Infecter par virtool: win32/obfuscator.c
Résolu
ninon
-
ninon -
ninon -
Bonjour,
Mon antivirus Microsoft security essential vient me détecter le problème suivant
virtool WIN32/ obfuscatorC
Description : Ce programme est utilisé pour créer des virus, vers et autres programmes malveillants.
Action recommandée : Supprimer immédiatement ce logiciel.
Security Essentials a détecté des programmes pouvant compromettre la confidentialité de vos données, voire endommager votre ordinateur. Vous pouvez accéder aux fichiers utilisés par ces programmes sans les supprimer, mais cela n'est pas recommandé. Pour accéder à ces fichiers, sélectionnez l'action Autoriser et cliquez sur Appliquer les actions. Si cette option n'est pas disponible, connectez-vous en tant qu'administrateur ou demandez à l'administrateur sécurité de vous assister.
Éléments :
file:C:\Users\Propriétaire\AppData\Roaming\ntuser.dat
Je suis dans l'incapacité de le supprimer definitivement dès que j'ouvre à nouveau mon pc j'ai le message suivant xacykog a cessé de fonctionner + message de l'antivirus .
Merci de votre aide
Mon antivirus Microsoft security essential vient me détecter le problème suivant
virtool WIN32/ obfuscatorC
Description : Ce programme est utilisé pour créer des virus, vers et autres programmes malveillants.
Action recommandée : Supprimer immédiatement ce logiciel.
Security Essentials a détecté des programmes pouvant compromettre la confidentialité de vos données, voire endommager votre ordinateur. Vous pouvez accéder aux fichiers utilisés par ces programmes sans les supprimer, mais cela n'est pas recommandé. Pour accéder à ces fichiers, sélectionnez l'action Autoriser et cliquez sur Appliquer les actions. Si cette option n'est pas disponible, connectez-vous en tant qu'administrateur ou demandez à l'administrateur sécurité de vous assister.
Éléments :
file:C:\Users\Propriétaire\AppData\Roaming\ntuser.dat
Je suis dans l'incapacité de le supprimer definitivement dès que j'ouvre à nouveau mon pc j'ai le message suivant xacykog a cessé de fonctionner + message de l'antivirus .
Merci de votre aide
A voir également:
- Infecter par virtool: win32/obfuscator.c
- L'ordinateur de samantha a ete infecte par un virus - Forum Virus
- L'ordinateur d'arthur a été infecté par un virus répertorié récemment. ✓ - Forum Antivirus
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment ✓ - Forum Virus
- Virtool win32/defendertamperingrestore ✓ - Forum Virus
- Infecté par url blacklist - Forum Virus
25 réponses
☯ bienvenue sur CCM, nous allons essayer de résoudre ton problème.
☯ attentions, voici quelques règles:
▨ les helpers ici sont volontaire et peuvent traiter plusieurs sujets donc, si une réponse se fait trop attendre, pas de panique, nous reviendrons sur ton sujet. (si une réponse ce fait trop attendre, contacter le helper par MP.)
▨ il est important de suivre la procédure jusqu'au bout! même si le pc va mieux, ne pas partir tant que le helpers n'a pas dit que c'est fini... il pourrait rester des infections!
▨ si tu as des questions, n'hésite pas a me les poser, ne reste pas dans le doute.
☯ bonne désinfection.
pour une analyse de ton système, fais ceci:
----->ZHPDIAG<-----
/!\ utilisateur de vista et seven, désactiver l'UAC./!\
/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\
▶ Télécharge zhpdiag (de Nicolas Coolman)
▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
▶ attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
@++
☯ attentions, voici quelques règles:
▨ les helpers ici sont volontaire et peuvent traiter plusieurs sujets donc, si une réponse se fait trop attendre, pas de panique, nous reviendrons sur ton sujet. (si une réponse ce fait trop attendre, contacter le helper par MP.)
▨ il est important de suivre la procédure jusqu'au bout! même si le pc va mieux, ne pas partir tant que le helpers n'a pas dit que c'est fini... il pourrait rester des infections!
▨ si tu as des questions, n'hésite pas a me les poser, ne reste pas dans le doute.
☯ bonne désinfection.
pour une analyse de ton système, fais ceci:
----->ZHPDIAG<-----
/!\ utilisateur de vista et seven, désactiver l'UAC./!\
/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\
▶ Télécharge zhpdiag (de Nicolas Coolman)
▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
▶ attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
@++
Je ne peux pas vous envoyer le lien .
Juste entre temps je viens de le supprimer sauf erreur grâce aux logiciel "malwarebytes "
Merci
Juste entre temps je viens de le supprimer sauf erreur grâce aux logiciel "malwarebytes "
Merci
tu as certainement d'autre infection...
pourquoi ne peux tu pas 'envoyer le lien?
un message d'erreur?
pourquoi ne peux tu pas 'envoyer le lien?
un message d'erreur?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ad-Remover est un outil spécifique conçu par C_XX , son rôle est la suppression d'adwares comme Eorezo, MyWebSearch, Navipromo, Winsudate, Search Settings, ...
