Rogue.sysCleaner et autres

Question

Bonjour,


Suite au post http://www.commentcamarche.net/... et post suivant, https://forums.commentcamarche.net/forum/affich-15463624-rogue-syscleaner­yscleaner#9, (Memman.vxd (Rogue.sysCleaner) a été éradiqué (Merci Jacques)

Je viens de passer à nouveau malwarebytes qui me redécouvre les mêmes infections (Memman.vxd (Rogue.sysCleaner), avec en prime, cette fois ci, des suppléments appelés Backdoor agent.

Malwarebytes les a éliminés. Mais je ne me fait pas d'illusion, ils se sont sans doute créés comme la dernière fois, des suvegardes.

Ma demande est : quelles sont les mesures à prendre pour éradiquer les bestioles -> (Memman.vxd (Rogue.sysCleaner) et Backdoor agent?

A l'avance, merci pour votre aide ;-)

Voici les rapports ci-dessous:

Random's System Information Tool (RSIT) >> rapports déposés ici >>

http://www.cijoint.fr/cjlink.php?file=cj200912/cijCiSf4du.txt
http://www.cijoint.fr/cjlink.php?file=cj200912/cijbv9h1rT.txt

Le rapport Malwarebytes (il y a un dossier rapport enregistrés sous Mes Documents), ici >>

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3409
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/12/2009 22:38:07
mbam-log-2009-12-22 (22-37-42).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 194821
Temps écoulé: 1 hour(s), 35 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\silentsalesmachine auction tidbits.ebooknshandler (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\silentsalesmachine auction tidbits.externalnshandler (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9c453f21-396d-11d5-9734-70e252c10127} (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d173e10a-001d-4318-9822-8c97a8418482} (Backdoor.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> No action taken.

Utilisateur anonyme · Answer

salut
malwarebytes ne les a pas supprimés : No action taken. 

	Malwarebytes' Anti-Malware			

	    * Télécharge Malwarebytes			
	    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.			
	    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)			
	    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"			
	    * Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"			
	    * L'analyse peut durer un bon moment.....			
	    * Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"			
	    * Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"			
	    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum			

	* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée			


	les createurs d'infection utilisent les emplacements des fichiers système pour hébérger les infections, d'ou les fichiers . dll ou exe dans ces series d'infections.		
	MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de crainte pour ce côté là.

genowefa · Answer

Salut OXO

Merci pour ta réponse...

Si si, il avait effacé les infections. J'avais fait la copie du rapport avant d'effacer l'infection.
Voici d'ailleurs la copie du rapport de hier après effacement de l'infection:
Et en-dessous, la copie du rapport d'aujourd'hui. 

Comme tu peux le voir, les Backdoor agent ne sont plus là. Mais sont-ils vraiment effacés pour de bon ??
Par contre, Rogue revient de façon récurrente. 
On l'efface, on fait tout ce qu'il faut (voir les posts précédents entre début décembre et aujourd'hui), et cette saloperie revient !!

Solutions ??
Merci pour ton intérêt, sympa :-)

SVP. lis aussi les rapports Random's System Information Tool (RSIT) >> rapports déposés ici >>

http://www.cijoint.fr/cjlink.php?file=cj200912/cijCiSf4du.txt
http://www.cijoint.fr/cjlink.php?file=cj200912/cijbv9h1rT.txt 

Rapport Malwarebytes' de hier:

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3409
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

22/12/2009 22:38:07
mbam-log-2009-12-22 (22-37-42).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 194821
Temps écoulé: 1 hour(s), 35 minute(s), 46 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\silentsalesmachine auction tidbits.ebooknshandler (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\silentsalesmachine auction tidbits.externalnshandler (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9c453f21-396d-11d5-9734-70e252c10127} (Backdoor.Agent) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d173e10a-001d-4318-9822-8c97a8418482} (Backdoor.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> No action taken.

Rapport Malwarebytes's de cet après midi:
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3409
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

23/12/2009 17:22:59
mbam-log-2009-12-23 (17-22-54).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 194910
Temps écoulé: 1 hour(s), 41 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{1C91AF18-CB5B-4D26-887F-296A391F177A}\RP135\A0013144.vxd (Rogue.sysCleaner) -> No action taken.

blood404 · Answer

salut

just pour voir oxo

bon courage

Utilisateur anonyme · Answer

re

	• Télécharge Random's System Information Tool (RSIT)  de Random/Random, et enregistre le sur ton Bureau.
	• Double clique sur RSIT.exe pour lancer l'outil.
	• Clique sur "Continue" à l'écran Disclaimer.
	• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
	• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

	Tutoriel illustré pour t'aider 

	Comment héberger les rapports trop longs de RSIT

Utilisateur anonyme · Answer

re

	• Télécharge Random's System Information Tool (RSIT)  de Random/Random, et enregistre le sur ton Bureau.
	• Double clique sur RSIT.exe pour lancer l'outil.
	• Clique sur "Continue" à l'écran Disclaimer.
	• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
	• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

	Tutoriel illustré pour t'aider 

	Comment héberger les rapports trop longs de RSIT

genowefa · Answer

Salut OXO


Je l'ai déjà fait hier, après l'effacement après le rapport de Malwarebytes'

C'est marqué dans le texte précédent ;-)

Voici: 
(ou alors y a t il qq chose que je ne comprends pas ??
Pat

SVP. lis aussi les rapports Random's System Information Tool (RSIT) >> rapports déposés ici >>

http://www.cijoint.fr/cjlink.php?file=cj200912/cijCiSf4du.txt
http://www.cijoint.fr/cjlink.php?file=cj200912/cijbv9h1rT.txt

Cosmi10 · Answer

genowefa,

Les (-> No action taken.) dans le rapport, indiques que vous n'avez pas appuyer sur [Supprimer la sélection] après le scan.
Pour supprimer ce qui a été détecté dans les scan précédents. Aller dans la [Quarantaine] de Malwarebytes, appuyer sur [Tout supprimer] et redémarrer le PC.

