Cheval de troie/fichiers en quarantaine [Résolu/Fermé]

Signaler
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016
-
 Utilisateur anonyme -
Bonjour,






j'ai été infecté par un cheval de troie détecté par avast et que j'ai mit en quarantaine hier et ce matin un nouveau cheval de troie a été détecté par avast et mit en quarantaine
j'ai fait un scan de ces fichiers et voici le rapport:
Scan des fichiers sélectionnés

L'action a été accomplie avec succès !

Le virus a été détruit !
Nom du fichier : mraxwoensc.exe
ID du fichier : 10
Description du Virus : NSIS:Downloader-LE [Trj]

Le virus a été détruit !
Nom du fichier : err.log2777613
ID du fichier : 12
Description du Virus : Win32:Kryptik-AXD [Trj]

Le virus a été détruit !
Nom du fichier : winternet.exe
ID du fichier : 4
Description du Virus : Win32:Malware-gen

Le virus a été détruit !
Nom du fichier : KB2780234.exe
ID du fichier : 9
Description du Virus : Win32:Tipa [Cryp]

que dois je faire?
Merci d'avance

40 réponses


salut

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec


▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques


▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv


▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

bonjour,
j'ai téléchargé Dr web Cureit et effectué le scan rapide, RAS
puis le scan complet, scan terminé aucun virus, aucun rapport!!
que faire?
Merci
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

oups je n'ai pas fait le mode sans échec, je recommence et vous tiens au courant
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

Re
Après avoir fait Dr web en mode sans echec il n'y a aucune anomalie!
Donc aucun rapport a vous transmettre, que faire?
de plus, depuis mon infection mon bouclier web Avast ne cesse de bloquer un malware qui essaie de s'incruster, j'essaierai de noter le nom exact mais c'est du style, www.timmining.4964564674846qfgrg6446

Merci
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

un petit test avec malware bytes
voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201103/cij2UVDdkC.txt
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

petit soucis après malware bytes j'ai supprimé les fichiers infectés et depuis, lors du démarrage de mon ordi j'ai un message d'erreur qui apparait a chaque fois:

Problème lors du démarrage de C;\users\guillaume\AppData\local\epriapl.dll
le module spécifié est introuvable

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

############################## | UsbFix 7.042 | [Suppression]

Utilisateur: guillaume (Administrateur) # PC-DE-GUILLAUME [TOSHIBA Satellite L550]
Mis à jour le 21/03/2011 par TeamXscript
Lancé à 09:18:07 | 25/03/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 32-Bit) #
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 3037 Mo
C:\ (%systemdrive%) -> Disque fixe # 186 Go (61 Go libre(s) - 33%) [Windows7] # NTFS
E:\ -> Disque fixe # 185 Go (171 Go libre(s) - 93%) [Data] # NTFS
F:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2364928116-2296206719-1294133046-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2364928116-2296206719-1294133046-500
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-2364928116-2296206719-1294133046-1000
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-2364928116-2296206719-1294133046-500
Supprimé! C:\log.txt

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\D
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8c1982a9-ce46-11de-988c-001e6565be46}

