pourquoi Bitdefender les "bloque", mais ils "passent" quand même dans le dossier Temp!.. (ils "pèsent" maintenant 203 Mo!)

En vous remerciant par avance de votre aide.

Cordialement,

André

Yann A.

Bonjour,

Tout d'abord, soyez certain de ne pas disposer de plusieurs solutions antimalwares installées sur votre système, car le conflit de protection pourrait entraîner des faux positifs.

Ensuite, afin de voir s'il s'agit d'un faux positif ou si votre système est réellement infecté, merci de suivre les manipulations ci-dessous et de me faire parvenir par message privé (en utilisant des systèmes de partage de fichiers) les éléments demandés :

1. Mettez à jour BitDefender en cliquant sur "Mettre à jour" et une fois la mise à jour terminée lancez une analyse système :

- Ouvrez Bitdefender puis cliquez sur "Voir les fonctionnalités"

- Dans l'encadré "Antivirus" cliquez sur "Analsye du système"

- Une fois l'analyse terminée, cliquez sur le bouton "Afficher Journal"

- Puis cliquez sur le bouton "Enregistrer le journal"

- Une fois le journal (fichier .xml) enregistré, faites le nous parvenir

2. Rapport bdsyslog :

- Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :
http://www.bitdefender.com/files/KnowledgeBase/file/BDSysLog_i.exe

- Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées

- Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez. 

Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.

Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.

3. Faites nous parvenir le rapport Autoruns comme demandé ci-dessous:

- Téléchargez autorun.zip depuis cette adresse et enregistrez le fichier sur votre bureau :
http://download.sysinternals.com/files/Autoruns.zip

- Une fois enregistré, décompressez le fichier Autoruns.zip sur votre bureau, deux fichiers devraient être créés dans un dossier, autoruns.exe et autorunsc.exe. Double-cliquez sur le fichier 'autoruns.exe'.

- Attendez que la liste qui défile dans la fenêtre de l'application Autoruns ait fini de s'afficher. Vérifiez que vous vous trouvez bien sur l'onglet 'Everything'.

- Cliquez sur le petit icône représentant une disquette qui se trouve sous 'File'. Une fenêtre va s'ouvrir vous demandant de choisir l'emplacement pour sauvegarder le rapport nommé par défaut Autoruns.Arn, choisissez un nom (par exemple votre nom, celui de votre ordinateur) puis choisissez le bureau par exemple et cliquez sur 'Enregistrer'.

- Merci ensuite de me faire parvenir le fichier ainsi créé sur votre bureau.

4. Enfin faites nous parvenir le rapport Gmer comme indiqué ci-dessous :

- Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :
http://www.gmer.net/gmer.zip

- Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque

- Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:

- Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se termine puis cliquez sur l'onglet Rootkit (en haut il faut développer les onglets en cliquant sur >>). Puis cliquez sur le bouton 'Scan' en bas à droite. 

- Une analyse va démarrer, attendez qu'elle se termine. 

- A la fin de l'analyse, cliquez sur le bouton "Save..." et enregistrez le rapport sur votre bureau, nommez le gmer.log

(Si jamais le bouton "Save..." n'apparait pas, cliquez sur le bouton Copy et ouvrez le programme bloc-note (notepad), cliquez dans le menu Edition puis choisissez Coller. Ensuite allez dans le menu Fichier et choississez Enregistrer sous (choississez comme nom gmer et enregistrez le sur le bureau)). 

- Faites nous parvenir le fichier gmer.log

Pour me faire parvenir l'ensemble des fichiers demandés, utilisez un système d'hébergement de fichier gratuit comme par exemple framadrop.org, sendspace.com, fileserve.com rapidshare.com ou dl.free.fr. Une fois que les fichiers sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer les fichiers mis en ligne.

Andre Rouilhac

Bonjour Yann,

Et d'abord merci d'avoir la gentillesse de vous occuper de "mon cas"!

Ouh la! Que la liste des tâches est longue, mais elle ne me rebute en rien, je ferai tout ce que vous me demandez de faire!

Mais auparavant, si je n'en ai pas parlé, c'est parce que j'ai lu les règles du forum (comme je le fais dans tout forum, d'ailleurs, ce qui me semble la moindre des choses!...), et je n'ai pas mentionné dans mon post les autres logiciels dont vous parlez. Je suis peut-être un peu parano, mais, avant Bitdefender, j'avais un autre anti-virus auquel je suis resté fidèle, mais que j'ai abandonné au bout de plusieurs années car il devenait de + en +"lourd et intrusif", et poussant à la consommation d'autres applications de son programme... Son nom commence par un A.., il était l'un des plus populaires, en France uniquement, bizarre d'ailleurs. Bref, j'ai changé pour le vôtre, et j'en suis heureux!!