Après la désinfection, une infection par backdoor nécessite "par mesure de sécurité" de changer tout ces mots-de-passes.

oxo79,
Les rapports Log.txt et info.txt ont déjà été postés dans ce message

Utilisateur anonyme · Answer

re

j'ai très bien vu ces rapports . Mais il m'en faudrait de maintenant.

il y a une ou deux lignes suspectes , je veux vérifier

genowefa · Answer

http://www.cijoint.fr/cjlink.php?file=cj200912/cijUjKmfLq.txt 
http://www.cijoint.fr/cjlink.php?file=cj200912/cijoS0bCJM.txt 

Normalement, ca doit être bon...
Je reviens dans une demi heure

Pat

genowefa · Answer

ya un prob...

le log est bien enregistré, pas l'info (en txt)
L'info est celui de hier soir !!

Je viens de rééssayer deux fois... idem !!
C'est quoi ce bin's ??

pat

Utilisateur anonyme · Answer

ok

*rends toi ici

https://www.virustotal.com/gui/

et analyses ceci :  C:\WINDOWS\system32	mp.txt

*Connais-tu ce programme ? : C:\Program Files\IOJ\IOJ Daemon.exe

* à quoi correspond ceci : Neuf Pack Sécurité (antivirus?)

genowefa · Answer

http://www.virustotal.com/vt/fr/recepcion?5c4b896eb87f196fc740d86ef16b4211 >>>>> 0 bytes size received / Se ha recibido un archivo vacio

??? Aurais-je fait une erreur ? J'ai pourtant entré l'adresse sys que tu m'a donné ??

*Connais-tu ce programme ? : C:\Program Files\IOJ\IOJ Daemon.exe , oui, c'est un programme que j'utilise quotidiennement

* à quoi correspond ceci : Neuf Pack Sécurité (antivirus?) Ca s'appelle maintenant SFR Pack Securite, oui c'est l'AV

Il y a un prog qui me semble suspect, perso, c'est plus ou moins depuis son téléchargement que ca merde, c'est un truc appellé Dactylo. Serait-il vérolé ?

genowefa · Answer

Ya un bug sur CCM 

Mes messages ne m'apparaissent pas non plus, pourtant ils sont enregistrés !!

genowefa · Answer

C'est bon, j'ai les résultats de l'analyse avec virustotal. >>> Fichier tmp.reg reçu le 2009.12.23 20:42:19 (UTC) Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.43 2009.12.23 - AhnLab-V3 5.0.0.2 2009.12.23 - AntiVir 7.9.1.122 2009.12.23 - Antiy-AVL 2.0.3.7 2009.12.23 - Authentium 5.2.0.5 2009.12.23 - Avast 4.8.1351.0 2009.12.23 - AVG 8.5.0.430 2009.12.23 - BitDefender 7.2 2009.12.23 - CAT-QuickHeal 10.00 2009.12.23 - ClamAV 0.94.1 2009.12.23 - Comodo 3344 2009.12.23 - DrWeb 5.0.1.12222 2009.12.23 - eSafe 7.0.17.0 2009.12.23 - eTrust-Vet 35.1.7193 2009.12.23 - F-Prot 4.5.1.85 2009.12.23 - F-Secure 9.0.15370.0 2009.12.23 - Fortinet 4.0.14.0 2009.12.23 - GData 19 2009.12.23 - Ikarus T3.1.1.79.0 2009.12.23 - Jiangmin 13.0.900 2009.12.23 - K7AntiVirus 7.10.926 2009.12.22 - Kaspersky 7.0.0.125 2009.12.23 - McAfee 5841 2009.12.23 - McAfee+Artemis 5841 2009.12.23 - McAfee-GW-Edition 6.8.5 2009.12.23 - Microsoft 1.5302 2009.12.23 - NOD32 4713 2009.12.23 - Norman 6.04.03 2009.12.23 - nProtect 2009.1.8.0 2009.12.23 - Panda 10.0.2.2 2009.12.15 - PCTools 7.0.3.5 2009.12.23 - Prevx 3.0 2009.12.23 - Rising 22.27.02.02 2009.12.23 - Sophos 4.49.0 2009.12.23 - Sunbelt 3.2.1858.2 2009.12.23 - Symantec 1.4.4.12 2009.12.23 - TheHacker 6.5.0.3.109 2009.12.23 - TrendMicro 9.120.0.1004 2009.12.23 - VBA32 3.12.12.0 2009.12.23 - ViRobot 2009.12.23.2105 2009.12.23 - VirusBuster 5.0.21.0 2009.12.23 - Information additionnelle File size: 2702 bytes MD5...: e93a20c9933eb41003609321983491fa SHA1..: ded9b3bc3b8a8c3b69e8f999595936c0a5e4beeb SHA256: ae2b9fde87141e1a82117699c0eb805ad84daa1d2d112581fba7591cc05aed48 ssdeep: 48:tKFeehzdE67lVOdEXUR4bdIcUOxDHdcbuOdRUidddHdpFd8fIFen/tFen/crF
ene:Um4nXnD6N2nPU+
PEiD..: - PEInfo: - RDS...: NSRL Reference Data Set
- pdfid.: - trid..: Windows Registry Data (Ver. 5.0 - UTF16) (96.8%)
Text - UTF-16 (LE) encoded (2.0%)
MP3 audio (1.0%)
Lumena CEL bitmap (0.0%)
Corel Photo Paint (0.0%) sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
packers (F-Prot): Unicode

jacques.gache · Answer

oxo79 bonjour,  pour ta culture personnel , si tu fais un rsit, tu as un log.txt et un info.txt, et si tu le relances tu n'a que un nouveau log.txt le info.txt n'est pas recréé !! si tu veux le recréé tu désinstalles rsit et tu supprimes les rapport du disque dure et la tu refais le RSIT comme à la première fois !!! 

