Cheval de troie/fichiers en quarantaine

Résolu/Fermé
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016 - 23 mars 2011 à 12:03
 Utilisateur anonyme - 28 mai 2011 à 20:14
Bonjour,






j'ai été infecté par un cheval de troie détecté par avast et que j'ai mit en quarantaine hier et ce matin un nouveau cheval de troie a été détecté par avast et mit en quarantaine
j'ai fait un scan de ces fichiers et voici le rapport:
Scan des fichiers sélectionnés

L'action a été accomplie avec succès !

Le virus a été détruit !
Nom du fichier : mraxwoensc.exe
ID du fichier : 10
Description du Virus : NSIS:Downloader-LE [Trj]

Le virus a été détruit !
Nom du fichier : err.log2777613
ID du fichier : 12
Description du Virus : Win32:Kryptik-AXD [Trj]

Le virus a été détruit !
Nom du fichier : winternet.exe
ID du fichier : 4
Description du Virus : Win32:Malware-gen

Le virus a été détruit !
Nom du fichier : KB2780234.exe
ID du fichier : 9
Description du Virus : Win32:Tipa [Cryp]

que dois je faire?
Merci d'avance

40 réponses

Utilisateur anonyme
23 mars 2011 à 12:10
salut

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec


▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques


▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv


▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
24 mars 2011 à 12:13
bonjour,
j'ai téléchargé Dr web Cureit et effectué le scan rapide, RAS
puis le scan complet, scan terminé aucun virus, aucun rapport!!
que faire?
Merci
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
24 mars 2011 à 12:18
oups je n'ai pas fait le mode sans échec, je recommence et vous tiens au courant
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
24 mars 2011 à 17:37
Re
Après avoir fait Dr web en mode sans echec il n'y a aucune anomalie!
Donc aucun rapport a vous transmettre, que faire?
de plus, depuis mon infection mon bouclier web Avast ne cesse de bloquer un malware qui essaie de s'incruster, j'essaierai de noter le nom exact mais c'est du style, www.timmining.4964564674846qfgrg6446

Merci
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
24 mars 2011 à 18:56
un petit test avec malware bytes
voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201103/cij2UVDdkC.txt
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
25 mars 2011 à 09:14
petit soucis après malware bytes j'ai supprimé les fichiers infectés et depuis, lors du démarrage de mon ordi j'ai un message d'erreur qui apparait a chaque fois:

Problème lors du démarrage de C;\users\guillaume\AppData\local\epriapl.dll
le module spécifié est introuvable
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
24 mars 2011 à 20:47
▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
25 mars 2011 à 09:22
############################## | UsbFix 7.042 | [Suppression]

Utilisateur: guillaume (Administrateur) # PC-DE-GUILLAUME [TOSHIBA Satellite L550]
Mis à jour le 21/03/2011 par TeamXscript
Lancé à 09:18:07 | 25/03/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 32-Bit) #
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 3037 Mo
C:\ (%systemdrive%) -> Disque fixe # 186 Go (61 Go libre(s) - 33%) [Windows7] # NTFS
E:\ -> Disque fixe # 185 Go (171 Go libre(s) - 93%) [Data] # NTFS
F:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2364928116-2296206719-1294133046-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2364928116-2296206719-1294133046-500
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-2364928116-2296206719-1294133046-1000
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-2364928116-2296206719-1294133046-500
Supprimé! C:\log.txt

################## | Registre |

Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\D
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{8c1982a9-ce46-11de-988c-001e6565be46}

