defender, rootkit et autres Fermé

Question

Bonjour, Il y a mainenant une semaine mon PC a un virus et je n'arrive pas à le supprimer complètement. Je pense l'avoir attrapé sur un site de streaming mais comme je supprime les historiques et les cookies de Firefox à chaque extinction, je n'ai plus le lien. Je suis un peu à cours d'idée donc si quelqu'un peut m'aider, c'est super.. Dans l'ordre, les étapes: *********** Extinction du PC (sans rien faire de particulier) puis redémarrage automatique (je n'ai rien touché. *********** Après le redémarrage, j'ai un nouveau raccourci sur le bureau "defender.exe" qui pointait quelque part dans All Users/Application Data => J'ai supprimé le le raccourci et le .exe A un moment mon haut parleur s'est mis en route et j'ai entendu de la musique qui n'est pas sur mon PC !!! => J'ai également supprimé manuellement 2 scheduled tasks relatives à du google update. ************ Ensuite j'ai téléchargé une panoplie complète d'outils: Roguekiller, HPDiag, Ad Remover, Spybot, Ad-Aware, MalwareBytes et Kaspersky Rescue Disk 10 (depuis un autre PC) ************ Premiers rapports roguekiller: RogueKiller V5.3.1 [08/06/2011] by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: gpoirier [Admin rights] Mode: Scan -- Date : 08/09/2011 10:32:17 Bad processes: 3 [SUSP PATH] IH560D.EXE -- c:\windows\temp\ih560d.exe -> KILLED [TermProc] [SUSP PATH] Wxw.exe -- c:\windows\temp\wxw.exe -> KILLED [TermProc] [SERVICE] SSHNAS -- C:\WINDOWS\system32\svchost.exe -k netsvcs -> STOPPED Registry Entries: 10 [SUSP PATH] HKUS\.DEFAULT[...]\Run : 8DDYX0ZBPZ (C:\WINDOWS\TEMP\Wxx.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-18[...]\Run : 8DDYX0ZBPZ (C:\WINDOWS\TEMP\Wxx.exe) -> FOUND [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> FOUND [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> FOUND [BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> FOUND [SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\wxy.exe -> FOUND [SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\wxw.exe -> FOUND [SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\wxx.exe -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:8080) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND HOSTS File: Finished : << RKreport[1].txt >> RKreport[1].txt RogueKiller V5.3.1 [08/06/2011] by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: gpoirier [Admin rights] Mode: Remove -- Date : 08/09/2011 10:33:18 Bad processes: 1 [SERVICE] SSHNAS -- C:\WINDOWS\system32\svchost.exe -k netsvcs -> NOT STOPPED [0x425] Registry Entries: 9 [SUSP PATH] HKUS\.DEFAULT[...]\Run : 8DDYX0ZBPZ (C:\WINDOWS\TEMP\Wxx.exe) -> DELETED [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED [BLACKLIST] HKLM\[...]\services : SSHNAS (%SystemRoot%\system32\svchost.exe -k netsvcs) -> DELETED [BLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> DELETED [SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\wxy.exe -> DELETED [SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\wxw.exe -> DELETED [SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\wxx.exe -> DELETED [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:8080) -> NOT REMOVED, USE PROXYFIX [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) HOSTS File: Finished : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt RogueKiller V5.3.1 [08/06/2011] by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: gpoirier [Admin rights] Mode: HOSTSFix -- Date : 08/09/2011 10:33:55 Bad processes: 0 HOSTS File: Resetted HOSTS: 127.0.0.1 localhost Finished : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt RogueKiller V5.3.1 [08/06/2011] by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: gpoirier [Admin rights] Mode: ProxyFix -- Date : 08/09/2011 10:34:13 Bad processes: 0 Registry Entries: 1 [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:8080) -> DELETED Finished : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt RogueKiller V5.3.1 [08/06/2011] by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: gpoirier [Admin rights] Mode: DNSFix -- Date : 08/09/2011 10:34:37 Bad processes: 0 Registry Entries: 0 Finished : << RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt *********** Rapport Malware Bytes Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Database version: 7416 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 09/08/2011 11:05:51 mbam-log-2011-08-09 (11-05-51).txt Scan type: Quick scan Objects scanned: 249279 Time elapsed: 11 minute(s), 3 second(s) Memory Processes Infected: 0 Memory Modules Infected: 1 Registry Keys Infected: 4 Registry Values Infected: 2 Registry Data Items Infected: 0 Folders Infected: 0 Files Infected: 11 Memory Processes Infected: (No malicious items detected) Memory Modules Infected: c:\WINDOWS\system32\sshnas21.dll (Trojan.Agent) -> Delete on reboot. Registry Keys Infected: HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Quarantined and deleted successfully. Registry Values Infected: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{B922D405-6D13-4A2B-AE89-08A030DA4402} (PUP.Dealio.TB) -> Value: {B922D405-6D13-4A2B-AE89-08A030DA4402} -> Quarantined and deleted successfully. Registry Data Items Infected: (No malicious items detected) Folders Infected: (No malicious items detected) Files Infected: c:\WINDOWS\system32\sshnas21.dll (Trojan.Agent) -> Delete on reboot. c:\program files\pdfforge toolbar\IE\4.5\pdfforgetoolbarie.dll (PUP.Dealio.TB) -> Quarantined and deleted successfully. c:\RECYCLER\s-1-5-21-523652438-2194901305-3293267003-1248\Dc386.exe (Trojan.Winlock) -> Quarantined and deleted successfully. c:\documents and settings\gpoirier\local settings\Temp\0.6771964619278781.exe (Trojan.Downloader.MB) -> Quarantined and deleted successfully. c:\documents and settings\gpoirier\local settings\Temp\137.tmp (Trojan.Winlock) -> Quarantined and deleted successfully. c:\documents and settings\gpoirier\local settings\Temp\13B.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully. c:\WINDOWS\Temp\Wxv.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\Temp\Wxw.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\Temp\Wxx.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\WINDOWS\Temp\Wxy.exe (Trojan.Agent) -> Quarantined and deleted successfully. c:\documents and settings\gpoirier\application data\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully. ************* A l'essai suivant MalwareBytes ne trouvait plus rien. *********** Rapport Ad-Remover ======= REPORT FROM AD-REMOVER 2.0.0.2,G | ONLY XP/VISTA/7 ======= Updated by TeamXscript on 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com website: http://www.teamxscript.org C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 13:18:04 on 09/08/2011, Normal boot Microsoft Windows XP Professional Service Pack 3 (X86) gpoirier@POIRIER ( ) ============== ACTION(S) ============== Service: "Application Updater" Service stopped and deleted File deleted: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com Folder deleted: C:\Program Files\Application Updater Folder deleted: C:\Documents and Settings\gpoirier\Application Data\pdfforge Folder deleted: C:\Documents and Settings\Administrator\Application Data\pdfforge Folder deleted: C:\Program Files\pdfforge Toolbar Folder deleted: C:\Documents and Settings\gpoirier\Application Data\Search Settings Folder deleted: C:\Documents and Settings\Administrator\Application Data\Search Settings Folder deleted: C:\Program Files\Common Files\Spigot (!) -- Temporary files deleted. Key deleted: HKLM\Software\Classes\CLSID\{601ac3dc-786a-4eb0-bf40-ee3521e70bfb} Key deleted: HKLM\Software\Classes\CLSID\{72b3882f-453a-4633-aac9-8c3dced62aff} Key deleted: HKLM\Software\Classes\CLSID\{E49F0B41-3322-11D4-AEFE-00C04F61025C} Key deleted: HKLM\Software\Application Updater Key deleted: HKLM\Software\pdfforge Key deleted: HKLM\Software\Search Settings Key deleted: HKCU\Software\Ask.com Key deleted: HKCU\Software\AskToolbar Key deleted: HKCU\Software\AppDataLow\Software\pdfforge Key deleted: HKCU\Software\AppDataLow\Software\Search Settings Key deleted: HKU\.DEFAULT\Software\pdfforge Key deleted: HKU\.DEFAULT\Software\Search Settings Key deleted: HKLM\Software\Adobe\OpenCandy Key deleted: HKLM\Software\eRightSoft\OpenCandy Key deleted: HKLM\Software\Classes\Installer\Products\CB2848362903CD24EA1A37254619A177 Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\CB2848362903CD24EA1A37254619A177 Key deleted: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings ============== ADDITIONNAL SCAN ============== **** Mozilla Firefox Version [5.0 (fr)] **** Plugins\npPDFXCviewNPPlugin.dll (Tracker Software Products Ltd.) HKLM_MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf (x) HKLM_MozillaPlugins\@tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf (x) HKCU_MozillaPlugins\@docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf (x) Searchplugins\bing.xml ( hxxp://www.bing.com/search) Components\browsercomps.dll (Mozilla Foundation) -- C:\Documents and Settings\gpoirier\Application Data\Mozilla\FireFox\Profiles\428pjzrx.default -- Extensions\foxyproxy@eric.h.jung (FoxyProxy Standard) Extensions\LogMeInClient@logmein.com (LogMeIn, Inc. Remote Access Plugin) Extensions\{195A3098-0BD5-4e90-AE22-BA1C540AFD1E} (Garmin Communicator) Extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1} (User Agent Switcher) Prefs.js - browser.download.dir, C:\Documents and Settings\gpoirier\Desktop Prefs.js - browser.startup.homepage_override.buildID, 20110615151330 Prefs.js - browser.startup.homepage_override.mstone, rv:5.0 Prefs.js - keyword.URL, hxxp://fr.search.yahoo.com/search?fr=greentree_ff1&ei=utf-8&type=302398&p= ======================================== **** Internet Explorer Version [8.0.6001.18702] **** HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 HKCU_Main|Start Page - hxxp://fr.msn.com/ HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Start Page - hxxp://fr.msn.com/ HKLM_Toolbar|{ae07101b-46d4-4a98-af68-0333ea26e113} (mscoree.dll) (x) HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico) HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?) BHO\{127AD70F-B2B7-4f6a-ACD9-C7B1FE48C8C0} - "Show Naturalreader Bar" (C:\WINDOWS\system32\MsiExec.exe) BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?) ======================================== C:\Program Files\Ad-Remover\Quarantine: 70 File(s) C:\Program Files\Ad-Remover\Backup: 13 File(s) C:\Ad-Report-CLEAN[1].txt - 09/08/2011 13:18:07 (2168 Byte(s)) C:\Ad-Report-SCAN[1].txt - 09/08/2011 13:15:50 (4762 Byte(s)) End at: 13:20:00, 09/08/2011 ============== E.O.F ============== ********************** Ad-aware a trouvé un trojan ********************** SpyBot a trouvé 2-3 trucs dans la base de registre ********************** Kaspersky a trouvé un rootkit qu'il a supprimé. ***************************************** Ce matin roguekiller affiche toujours: RogueKiller V5.3.1 [08/06/2011] by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: gpoirier [Admin rights] Mode: Remove -- Date : 08/11/2011 09:37:11 Bad processes: 1 [SUSP PATH] XADF0D.EXE -- c:\windows\temp\xadf0d.exe -> KILLED [TermProc] Registry Entries: 1 [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (localhost:8080) -> NOT REMOVED, USE PROXYFIX HOSTS File: 127.0.0.1 localhost Finished : << RKreport[1].txt >> RKreport[1].txt *********************** Les processus que Roguekiller trouve chnagent de nom à chaque démarrage (toujours 6 lettres). Il doit donc rester quelque chose qui crée ce fichier. J'ai donc le rapport HPDiag suivant: https://www.cjoint.com/?AHljSIlouVJ Si quelqu'un a une idée, je suis preneur. Merci d'avance. Greg