sinon consernant le problème avec C:\WINDOWS\system32	mp.txt
pourquoi pas le faire supprimer avec file assassin qui est un outil intégré dans malwarebytes !!!

sinon genowefa la je commprend pas pourquoi tu te retrouves avec cette rogue  sans arrêt , je me demande si cela serait pas  lié avec certaine chose que tu fais sur ton pc et ce fameux IOJ  !! c'est une simple suposition !!! 

pourrais tu faire une recherche sur ton pc avec SEAF. pour voir si on ne trouve pas un lien avec  ta merd.


Lien de téléchargement : http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

Miroir : https://www.androidworld.fr/


Double cliquez sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista et Seven) .

Une fenêtre "cmd" va s'ouvrir .

Tapez le script demandé dans cette fenêtre pour toi :

Memman


et Entrée.

Patientez pendant la recherche.

Une fenêtre avec un log .txt va s'afficher.

Copiez/collez ce rapport sur un forum adapté.

genowefa · Answer

Salut Jacques,

Merci pour le coup de main... C'est sympa, vraiment.

Rapport SEAF: 

1. ========================= SEAF 1.0.0.6 - C_XX | 22:46:45,00
2. 
3. Valeur(s) recherchée(s):
4. 
5. Memman
6. 
7. 
8. ========================= Fichier(s)/Dossier(s):
9.  
10. Aucun fichier/Dossier trouvé. 
11. 
12. ========================= Registre:
13.  

Rien donc....
Autre chose à faire ?

Pour les autres bestioles /BackDoor, comment est-ce qu'elles sont rentrées ??? 
Pour les Rogues, Jamais vu ça en 18 ans d'informatique... Je refais la même chose qu'ici >> https://www.commentcamarche.net/faq/13265-pc-infecte-par-des-rogues tous les jours ? ;-)
Très cordialement

Pat

jacques.gache · Answer

rien consernant ce Memman  sur ton pc , je vais te proposer de passer un outil , mais il est très puissant donc pas d'improvistion personnel , tu prends le temps de regarder le tutoriel officiel avant !! tu déactiveras bien toutes tes protections active de ton pc !! tu ne toucheras pas au pc pendant que combofix travail même pas la souris , sauf pour répondre quand il te le demande, merci 

Tutoriel officiel prends le temps de le regarder : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Télécharge Combofix.exe de sUBs sur ton Bureau, 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

 Déconnectes toi d'internet et désactives ton antivirus et toutes protection résidente, pour que Combofix puisse s'exécuter normalement. 

Doubles clique sur Combofix.exe 
Mets le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

tu Ne touches à rien tant que le scan n'est pas terminé. 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 


Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

 Réactives la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. 

Note : Le rapport se trouve également là : C:\Combofix.txt

genowefa · Answer

Oki, Jacques.

Punaise, tu me propose de passer l'ordi à l'acide....
Ca craint, surtout que je ne suis pas très doué en indormatique technique. S'il y a un prob comme c'est marqué dans le tuto, je vais être super mal. L'ordi, c'est mon outil de travail...
Et pourtant, les cordonniers sont souvent les plus mals chaussés.....

Ainsi, par exemple: problème: je n'ai plus de cartouches d'encre (de couleur) sur mon imprimante. 
Faut que j'en rachète une.
Le magasin le plus proche pour ça est à 40 bornes d'ici AR, et demain jeudi, c'est noir de monde là bas. Samedi, c'est fermé. On est ici en Alsace Lorraine, jour férié après Noël, cool....

Donc, je ferais cette opération lundi prochain, et t'enverrais un rapport à ce moment-là. En attendant, je passerais Malwarebytes' tous les jours avant de faire quoi que ce soit. Oki ?

Pour Backdoor, faut que je change tous les codes ou est-il préférable d'attendre le rapport Combofix ?

Un très grand merci, c'est du grand art !! 
Pat

Utilisateur anonyme · Answer

bonjour

jacques gaches , merci de passer .Je te laisse la main

genowefa 

à quoi correspond ceci : Neuf Pack Sécurité (antivirus?) Ca s'appelle maintenant SFR Pack Securite, oui c'est l'AV 

Tu as dans ton pc:

F-Secure Internet Security Suite et Neuf Pack Sécurité

tu en as un de trop

bon courage et bon noël a vous deux

jacques.gache · Answer

bonjour, et si tu as peur de perdre tes donnés perso si le pc plantait , mets les sur un autre support sur dd externe ou sur dvd comme cela si vraiment un gros crache du pc tu réinstalleras mais tu auras sauvegardé avant

genowefa · Answer

Salut Jacques,

Avec du recul, tu as raison, j'hésite à présent. Ca craint vraiment, ton programme. Je suis trop nul en informatique. J'ai montré ta réponse à un ami programmeur que tu connais, il m'a dit qu'à ma place, il ne le ferait pas non plus. Et lui, il touche 100 fois plus en informatique que moi, c'est dire!