################## | Listing |

[07/03/2010 - 19:18:02 | D ] C:\$INPLACE.~TR
[25/03/2011 - 09:19:05 | SHD ] C:\$RECYCLE.BIN
[07/03/2010 - 19:55:02 | D ] C:\$WINDOWS.~Q
[10/06/2009 - 22:42:20 | N | 24] C:\autoexec.bat
[07/03/2010 - 19:30:35 | D ] C:\Boot
[14/07/2009 - 02:38:58 | RASH | 383562] C:\bootmgr
[07/03/2010 - 19:30:37 | N | 8192] C:\BOOTSECT.BAK
[10/06/2009 - 22:42:20 | N | 10] C:\config.sys
[14/07/2009 - 05:53:55 | SHD ] C:\Documents and Settings
[25/03/2011 - 09:07:38 | ASH | 2388295680] C:\hiberfil.sys
[25/03/2011 - 09:07:42 | ASH | 3184394240] C:\pagefile.sys
[14/07/2009 - 03:37:05 | D ] C:\PerfLogs
[23/03/2011 - 12:06:56 | N | 512] C:\PhysicalDisk0_MBR.bin
[24/03/2011 - 17:41:51 | D ] C:\Program Files
[24/03/2011 - 17:41:54 | HD ] C:\ProgramData
[07/03/2010 - 20:09:02 | SHD ] C:\Recovery
[07/03/2010 - 18:20:54 | N | 2976] C:\RHDSetup.log
[12/06/2009 - 09:13:45 | N | 123] C:\SWSTAMP.TXT
[23/03/2011 - 08:00:52 | SHD ] C:\System Volume Information
[30/09/2009 - 18:38:20 | D ] C:\Toshiba
[25/03/2011 - 09:19:05 | D ] C:\UsbFix
[25/03/2011 - 09:18:12 | N | 2536] C:\UsbFix.txt
[07/03/2010 - 19:50:22 | D ] C:\Users
[24/03/2011 - 12:25:57 | D ] C:\Windows
[08/06/2009 - 14:05:52 | D ] C:\Works
[25/03/2011 - 09:19:05 | SHD ] E:\$RECYCLE.BIN
[01/10/2009 - 03:24:08 | D ] E:\HDDRecovery
[18/06/2009 - 22:12:59 | N | 11] E:\R11173FR.tag
[23/03/2011 - 08:00:52 | SHD ] E:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-GUILLAUME.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |
0
Utilisateur anonyme
25 mars 2011 à 09:32
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
28 mars 2011 à 09:08
bonjour et encore merci pour votre temps, voici les 2 liens:

http://www.cijoint.fr/cjlink.php?file=cj201103/cijwogCOxY.txt


http://www.cijoint.fr/cjlink.php?file=cj201103/cijYmTJPFN.txt
0
re

desinstalle spybot

==========================

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em

et enregistre le sur ton bureau

lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer

enregistre le sur ton bureau et lance l'installation

(entre temps poste "rapport.txt" avant la fin du scan apparu sur ton bureau

Laisse coché :

♦ Executer List_Kill'em

une fois terminée , clic sur "terminer"

choisis l'option Search

▶ laisse travailler l'outil

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

▶ Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

▶▶▶ NE LES POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ces liens dans ta réponse.
G3?-?@¢??@?......Concepteur de List_Kill'em...
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
29 mars 2011 à 08:01
1er rapport::

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mis à jour le 24/03/2011 | 13.05 par g3n-h@ckm@n
Utilisateur : guillaume (Administrateurs)
Ordinateur : PC-DE-GUILLAUME

Système d'exploitation : Windows 7 Home Premium (32 bits)
Internet Explorer : 8.0.7600.16385
Mozilla Firefox :

Scan : 07:57:55 | 29/03/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\Userinit.exe, -> C:\Windows\system32\Userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKCR\exefile\..\..\command] : "%1" %*
[HKCR\comfile\..\..\command] : "%1" %*
[HKCR\scrfile\..\..\command] : "%1" /S
[HKCR\batfile\..\..\command] : "%1" %*
[HKCR\piffile\..\..\command] : "%1" %*

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

explorer.exe -> Processus stoppé


¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
[HKLM\..\..\Services\EapHost] | Start -> Modification apportée : 3 -> 2
[HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\SharedAccess] | Start -> Modification apportée : 4 -> 2
[HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
29 mars 2011 à 08:06
et voici les 2 liens

http://www.cijoint.fr/cjlink.php?file=cj201103/cijTrpLpXv.txt


http://www.cijoint.fr/cjlink.php?file=cj201103/cijSVHbBBY.txt


merci
0
Utilisateur anonyme
29 mars 2011 à 09:27
ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


PROC:Rundll32.exe
FILE:C:\Users\guillaume\AppData\Roaming\F5CF9BBC38098F363E93AB7D93C7DD8C
FILE:C:\Users\guillaume\AppData\Local\epriapl.dll
REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Csuduvo"
REM:"HKEY_CURRENT_USER\software\fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf< fAfvfSfP [fVf#f""



▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

poste le resultat

▶ Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
29 mars 2011 à 10:05
¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : guillaume (Administrateurs)
Update on 20/03/2011 by g3n-h@ckm@n ::::: 19.40
Start at: 10:03:27 | 29/03/2011

Intel(R) Core(TM)2 Duo CPU T6500 @ 2.10GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 186,31 Go (61,24 Go free) [Windows7] | NTFS
E:\ -> Disque fixe local | 184,84 Go (171,03 Go free) [Data] | NTFS
F:\ -> Disque CD-ROM | 2,31 Go (0 Mo free) [FM2010] | UDF


Running Process Killed : PID 1168 'iexplore.exe'
Running Process Killed : PID 2912 'explorer.exe'

¤¤¤¤¤¤¤¤¤¤ Processus :

stoppe : Rundll32.exe

¤¤¤¤¤¤¤¤¤¤ Added Keys :