Pour ce qui est de la parano, eh bien je veux parler, là, d'autres logiciels anti-malware, qui "complètent" l'anti-virus, en tout cas c'est ce que je pense, sans pour autant en entraver la bonne exécution (je n'ai jamais eu le cas de "faux positif", hormis peut-être celui-là?). Ils sont 4, et je puis vous assurer que je n'ai jamais eu de conflit entre eux et Bitdefender. Ce sont des versions payées, et, ne le prenez pas mal s'il vous plaît, mais je pense que je vais les garder quand même... Toutefois, si un jour je percevais un conflit, je prendrai les mesures nécessaires, sûr!

Si je vous écris "publiquement", c'est pour deux raisons. Tout d'abord parce que je ne pourrai sûrement pas faire tout cela en 2 mn, et je vous présente par avances mes excuses si je tarde à vous répondre (à moins que vous ne désiriez l'analyse Bitdefender en premier, et que je vous envoie le reste après, mais il lui faudra le temps de la faire, faut compter une petite heure en général...). Ensuite parce que je ne connais pas la procédure pour vous envoyer la réponse en privé, pouvez-vous me l'indiquer s'il vous plaît? Merci!

Deux dernière choses.J'ai supprimé les fichiers dans le dossier Temp après vous avoir écrit, puis ai redémarré. J'ai attendu une dizaine de mn avant de me connecter. Bitdefender ne m'a rien signalé (ouf!). Ensuite, après ma connexion à Firefox, je suis allé dans les module,s et ai désinstallé 3 d'entre eux (je ne me rappelle n'en avoir installé que 2 parmi ces 3 (??) ), je n'ai gardé que deux modules anti-pub. Depuis, Bitdefender est resté à 23457, comme il l'était avant redémarrage, mais par contre je viens de vérifier, un de ces fichus dossier "emp numéro tant" est là, mais il ne pèse rien (0 octet), pour l'instant!...J'avoue que l'attaque de tout à l'heure a été l'une des plus fortes que j'aie eue depuis un moment!

Voilà, j'attends votre réponse pour le message privé, et je commence tout ça!

Et merci encore mille fois!!

 

Yann A.

17 hours ago, Andre Rouilhac said:

Bonjour Yann,

Et d'abord merci d'avoir la gentillesse de vous occuper de "mon cas"!

Ouh la! Que la liste des tâches est longue, mais elle ne me rebute en rien, je ferai tout ce que vous me demandez de faire!

Mais auparavant, si je n'en ai pas parlé, c'est parce que j'ai lu les règles du forum (comme je le fais dans tout forum, d'ailleurs, ce qui me semble la moindre des choses!...), et je n'ai pas mentionné dans mon post les autres logiciels dont vous parlez. Je suis peut-être un peu parano, mais, avant Bitdefender, j'avais un autre anti-virus auquel je suis resté fidèle, mais que j'ai abandonné au bout de plusieurs années car il devenait de + en +"lourd et intrusif", et poussant à la consommation d'autres applications de son programme... Son nom commence par un A.., il était l'un des plus populaires, en France uniquement, bizarre d'ailleurs. Bref, j'ai changé pour le vôtre, et j'en suis heureux!!

Pour ce qui est de la parano, eh bien je veux parler, là, d'autres logiciels anti-malware, qui "complètent" l'anti-virus, en tout cas c'est ce que je pense, sans pour autant en entraver la bonne exécution (je n'ai jamais eu le cas de "faux positif", hormis peut-être celui-là?). Ils sont 4, et je puis vous assurer que je n'ai jamais eu de conflit entre eux et Bitdefender. Ce sont des versions payées, et, ne le prenez pas mal s'il vous plaît, mais je pense que je vais les garder quand même... Toutefois, si un jour je percevais un conflit, je prendrai les mesures nécessaires, sûr!

Si je vous écris "publiquement", c'est pour deux raisons. Tout d'abord parce que je ne pourrai sûrement pas faire tout cela en 2 mn, et je vous présente par avances mes excuses si je tarde à vous répondre (à moins que vous ne désiriez l'analyse Bitdefender en premier, et que je vous envoie le reste après, mais il lui faudra le temps de la faire, faut compter une petite heure en général...). Ensuite parce que je ne connais pas la procédure pour vous envoyer la réponse en privé, pouvez-vous me l'indiquer s'il vous plaît? Merci!

Deux dernière choses.J'ai supprimé les fichiers dans le dossier Temp après vous avoir écrit, puis ai redémarré. J'ai attendu une dizaine de mn avant de me connecter. Bitdefender ne m'a rien signalé (ouf!). Ensuite, après ma connexion à Firefox, je suis allé dans les module,s et ai désinstallé 3 d'entre eux (je ne me rappelle n'en avoir installé que 2 parmi ces 3 (??) ), je n'ai gardé que deux modules anti-pub. Depuis, Bitdefender est resté à 23457, comme il l'était avant redémarrage, mais par contre je viens de vérifier, un de ces fichus dossier "emp numéro tant" est là, mais il ne pèse rien (0 octet), pour l'instant!...J'avoue que l'attaque de tout à l'heure a été l'une des plus fortes que j'aie eue depuis un moment!