################## | Listing |

[07/03/2010 - 19:18:02 | D ] C:\$INPLACE.~TR
[25/03/2011 - 09:19:05 | SHD ] C:\$RECYCLE.BIN
[07/03/2010 - 19:55:02 | D ] C:\$WINDOWS.~Q
[10/06/2009 - 22:42:20 | N | 24] C:\autoexec.bat
[07/03/2010 - 19:30:35 | D ] C:\Boot
[14/07/2009 - 02:38:58 | RASH | 383562] C:\bootmgr
[07/03/2010 - 19:30:37 | N | 8192] C:\BOOTSECT.BAK
[10/06/2009 - 22:42:20 | N | 10] C:\config.sys
[14/07/2009 - 05:53:55 | SHD ] C:\Documents and Settings
[25/03/2011 - 09:07:38 | ASH | 2388295680] C:\hiberfil.sys
[25/03/2011 - 09:07:42 | ASH | 3184394240] C:\pagefile.sys
[14/07/2009 - 03:37:05 | D ] C:\PerfLogs
[23/03/2011 - 12:06:56 | N | 512] C:\PhysicalDisk0_MBR.bin
[24/03/2011 - 17:41:51 | D ] C:\Program Files
[24/03/2011 - 17:41:54 | HD ] C:\ProgramData
[07/03/2010 - 20:09:02 | SHD ] C:\Recovery
[07/03/2010 - 18:20:54 | N | 2976] C:\RHDSetup.log
[12/06/2009 - 09:13:45 | N | 123] C:\SWSTAMP.TXT
[23/03/2011 - 08:00:52 | SHD ] C:\System Volume Information
[30/09/2009 - 18:38:20 | D ] C:\Toshiba
[25/03/2011 - 09:19:05 | D ] C:\UsbFix
[25/03/2011 - 09:18:12 | N | 2536] C:\UsbFix.txt
[07/03/2010 - 19:50:22 | D ] C:\Users
[24/03/2011 - 12:25:57 | D ] C:\Windows
[08/06/2009 - 14:05:52 | D ] C:\Works
[25/03/2011 - 09:19:05 | SHD ] E:\$RECYCLE.BIN
[01/10/2009 - 03:24:08 | D ] E:\HDDRecovery
[18/06/2009 - 22:12:59 | N | 11] E:\R11173FR.tag
[23/03/2011 - 08:00:52 | SHD ] E:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-GUILLAUME.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

bonjour et encore merci pour votre temps, voici les 2 liens:

http://www.cijoint.fr/cjlink.php?file=cj201103/cijwogCOxY.txt


http://www.cijoint.fr/cjlink.php?file=cj201103/cijYmTJPFN.txt
re

desinstalle spybot

==========================

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer

enregistre le sur ton bureau et lance l'installation

(entre temps poste "rapport.txt" avant la fin du scan apparu sur ton bureau

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer"

choisis l'option Search

▶ laisse travailler l'outil

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

▶ Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

▶▶▶ NE LES POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ces liens dans ta réponse.
G3?-?@¢??@?......Concepteur de List_Kill'em...
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

1er rapport::

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mis à jour le 24/03/2011 | 13.05 par g3n-h@ckm@n
Utilisateur : guillaume (Administrateurs)
Ordinateur : PC-DE-GUILLAUME

Système d'exploitation : Windows 7 Home Premium (32 bits)
Internet Explorer : 8.0.7600.16385
Mozilla Firefox :

Scan : 07:57:55 | 29/03/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\Userinit.exe, -> C:\Windows\system32\Userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKCR\exefile\..\..\command] : "%1" %*
[HKCR\comfile\..\..\command] : "%1" %*
[HKCR\scrfile\..\..\command] : "%1" /S
[HKCR\batfile\..\..\command] : "%1" %*
[HKCR\piffile\..\..\command] : "%1" %*

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

explorer.exe -> Processus stoppé


¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
[HKLM\..\..\Services\EapHost] | Start -> Modification apportée : 3 -> 2
[HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\SharedAccess] | Start -> Modification apportée : 4 -> 2
[HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

et voici les 2 liens

http://www.cijoint.fr/cjlink.php?file=cj201103/cijTrpLpXv.txt


http://www.cijoint.fr/cjlink.php?file=cj201103/cijSVHbBBY.txt


merci

ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


PROC:Rundll32.exe
FILE:C:\Users\guillaume\AppData\Roaming\F5CF9BBC38098F363E93AB7D93C7DD8C
FILE:C:\Users\guillaume\AppData\Local\epriapl.dll
REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Csuduvo"
REM:"HKEY_CURRENT_USER\software\fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf< fAfvfSfP [fVf#f""



▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

poste le resultat

▶ Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : guillaume (Administrateurs)
Update on 20/03/2011 by g3n-h@ckm@n ::::: 19.40
Start at: 10:03:27 | 29/03/2011

Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 186,31 Go (61,24 Go free) [Windows7] | NTFS
E:\ -> Disque fixe local | 184,84 Go (171,03 Go free) [Data] | NTFS
F:\ -> Disque CD-ROM | 2,31 Go (0 Mo free) [FM2010] | UDF


Running Process Killed : PID 1168 'iexplore.exe'
Running Process Killed : PID 2912 'explorer.exe'

