Trojan Agent4.GFJ : comment le supprimer ? - Virus/Spywares - Windows & Software
Marsh Posté le 11-03-2013 à 18:44:47
J'ai trouvé la réponse à mes 2 questions :
Downloaded Installations : fichiers où devraient être déposées les installations téléchargés : les fichiers contenus dans ce répertoire peuvent être effacés sans risque de corrompre le système.
System Volume Information : Fichiers pour les points de restauration (perso, c'est un peu de la merde ce truc, à chaque fois que j'ai essayé cette fonction, à chaque fois ça n'a pas fonctionné). On peut les supprimer en déactivant "Restauration du système" + redémarrage.
Les fichier PQI sont bien ce que je pensais : les fichiers image du système (créés par PowerQuest). Ce sont ces fichiers qui servent à restaurer le système comme au premier jour.
Or, après une telle réinstallation, le virus est là :
Cable réseau débranché
Réinstallation "factory software"
Après installation, copie du fichier ELhid.sys sous system32/Drivers
Vérification du fichier sur l'antivirus en ligne (via une clé USB) : positif
ELhid.sys est un fichier utilisé par un programme Intel. D'où vient-il ? Des fichiers factory ? Dans ce cas, le fichier EL_ALL.msi est corrompu...
Ou alors le virus se greffe dessus lors du premier démarrage windows ? Dans ce cas, d'ou vient-il ? D'un secteur de démarrage du disque dur ? De ce que j'ai lu, ça me semble très peu probable...
Marsh Posté le 11-03-2013 à 21:48:48
Je continue donc tout seul !
Je pense avoir trouvé une solution à ce problème :
Réinstallation à neuf du système
Désinstallation de Intel(R) Quick Resume Technologie
Réinstallation d'une version plus récente de Intel(R) Quick Resume Technologie
Suppression des répertoires sous Downloaded Installations et vidage de la corbeille
Réinstallation de AVG et scan complet du système
Plus de virus détecté et ma souris fonctionne toujours
Pourvu que ça dure !
Je viens de perdre au moins de jours avec cette merde Au moins 10 réinstallations, avec téléchargement des 121Mo de l'installation de AVG... Gonflant
Marsh Posté le 11-03-2013 à 17:50:44
Salut,
j'ai des problèmes de souris qui se désactive et après recherches et différents test, je me suis aperçu que c'était mon antivirus AVG qui détectait un trojan Agent4.GFJ et qui met certains fichiers en quarantaine. Le redémarrage suivant, ma souris est bloquée, j'ai plus qu'à tout réinstallé (ça fait 2 jours que j'essaye de résoudre ce problème )
L'OS est Windows XP.
Les fichiers que AVG détecte et met en quarantaine sont :
"";"C:\WINDOWS\System32\DRIVERS\ELhid.sys
C:\WINDOWS\Downloaded Installations\{E5EC17BE-F761-43FE-BF73-2B7A369A5692}\EL_ALL.msi:\Data1.cab:\ELhid.sys
C:\WINDOWS\Downloaded Installations\{E5EC17BE-F761-43FE-BF73-2B7A369A5692}\EL_ALL.msi:\Data1.cab:\elhid.sys
C:\WINDOWS\Downloaded Installations\{E5EC17BE-F761-43FE-BF73-2B7A369A5692}\EL_ALL.msi:\Data1.cab
C:\WINDOWS\Downloaded Installations\{E5EC17BE-F761-43FE-BF73-2B7A369A5692}\EL_ALL.msi
C:\System Volume Information\_restore{FE62DFD1-E165-47AF-AC5D-5300B6972916}\RP8\A0000397.sys
C:\System Volume Information\_restore{FE62DFD1-E165-47AF-AC5D-5300B6972916}\RP8\A0000396.sys
C:\Program Files\Intel\IntelDH\Intel(R) Quick Resume Technology\ELhid.sys
J'ai trouvé un post d'un gars qui a les même problèmes que moi : http://www.commentcamarche.net/for [...] alware-gen
J'ai donc tenté de faire ce qu'on lui a demandé de faire, sauf que je n'arrive pas à interpréter les fichiers log... car rien n'est détecté par eux...
J'ai vérifié le fichier ELhid.sys situé dans system32/drivers avec un antivirus en ligne, il trouve bien une infection :
https://www.virustotal.com/fr/file/ [...] 363014282/
J'ai essayé sans résultat :
Combofix
Adwcleaner
Malwarebytes Anti-Malware
Seaf
Quelqu'un aurait une piste ?
Je précise que j'ai un disque de restauration de Windows qui était livré avec le PC (un Médion). Je réinstalle le système comme ça. Sur le disque dur, il y a une partition E: avec dedans quelques fichiers : factory.PQI, factory.002, factory.003, factory.004
Quand je remets l'ordinateur avec la configuration d'origine, le fichier ELhid.sys est contaminé avant même que j'installe quoi que ce soit. Donc j'imagine que mes fichiers sources sont eux aussi contaminés...
Quels sont ces répertoires que AVG détecte ?
C:\WINDOWS\Downloaded Installations\{E5EC17BE-F761-43FE-BF73-2B7A369A5692}\EL_ALL.msi
C:\System Volume Information\_restore{FE62DFD1-E165-47AF-AC5D-5300B6972916}\RP8\A0000397.sys
Est-ce que ce sont les fichiers servant à installer Windows ?
Merci pour votre aide, je commence à saturer, je n'arrive pas à trouver de solution
---------------
OtObOxBlOg - - - Etre seul à avoir tort c'est plus difficile, mais c'est bien plus beau que d'avoir raison avec une bande de cons