Voilà, j'attends votre réponse pour le message privé, et je commence tout ça!

Et merci encore mille fois!!

 

Bonjour,

Merci pour votre réponse.

Prenez votre temps pour les manipulations, il n'y a pas de soucis. Pour me faire parvenir les liens pour récupérer les fichiers en message privé, il suffira de passer la souris sur mon nom et dans le menu contextuel de choisir "message".

4 antimalwares sur un même système, c'est trop, cela peut entraîner des situations telles que celle vous décrivez, et surtout ça n'est pas utile.

J'attends votre retour.

 

Andre Rouilhac

Bonjour Yann,

Dernières nouvelles, en public toujours, car je ne sais encore pas comment vous écrire en privé....

J'ai lancé une analyse hier soir, vers 20h30, j'ai eu des tas de trucs à faire avant, je n'ai pas toujours le temps, excusez-moi, d'être devant mon ordi.. J'avoue que je n'y pensais plus au bout d'un quart d'heure, et, 1 heure après environ, je me suis dit "zut! l'analyse!", je me suis précipité vers mon portable, et là j'ai constaté que Bitdefender avait rencontré une erreur, et me demandait de fermer, ou d'annuler, ou de reprendre, bref, je ne voyais pas les quatres "boutons" proposés car, en effet, j'ai une résolution HD sur ce pc, est certains logiciels, non configurés pour ça, apparaissent avec une police miniature, et je suis obligé d'utiliser la loupe!! Normalement, Bitdefender est ok, sauf cette boîte de dialogue qui était minuscule Alors j'ai décidé de tout fermer, de redémarrer l'ordi, et de relancer une analyse qui, elle, s'est bien terminée, ouf! Pour ce qui est de l'erreur, je pressens qu'il s'agit du bug habituel depuis un mois environ sur mon pc. En effet, s'il a tourné un certain temps (pourtant il ne chauffe pas!), il se met en veille tout seul (??) et, si un logiciel ou téléchargement est en route à ce moment-là, il est interrompu, il me faut tout reprendre... Et ça ne me fait cela que depuis que j'ai cette "saleté" qui est apparue! A propos, dans votre base de données, ce nom ne vous dit rien?

Bref, l'analyse datera donc d'hier, mais je n'ai rien fait de spécial depuis, à part rallumer mon ordi tout à l'heure, et, évidemment, subit l'attaque habituelle à l'ouverture... Je viens de supprimer manuellement environ 200 Mo de fichiers temp, bloqués par Bitdefender, mais qui s'installent tout de même.. Là, j'avoue ne pas trop comprendre!... A propos de lui, il m'indique deux chemins, le 1er, je le connais, mais je n'arrive pas à trouver le second. Je viens de consulter la protection fichiers, et elle n'apparaît plus, d'autre (la corbeille surtout, où j'avais mis les "temp", apparaît, ainsi que la quarantaine de Bitdefender! (???) Le chemin était, mais je ne me souviens pas de tout, \Device\HardDisk3\TEMP, à peu près, il me semble qu'il y avait autre chose, mais ne m'en souviens plus....

A part ça j'ai téléchargé vos deux applis, mais, comme j'ai un rendez-vous à 14h, je ne pense pas pouvoir m'en occuper maintenant, à mon retour, sûrement. Une question cependant, j'espère que vous voudrez bien me répondre, désactiver toutes les applis actives, ok, mais qu'entendez-vous par "toutes" svp, car ça en fait un paquet!... Ensuite, je ne trouve pas l' "analyse à l'accès", pardonnez mon ignorance, mais j'ai eu beau parcourir toutes les zones de l'interface, je n'ai pas trouver ça!... Serait-ce dans le dossier de Bitdefender dans C:? Mais il n'y a pas de configuration en général dans ce genre de dossier.... Ou alors parlez-vous de l'auto-pilot? Bref, là, j'avoue être paumé, excusez-moi!

Dernière chose (pardonnez la longueur du post, encore!...), que j'utilise Cjoint.com pour envoyer les rapports ne pose pas de problème?

Mais je vois que j'ai une notification venant de vous, j'arrête, et je lis...

Yann A.

Bonjour,

Pour le site cjoint.com, il n'y a pas de soucis.

J'ai bien reçu le rapport d'analyse qui indique la même détection de fichiers (qu'il faudrait supprimer par l'analyse ou en mode sans échec).

Dans la manipulation, on demande de désactiver toutes les applications, on parle de celle que vous avez ouvertes ou celles qui sont lancés au démarrage automatiquement.