¤¤¤¤¤¤¤¤¤¤ Processus :

stoppe : Rundll32.exe

¤¤¤¤¤¤¤¤¤¤ Added Keys :


¤¤¤¤¤¤¤¤¤¤ Removed Keys :

Suppression : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : Csuduvo

¤¤¤¤¤¤¤¤¤¤ Ports closed :


¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :


¤¤¤¤¤¤¤¤¤¤ Drivers deleted :




¤¤¤¤¤¤¤¤¤¤ Object Restored :


¤¤¤¤¤¤¤¤¤¤ Folder List :


¤¤¤¤¤¤¤¤¤¤ Read File :


¤¤¤¤¤¤¤¤¤¤ Sign control :


¤¤¤¤¤¤¤¤¤¤ Key Look :


End at 10:04:16

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

t'as pas desactivé les protections !!
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

oupsss je recommence! ;)
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

Running Process Killed : PID 4268 'iexplore.exe'
Running Process Killed : PID 2916 'iexplore.exe'
Running Process Killed : PID 5236 'explorer.exe'

¤¤¤¤¤¤¤¤¤¤ Processus :

stoppe : Rundll32.exe

¤¤¤¤¤¤¤¤¤¤ Added Keys :


¤¤¤¤¤¤¤¤¤¤ Removed Keys :

Suppression : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : Csuduvo

¤¤¤¤¤¤¤¤¤¤ Ports closed :


¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :


¤¤¤¤¤¤¤¤¤¤ Drivers deleted :




¤¤¤¤¤¤¤¤¤¤ Object Restored :


¤¤¤¤¤¤¤¤¤¤ Folder List :


¤¤¤¤¤¤¤¤¤¤ Read File :


¤¤¤¤¤¤¤¤¤¤ Signature :


¤¤¤¤¤¤¤¤¤¤ Key Look :


End at 19:57:35

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

pourquoi j ai pas l entete du rapport ?
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

c'est tout ce que j'ai dans le rapport en tout cas mais j'ai eu un soucis et j'ai du relancer la 1ère recherche çà a peut etre fait buggué le système?
et lorsque j'ai ouvert outil/script çà me marque "impossible de trouver le fichier File_script.txt.

j'ai rien compris

tu lances tout en meme temps ?
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

Voilà comment je procède, tu me diras si je fais pas correctement!

je met en pause ma protection avast
je lance le logiciel a partir de l'icone du bureau, après je vais dans l'onglet outils, puis je clique sur script et la ya le message d'erreur qui apparait "impossible de trouver le fichier File_script.txt.
voulez vous en créer un nouveau"
la je met oui et je colle ce que tu m'as mit en gras plus haut, j'enregistre et je ferme le bloc note, je laisse travailler le logiciel
et je poste le rapport qui apparait sur le bureau.

est ce que j'ai oublié de faire qq chose? pourquoi n'as tu pas ce qu'il faut comme rapport? dois je tout désinstaller et réinstaller?

Merci
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

Running Process Killed : PID 5636 'iexplore.exe'
Running Process Killed : PID 1600 'explorer.exe'

¤¤¤¤¤¤¤¤¤¤ Processus :

stoppe : Rundll32.exe

¤¤¤¤¤¤¤¤¤¤ Added Keys :


¤¤¤¤¤¤¤¤¤¤ Removed Keys :


¤¤¤¤¤¤¤¤¤¤ Ports closed :


¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :


¤¤¤¤¤¤¤¤¤¤ Drivers deleted :




¤¤¤¤¤¤¤¤¤¤ Object Restored :


¤¤¤¤¤¤¤¤¤¤ Folder List :


¤¤¤¤¤¤¤¤¤¤ Read File :


¤¤¤¤¤¤¤¤¤¤ Signature :


¤¤¤¤¤¤¤¤¤¤ Key Look :


End at 9:21:35

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

refais un scan OTL avec les reglages preconisés ?
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

http://www.cijoint.fr/cjlink.php?file=cj201103/cijdjI1Pyu.txt
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

http://www.cijoint.fr/cjlink.php?file=cj201103/cijQNrRcVb.txt

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

voilà le dernier rapport de Malwarebyte's:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6224

