BDS/Backdoor.Gen5 et ADWARE/SanctionedMedia.A
Fermé
Alya
-
4 déc. 2011 à 21:25
jreder Messages postés 8 Date d'inscription mercredi 21 mars 2012 Statut Membre Dernière intervention 21 mars 2012 - 21 mars 2012 à 15:27
jreder Messages postés 8 Date d'inscription mercredi 21 mars 2012 Statut Membre Dernière intervention 21 mars 2012 - 21 mars 2012 à 15:27
A voir également:
- BDS/Backdoor.Gen5 et ADWARE/SanctionedMedia.A
- Adware cleaner - Télécharger - Antivirus & Antimalwares
- Adware xiaomi - Accueil - Virus
- Supprimer adware - Guide
- Win32:adware-gen ✓ - Forum Virus
- Touche bds - Forum Steam
15 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
Modifié par Malekal_morte- le 4/12/2011 à 21:27
Modifié par Malekal_morte- le 4/12/2011 à 21:27
Salut,
Quels sont les fichiers détectés?
Si tu peux poster un rapport de scan, ce serait bien.
~~
A transférer depuis un autre PC.
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
Quels sont les fichiers détectés?
Si tu peux poster un rapport de scan, ce serait bien.
~~
A transférer depuis un autre PC.
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
Merci pour a rapidité et l'aide voila le rapport
http://pjjoint.malekal.com/files.php?id=20111204_r7d9b6b11l7
http://pjjoint.malekal.com/files.php?id=20111204_r7d9b6b11l7
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
4 déc. 2011 à 22:05
4 déc. 2011 à 22:05
y a rien d'anormal sur ton rapport :)
Super ... je redemarre en me disant que mon anti virus a peut etre fait son devoir apres me les avoir signaler mis en quarantaine puis supprimer mais rien a faire je ne peux plus me connecter a internet et mon antivirus n'ouvre toujours pas son parapluie ... s'il n'y a plus de virus de ou ca peut venir ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
4 déc. 2011 à 22:20
4 déc. 2011 à 22:20
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
et fais ça :
Menu Démarrer / executer et tape : cmd puis clic sur OK.
Dans la nouvelle fenêtre noire, tape (sans faute!) :
ipconfig /all > %TEMP%\testcnx.txt puis appuye sur la touche entrée du clavier
ping www.google.fr >> %TEMP%\testcnx.txt puis appuye sur la touche entrée du clavier
ping 209.85.135.103 >> %TEMP%\testcnx.txt puis appuye sur la touche entrée du clavier
Ferme toutes les fenêtres.
Ouvre le poste de travail -> Disque C -> double-clic sur testcnx.txt
Copie/colle le contenu entier ici dans un nouveau message.
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
et fais ça :
Menu Démarrer / executer et tape : cmd puis clic sur OK.
Dans la nouvelle fenêtre noire, tape (sans faute!) :
ipconfig /all > %TEMP%\testcnx.txt puis appuye sur la touche entrée du clavier
ping www.google.fr >> %TEMP%\testcnx.txt puis appuye sur la touche entrée du clavier
ping 209.85.135.103 >> %TEMP%\testcnx.txt puis appuye sur la touche entrée du clavier
Ferme toutes les fenêtres.
Ouvre le poste de travail -> Disque C -> double-clic sur testcnx.txt
Copie/colle le contenu entier ici dans un nouveau message.
Bon alors j'ai lu et je suis desolée je pensais bien faire
J'ai vu que otl avait fait un second fichier mais je l'avais pas vu c ca
http://pjjoint.malekal.com/files.php?id=20111204_y14d8q6v12p10
ensuite j'ai fait tdsskiller
ca donne ca
http://pjjoint.malekal.com/files.php?id=20111204_v9r9p7s5b10
par contre j'ai recopié minutieusement ds la fenetre noire mais rien n'apparait ds C j'ai recommencé j'ai meme tester en faisant directement un copier coller de ce que tu avais ecrit mais rien a faire
J'ai vu que otl avait fait un second fichier mais je l'avais pas vu c ca
http://pjjoint.malekal.com/files.php?id=20111204_y14d8q6v12p10
ensuite j'ai fait tdsskiller
ca donne ca
http://pjjoint.malekal.com/files.php?id=20111204_v9r9p7s5b10
par contre j'ai recopié minutieusement ds la fenetre noire mais rien n'apparait ds C j'ai recommencé j'ai meme tester en faisant directement un copier coller de ce que tu avais ecrit mais rien a faire
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
4 déc. 2011 à 23:26
4 déc. 2011 à 23:26
Manque le rapport OTL.txt
Par contre :
Error - 04/12/2011 16:41:19 | Computer Name = MICHELE-09E5B63 | Source = Service Control Manager | ID = 7003
Description = Le service NLA (Network Location Awareness) dépend du service inexistant :
Afd.
humm ca a l'air que le service Afd démarre pas.