----->AD-REMOVER<-----
▨ Télécharge ad-remover(de C_XX) sur ton Bureau
▨ Déconnecte toi et ferme toutes les applications en cours
▨ Double-clique sur l'icône AD-Remover
▨ Au menu principal, clique sur "NETTOYER"
▨ Confirme le lancement de l'analyse et laisse l'outil travailler
▨ Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
----->AD-REMOVER<-----
▨ Télécharge ad-remover(de C_XX) sur ton Bureau
▨ Déconnecte toi et ferme toutes les applications en cours
▨ Double-clique sur l'icône AD-Remover
▨ Au menu principal, clique sur "NETTOYER"
▨ Confirme le lancement de l'analyse et laisse l'outil travailler
▨ Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
Ce script va cibler certains éléments à supprimer :
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).
* Copie les lignes suivantes :
____________________________________________________________________________________________________________________________
O69 - SBI: SearchScopes [HKCU] {12f346f0-dbf2-41b0-82ea-67a8dcaa3b90} [DefaultScope] - (YouGoo) - http://www.yougoo.fr
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} - (YouGoo) - http://www.yougoo.fr
__________________________________________________________________________________________________________________________________
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).
* Copie les lignes suivantes :
____________________________________________________________________________________________________________________________
O69 - SBI: SearchScopes [HKCU] {12f346f0-dbf2-41b0-82ea-67a8dcaa3b90} [DefaultScope] - (YouGoo) - http://www.yougoo.fr
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} - (YouGoo) - http://www.yougoo.fr
__________________________________________________________________________________________________________________________________
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.
Voici le rapport
Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-03-2011-11-12-14.txt
Run by Propriétaire at 11/03/2011 11:12:14
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : ://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolmanyahoo.fr
========== Clé(s) du Registre ==========
O69 - SBI: SearchScopes [HKCU] {12f346f0-dbf2-41b0-82ea-67a8dcaa3b90} [DefaultScope] - (YouGoo) - ://www.yougoo.fr => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} - (YouGoo) - ://www.yougoo.fr => Clé supprimée avec succès
========== Récapitulatif ==========
2 : Clé(s) du Registre
End of the scan
Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-03-2011-11-12-14.txt
Run by Propriétaire at 11/03/2011 11:12:14
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : ://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolmanyahoo.fr
========== Clé(s) du Registre ==========
O69 - SBI: SearchScopes [HKCU] {12f346f0-dbf2-41b0-82ea-67a8dcaa3b90} [DefaultScope] - (YouGoo) - ://www.yougoo.fr => Clé supprimée avec succès
O69 - SBI: SearchScopes [HKCU] {6A1806CD-94D4-4689-BA73-E35EA1EA9990} - (YouGoo) - ://www.yougoo.fr => Clé supprimée avec succès
========== Récapitulatif ==========
2 : Clé(s) du Registre
End of the scan
MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections:
MBAM :
▣ Télécharge MBAM
▣ Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
▣ Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\
▣ A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»
▣ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
> L'analyse peut durer un plusieurs heures...
▣ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
▣ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
▣ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI » »
MBAM :
▣ Télécharge MBAM
▣ Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
▣ Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\
▣ A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»
▣ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
> L'analyse peut durer un plusieurs heures...
▣ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
▣ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
▣ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI » »
Et voilà
Version de la base de données: 6017
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019
11/03/2011 14:22:49
mbam-log-2011-03-11 (14-22-49).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 271695
Temps écoulé: 50 minute(s), 46 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Version de la base de données: 6017
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019
11/03/2011 14:22:49
mbam-log-2011-03-11 (14-22-49).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 271695
Temps écoulé: 50 minute(s), 46 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
> /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\
▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
▶ attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
@++
▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
▶ attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour
▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
@++
Ce script va cibler certains éléments à supprimer :
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).
* Copie les lignes suivantes :
____________________________________________________________________________________________________________________________
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Co. - Hewlett-Packard Product Assistant.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
__________________________________________________________________________________________________________________________________
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).
* Copie les lignes suivantes :
____________________________________________________________________________________________________________________________
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Co. - Hewlett-Packard Product Assistant.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
__________________________________________________________________________________________________________________________________
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse.
je suis désolé mai à quoi servents ces "programmes" :
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Co. - Hewlett-Packard Product Assistant.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
merci bcp de votre aide
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Co. - Hewlett-Packard Product Assistant.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll
merci bcp de votre aide
Salut vous deux
Réponse pour OPT:
==> Cette commande permet d'optimiser le système.
Concrètement le processus ne sera pas supprimé.
Il faut préciser aussi que cette commande s'applique aux lignes présentant des clés, valeurs ou données de Base de Registres.
Par exemple ici seule la valeur de Base de Registres "Adobe Reader Speed Launcher" est supprimée, ==> le processus est conservé.
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe .
[Merci à Nicolas]
Al.
Réponse pour OPT:
==> Cette commande permet d'optimiser le système.
Concrètement le processus ne sera pas supprimé.
Il faut préciser aussi que cette commande s'applique aux lignes présentant des clés, valeurs ou données de Base de Registres.
Par exemple ici seule la valeur de Base de Registres "Adobe Reader Speed Launcher" est supprimée, ==> le processus est conservé.
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe .
[Merci à Nicolas]
Al.