¤¤¤¤¤¤¤¤¤¤ Removed Keys :

Suppression : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : Csuduvo

¤¤¤¤¤¤¤¤¤¤ Ports closed :


¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :


¤¤¤¤¤¤¤¤¤¤ Drivers deleted :




¤¤¤¤¤¤¤¤¤¤ Object Restored :


¤¤¤¤¤¤¤¤¤¤ Folder List :


¤¤¤¤¤¤¤¤¤¤ Read File :


¤¤¤¤¤¤¤¤¤¤ Sign control :


¤¤¤¤¤¤¤¤¤¤ Key Look :


End at 10:04:16

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Utilisateur anonyme
29 mars 2011 à 10:47
t'as pas desactivé les protections !!
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
29 mars 2011 à 19:45
oupsss je recommence! ;)
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
29 mars 2011 à 20:06
¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

Running Process Killed : PID 4268 'iexplore.exe'
Running Process Killed : PID 2916 'iexplore.exe'
Running Process Killed : PID 5236 'explorer.exe'

¤¤¤¤¤¤¤¤¤¤ Processus :

stoppe : Rundll32.exe

¤¤¤¤¤¤¤¤¤¤ Added Keys :


¤¤¤¤¤¤¤¤¤¤ Removed Keys :

Suppression : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run : Csuduvo

¤¤¤¤¤¤¤¤¤¤ Ports closed :


¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :


¤¤¤¤¤¤¤¤¤¤ Drivers deleted :




¤¤¤¤¤¤¤¤¤¤ Object Restored :


¤¤¤¤¤¤¤¤¤¤ Folder List :


¤¤¤¤¤¤¤¤¤¤ Read File :


¤¤¤¤¤¤¤¤¤¤ Signature :


¤¤¤¤¤¤¤¤¤¤ Key Look :


End at 19:57:35

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Utilisateur anonyme
29 mars 2011 à 20:27
pourquoi j ai pas l entete du rapport ?
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
29 mars 2011 à 22:18
c'est tout ce que j'ai dans le rapport en tout cas mais j'ai eu un soucis et j'ai du relancer la 1ère recherche çà a peut etre fait buggué le système?
et lorsque j'ai ouvert outil/script çà me marque "impossible de trouver le fichier File_script.txt.
0
Utilisateur anonyme
30 mars 2011 à 00:36
j'ai rien compris

tu lances tout en meme temps ?
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
30 mars 2011 à 09:28
Voilà comment je procède, tu me diras si je fais pas correctement!

je met en pause ma protection avast
je lance le logiciel a partir de l'icone du bureau, après je vais dans l'onglet outils, puis je clique sur script et la ya le message d'erreur qui apparait "impossible de trouver le fichier File_script.txt.
voulez vous en créer un nouveau"
la je met oui et je colle ce que tu m'as mit en gras plus haut, j'enregistre et je ferme le bloc note, je laisse travailler le logiciel
et je poste le rapport qui apparait sur le bureau.

est ce que j'ai oublié de faire qq chose? pourquoi n'as tu pas ce qu'il faut comme rapport? dois je tout désinstaller et réinstaller?

Merci
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
30 mars 2011 à 09:22
¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

Running Process Killed : PID 5636 'iexplore.exe'
Running Process Killed : PID 1600 'explorer.exe'

¤¤¤¤¤¤¤¤¤¤ Processus :

stoppe : Rundll32.exe

¤¤¤¤¤¤¤¤¤¤ Added Keys :


¤¤¤¤¤¤¤¤¤¤ Removed Keys :


¤¤¤¤¤¤¤¤¤¤ Ports closed :


¤¤¤¤¤¤¤¤¤¤ File|Folder deleted :


¤¤¤¤¤¤¤¤¤¤ Drivers deleted :




¤¤¤¤¤¤¤¤¤¤ Object Restored :


¤¤¤¤¤¤¤¤¤¤ Folder List :


¤¤¤¤¤¤¤¤¤¤ Read File :


¤¤¤¤¤¤¤¤¤¤ Signature :


¤¤¤¤¤¤¤¤¤¤ Key Look :


End at 9:21:35

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Utilisateur anonyme
30 mars 2011 à 09:32
refais un scan OTL avec les reglages preconisés ?
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
30 mars 2011 à 10:27
http://www.cijoint.fr/cjlink.php?file=cj201103/cijdjI1Pyu.txt
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
30 mars 2011 à 10:28
http://www.cijoint.fr/cjlink.php?file=cj201103/cijQNrRcVb.txt
0
Utilisateur anonyme
30 mars 2011 à 14:54
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
31 mars 2011 à 19:31
voilà le dernier rapport de Malwarebyte's:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6224