Même si je sauvegarde en externe, je risque de perdre 3 jours pour remettre tous les softs, sans compter ceux qui vont être perdus... Si tu as autre chose à proposer en plus light, je suis preneur. 
Et sinon, tant pis, je passerais Malwarebytes tous les jours.

Merci en tout cas pour ton aide généreuse,

Bonne soirée de réveillon de Noël, Jacques ! A toi et à toute ta famille.
Très cordialement
Pat

jacques.gache · Answer

ok comme tu veux mais combofix est pas plus dangeureux qu'un autre outil dernièrement j'ai un pc qui a planté au passage de usbfix donc on est jamais sur !! mais perso j'ai pas trop d'autre outil de cette envergure, mais je te conseillerais de toujours sauvegarder sur un dd externe tout ton travail car si un jour le pc est planter tu n'aura pas tout perdu !! sinon un outil comme norton ghost tu fais une image disque régulièrement et tu restaure de puis cellec si problème comme cela sa remets tout en plance!!

J'ai montré ta réponse à un ami programmeur que tu connais à qui faisais tu allusion ???

on va essayer de voir si on trouve un rookies qui pourrait expliquer cette réinfection permanante!!

sinon concernant : C:\WINDOWS\system32	mp.txt   peux tu l'ouvrir et me poster le contenu , mais je pense que l'on pourra le supprimer



•Télécharge Rooter (créé par l'équipe IDN) sur ton bureau: https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2


•/!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\


•Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc notes


•Ensuite poste le rapport dans ta prochaine réponse

genowefa · Answer

Salut Jacques

Je viens de passer Malwarebytes qui a redécouvert 2 nouveaux Rogues. Rapport ci-dessous pour info.

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3409
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/12/2009 13:41:04
mbam-log-2009-12-24 (13-41-04).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 194573
Temps écoulé: 1 hour(s), 34 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\Memman.vxd (Rogue.sysCleaner) -> Quarantined and deleted successfully.


Et voici le rapport de Rooter:

Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 3
[32_bits] - x86 Family 15 Model 107 Stepping 2, AuthenticAMD
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Enabled
.
Internet Explorer 8.0.6001.18702
Mozilla Firefox 3.5.6 (fr)
.
C:\  [Fixed-NTFS] .. ( Total:78 Go - Free:58 Go )
D:\  [Fixed-NTFS] .. ( Total:70 Go - Free:68 Go )
E:\  [CD_Rom]
F:\  [CD_Rom]
.
Scan : 13:58.31
Path : C:\Documents and Settings\Patrick\Mes documents\Téléchargements\Rooter.exe
User : Patrick ( Administrator -> YES )
.
----------------------\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (656)
______ \??\C:\WINDOWS\system32\csrss.exe (728)
______ \??\C:\WINDOWS\system32\winlogon.exe (756)
______ C:\WINDOWS\system32\services.exe (800)
______ C:\WINDOWS\system32\lsass.exe (812)
______ C:\WINDOWS\system32\Ati2evxx.exe (988)
______ C:\WINDOWS\system32\svchost.exe (1004)
______ C:\WINDOWS\system32\svchost.exe (1076)
______ C:\WINDOWS\System32\svchost.exe (1188)
______ C:\WINDOWS\system32\svchost.exe (1304)
______ C:\WINDOWS\system32\svchost.exe (1384)
______ C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (1428)
______ C:\WINDOWS\system32\Ati2evxx.exe (1516)
______ C:\WINDOWS\system32\spoolsv.exe (1616)
______ C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\mom.exe (1876)
______ C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe (1948)
______ C:\WINDOWS\system32\svchost.exe (140)
______ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (216)
______ C:\Program Files\Bonjour\mDNSResponder.exe (228)
______ C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe (304)
______ C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE (312)
______ C:\Program Files\Pack Securite\Common\FSMA32.EXE (320)
______ C:\Program Files\Java\jre6\bin\jqs.exe (496)
______ C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe (512)
______ C:\Program Files\Pack Securite\Common\FSMB32.EXE (528)
______ C:\WINDOWS\system32\HPZipm12.exe (572)
______ C:\WINDOWS\system32\svchost.exe (1036)
______ C:\Program Files\Pack Securite\Common\FCH32.EXE (1588)
______ C:\Program Files\Pack Securite\Common\FAMEH32.EXE (2052)
______ C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe (2076)
______ C:\Program Files\Pack Securite\FSPC\fspc.exe (2108)
______ C:\WINDOWS\system32\wbem\unsecapp.exe (2252)
______ C:\WINDOWS\system32\wbem\wmiprvse.exe (2344)
______ C:\Program Files\Pack Securite\ORSP Client\fsorsp.exe (2392)
______ C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe (2424)
______ C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe (2444)
______ C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe (2548)
______ C:\WINDOWS\System32\alg.exe (2600)
______ C:\Program Files\Pack Securite\FSAUA\program\fsus.exe (3024)
______ C:\WINDOWS\system32\wbem\wmiapsrv.exe (3392)
______ C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe (1752)
______ C:\WINDOWS\Explorer.EXE (2864)
______ C:\Program Files\Pack Securite\Common\FSM32.EXE (3376)
______ C:\Program Files\Pack Securite\FSGUI\fsguidll.exe (3472)
______ C:\WINDOWS\RTHDCPL.EXE (3812)
______ C:\Program Files\IOJ\IOJ Daemon.exe (3844)
______ C:\Program Files\Java\jre6\bin\jusched.exe (3952)
______ C:\Program Files\iTunes\iTunesHelper.exe (3968)
______ C:\WINDOWS\system32\ctfmon.exe (4008)
______ C:\Program Files\Neuf\Kit\9props.exe (4076)
______ C:\Program Files\iPod\bin\iPodService.exe (948)
______ C:\Program Files\Mozilla Firefox\firefox.exe (4056)
______ C:\Documents and Settings\Patrick\Mes documents\Téléchargements\Rooter.exe (684)
.
----------------------\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:83889598464)
\Device\Harddisk0\Partition0 (Start_Offset:83889630720 | Length:76141416960)
\Device\Harddisk0\Partition2 (Start_Offset:83889662976 | Length:76141384704)
.
----------------------\ Scheduled Tasks
.
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1202660629-725345543-1003Core.job
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-343818398-1202660629-725345543-1003UA.job
C:\WINDOWS\Tasks\OGALogon.job
C:\WINDOWS\Tasks\SA.DAT
C:\WINDOWS\Tasks\Scheduled scanning task.job
.
----------------------\ Registry
.
.
----------------------\ Files & Folders
.
----------------------\ Scan completed at 13:58.39
.
C:\Rooter$\Rooter_1.txt - (24/12/2009 | 13:58.39)

