Virus impossible a supprimer...
Résolu/Fermé
Utilisateur anonyme
-
Modifié par gabrielpsp le 23/12/2011 à 23:32
Utilisateur anonyme - 24 déc. 2011 à 20:47
Utilisateur anonyme - 24 déc. 2011 à 20:47
A voir également:
- Virus impossible a supprimer...
- Fichier impossible à supprimer - Guide
- Impossible de supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Comment supprimer fausse alerte virus mcafee - Accueil - Piratage
- Supprimer pub youtube - Accueil - Streaming
12 réponses
Utilisateur anonyme
Modifié par gabrielpsp le 24/12/2011 à 09:04
Modifié par gabrielpsp le 24/12/2011 à 09:04
ok le scan est en cours.... mais de mémoire, j'ai un coinminer.exe, un 3536.exe avec pour description du processus dans le gestionnaire des taches un "fisici tua sedare scampo".. et d'autres que vous donnerez dans quelques heures...
A mon avis il a pas tout trouver, car sa change rien au comportement du l'ordi...
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 911122402
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
24/12/2011 10:33:01
mbam-log-2011-12-24 (10-32-55).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|L:\|)
Elément(s) analysé(s): 344500
Temps écoulé: 1 heure(s), 17 minute(s), 41 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Task Services (Backdoor.PWin.Gen) -> Value: Windows Task Services -> No action taken.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Task Services (Backdoor.PWin.Gen) -> Value: Windows Task Services -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 911122402
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
24/12/2011 10:33:01
mbam-log-2011-12-24 (10-32-55).txt
Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|L:\|)
Elément(s) analysé(s): 344500
Temps écoulé: 1 heure(s), 17 minute(s), 41 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Task Services (Backdoor.PWin.Gen) -> Value: Windows Task Services -> No action taken.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Task Services (Backdoor.PWin.Gen) -> Value: Windows Task Services -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
il avais aussi trouver sa aux autres exames :
Processus mémoire infecté(s):
c:\Users\gabrielmod\AppData\Roaming\482A.exe (Trojan.Ransom.BP) -> 1920 -> Unloaded process successfully.
c:\Users\gabrielmod\AppData\Roaming\482A.exe (Trojan.Ransom.BP) -> 1204 -> Unloaded process successfully.
c:\Users\gabrielmod\AppData\Roaming\regsrv64.exe (Trojan.Ransom.BP) -> 4832 -> Unloaded process successfully.
c:\Users\gabrielmod\AppData\Roaming\E948.tmp (Backdoor.Bot.WPMH) -> Quarantined and deleted successfully.
Processus mémoire infecté(s):
c:\Users\gabrielmod\AppData\Roaming\482A.exe (Trojan.Ransom.BP) -> 1920 -> Unloaded process successfully.
c:\Users\gabrielmod\AppData\Roaming\482A.exe (Trojan.Ransom.BP) -> 1204 -> Unloaded process successfully.
c:\Users\gabrielmod\AppData\Roaming\regsrv64.exe (Trojan.Ransom.BP) -> 4832 -> Unloaded process successfully.
c:\Users\gabrielmod\AppData\Roaming\E948.tmp (Backdoor.Bot.WPMH) -> Quarantined and deleted successfully.
Utilisateur anonyme
24 déc. 2011 à 12:12
24 déc. 2011 à 12:12
hello il doit trainer un dropper quelque part :
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné affiche les extensions des fichiers et renomme-le winlogon.exe , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné affiche les extensions des fichiers et renomme-le winlogon.exe , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
24 déc. 2011 à 14:38
24 déc. 2011 à 14:38
voila, j'ai du utilise le troisième fichier lien (Winlogon.exe ) car les deux premiers ne fonctionnais pas!