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

31/03/2011 11:00:12
mbam-log-2011-03-31 (11-00-12).txt

Type d'examen: Examen complet (C:\|E:\|)
Elément(s) analysé(s): 257047
Temps écoulé: 1 heure(s), 9 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 28

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\guillaume\AppData\Local\Temp\scewamxnor.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1063959868.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\awesroxcmn.exe (Adware.Agent) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\79C2.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\79D3.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\7B38.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\7B97.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\8191.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\5756.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\croewnxmas.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1151929684.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3826179596.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup39617432.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup4080372436.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup4284914488.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1559877624.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1592159988.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup1901441568.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup2130373596.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3460123836.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3515646740.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3656583104.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup3677200184.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup592506384.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup656011928.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup674721756.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Users\guillaume\AppData\Local\Temp\setup908007604.exe (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\Kill'em\quarantine\epriapl.dll.kill'em (Trojan.Hiloti) -> Quarantined and deleted successfully.
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
31 mars 2011 à 19:35
pourquoi il me reste plein de fichiers en quarantaine dans Malwarebyte's?
dois je les supprimer?
0
Utilisateur anonyme
31 mars 2011 à 19:43
▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'Option Suppression

▶▶▶ Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

▶ colle le contenu dans ta reponse

▶ envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
31 mars 2011 à 20:35
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.7 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mis à jour le 28/02/2011 | 06.00 par g3n-h@ckm@n
Utilisateur : guillaume (Administrateurs)
Ordinateur : PC-DE-GUILLAUME

Système d'exploitation : Windows 7 Home Premium HomePremium (32 bits)

c:\ -> [Fixed] | [Windows7] | Total : 190780 Mo | Free : 63000 Mo -> NTFS
e:\ -> [Fixed] | [Data] | Total : 189280 Mo | Free : 175140 Mo -> NTFS
f:\ -> [CDROM] | [FM2010] | Total : 2370 Mo | Free : 0 Mo -> UDF

Scan : 20:28:05 | 31/03/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ Winlogon ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Winlogon] | AutoRestartShell = 1
[HKLM\..\..\Winlogon] | Shell = Explorer.exe
[HKLM\..\..\Winlogon] | Userinit = C:\Windows\system32\Userinit.exe,
[HKLM\..\..\Winlogon] | System =
[HKLM\..\..\Winlogon] | PowerdownAfterShutdown = 1

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKCU\..\..\Internet Explorer\Main] | Start Page=https://www.google.com/?gws_rd=ssl
[HKCU\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
[HKCU\..\..\Internet Explorer\Main] | Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

[HKLM\..\..\Internet Explorer\Main] | Start Page=http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
[HKLM\..\..\Internet Explorer\Main] | Default_Search_URL=http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM\..\..\Internet Explorer\Main] | Default_Page_URL=http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM\..\..\Internet Explorer\Main] | Search Page=http://go.microsoft.com/fwlink/?LinkId=54896

¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤

Supprimé : [HKCU\..\..\Mountpoints2\{0c19de5f-2a23-11df-8df2-001e6565be46}] -> command : D:\Vodaphone_uninstaller.exe

¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
[HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1 localhost



¤¤¤¤¤¤¤¤¤¤ Supression Fichiers | Dossiers ¤¤¤¤¤¤¤¤¤¤

Mise en quarantaine : C:\Users\guillaume\downloads\setup.exe
Mise en quarantaine : C:\Users\guillaume\scriptjava.html
Mise en quarantaine : C:\ProgramData\Temp
Mise en quarantaine : C:\Users\guillaume\Documents\Nero.v7.Premium.Multilangages.Incl-Keygen.par.emule-mania.com
Erreur de suppression : C:\Users\guillaume\Documents\Nero.v7.Premium.Multilangages.Incl-Keygen.par.emule-mania.com

¤¤¤¤¤¤¤¤¤¤ Suppression Clés ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤ Services néfastes ¤¤¤¤¤¤¤¤¤¤





¤¤¤¤¤¤¤¤¤¤ Suppression Valeurs ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Security Center] | cval = 1
[HKLM\..\..\Security Center\Svc] | VistaSp1 =
[HKLM\..\..\Security Center\Svc] | AntiVirusOverride = 0
[HKLM\..\..\Security Center\Svc] | AntiSpywareOverride = 0
[HKLM\..\..\Security Center\Svc] | FirewallOverride = 0


Fin : 20:32:02

¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤
0
flamingmo81 Messages postés 56 Date d'inscription mercredi 23 mars 2011 Statut Membre Dernière intervention 1 mai 2016
31 mars 2011 à 20:36
par contre comment envoyer le zip??
0