Mais avant de faire toutes ces manipulations, je vous demanderai d'abord de désinstaller les deux autres solutions antimalware (malwarebytes et SuperAntispyware, oui celui là aussi, c'est nécessaire pour la suite du diagnostic) , après avoir supprimer les fichiers temps détectés, pour voir si le phénomène se reproduit. Si tel est le cas, il faudra me faire parvenir les rapports demandés.

Andre Rouilhac

Re bonjour,

Je viens de rentrer, et de découvrir votre message, dont je vous remercie

Pour les applications, je vais donc désactiver celles qui s'ouvrent au démarrage en faisant un reboot, je pense que ça ira?

Concernant Malwarebytes, on peut désactiver facilement la protection en temps réel, d'ailleurs depuis que je l'ai fait, il ne se lance plus au démarrage. SuperAnti, je l'ai désinstallé avant de partir avec Revo Uninstaller Pro, qui, a mon humble avis, est l'un des meilleurs dans son domaine, j'ignore si vous le partagez..

Quand je me suis connecté il y a un petit quart d'heure, j'ai eu à faire face à une autre attaque!!! J'en profite pour faire une petite critique (tout n'est pas parfait en ce bas monde...) à Bitdefender, il ne signale pas ses détections sous forme de notifications en bas d'écran, ce qui peut-être aussi une manifestation de sa discrétion et de son absence "polie" d'intrusion dans la vie de celui qui manipule son pc.. Mais, en revanche, si je n'avais pas remarqué que Firefox était incroyablement ralenti et que le ventilo se mettait en marche, je n'aurais pas su que j'étais à nouveau victime de ce satané Gen.Ursu, qui commence à me faire flipper grave, je l'avoue! Je viens de consulter le fichier Windows\Temp, j'en suis malade!!! 11 dossiers qui pèse 5,46 Go!! Vous vous rendez compte? C'est flippant! Et Bitdefender dit les bloquer, mais il ne bloque rien! Emsisoft, que je persiste à considérer comme un excellent antimalware compatible avec un anti-virus, a pris le relais, il n'arrêtait pas de m'envoyer notification après notification comme quoi il mettait Gen.Ursu en quarantaine! Pourquoi Bitdefender ne le fait-il pas avant? Je précise que ces 5 1/2 Go se sont installés dans le quart d'heure qui vient de s'écouler, puisque j'avais nettoyé le dossier Temp avant de partir! Je suis un peu perdu, là, Yann, je l'avoue!

Dans la protection des fichiers, je voyais les lignes s'ajouter les unes aux autres, angoissant! Ils concernent pour la plupart le fichier Windows habituel, mais s'installent aussi dans un autre fichier Temp, que je n'arrive pas à trouver.  Je vous ai fait une capture d'écran,juste pour info, car je sais que ça n'apporte pas grand chose... Mais le chemin complet est:        Device\HardWarediskVolume3\WINDOWS\Temp. Vous savez où je pourrais trouver ce dossier svp? Et c'est quoi ce "DisqueDur Volume3"?? Je n'en ai que deux, le C: , SSD, et le , pour les applis, documents et autres, puisque j'ai tout fait basculer dessus afin de ne pas trop surcharger le SSD et en limiter la lecture... Mais depuis un mois, je ne le ménage pas, à ce rythme-là, il rend l'âme pour Noël! Ce portable n'a qu'à peine 1 an 1/2, ça m'embêterait vraiment d'en changer!

Au fait, une analyse en mode sans échec, j'ai essayé d'en faire une avec BitDefender (je le faisais dans le temps avec Avast), mais impossible, il refusait de s'ouvrir, pas accès aux services... Ok.... Et c'est là que j'ai vu le "mode secours", que je n'avais jamais utilisé, en fait, il s'agit du mode sans échec, non? Puisqu'il s'affiche direct au redémarrage..? Par contre la dalle en prend un coup, mais bon, on ne peut tout avoir...

Je vais donc faire les analyses que vous me demandez, je vais désinstaller Malwarebytes, ok, quitte à le réinstaller plus tard, je ne sais pas, mais ma licence est encore bonne pour un bout de temps. Son seul avantage à mes yeux c'est le blocage de certains sites Web.. Par contre je désactiverai Emsisoft, mais je ne le supprimerai pas.....

Une dernière chose, et j'arrête là ce long message, vous ne m'avez pas répondu sur une question importante à mes yeux, à savoir où trouver l'"Analyse à l'accès", serait-ce dans les paramètre du module "anti-virus", cliquer sur la clé et désactiver la protection uniquement ici? (tiens, à propos, je viens de voir où était la Quarantaine, suis-je bête!).C'est en tout cas ce que je ferai..

