Trojan impossible a eradiquer
Résolu/Fermé
A voir également:
- Trojan impossible a eradiquer
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Trojan al11 - Forum Virus
- Csrss.exe trojan - Forum Virus
- Trojan agent ✓ - Forum Virus
- Csrss.exe : processus suspect/virus ? - Forum Virus
19 réponses
Utilisateur anonyme
14 avril 2012 à 11:28
14 avril 2012 à 11:28
Bonjour
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport
@+
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport
@+
Utilisateur anonyme
18 avril 2012 à 18:29
18 avril 2012 à 18:29
Bonsoir
ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|
-----------------------------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"51158"=-
-----------------------------------------------------------------
* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
* Quitte le Bloc Notes
* Fais un glisser/déposer de ce fichier CFScript sur le fichier asdehi.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
@+
ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet ordinateur
|===>il est fort déconseillé de le transposer sur un autre ordinateur !<===|
-----------------------------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
* Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
* Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"51158"=-
-----------------------------------------------------------------
* Enregistre ce fichier sur ton Bureau (et pas ailleurs !) Sous le nom CFScript.txt
* Quitte le Bloc Notes
* Fais un glisser/déposer de ce fichier CFScript sur le fichier asdehi.exe (combofix) comme sur ce lien : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
@+
Utilisateur anonyme
Modifié par Guillaume5188 le 18/04/2012 à 20:24
Modifié par Guillaume5188 le 18/04/2012 à 20:24
Re
Laisse tomber.
Cherche cette clé dans la base de registre:
HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run
et supprime celui là:
"51158"
Pour ouvrir la base de registre:
https://windows.developpez.com/faq/windows7/?page=registre
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Laisse tomber.
Cherche cette clé dans la base de registre:
HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run
et supprime celui là:
"51158"
Pour ouvrir la base de registre:
https://windows.developpez.com/faq/windows7/?page=registre
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Utilisateur anonyme
18 avril 2012 à 21:05
18 avril 2012 à 21:05
Re
1) Télécharge DelFix de Xplode
* Lance le.
* A l'invite, [Suppression]
* Un rapport va s'ouvrir à la fin, colle le dans la réponse
Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]
2)Purge la restauration sur Seven
Comment faire :
http://www.forum-seven.com/forum/
Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections
@+
1) Télécharge DelFix de Xplode
* