Troyan méchant cheval blanc

Résolu
goldstreet -  
 goldstreet -
Bonjour,

A la suite d'un scan MalwareByte, j'ai trouvé 3 trojans qui ne peuvent pas être supprimés au redémarrage !

voilà le taport mbam :

Fichier(s) infecté(s):
C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job (Trojan.Downloader) -> Delete on reboot.
C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Delete on reboot.
C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job (Trojan.FakeAlert) -> Delete on reboot.

Need help ? pimprenelle ? please ?

Merci d'avance

PS :
raport findykill (néant)
gmer autostart : néant

14 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    bonsoir,

    Télécharge OTL de OLDTimer ici :

    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    et enregistre le sur ton Bureau.

    Double clic sur OTL.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant "scan all users"

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.
    0
  2. goldstreet
     
    Salut et merci pour ton aide, voila le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijK10EdZs.txt

    A plus
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur OTL.exe pour le lancer.

    ?Copie la liste qui se trouve en gras ci-dessous,

    ? colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    :Files
    C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
    C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
    C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ? Clique sur "Correction" pour lancer la suppression.

    ? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
    0
  4. goldstreet
     
    Yes cool, c'est fait !

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijiryYPZc.txt

    Merci !
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    remets un rapport malwarebyte
    0
  7. goldstreet
     
    Salut, voilà le rapport mbam

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4996

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    30/10/2010 14:32:53
    mbam-log-2010-10-30 (14-32-53).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 489685
    Temps écoulé: 1 heure(s), 22 minute(s), 0 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)

    ***

    Par contre, au démarrage, sous un autre utilisateur, j'ai eu le message runDLL :
    problème lors du démarrage de c:/users/is/appdata/Local/Temp/sshjas21.dll
    Module spécifié introuvable

    J'ai vu sur le net que c'est un fake alert !

    Merci pour ton aide
    0
    1. goldstreet
       
      Au faite, J'ai un serveur, dois-je changer mes login ssh ?
      0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    sous un autre utilisateur, j'ai eu le message runDLL :
    problème lors du démarrage de c:/users/is/appdata/Local/Temp/sshjas21.dll
    Module spécifié introuvable

    sous cet utilisateur colle un rapport OTL
    0
  9. goldstreet
     
    Salut et merci pour tes réponses si rapides

    voilà le rapport :
    Comme la première fois, j'ai mis tous utilisateurs !

    http://www.cijoint.fr/cjlink.php?file=cj201010/cij6b5SXY1.txt

    Merci !!!
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur OTL.exe pour le lancer.

    ?Copie la liste qui se trouve en gras ci-dessous,

    ? colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    :OTL
    O4 - HKU\S-1-5-21-3291982946-3365713507-2240798959-1000..\Run: [RESTART_STICKY_NOTES] C:\Windows\SysWow64\StikyNot.exe File not found
    O4 - HKU\S-1-5-21-3291982946-3365713507-2240798959-1004..\Run: [Metropolis] C:\Users\is\AppData\Local\Temp\sshnas21.DLL File not found
    O4 - HKU\S-1-5-21-3291982946-3365713507-2240798959-1004..\Run: [RGSC] C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe File not found
    O4 - HKU\S-1-5-21-3291982946-3365713507-2240798959-1004..\Run: [U36VRSFLG6] C:\Users\is\AppData\Local\Temp\Fph.exe File not found
    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ? Clique sur "Correction" pour lancer la suppression.

    ? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

    _____________________

    les messages persistent? encore des soucis ?
    0
  11. goldstreet
     
    Voilà c'est fait, http://www.cijoint.fr/cjlink.php?file=cj201010/cij5oe3AZ7.txt

    merci,
    Je sais pas pour les bugs, je reviendrai te dire d'ici ce soir !

    C'est fini, si plus de bugs ?

    Merci pour tout !
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    relance OTL et clique sur l'icône PURGES OUTILS

    pour conclure colle le rapport d'un antivirus en ligne <=ici avec un des 4 premiers
    0
  13. goldstreet
     
    J'ai choisi ESET, les autres ne marchant pas...
    Voici le rapport :

    ESETSmartInstaller@High as downloader log:
    all ok
    # version=7
    # OnlineScannerApp.exe=1.0.0.1
    # OnlineScanner.ocx=1.0.0.6211
    # api_version=3.0.2
    # EOSSerial=bb1f743c5279f44e9dc05acd4dd7541e
    # end=finished
    # remove_checked=true
    # archives_checked=true
    # unwanted_checked=true
    # unsafe_checked=true
    # antistealth_checked=true
    # utc_time=2010-11-01 01:12:56
    # local_time=2010-11-01 02:12:56 (+0100, Paris, Madrid)
    # country="France"
    # lang=1036
    # osver=6.1.7600 NT
    # compatibility_mode=1797 16775165 100 100 305758 63459066 38369 0
    # compatibility_mode=5893 16776573 100 94 213141 40977454 0 0
    # compatibility_mode=8192 67108863 100 0 3689 3689 0 0
    # scanned=334427
    # found=0
    # cleaned=0
    # scan_time=11474

    Merci pour tout !
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait

    encore des problèmes?
    0
  15. goldstreet
     
    Non pas pour l'instant !

    Je te remercie pour tout, c'est vraiment bien qu'il y est des contre-pirates !!!

    Merci encore (je marque résolu)

    +++
    0