Malekal_morte- · Answer

Salut,

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/  

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.  
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)  

* Lance OTL  
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :  
netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s 
CREATERESTOREPOINT 
nslookup www.google.fr /c 
SAVEMBR:0 
hklm\software\clients\startmenuinternet|command /rs 
hklm\software\clients\startmenuinternet|command /64 /rs  
* Clique sur le bouton Analyse.  
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.  
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

greg.celine · Answer

Merci pour ta réponse. Voici le lien OTL.

https://pjjoint.malekal.com/files.php?id=7f827cf5a6q12r11n12h135n12u5e9v13r8s10v15v6z8w12p5q6e7r15e12

Mon oeil (pourtant aiguisé) de débutant en la matière ne vois rien.

J'ai vu a un endroit du log une recherche sur sshnas (file not found)... Il a été justement supprimé par Roguekiller. Ca c'est bon signe.

J'avais un doute aussi sur 3 services google upadter service, update google service et service google update. Du coup je les ai désactivés dans msconfig.

Vois-tu quelque chose?

Merci,

Grégory

Malekal_morte- · Answer

yep ça l'air pas mal.
Faut voir si tu n'as pas de prb quand tu surfs (style trop de pubs ou redirections Google).

sshnas - c'est Artro et ça vient par des crack ou codecs via des sites pornos : 
https://forum.malekal.com/viewtopic.php?t=21809&start=

Spybot et Ad-Aware sont dépassés et inefficaces, à désinstaller.


Fais plus attention à l'avenir.... 

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
Absolument à faire.     

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc) 
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude. 
Donc faut se documenter. 

Un peu de lecture pour éviter les infections : 
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf   
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html   
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese 

Ce qu'il ne faut pas faire : 
Je télécharge n'importe quoi - je m'infecte :  
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14 
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9 
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6 
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1 

Fonctionnement de quelques catégories de malwares : 
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen 
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus 

Si tu as des questions sur le fonctionement des malwares. 
N'hésite pas.

greg.celine · Answer

Ah ben là c'était pas un site porno pourtant ;). Je pense que c'était un site de streaming de série (www.seriesstreaming.fr/). j'ai retrouvé le nom. ou bien mksniper. ou bien par l'intermédiaire d'une des nombreuses pubs qui sont ouvertes sur ces sites.

Bref... Je pensais que le streaming était sûr..... 
Je me suis permis de mettre non résolu car j'ai encore un point bizarre et 1 question:

****************
D'après toi c'est quoi le fichier .exe que roguekiller tue à chaque essai?

En fait c'est la seule trace qui reste maintenant mais si ça se trouve c'est un soft tout a fait normal.
Le soft peut s'appeller par example c:\windows	emp\xadf0d.exe mais ça change à chaque démarrage. il a toujours 6 lettres et chiffres mixés.

Dans le rapport OTL que j'ai mis c'est
C:\WINDOWS\Temp\FEC479.EXE

****************
Est-ce qu'il y a des chances pour qu'un intrus ait pu utiliser les trojans et rootkits installés pour installer d'autres logiciels qui donnent un accès plus large au PC et qui eux ne seront pas détectés par MalwareBytes, RogueKiller ou OTL?

Merci,

Greg

greg.celine · Answer

Et pour le rootkit TDSS (supprimé par MalwareBytes puis Kaspersky). Si il est supprimé, c'est bon? Peu de chance d'avoir installé autre chose?

Le toutou marron c'est quoi? L'assistant de windows?

Merci,

Greg

greg.celine · Answer

J'ai pensé aussi:

J'ai installé la semaine dernière Joomla avec un serveur local HTTP Apache ( Xampp) pour développer un site web. J'ai aussi utilisé un template de site gratuit du net. 
Est-ce possible que ce template qui utilise des scripts PHP ait pu installer ces infections?

Merci,

Greg

Defender, rootkit et autres

6 réponses

Discussions similaires