Problème, virus trojan??? processus nnn.exe
Hebehteh
-
kalimusic Messages postés 14619 Statut Contributeur sécurité -
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,
Déjà, merci par avance de regarder mon post.
Voila le petit soucis. En rentrant hier, windows vista me disait que mon pc est infecté par un trojan. Rien d'anormal ne s'est passé il me semble (si ce n'est un frère qui l'a utilisé) et maintenant, quand je démarre un prog, un jeu, un explorateur etc, windows vista me demande de mettre a jour ma protection en me faisant payer sur le net pour une mise a jour, et je ne peux ouvrir de page internet sans qu'on me dise 'en anglais) sur la page de lancement de firefox que je cours un "danger".
J'ai tenter de chercher dans mes processus (via gestionnaire de tache) quelque chose qui cloche, et j'ai trouvé ce "nnn.exe". Sitot je l'enlève des processus, le pc refonctionne normalement pendant un petit laps de temps.
Je comprends pas trop ce qui arrive, et j'aimerais bien m'en débarrasser.
Merci encore d'avance a tous ceux qui m'aideront.
Déjà, merci par avance de regarder mon post.
Voila le petit soucis. En rentrant hier, windows vista me disait que mon pc est infecté par un trojan. Rien d'anormal ne s'est passé il me semble (si ce n'est un frère qui l'a utilisé) et maintenant, quand je démarre un prog, un jeu, un explorateur etc, windows vista me demande de mettre a jour ma protection en me faisant payer sur le net pour une mise a jour, et je ne peux ouvrir de page internet sans qu'on me dise 'en anglais) sur la page de lancement de firefox que je cours un "danger".
J'ai tenter de chercher dans mes processus (via gestionnaire de tache) quelque chose qui cloche, et j'ai trouvé ce "nnn.exe". Sitot je l'enlève des processus, le pc refonctionne normalement pendant un petit laps de temps.
Je comprends pas trop ce qui arrive, et j'aimerais bien m'en débarrasser.
Merci encore d'avance a tous ceux qui m'aideront.
12 réponses
-
Bonjour,
Tu es infecté par un rogue, surtout ne tient pas compte de ses messages d'alertes.
● Télécharge sur le bureau RogueKiller
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 1 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.
Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
A + -
salut
edit::
bonne chasse :)
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ -
Okay, déjà encore merci pour l'assistance
Et voila le rapport
RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: ben [Droits d'admin]
Mode: Recherche -- Date : 08/01/2012 16:37:22
¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : Vista Antivirus 2012] nnn.exe -- C:\Users\ben\AppData\Local\nnn.exe -> KILLED [TermProc]
[SUSP PATH] cacaoweb.exe -- C:\Users\ben\AppData\Roaming\cacaoweb\cacaoweb.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 14 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\ben\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKCU\[...]\Run : Protection (C:\Users\ben\Protection.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1645919860-2751345581-3747957918-1000[...]\Run : cacaoweb ("C:\Users\ben\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1645919860-2751345581-3747957918-1000[...]\Run : Protection (C:\Users\ben\Protection.exe) -> FOUND
[SUSP PATH] Protection.lnk : C:\Users\ben\Protection.jar -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\.exe : (sb1) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] fac6638d5d90ecb0cbcebaf55a18c0ea
[BSP] cbe1a3892920c024e3e7b9efc684338e : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 489009 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 955096380 | Size: 11095 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1].txt >>
RKreport[1].txt -
Hummm... je crois que j'ai pas tout bien fait ... J'ai appuyer sur le 1 comme tu me l'a demander, et ca m'a sorti un autre rapport d'erreur ... Désolé pour la connerie :/
Voila l'autre rapport
RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: ben [Droits d'admin]
Mode: Recherche -- Date : 08/01/2012 16:45:33
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 14 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\ben\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKCU\[...]\Run : Protection (C:\Users\ben\Protection.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1645919860-2751345581-3747957918-1000[...]\Run : cacaoweb ("C:\Users\ben\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-1645919860-2751345581-3747957918-1000[...]\Run : Protection (C:\Users\ben\Protection.exe) -> FOUND
[SUSP PATH] Protection.lnk : C:\Users\ben\Protection.jar -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\[...].exe\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "%1" %*) -> FOUND
[FILEASSO] HKCR\.exe : (ci) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> FOUND
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] fac6638d5d90ecb0cbcebaf55a18c0ea
[BSP] cbe1a3892920c024e3e7b9efc684338e : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 489009 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 955096380 | Size: 11095 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
re,
1. Relance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 2 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.
2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
● Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression.
Poste le rapport
A + -
Voila le rapport de rogue killer
RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: ben [Droits d'admin]
Mode: Suppression -- Date : 08/01/2012 16:59:00
¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] nnn.exe -- C:\Users\ben\AppData\Local\nnn.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 11 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\ben\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[SUSP PATH] HKCU\[...]\Run : Protection (C:\Users\ben\Protection.exe) -> DELETED
[SUSP PATH] Protection.lnk : C:\Users\ben\Protection.jar -> DELETED
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKCU\[...]Software\Classes\.exe\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "%1" %*) -> REPLACED ("%1" %*)
[FILEASSO] HKCR\[...].exe : (Q7) -> REPLACED (exefile)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe")
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) -> REPLACED ("C:\Program Files\mozilla firefox\firefox.exe" -safe-mode)
[FILEASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Users\ben\AppData\Local\nnn.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") -> REPLACED ("C:\Program Files\internet explorer\iexplore.exe")
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-AH ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] fac6638d5d90ecb0cbcebaf55a18c0ea
[BSP] cbe1a3892920c024e3e7b9efc684338e : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 489009 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 955096380 | Size: 11095 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt -
J'ai pas envie de pourrir le post, mais j'ai posté plusieurs fois le rapport mbam, et je le vois pas s'afficher... je reposte?
-
re,
Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A + -
Ok, merci encore pour ton aide et ton assistance, je sais que j'suis pas un cas facile en plus .
J'ai suivi tes recommandations , et le lien pour rapport mbam
http://cjoint.com/12jv/BAiuPtKPBwp.htm -
C'est pas de ta faute, il y avait une adresse blacklisté dans les suppressions de Malwarebytes.
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
msconfig safebootminimal safebootnetwork /md5start volsnap.* explorer.exe winlogon.exe userinit.exe svchost.exe /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe %temp%\smtmp\*.* /s %systemroot%\*. /mp /s %systemroot%\assembly\tmp\*.* /s hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s hklm\software\clients\startmenuinternet|command /rs CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
-
Ok, donc voila les deux liens
le lien OTL.txt: http://cjoint.com/12jv/BAivbgdXOg8.htm
le lien extras.txt: http://cjoint.com/12jv/BAivdHBsXeV.htm -
re,
Il faudra songer à ne plus installer n'importe quoi, il y a du boulot
1. Désinstalle :
Cacaoweb DAEMON Tools Toolbar uTorrentBar_FR Toolbar
2. Désinstalle Lavasoft Ad-Aware, inutile et inefficace.
3. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
● Lance AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● clique sur Recherche
● Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin.
● Clique sur Quitter
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[R1].txt
4. Héberge le rapport et donne le lien.
A +