J'espère ne pas me tromper. J'ignore combien de temps cela prendra, mais je vous enverrai tout ça dès que ce sera terminé Yann. Je présume que je n'aurai de vos nouvelles que demain, mais si c'est pour me dire de réinstaller Windows en conservant les fichiers, j'en suis malade d'avance! Avec le nombre d'applis à réinstaller! Aaaargh!

Bon, "je la ferme"!

Merci!

Yann A.

Bonjour,

HardWareDiskVolume3 est certainement votre disque C:, puisque le dossier concerné est TEMP qui se trouve dans Windows

L'analyse en mode sans échec peut se faire uniquement avec le click droit sur le dossier, en passant par le menu contextuel. Mais quand je parlais de supprimer les fichiers temporaires en mode sans échec, j'évoquais la possibilité d'aller dans l'explorateur de Windows, dans C:,  dans Windows, puis dans le dossier Temp.

Je vous conseille de désinstaller Malwarebytes complètement le temps de terminer ce diagnostic, car des pilotes sont installés et en place même si vous désactivez la protection en temps réel. Il faut aussi désinstaller l'application d'Emisoft, sinon nous ne pourrons pas isoler l'origine de cette problématique. D'autant, je vous l'ai évoqué à plusieurs reprises, cumuler plusieurs solutions antimalwares est contre-productif. Cela ne  sert à rien, cela ne renforcera pas votre sécurité et cela risque d'entraîner des dysfonctionnements.

Dans Bitdefender, pour désactiver l'analyse à l'accès, il faut ouvrir Bitdefender, cliquer sur "voir les fonctionnalités" puis sous "Antivirus" cliquez sur la roue crantée pour enfin passer de OUI à NON, "Protection antivirus".

Andre Rouilhac

Merci de votre promptitude!

C'est bien ce que je m'apprêtais à faire dans Bitdefender, en fait, il s'agit simplement de désactiver la partie "anti-virus" proprement dite, le pare-feu restant actif.. Ok, j'ai déjà fait cette manoeuvre....

Par contre, je me rends compte que j'ai omis de vous signaler quelque chose d'important! J'ai fait migrer il y a une quinzaine de jours le dossier Temp de Windows sur mon disque D!!! J'avais tellement peur que ce fichu machin me surcharge le SSD! J'ai suivi pour cela la manoeuvre de CNET, ou Assiste, je ne sais plus, mais des sites quand même de coniance, j'en ai expérimenté tellement que j'ai appris à faire le tri!

Pour ce qui est de désactiver les applis au démarrage, j'ai ouvert l'optimisation au démarrage de Bitdefender, je suis prêt à désactiver tout ce qu'il conseille, mais dedans il y a un Processus Hôte de Windows (Rundll.32), là, j'hésite! Ne pouvez-vous pas, puisque l'heure tourne et que je ne pourrai visiblement pas vous envoyer tout ça avant ce soir, et vous ne pourrez exploiter les données que demain, donc, me répondre assez vite avant que je ne commence?.. Et me dire aussi, pour le logiciel de Sysinternals (marrant, je voulais le télécharger avant-hier, bref) ce qu'il faut que j'exécute, car j'ai dézippé sur mon bureau (j'aurai dû créer un dossier avant! Bref!), et il y a 4 fichiers exe! Lequel dois-je exécuter? Un des deux x64 je présume, car mon pc est en 64, mais lequel? Merci!! Et excusez-moi pour mon manque d'expérience en ce domaine, je ne connais pas ces applis...

Andre Rouilhac

Encore moi, sorry, mais j'ai lu le fichier text d'autorun, ça m'a l'air vachement indiscret ce truc non???

Yann A.

15 hours ago, Andre Rouilhac said:

Encore moi, sorry, mais j'ai lu le fichier text d'autorun, ça m'a l'air vachement indiscret ce truc non???

Bonjour,

Je vous ai indiqué quel programme exécuter dans la procédure autoruns. Vous exécutez soit Autoruns.exe soit Autoruns64.exe (si vous avez un système 64 bits).

Ce rapport Autoruns ne liste que tout ce qui se lance au démarrage, il n'y a rien vraiment d'indiscret dans cela.

Ce rapport et les autres sont essentiels pour examiner ce qui se passe sur le système.

Mais il faudra les générer uniquement si la problématique se produit de nouveau,  après avoir désinstaller les solutions antimalwares concurrentes, nettoyer les fichiers temporaires en mode sans échec directement en supprimant les fichiers dans C:\windows\temp en mode sans échec ou en mode normal après avoir désactiver temporairement la Protection Bitdefender.

Yann A.

20 hours ago, Andre Rouilhac said:

Encore moi, sorry, mais j'ai lu le fichier text d'autorun, ça m'a l'air vachement indiscret ce truc non???

Bonjour,

J'ai bien reçu le rapport autoruns, mais il me faudrait également le rapport bdsyslog et le rapport gmer.