Voici le rapport : https://pjjoint.malekal.com/files.php?id=20111224_o6j13x6k10z6
Voici le rapport : https://pjjoint.malekal.com/files.php?id=20111224_o6j13x6k10z6
Utilisateur anonyme
24 déc. 2011 à 15:17
24 déc. 2011 à 15:17
desinstalle tout Java
desinstalle sweetIM
desinstalle spybot il vaut rien
========================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
uninst::
{A1194237-547A-461d-BD44-B97B1574A7DA}
{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}
Registry::
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}]
[-HKLM\Software\Software]
file::
C:\tmp
C:\Users\GabrielMOD\Desktop\Spybot - Search & Destroy.lnk
C:\Users\GabrielMOD\AppData\Roaming\1322.tmp
C:\Users\GabrielMOD\AppData\Roaming\1B96.exe
C:\Users\GabrielMOD\AppData\Roaming\4929.exe
C:\Users\GabrielMOD\AppData\Roaming\B7F6.exe
C:\Users\GabrielMOD\AppData\Roaming\CC5A.exe
folder::
C:\03ffc921a1fb96cf7c18af8c
C:\0e12a204bac0bbb134faa441d72de1
C:\8305ed3272a990e9563f8153
C:\c52c53f4cd73422503a20221802f
C:\tmp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files\Spybot - Search & Destroy
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
desinstalle sweetIM
desinstalle spybot il vaut rien
========================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
uninst::
{A1194237-547A-461d-BD44-B97B1574A7DA}
{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}
Registry::
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}]
[-HKLM\Software\Software]
file::
C:\tmp
C:\Users\GabrielMOD\Desktop\Spybot - Search & Destroy.lnk
C:\Users\GabrielMOD\AppData\Roaming\1322.tmp
C:\Users\GabrielMOD\AppData\Roaming\1B96.exe
C:\Users\GabrielMOD\AppData\Roaming\4929.exe
C:\Users\GabrielMOD\AppData\Roaming\B7F6.exe
C:\Users\GabrielMOD\AppData\Roaming\CC5A.exe
folder::
C:\03ffc921a1fb96cf7c18af8c
C:\0e12a204bac0bbb134faa441d72de1
C:\8305ed3272a990e9563f8153
C:\c52c53f4cd73422503a20221802f
C:\tmp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files\Spybot - Search & Destroy
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Utilisateur anonyme
24 déc. 2011 à 15:43
24 déc. 2011 à 15:43
c'est good... j'ai tout fais, sa a l'air d'etre OK. J'ai peur de connecter mes clé USB ou disques durs externes.. Je peux les brancher pour faire une analyse avec MBantiMalwayres ?
Merci!
Merci!
Utilisateur anonyme
24 déc. 2011 à 18:05
24 déc. 2011 à 18:05
Erreur - le fichier est vide
je fais glisser une icone sur winlogon est j'ai un fichier bloc note s'est ouvert (qui s'appelle tmp.script). J'ai coller le texte en gras dedans et j'ai "enregistrer". Une fenêtre est apparue et a travailler. Mon ordi a redémarrer tout seule et il y avait un fichier pre_script sur mon bureau que voici.
J'ai peut être fais une erreur ?
J'ai peut être fais une erreur ?
Utilisateur anonyme
24 déc. 2011 à 18:32
24 déc. 2011 à 18:32
colle le contenu ici
c'est le même que l'autre, vide :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.005 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Mise à jour : 24/12/2011 | 03.10 Par g3n-h@ckm@n
Utilisateur : GabrielMOD (Administrateurs)
Ordinateur : GABRIELMOD-PC
Système d'exploitation : Windows 7 Ultimate (32 bits)
Internet Explorer : 9.0.8112.16421
Mozilla Firefox : 10.0 (en-US)
Switchs possibles :
processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
Tray::
Script : 18:18:47
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Fin : 18:18:47
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.005 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Mise à jour : 24/12/2011 | 03.10 Par g3n-h@ckm@n
Utilisateur : GabrielMOD (Administrateurs)
Ordinateur : GABRIELMOD-PC
Système d'exploitation : Windows 7 Ultimate (32 bits)
Internet Explorer : 9.0.8112.16421
Mozilla Firefox : 10.0 (en-US)
Switchs possibles :
processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
Tray::
Script : 18:18:47
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Fin : 18:18:47
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Utilisateur anonyme
24 déc. 2011 à 20:47
24 déc. 2011 à 20:47
tu dois faire enregistrer sous c'est pour ca que ca marche pas
faut faire enregistrer tout court
faut faire enregistrer tout court