C'est un service utile à la couche réseau - cf : https://forum.malekal.com/viewtopic.php?t=29460&start=
Est-ce que le fichier C:\Windows\system32\drivers\ADF.sys existe ?
Jète un coup d'oeil au lien donné et au paragraphe : AFD/NetBT endommagé
La commande ipconfig retourne une erreur ?
Par contre :
Error - 04/12/2011 16:41:19 | Computer Name = MICHELE-09E5B63 | Source = Service Control Manager | ID = 7003
Description = Le service NLA (Network Location Awareness) dépend du service inexistant :
Afd.
humm ca a l'air que le service Afd démarre pas.
C'est un service utile à la couche réseau - cf : https://forum.malekal.com/viewtopic.php?t=29460&start=
Est-ce que le fichier C:\Windows\system32\drivers\ADF.sys existe ?
Jète un coup d'oeil au lien donné et au paragraphe : AFD/NetBT endommagé
La commande ipconfig retourne une erreur ?
bon le fichier en AFD.sys existe bien
et oui la commande ipconfig m'indique une ip a O pour les 2 reseau local et sans fil et qd je fais ipconfig /renew il me dit que le serveur RPC n'est pas disponible
Je parle une nouvelle langue depuis 2h je m'impressionne lol ;-)
nouvelle alerte de avira pour un virus bds backdoor gen 5 l meme sauf que cette fois je l'ai mis en quarantaine et je l'ai pas effacé
Avira se rallume et se referme tt seul et mon ordi chch tjrs a se connecter
et j'ai bien cette reponse
La commande suivante qui nous indique : cmd /c sc qc dhcp >c:\dhcp.txt
[SC] GetServiceConfig SUCCESS
SERVICE_NAME: dhcp
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Client DHCP
DEPENDENCIES : Tcpip
: Afd
: NetBT
SERVICE_START_NAME : LocalSystem
et oui la commande ipconfig m'indique une ip a O pour les 2 reseau local et sans fil et qd je fais ipconfig /renew il me dit que le serveur RPC n'est pas disponible
Je parle une nouvelle langue depuis 2h je m'impressionne lol ;-)
nouvelle alerte de avira pour un virus bds backdoor gen 5 l meme sauf que cette fois je l'ai mis en quarantaine et je l'ai pas effacé
Avira se rallume et se referme tt seul et mon ordi chch tjrs a se connecter
et j'ai bien cette reponse
La commande suivante qui nous indique : cmd /c sc qc dhcp >c:\dhcp.txt
[SC] GetServiceConfig SUCCESS
SERVICE_NAME: dhcp
TYPE : 20 WIN32_SHARE_PROCESS
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : C:\WINDOWS\System32\svchost.exe -k netsvcs
LOAD_ORDER_GROUP : TDI
TAG : 0
DISPLAY_NAME : Client DHCP
DEPENDENCIES : Tcpip
: Afd
: NetBT
SERVICE_START_NAME : LocalSystem
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
5 déc. 2011 à 08:53
5 déc. 2011 à 08:53
il me dit que le serveur RPC n'est pas disponible
C'est bien RPC l'erreur ?
- Demarrer / executer / tape services.msc
- Cherche Service RPC dans la liste
- Double clic dessus, positionne le type de démarrage sur désactiver
Dans la colonne statut il est en démarré ?
~~
Pour l'alerte Antivir faut que tu donnes le fichier détecté.
C'est bien RPC l'erreur ?
- Demarrer / executer / tape services.msc
- Cherche Service RPC dans la liste
- Double clic dessus, positionne le type de démarrage sur désactiver
Dans la colonne statut il est en démarré ?
~~
Pour l'alerte Antivir faut que tu donnes le fichier détecté.
Bonjour
Alors en effet RPC etait desactivé je l'ai donc reactivé en automatique lui et tout ce que j'ai vu de desactivé et qui me parraissait necessaire, j'ai redemarré mais toujours pas de connexion ...
Tu veux dire quoi par donner le fichier detecté?
desolé d'etre si lamentable :-$
Alors en effet RPC etait desactivé je l'ai donc reactivé en automatique lui et tout ce que j'ai vu de desactivé et qui me parraissait necessaire, j'ai redemarré mais toujours pas de connexion ...