Il faudrait aussi que vous me disiez si après suppression des fichiers temporaires (comme je vous l'ai indiqué plus haut), le phénomène se reproduit.

Merci.

Yann A.

Bonjour, je vous réponds sur le topic, les messages privés ne sont à utiliser qu'à ma demande ou pour transmettre des informations privées et confidentielles.

Des fichiers temporaires ne peuvent être supprimés lorsqu'il sont en train d'être utiliser par une application, il est donc normal que vous ne puissiez pas supprimer ce fichier temp.

Si vous avez bien désinstallé les autres solutions antimalwares et que le phénomène se reproduit, il faudra alors me faire parvenir les fichiers demandés ci-dessous (uniquement si le phénomène se reproduit) :

1. Mettez à jour BitDefender en cliquant sur "Mettre à jour" et une fois la mise à jour terminée lancez une analyse système :

- Ouvrez Bitdefender puis cliquez sur "Voir les fonctionnalités"

- Dans l'encadré "Antivirus" cliquez sur "Analsye du système"

- Une fois l'analyse terminée, cliquez sur le bouton "Afficher Journal"

- Puis cliquez sur le bouton "Enregistrer le journal"

- Une fois le journal (fichier .xml) enregistré, faites le nous parvenir

2. Rapport bdsyslog :

- Enregistrez sur votre bureau le fichier BDSYS depuis ce lien :
http://www.bitdefender.com/files/KnowledgeBase/file/BDSysLog_i.exe

- Fermez toutes les applications actives et désactivez l'analyse à l'accès dans Bitdefender (Configuration, Antivirus, Analyse à l'accès sur Off), choisissez en permanence. Vous pourrez réactiver l'analyse à l'accès une fois les opérations terminées

- Ensuite lancez le programme précédemment téléchargé, BDSysLog_i.exe. Si vous recevez une alerte de parefeu demandant l'autorisation de connexion, acceptez. 

Ensuite cliquez sur 'Create log' pour commencer la création du rapport. Une bar de progression indiquera l'état d'avancement de la création du rapport.

Quand une petite fenêtre apparaîtra avec le message 'Log saved', alors la création du rapport sera terminée. Un fichier nommé 'bdsyslog.zip' sera alors présent sur votre bureau, c'est ce fichier qu'il faut nous faire parvenir.

3. Faites nous parvenir le rapport Autoruns comme demandé ci-dessous:

- Téléchargez autorun.zip depuis cette adresse et enregistrez le fichier sur votre bureau :
http://download.sysinternals.com/files/Autoruns.zip

- Une fois enregistré, décompressez le fichier Autoruns.zip sur votre bureau, deux fichiers devraient être créés dans un dossier, autoruns.exe et autorunsc.exe. Double-cliquez sur le fichier 'autoruns.exe'.

- Attendez que la liste qui défile dans la fenêtre de l'application Autoruns ait fini de s'afficher. Vérifiez que vous vous trouvez bien sur l'onglet 'Everything'.

- Cliquez sur le petit icône représentant une disquette qui se trouve sous 'File'. Une fenêtre va s'ouvrir vous demandant de choisir l'emplacement pour sauvegarder le rapport nommé par défaut Autoruns.Arn, choisissez un nom (par exemple votre nom, celui de votre ordinateur) puis choisissez le bureau par exemple et cliquez sur 'Enregistrer'.

- Merci ensuite de me faire parvenir le fichier ainsi créé sur votre bureau.

4. Enfin faites nous parvenir le rapport Gmer comme indiqué ci-dessous :

- Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :
http://www.gmer.net/gmer.zip

- Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque

- Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:

- Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se termine puis cliquez sur l'onglet Rootkit (en haut il faut développer les onglets en cliquant sur >>). Puis cliquez sur le bouton 'Scan' en bas à droite. 

- Une analyse va démarrer, attendez qu'elle se termine. 

- A la fin de l'analyse, cliquez sur le bouton "Save..." et enregistrez le rapport sur votre bureau, nommez le gmer.log

(Si jamais le bouton "Save..." n'apparait pas, cliquez sur le bouton Copy et ouvrez le programme bloc-note (notepad), cliquez dans le menu Edition puis choisissez Coller. Ensuite allez dans le menu Fichier et choississez Enregistrer sous (choississez comme nom gmer et enregistrez le sur le bureau)). 

- Faites nous parvenir le fichier gmer.log

Pour me faire parvenir l'ensemble des fichiers demandés, utilisez un système d'hébergement de fichier gratuit comme par exemple framadrop.org, sendspace.com, fileserve.com rapidshare.com ou dl.free.fr. Une fois que les fichiers sont en ligne, vous recevrez un mail vous donnant l'adresse de téléchargement, transmettez moi alors cette adresse afin que je puisse récupérer les fichiers mis en ligne.