jacques.gache · Answer

sinon concernant : C:\WINDOWS\system32	mp.txt peux tu l'ouvrir et me poster le contenu 

je ne vois pas pourquoi il revient !! je suis en train de me demander si c'est pas un faut positif de malwarebytes !!

la prochaine fais que malwarebytes te le trouve, tu ne supprimes pas mais  annalyser sur virus total  ou tu fais un scan en ligne avec bitdéfender https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender

genowefa · Answer

https://www.virustotal.com/gui/

Concernant C:\WINDOWS\system32	mp.txt, il n'y a rien (tmp ou txt) à l'emplacement indiqué en ce moment.
Je présume que dès que je repasse Malwarebytes's après demain (demain, absent), il trouvera un ou des Rogues. Et dans ce cas, je t'ouvre C:\WINDOWS\system32	mp.txt et t'en envoie le contenu, c'est cela ?

citation: la prochaine fais que malwarebytes te le trouve, tu ne supprimes pas mais annalyser sur virus total ou tu fais un scan en ligne avec bitdéfender


J'analyse quoi exactement sur virus total, Jacques ? 

Après cela, Oki pour le scan en ligne avec bitdefender...

Si on se lit pas ce soir, je te re-souhaite un bon Noël, Jacques. Un grand merci pour ta gentillesse !

Très cordialement
Pat

jacques.gache · Answer

si le fichier tmp.txt est présent tu le fais analyser sur virus total 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :tmp.txt dans C:\WINDOWS\system32

Clique sur envoyer le lien.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.

jacques.gache · Answer

sur virus total tu fais annalyser le fichier tmp.txt 

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :tmp.txt qui devrait être ici: C:\WINDOWS\system32

Clique sur envoyer le lien.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.