Tu veux dire quoi par donner le fichier detecté?
desolé d'etre si lamentable :-$
J'ai exactement le même problème depuis une heure. J'ai plein de message " ... a cessé de fonctionner" donc un certains "ip/ping". Je sais vraiment pas d'où ça vient sachant que j'ai rien télécharger de dangereux. J'ai aussi mon pare-feu qui est désactivé et impossible de le réactiver.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
6 déc. 2011 à 08:42
6 déc. 2011 à 08:42
@Kound je suis pas certains que ce soit la mm chose, créé ton sujet si tu veux de l'aide.
@Alya : et après avoir mis le service RPC en automatique, ça donne tjrs des erreurs sur ipconfig etc ?
Le service client DNS/DHCP est bien démarré ?
un ipconfig /renew donne quoi ?
@Alya : et après avoir mis le service RPC en automatique, ça donne tjrs des erreurs sur ipconfig etc ?
Le service client DNS/DHCP est bien démarré ?
un ipconfig /renew donne quoi ?
T embete pas Malekal_morte- j'ai formaté mon ordi hier j'ai plus la patience j 'avais déjà perdue une semaine la derniere fois !
Là tout fonctionne je chanterai pas ma haine cette fois ;-)
Merci en tout cas pour ton aide et bravo pour le taf sur ton site je suis impressionnée!
Peace
Là tout fonctionne je chanterai pas ma haine cette fois ;-)
Merci en tout cas pour ton aide et bravo pour le taf sur ton site je suis impressionnée!
Peace
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 662
6 déc. 2011 à 18:27
6 déc. 2011 à 18:27
oki :)
zicodub
Messages postés
1
Date d'inscription
samedi 17 décembre 2011
Statut
Membre
Dernière intervention
17 décembre 2011
17 déc. 2011 à 04:51
17 déc. 2011 à 04:51
Bonjour,
j'ai exactement le meme problème avira ki détecte ce backdoor et plus de connexion internet..
j'ai fais mes sauvegardes, je vais reformater pour contourner le problème car je suis impatient.
ma question est simple, exite-t-il un moyen de le supprimer sans necessiter une tierce personne ? (à qui on poste les rapports)
j'ai exactement le meme problème avira ki détecte ce backdoor et plus de connexion internet..
j'ai fais mes sauvegardes, je vais reformater pour contourner le problème car je suis impatient.
ma question est simple, exite-t-il un moyen de le supprimer sans necessiter une tierce personne ? (à qui on poste les rapports)
8 déc. 2011 à 09:47
https://pjjoint.malekal.com/files.php?id=20111208_t15x14n14q5w11
Merci par avance pour votre aide.
8 déc. 2011 à 09:53
Puis tu coches Malekal à gauche
Dans le cadre en bas, copie/colle les chemins des fichiers suivants :
C:\ProgramData\iv39od7ft9.exe
et tu clics sur Upload en bas.
~~~
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
PRC - [2011/12/07 09:14:43 | 000,040,448 | ---- | M] () -- C:\ProgramData\iv39od7ft9.exe
MOD - [2011/12/07 09:14:43 | 000,040,448 | ---- | M] () -- C:\ProgramData\iv39od7ft9.exe
O4 - HKLM..\Run: [iv39od7ft9] C:\ProgramData\iv39od7ft9.exe ()
O4 - HKCU..\Run: [iv39od7ft9] C:\Users\Anne Serres\iv39od7ft9.exe ()
O4 - HKCU..\Run: [Regedit32] C:\Windows\system32\regedit.exe File not found
[2011/12/07 09:14:43 | 000,040,448 | ---- | M] () -- C:\Users\Anne Serres\iv39od7ft9.exe
[2011/12/07 09:14:43 | 000,040,448 | ---- | M] () -- C:\ProgramData\iv39od7ft9.exe
* redemarre le pc sous windows et poste le rapport ici
8 déc. 2011 à 09:54
Merci encore
8 déc. 2011 à 10:57
========== OTL ==========
Process iv39od7ft9.exe killed successfully!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\iv39od7ft9 deleted successfully.
C:\ProgramData\iv39od7ft9.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\iv39od7ft9 deleted successfully.
C:\Users\Anne Serres\iv39od7ft9.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Regedit32 deleted successfully.
File C:\Users\Anne Serres\iv39od7ft9.exe not found.
File C:\ProgramData\iv39od7ft9.exe not found.
OTL by OldTimer - Version 3.2.31.0 log created on 12082011_105615
Merci pour votre rapidité vous êtes génial(e)!
21 mars 2012 à 15:27