Andre Rouilhac

Merci pour votre réponse!

Je présume que vous ne lirez pas la mienne avant lundi, puisque c'est le weekend, auquel, je l'espère, vous avez droit!

Je le répète encore, je vous ai envoyé les rapports de Bitdefender et Autorun (sous les 2 formats), en message privé aujourd'hui pour ces derniers. Je vous demandais si vous les aviez reçus ou non, mais pas de réponse... (??) Je présume que oui..? Par contre, je ne peux pas, je voudrais bien hélas, vous envoyer celui de gmer, mais le logiciel plante à chaque fois! Pourtant toutes les applis (essentiellement audio/vidéo, vous avez dû le constater dans les rapports..) sont désactivé, j'ai éradiqué tous mes anti-malwares, rien n'y fait! J'ai pensé que ce pouvait être NVIDIA, ou Internet Explorer (comme pour le dernier plantage...), mais je ne peux les désactiver!..Je vous ai demandé deux fois si je pouvais l'exécuter en mode sans échec, mais vous ne m'avez pas éclairé sur ce point... Je voulais essayer, j'essaierai quand même, "ça ne mange pas de pain" comme on dit, mais je pense qu'il risquerait d'être incomplet...

Enfin, pour ce qui est des dossiers temp, il n'y en a plus qu'un qui apparaît... Et j'ai beau le supprimer avec Unlocker (je sais, c'est un logiciel "autre", mais qui est bougrement efficace et justement réputé à mon avis..), il réapparaît aussitôt. Je précise que j'en avais supprimé en mode s.e., mais il y en avait toujours un, voire 2, que je ne pouvais envoyer se faire voir ailleurs "normalement"! Là, au moment où je vous écris, je l'avais supprimé il y a 2 heures, et il est à nouveau présent, peut-être avec un n° différent (mais je ne les apprends pas par coeur! ), par contre il est encore vide... Donc, le phénomène se reproduit, comme vous dîtes, mais à une échelle bien moindre!! Pour l'instant il ne fait pas de petits, déjà bien, mais surtout Gen.Ursu ne s'est pas manifesté, je viens de vérifier dans Bitdefender, depuis 21h!!! Je reste prudent, je n'ose pas crier victoire trop tôt, pas dans ma nature, mais pour l'instant je trouve cela un peu encourageant... Je verrai l'évolution ce weekend...

J'aimerais toutefois vous envoyer ce rapport gmer, mais impossible!! Je vais essayer de supprimer le fichier exe, puis re-télécharger le logiciel, mais je doute que ce soit efficace...

En attendant de vos nouvelles, ou que je puisse vous en envoyer de bonnes (je peux rester optimiste hein? ), car ce que je redoute par dessus tout c'est une restauration de Windows, pas en tant que telle, mais surtout télécharger à nouveau tous mes logiciels (pour certains il va m'être difficile de retrouver les liens), bref, voire même enfin un fichier gmer!, je vous souhaite un excellent weekend, ou en avoir passé un excellent, malgré la météo!

Cordialement.

Yann A.

Bonjour,

Merci pour votre message.

Oui vous pouvez lancer des analyses avec Bitdefender en mode sans échec, mais vous ne pouvez le faire que depuis l'analyse contextuelle (click droit sur le dossier ou fichier à analyse, puis Bitdefender, Analyser avec Bitdefender).

Comme je vous l'ai dit, certains fichiers temporaires ne peuvent être supprimés ou réapparaîtront  si l'application qui travaille avec ce fichier est toujours en route.

Il est normal qu'il y ait des fichiers temporaires dans le dossier destiné à les stocker (Temp).

Pour rappel, les rapports demandés sont à envoyer uniquement si la situation se produit de nouveau, à l'identique.

Andre Rouilhac

Bonjour Yann!

Tout d'abord je vous prie de m'excuser pour mon "silence", si j'avais estimé la situation réglée, je me serais connecté tout de même pour vous remercier, et peut-être clore le topic (ou bien est-ce à vous de le faire?..).

Lorsque j'ai lu votre message lundi, je n'y ai volontairement pas répondu car je voulais attendre encore un petit peu pour être "sûr"... En effet, depuis la dernière "grande attaque" du jeudi 9, je n'avais plus de nouvelles de Gene.Ursu!! Vous n'imaginez pas mon contentement! Mais par contre il subsistait un, juste un, fichier temp dans le dossier Windows\Temp,! J'ai commencé à le supprimer avec Unlocker, mais il réapparaissait toujours. J'ai même tenté un redémarrage après désactivation de la restauration système (que j'ai rétablie depuis), pffft!, toujours le même résultat!... Par contre il ne "faisait plus de petits", donc je me suis résolu à sa présence, d'autant plus qu'il ne contenait qu'un fichier temp suivi de multiple zéros, et qu'il restait vide....