genowefa · Answer

Salut Jacques !! Passé un bon Noël ? Voici la suite, après 2 jours d'absence: J'ai passé Malwarebytes. Il a trouvé un Rogues. Je ne l'ai pas éliminé, comme tu me l'as demandé. De toute façon, si je l'élimine, comme d'habitude, il se fait une sauvegarde, qui reste invisible si je passe un second scan de Malwarebytes. Et il revient en double le jour d'après (sauvegarde + nouveau Rogues). Malwarebytes' Anti-Malware 1.42 Version de la base de données: 3434 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 26/12/2009 20:09:15 mbam-log-2009-12-26 (20-09-10).txt Type de recherche: Examen complet (C:\|D:\|) Eléments examinés: 195196 Temps écoulé: 1 hour(s), 32 minute(s), 7 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\System Volume Information\_restore{1C91AF18-CB5B-4D26-887F-296A391F177A}\RP136\A0013247.vxd (Rogue.sysCleaner) -> No action taken. Je me suis rendu sur https://www.virustotal.com/gui/ J'ai cliqué sur parcourir et cherché ce fichier :tmp.txt qui est ici: C:\WINDOWS\system32 Résultats: 0 bytes size received / Se ha recibido un archivo vacio Il y avait 2 icones: tmp et txt. J'ai alors passé Bitdefender... Bitdefender donne cette analyse ci-dessous. Par contre, après analyse, je peux chercher comme je veux, plus de tmp-txt (plus d'icones visibles sur syteme 32 !!) BitDefender QuickScan Beta 32-bit v0.9.8.4 ------------------------------------------ Date de l'analyse : Sat Dec 26 19:57:03 2009 ID de la machine : 9891FEE6 Aucune infection détectée. ---------------------------- Processus --------- Catalyst Control Centre: Host application 1960 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe Catalyst Control Center: Monitoring program 1880 C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\mom.exe Machine Debug Manager 1564 C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe IOJ Daemon 236 C:\Program Files\IOJ\IOJ Daemon.exe PML Driver 1756 C:\WINDOWS\system32\HPZipm12.exe Bonjour Service 1016 C:\Program Files\Bonjour\mDNSResponder.exe Apple Mobile Device Service 940 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe iPodService Module (32-bit) 3184 C:\Program Files\iPod\bin\iPodService.exe iTunesHelper 644 C:\Program Files\iTunes\iTunesHelper.exe Java(TM) Quick Starter Service 1240 C:\Program Files\Java\jre6\bin\jqs.exe Java(TM) Platform SE binary 652 C:\Program Files\Java\jre6\bin\jusched.exe Ad-Aware Service Application 1420 C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe Ad-Aware Tray Application 3896 C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe Malwarebytes' Anti-Malware 3796 C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe Firefox 3284 C:\Program Files\Mozilla Firefox\firefox.exe Propriétés de la connexion SFR 1200 C:\Program Files\Neuf\Kit\9props.exe FSAV Handler 4012 C:\Program Files\Pack Securite\Anti-Virus\fsav32.exe Gatekeeper Handler II 1228 C:\Program Files\Pack Securite\Anti-Virus\FSGK32.EXE F-Secure Anti-Virus Scanning Service 1148 C:\Program Files\Pack Securite\Anti-Virus\fsgk32st.exe F-Secure Quarantine Handler 2228 C:\Program Files\Pack Securite\Anti-Virus\fsqh.exe F-Secure Scanner Manager 2912 C:\Program Files\Pack Securite\Anti-Virus\fssm32.exe F-Secure Alert and Management Extension Handler 2232 C:\Program Files\Pack Securite\Common\FAMEH32.EXE F-Secure Configuration Handler 1888 C:\Program Files\Pack Securite\Common\FCH32.EXE F-Secure Settings and Statistics 1308 C:\Program Files\Pack Securite\Common\FSM32.EXE F-Secure Management Agent 1204 C:\Program Files\Pack Securite\Common\FSMA32.EXE F-Secure Message Broker 1252 C:\Program Files\Pack Securite\Common\FSMB32.EXE F-Secure Automatic Update Agent 3004 C:\Program Files\Pack Securite\FSAUA\program\fsaua.exe F-Secure Automatic Update Agent - Run Upstreamer 3832 C:\Program Files\Pack Securite\FSAUA\program\fsus.exe F-Secure GUI component 2528 C:\Program Files\Pack Securite\FSGUI\fsguidll.exe FSAV FSM AV UI 3052 C:\Program Files\Pack Securite\FSGUI\scanwizard.exe F-Secure Parental Control 2320 C:\Program Files\Pack Securite\FSPC\fspc.exe F-Secure Internet Shield daemon 3100 C:\Program Files\Pack Securite\FWES\Program\fsdfwd.exe F-Secure ORSP Service 2848 C:\Program Files\Pack Securite\ORSP Client\fsorsp.exe Explorateur Windows 520 C:\WINDOWS\Explorer.EXE Realtek HD Audio Control Panel 284 C:\WINDOWS\RTHDCPL.EXE Application Layer Gateway Service 3712 C:\WINDOWS\System32\alg.exe ATI External Event Utility EXE Module 1480 C:\WINDOWS\system32\Ati2evxx.exe ATI External Event Utility EXE Module 976 C:\WINDOWS\system32\Ati2evxx.exe Client Server Runtime Process 720 C:\WINDOWS\system32\csrss.exe CTF Loader 1160 C:\WINDOWS\system32\ctfmon.exe LSA Shell (Export Version) 804 C:\WINDOWS\system32\lsass.exe Applications Services et Contrôleur 792 C:\WINDOWS\system32\services.exe Gestionnaire de session Windows NT 660 C:\WINDOWS\System32\smss.exe Spooler SubSystem App 1640 C:\WINDOWS\system32\spoolsv.exe Generic Host Process for Win32 Services 704 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 1376 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 1180 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 1292 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 988 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 1068 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 280 C:\WINDOWS\system32\svchost.exe WMI 2800 C:\WINDOWS\system32\wbem\unsecapp.exe Service de la carte de performance WMI 3388 C:\WINDOWS\system32\wbem\wmiapsrv.exe WMI 3088 C:\WINDOWS\system32\wbem\wmiprvse.exe Application d'ouverture de session Windows NT 748 C:\WINDOWS\system32\winlogon.exe Activité du réseau ------------------ Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - a92-123-12-20.deploy.akamaitechnologies.com Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - ey-in-f101.1e100.net Processus firefox.exe (3284) connecté sur le port 80 (HTTP) - 213-248-111-90.customer.teliacarrier.com Processus svchost.exe (1068) écoute sur les ports: 135 (RPC) Processus fsaua.exe (3004) écoute sur les ports: 12110 Fichiers critiques et Autorun ----------------------------- IOJ Daemon C:\Program Files\IOJ\IOJ Daemon.exe QuickTime Task C:\Program Files\QuickTime\QTTask.exe Programme d'installation de Google C:\Documents and Settings\Patrick\Local Settings\Application Data\Google\Update\GoogleUpdate.exe Adobe Acrobat SpeedLauncher C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe Apple Software Update C:\Program Files\Apple Software Update\SoftwareUpdate.exe Adobe Reader and Acrobat Manager C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe AppleSyncNotifier C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe iTunesHelper C:\Program Files\iTunes\iTunesHelper.exe Java(TM) Platform SE binary C:\Program Files\Java\jre6\bin\jusched.exe Ad-Aware Admin Application C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Propriétés de la connexion SFR C:\Program Files\Neuf\Kit\9props.exe FSAV Command-Line Scanner C:\Program Files\Pack Securite\Anti-Virus\fsav.exe F-Secure Settings and Statistics C:\Program Files\Pack Securite\Common\FSM32.EXE tnbutil C:\Program Files\Pack Securite\FSGUI\TNBUtil.exe Realtek HD Audio Control Panel C:\WINDOWS\RTHDCPL.EXE ATI External Event Utility DLL Module C:\WINDOWS\system32\ati2evxx.dll Bibliothèque de l'interface utilisateur du navigat C:\WINDOWS\system32\browseui.dll Crypto API32 C:\WINDOWS\system32\crypt32.dll Crypto Network Related API C:\WINDOWS\system32\cryptnet.dll Agent réseau hors connexion C:\WINDOWS\system32\cscdll.dll CTF Loader C:\WINDOWS\system32\ctfmon.exe DIMS Notification Handler C:\WINDOWS\system32\dimsntfy.dll Windows Logon UI C:\WINDOWS\system32\logonui.exe Adobe Flash Player Helper 10.0 r42 C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe OGAEXEC.exe C:\WINDOWS\system32\OGAEXEC.exe DLL secondaire de notification de service d'ouvert C:\WINDOWS\system32\sclgntfy.dll DLL commune du shell Windows C:\WINDOWS\system32\shell32.dll Objet du service d'environnement Systray C:\WINDOWS\system32\stobject.dll Application d'ouverture de session Userinit c:\windows\system32\userinit.exe Web Site Monitor C:\WINDOWS\system32\webcheck.dll Notifications Windows Genuine Advantage C:\WINDOWS\system32\WgaLogon.dll DLL commune de réception des notifications Winlogo C:\WINDOWS\system32\wlnotify.dll Windows Portable Device Shell Service Object C:\WINDOWS\system32\WPDShServiceObj.dll Plugins du navigateur --------------------- Bonjour Namespace Provider C:\Program Files\Bonjour\mdnsNSP.dll nppdf32.FRA C:\Program Files\Internet Explorer\plugins ppdf32.FRA The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins pqtplugin.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins pqtplugin2.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins pqtplugin3.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins pqtplugin4.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins pqtplugin5.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins pqtplugin6.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Internet Explorer\plugins pqtplugin7.dll Java(TM) Quick Starter binary c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll nppdf32.FRA C:\Program Files\Mozilla Firefox\plugins ppdf32.FRA The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins pqtplugin.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins pqtplugin2.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins pqtplugin3.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins pqtplugin4.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins pqtplugin5.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins pqtplugin6.dll The QuickTime Plugin allows you to view a wide var C:\Program Files\Mozilla Firefox\plugins pqtplugin7.dll RealJukebox Netscape Plugin C:\Program Files\Mozilla Firefox\plugins prjplug.dll 6.0.12.46 C:\Program Files\Mozilla Firefox\plugins prpjplug.dll RealJukebox Netscape Plugin C:\Program Files\Real\RealPlayer\Netscape6 prjplug.dll 6.0.12.46 C:\Program Files\Real\RealPlayer\Netscape6 prpjplug.dll bdoscandel.exe C:\WINDOWS\bdoscandel.exe F-Secure Automatic Update Agent API DLL C:\WINDOWS\Downloaded Program Files\auc_lib.dll daas C:\WINDOWS\Downloaded Program Files\daas_s.dll F-Secure Health Check C:\WINDOWS\Downloaded Program Files\fscax.dll F-Secure Localization and Customization API librar C:\WINDOWS\Downloaded Program Files\fsld32.dll F-Secure Health Check Resource C:\WINDOWS\Downloaded Program Files\FSResource ipsupd.dll C:\WINDOWS\Downloaded Program Files\ipsupd.dll BitDefender Online Scanner C:\WINDOWS\Downloaded Program Files\oscan82.ocx Trend Micro House Call Managed Service core librar C:\WINDOWS\Downloaded Program Files\TmHCMSMgr.dll Trend Micro House Call Managed Service ActiveX C:\WINDOWS\Downloaded Program Files\TmHcmsX.ocx Adobe PDF Helper for Internet Explorer c:\program files\fichiers communs\adobe\acrobat\activex\acroiehelpershim.dll Picasa plugin C:\Program Files\Google\Picasa3 pPicasa3.dll Adobe PDF Plug-In For Firefox and Netscape C:\Program Files\Internet Explorer\plugins ppdf32.dll npitunes.dll C:\Program Files\iTunes\Mozilla Plugins pitunes.dll Java(TM) Platform SE binary c:\program files\java\jre6\bin\jp2ssv.dll Windows Messenger C:\Program Files\Messenger\msmsgs.exe 3.0.40818.0 C:\Program Files\Microsoft Silverlight\3.0.40818.0 pctrl.dll np-mswmp C:\Program Files\Mozilla Firefox\plugins p-mswmp.dll NPRuntime Script Plug-in Library for Java(TM) Depl C:\Program Files\Mozilla Firefox\plugins pdeploytk.dll Default Plug-in C:\Program Files\Mozilla Firefox\plugins pnul32.dll Adobe PDF Plug-In For Firefox and Netscape C:\Program Files\Mozilla Firefox\plugins ppdf32.dll RealPlayer(tm) LiveConnect-Enabled Plug-In C:\Program Files\Mozilla Firefox\plugins ppl3260.dll Aide à la navigation SFR c:\program files euf\kit\sfrnaverrorhelper.dll F-Secure Protocol Scanner LSP C:\Program Files\Pack Securite\FSPS\program\fslsp.dll RealPlayer(tm) LiveConnect-Enabled Plug-In C:\Program Files\Real\RealPlayer\Netscape6 ppl3260.dll RealPlayer Download and Record Plugin for Internet c:\program files eal ealplayer pbrowserrecordplugin.dll SBSD IE Protection c:\program files\spybot - search & destroy\sdhelper.dll Yahoo Application State Plugin C:\Program Files\Yahoo!\Shared pYState.dll Adobe® Flash® Player ActiveX Installer C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe F-Secure GateLauncher C:\WINDOWS\Downloaded Program Files\gatelauncher.exe F-Secure GateLauncher C:\WINDOWS\Downloaded Program Files\gatelauncheradmin.exe Windows Presentation Foundation (WPF) plug-in for C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll Network Diagnostic for Windows XP C:\WINDOWS\Network Diagnostic\xpnetdiag.exe Internet Explorer C:\WINDOWS\system32\ieframe.dll NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll Fournisseur de service Sockets 2.0 de Microsoft Wi C:\WINDOWS\system32\mswsock.dll Microsoft Windows Rsvp 1.0 Service Provider C:\WINDOWS\system32 svpsp.dll LDAP RnR Provider DLL C:\WINDOWS\system32\winrnr.dll Analyse ------- Aucun fichier téléchargé vers le serveur. Analyse terminée - la communication a duré 4 secondes Trafic total - 0.08 Mo envoyés, 3.65 Ko reçus 1529 fichiers et modules analysés - 80 seconds Alors, qu'en pense-tu, Jacques ? Amicalement Pat

