Programme {9B71D88C-C598-4935-C5D1-43AA4DB908
Résolu
Pirro61
Messages postés
55
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonsoir,
Dans Configuration du systéme et dans l'onglet démarrage, j'ai un programme nommé comme ça, {9B71D88C-C598-4935-C5D1-43AA4DB90836}, le fabircant est incconu, et cette suite de chiffre m'intrique, est-ce un virus ou non?
Merci d'avance.
Dans Configuration du systéme et dans l'onglet démarrage, j'ai un programme nommé comme ça, {9B71D88C-C598-4935-C5D1-43AA4DB90836}, le fabircant est incconu, et cette suite de chiffre m'intrique, est-ce un virus ou non?
Merci d'avance.
A voir également:
- Programme {9B71D88C-C598-4935-C5D1-43AA4DB908
- Programme demarrage windows - Guide
- Programme word gratuit - Guide
- Message programmé iphone - Guide
- Mettre en veille un programme - Guide
- Cette action ne peut pas être réalisée car le fichier est ouvert dans un autre programme - Guide
16 réponses
Bonsoir ,
Normalement cela correspond a une infection on va vérifier :
* Télécharge ZHPDiag(de Nicolas Coolman) https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Normalement cela correspond a une infection on va vérifier :
* Télécharge ZHPDiag(de Nicolas Coolman) https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Voilà, j'ai posté le lien comme tu m'a demandé :)
http://www.cijoint.fr/cjlink.php?file=cj201004/cij1pXt317.txt
Merci beaucoup !
http://www.cijoint.fr/cjlink.php?file=cj201004/cij1pXt317.txt
Merci beaucoup !
Re,
il semble que la clé qui rend active l'infection soit absente.
Pour vérifier :
Ouvre le registre et navigue avec les + et les - jusqu'à la clé
HKEY_Local_Machine\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).
Ferme le registre et ouvre l'explorateur Windows.
Clique droit sur le fichier et choisis Modifier.
Le bloc-notes s'ouvre avec le contenu de la clé.
Copie le dans ta réponse.
Si la clé n'existe pas (bonne nouvelle), tu le dis.
==
Pour ouvrir le registre :
démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.
Si tu n'as pas "exécuter" (sous Vista), suis ce qui est ici pour le rétablir :
https://www.zebulon.fr/astuces/pratique/219-option-executer-dans-le-menu-demarrer-de-vista.html
===
Tu fais de même pour :
HKEY_CURRENT_USER\Software\Bifrost
Idem, l'absence de la clé est une bonne nouvelle.
===
Si aucune clé n'existe, ouvre l'Explorateur Windows, cherche le programme {9B71D88C-C598-4935-C5D1-43AA4DB90836} et supprime le par clic droit.
Vide ta Corbeille ensuite.
Dis ce que tu as fait.
il semble que la clé qui rend active l'infection soit absente.
Pour vérifier :
Ouvre le registre et navigue avec les + et les - jusqu'à la clé
HKEY_Local_Machine\SOFTWARE\Microsoft\Active Setup\Installed Components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}
Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).
Ferme le registre et ouvre l'explorateur Windows.
Clique droit sur le fichier et choisis Modifier.
Le bloc-notes s'ouvre avec le contenu de la clé.
Copie le dans ta réponse.
Si la clé n'existe pas (bonne nouvelle), tu le dis.
==
Pour ouvrir le registre :
démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.
Si tu n'as pas "exécuter" (sous Vista), suis ce qui est ici pour le rétablir :
https://www.zebulon.fr/astuces/pratique/219-option-executer-dans-le-menu-demarrer-de-vista.html
===
Tu fais de même pour :
HKEY_CURRENT_USER\Software\Bifrost
Idem, l'absence de la clé est une bonne nouvelle.
===
Si aucune clé n'existe, ouvre l'Explorateur Windows, cherche le programme {9B71D88C-C598-4935-C5D1-43AA4DB90836} et supprime le par clic droit.
Vide ta Corbeille ensuite.
Dis ce que tu as fait.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
La clé n'existe pas, je la trouve pas :)
J'ai révrifier plusieurs fois
J'ai oublié de faire l'autre étape, l'autre clé existe par contre
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Bifrost]
"nck"=hex:ed,1b,e6,27,b9,28,d6,32,74,c3,cd,74,fa,93,5b,67
"klg"=hex:00
J'ai révrifier plusieurs fois
J'ai oublié de faire l'autre étape, l'autre clé existe par contre
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Bifrost]
"nck"=hex:ed,1b,e6,27,b9,28,d6,32,74,c3,cd,74,fa,93,5b,67
"klg"=hex:00
Re,
on va l'éradiquer comme ça :
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste le rapport dans ta réponse
on va l'éradiquer comme ça :
1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.
hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.
4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.
5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.
6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :
7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.
9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)
12) Ferme MBAM en cliquant sur Quitter.
13) Poste le rapport dans ta réponse
J'ai deux rapports dans l'onglet logs par contre, je le sposte :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3950
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
03/04/2010 18:28:44
mbam-log-2010-04-03 (18-28-44).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 103153
Temps écoulé: 8 minute(s), 58 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{9b71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Pierrow\AppData\Roaming\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2573
Windows 6.0.6001 Service Pack 1
07/08/2009 16:29:56
mbam-log-2009-08-07 (16-29-56).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 185484
Temps écoulé: 51 minute(s), 7 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
Version de la base de données: 3950
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
03/04/2010 18:28:44
mbam-log-2010-04-03 (18-28-44).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 103153
Temps écoulé: 8 minute(s), 58 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\bifrost (Bifrose.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{9b71d88c-c598-4935-c5d1-43aa4db90836} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Users\Pierrow\AppData\Roaming\addon.dat (Malware.Trace) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2573
Windows 6.0.6001 Service Pack 1
07/08/2009 16:29:56
mbam-log-2009-08-07 (16-29-56).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 185484
Temps écoulé: 51 minute(s), 7 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Re,
il faut que tu mettes à jour ta console java.
Ceci devrait aider :
Télécharge JavaRa.zip de Paul McLain et Fred de Vries.
http://raproducts.org/click/click.php?id=1
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
il faut que tu mettes à jour ta console java.
Ceci devrait aider :
Télécharge JavaRa.zip de Paul McLain et Fred de Vries.
http://raproducts.org/click/click.php?id=1
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
Je l'ai fait, j'ai vu qu'il a supprimé deux choses, mais par contr eimpossible de trouvé le rapport, j'ai cherché sur le disque etc il trouve pas de rapport..
Re,
on va vérifier avec ZHPdiag.
Tu le relances (toujours par clic droit et exécuter en tant qu'administrateur).
Tu postes le rapport dans un lien Cijoint.
on va vérifier avec ZHPdiag.
Tu le relances (toujours par clic droit et exécuter en tant qu'administrateur).
Tu postes le rapport dans un lien Cijoint.
Re,
la version 19 est en place.
Tout est OK.
On nettoie les outils :
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
===
Quelques conseils (merci kevlar) :
Un compte limité accroit la sécurité
Les mises à jour des programmes aussi
Comment reconnaitre et éviter les programmes piégés
Les dangers du P2P
la version 19 est en place.
Tout est OK.
On nettoie les outils :
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
===
Quelques conseils (merci kevlar) :
Un compte limité accroit la sécurité
Les mises à jour des programmes aussi
Comment reconnaitre et éviter les programmes piégés
Les dangers du P2P