Mais mardi, par contre, je consulte le dossier (ce que je fais toujours maintenant, je sais que des applis y envoient souvent des fichiers temporaires, mais mon attention était dirigée vers ceux-ci en particulier!) et je me suis hélas rendu compte qu'il avait fait un petit, qui contenait environ une vingtaine de fichiers pesant environ 275 Ko si ma mémoire est bonne. J'ai vérifié dans BitDefender, effectivement, il signalait 4 ou 5  tentatives mardi à 11h34.... J'ai donc supprimé tout cela, et, depuis, le "papa" revient, mais toujours vide..Je précise que j'ai viré de mon ordi tous mais anti-machins (même Emsisoft, avec un petit pincement au coeur, car il a été toujours efficace, et jamais en conflit avec BitDefender, depuis le temps que j'ai les 2... Il n'est pas exclu que je le réinstalle un jour, je vous le dis franchement, mais, bref, je n'en suis pas là...).  J'ai par contre supprimé un logiciel gratuit, Wise Disc Cleaner je crois, nettoyeur de fichiers temp, que j'avais dû télécharger en lisant un forum il y a un bout de temps mais jamais utillisé. Je l'ai fait pour la première fois lundi je crois, puis réutilisé mardi, mais parce que j'avais auparavant fait une recherche approfondie sur Google, et il n'était nulle part jugé dangereux, voire même apprécié comme un complément de CCleaner, mais bon, je m'en suis quand même débarrassé.... J'ai réinstallé toutes mes applis Cyberlink, Movavi, et Magix qui avaient été "touchées" par les analyses que vous m'avez demandé de faire, mais depuis, je croise les doigts, tout à l'air de fonctionner à merveille. J'ai utilisé BitDefender pour optimiser le démarrage, j'ai tout désactivé, ce qui a rendu l'ouverture et surtout la fermeture de Windows nettement plus véloces! Par contre, BitDefender prend un temps qui me semble interminable à s'afficher dans la barre de démarrage, n'y a-t-il pas un moyen de l'accélérer?

Voilà donc la situation. J'apprends à vivre avec mon petit "tmp00001512", qui reste vide, mais je le surveille tout de même!

Ah, une chose que j'allais oublier, j'ai quand même refait une analyse Bitdefender avant de vous répondre, elle n'a rien découvert de suspect, à part les fichiers protégés par m.d.p., mais ça, je ne peux y remédier... Si vous voulez que je vous l'envoie, quand vous me répondrez, ce que j'espère, vous me le direz, et vous l'enverrai en "privé" alors, puisque j'ai bien compris que c'était à votre demande, excusez-moi pour les fois où j'ai utilisé ce mode, mais c'était toujours, je crois, lorsque j'y joignais quelque chose...

Je vous souhaite un bon courage, à plus tard, j'espère, et vous remercie encore!

Yann A.

Bonjour,

J'ai pris note des derniers développements. Comme je le disais, il est fort possible que l'apparition de ces fichiers temporaires ait été provoqué par une application défaillante ou un conflit de protection, et que ce conflit de protections entre solutions antimalwares ait provoqué ce faux posifit (détection de gen.variant.ursu).

Andre Rouilhac

Merci pour votre réponse Yann!

Oui, j'espère que c'est bien cela. Je verrai bien quand je réinstallerai Emsisoft (hum, sorry! ), mais ça ne devait pas venir de lui, parce qu'il était encore installé quand tout s'est calmé, et je l'avais désinstallé lundi je crois, donc avant l'attaque du mardi... Mais bon, je verrai, sinon je le désinstallerai définitivement, mais je vous assure qu'il a très bien cohabité avec BitDefender depuis un certain temps déjà!

Maintenant j'ai un autre problème, rien à voir avec BitDefender, mais plutôt l'anti-malware de Windows qui est apparu dans Windows Update hier, j'ai voulu le faire fonctionner, et je n'ai plus de menu "démarrer"! Enfin sur le bureau, pas vérifié sur Metro.... Mais bon, je vais bien trouver une soluce! Si on ne peut plus faire confiance à Windows maintenant, ben... J'aurais dû désinstaller la Fall Update, comme ils le conseillent sur pas mal de sites! Je le ferai peut-être, mais ça je n'ai jamais fait, alors faut que je me "documente" sur le net avant (Google is my "Big Brother" friend! )

En tout cas, je tenais encore à vous remercier, tout en vous souhaitant encore bon courage et, avec un jour d'avance, un excellent weekend!

A une prochaine fois peut-être, qui sait? Mais, euh...sincèrement, je n'espère pas!

Je pense que c'est à vous de clore le topic non?.. Je ne vois aucun "bouton" nulle part....

Yann A.

Bonjour,

Ok c'est noté, je clôture le topic