jacques.gache · Answer

bonjour, aucune expliquation au problème pourrais tu faire une dernière chose car après si on trouves pas de lien désolé !!
peux tu quand tu as C:\WINDOWS\system32\Memman.vxd  sur ton pc faire une recherche avec saef tu va me dire on a déjà essaié mais il n'était peut être pas sur le pc à se moment la , et j'avais pas mis l"extention avec 

Lien de téléchargement : http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

Miroir : https://www.androidworld.fr/


Double cliquez sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista et Seven) .

Une fenêtre "cmd" va s'ouvrir .

Tapez le script demandé dans cette fenêtre 

Memman.vxd 

et Entrée.

Patientez pendant la recherche.

Une fenêtre avec un log .txt va s'afficher.

Copiez/collez ce rapport sur un forum adapté.

genowefa · Answer

Merci Jacques...

Oki, je ferais cela demain (quand il sera là). En ce moment, il est aux abonnés absents. 

Passe une bonne nuit en attendant ! 
Fait des beaux rêves et encore mille merci pour ta gentillesse :-)

Amicalement
Pat

jacques.gache · Answer

je me suis posé la question sur l'extention .vxd et je lis des chose qui font allusion à des lecteurs virtuel 

https://vxd.extensionfile.net/fr

genowefa · Answer

Qu'est ce que ça vient foutre ici, cette extension Vxd ???
Normalement, elle ne devrait plus exister sur Windows XP, non ?

https://fr.wikipedia.org/wiki/VxD
https://www.techno-science.net/definition/7627.html 

J'ai associé la recherche avec Rogue, et j'ai trouvé ceci:

http://assiste.forum.free.fr/viewtopic.php?t=20481                                                             https://forums.whatthetech.com/index.php?s=acea4529dfd4361626ee5ae0d41c37b7&showtopic=106417&st=15&start=15 
https://community.kaspersky.com/
http://www.malwarebytes.org/forums/lofiversion/index.php/t13658.html
http://www.antivirusreviews.us/1135/remove-syscleanerpro-memmanvxd-rogue/ (attention, attaques possibles)

Et ca continue comme ça sur des mètres. Ce serait assez récent...

Seulement, perso, je suis assez nul pour vraiment comprendre.
Et toi ?
C'est quelque chose de nouveau ?

Bonne nuit à toi, Jacques
Amicalement
Pat

jacques.gache · Answer

je n'ai pas trouvé de solution si ce n'est de passer combofix !!

genowefa · Answer

Cher Jacques...

Je n'ai pas donné de nouvelles, pardonne-moi...

En réalité, j'ai effacé hier (ou avant hier ??) les fichiers que Malwarebytes enregistre sous "mes documents" après chaque scan.

Depuis, j'ai refait un passage de Malwarebytes et il n'a plus rien trouvé.

Quand je rentre ceci: C:\WINDOWS\system32\memman.vdx dans la fenêtre de la fonction Executer dans Windows, la machine me dit qu'elle ne trouve pas Nemman.vdx.

Ce soir, je repasserais un coup de Malwarebytes... pour voir. D'ailleurs, je vais le faire tous les jours à présent.
Et changer tout mes codes, par la même occasion.

Ca va être super galère....

Je te donne des nouvelles de l'évolution.
En espérant très sincèrement ne pas avoir à t'emmerder à nouveau prochainement...

Amicalement
Pat

jacques.gache · Answer

tu ne m'emmerdes pas c'est moi que ça emmerde de pas pouvoir te trouver une solution 

essais de faire le message 31 dés qu'il est sur le pc avant de supprimer des fois que l'on aurrais des liens avec qui nous permetterait de savoir avec qui il est !!

genowefa · Answer

Promis Jacques,

Celui-là, il reviendra pas de sitôt sans qu'on le choppe !!

Accepte, si tu le veux bien, mes meilleurs voeux (et c'est très sincère) pour l'année à venir. Tu est un mec bien, tu mérite ce qu'il y a de meilleur. Et c'est ce que je te souhaites, du fond du coeur !

Amicalement
Pat

Rogue.sysCleaner et autres

36 réponses

Votre réponse

Newsletters