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

31/03/2011 11:00:12
mbam-log-2011-03-31 (11-00-12).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 257047
Temps écoulé: 1 heure(s), 9 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 28

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\guillaume\AppData\Local\Temp\scewamxnor.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1063959868.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\awesroxcmn.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\79C2.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\79D3.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\7B38.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\7B97.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\8191.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\5756.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\croewnxmas.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1151929684.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3826179596.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup39617432.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup4080372436.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup4284914488.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1559877624.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1592159988.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1901441568.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup2130373596.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3460123836.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3515646740.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3656583104.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3677200184.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup592506384.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup656011928.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup674721756.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup908007604.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\epriapl.dll.kill'em (Trojan.Hiloti) -> Quarantined and deleted successfully.
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

pourquoi il me reste plein de fichiers en quarantaine dans Malwarebyte's?
dois je les supprimer?

▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Suppression

▶▶▶ Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse

▶ envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.7 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mis à jour le 28/02/2011 | 06.00 par g3n-h@ckm@n
Utilisateur : guillaume (Administrateurs)
Ordinateur : PC-DE-GUILLAUME

Système d'exploitation : Windows 7 Home Premium HomePremium (32 bits)

c:\ -> [Fixed] | [Windows7] | Total : 190780 Mo | Free : 63000 Mo -> NTFS
e:\ -> [Fixed] | [Data] | Total : 189280 Mo | Free : 175140 Mo -> NTFS
f:\ -> [CDROM] | [FM2010] | Total : 2370 Mo | Free : 0 Mo -> UDF

Scan : 20:28:05 | 31/03/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ Winlogon ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | AutoRestartShell = 1
[HKLM\..\..\Winlogon] | Shell = Explorer.exe
[HKLM\..\..\Winlogon] | Userinit = C:\Windows\system32\Userinit.exe,
[HKLM\..\..\Winlogon] | System =
[HKLM\..\..\Winlogon] | PowerdownAfterShutdown = 1

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKCU\..\..\Internet Explorer\Main] | Start Page=https://www.google.com/?gws_rd=ssl
[HKCU\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
[HKCU\..\..\Internet Explorer\Main] | Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM\..\..\Internet Explorer\Main] | Start Page=http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
[HKLM\..\..\Internet Explorer\Main] | Default_Search_URL=http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM\..\..\Internet Explorer\Main] | Default_Page_URL=http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM\..\..\Internet Explorer\Main] | Search Page=http://go.microsoft.com/fwlink/?LinkId=54896

¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤

Supprimé : [HKCU\..\..\Mountpoints2\{0c19de5f-2a23-11df-8df2-001e6565be46}] -> command : D:\Vodaphone_uninstaller.exe

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
[HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost



¤¤¤¤¤¤¤¤¤¤ Supression Fichiers | Dossiers ¤¤¤¤¤¤¤¤¤¤

Mise en quarantaine : C:\Users\guillaume\downloads\setup.exe
Mise en quarantaine : C:\Users\guillaume\scriptjava.html
Mise en quarantaine : C:\ProgramData\Temp
Mise en quarantaine : C:\Users\guillaume\Documents\Nero.v7.Premium.Multilangages.Incl-Keygen.par.emule-mania.com
Erreur de suppression : C:\Users\guillaume\Documents\Nero.v7.Premium.Multilangages.Incl-Keygen.par.emule-mania.com

¤¤¤¤¤¤¤¤¤¤ Suppression Clés ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤ Services néfastes ¤¤¤¤¤¤¤¤¤¤





¤¤¤¤¤¤¤¤¤¤ Suppression Valeurs ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Security Center] | cval = 1
[HKLM\..\..\Security Center\Svc] | VistaSp1 =
[HKLM\..\..\Security Center\Svc] | AntiVirusOverride = 0
[HKLM\..\..\Security Center\Svc] | AntiSpywareOverride = 0
[HKLM\..\..\Security Center\Svc] | FirewallOverride = 0


Fin : 20:32:02

¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤
Messages postés
56
Date d'inscription
mercredi 23 mars 2011
Statut
Membre
Dernière intervention
1 mai 2016

par contre comment envoyer le zip??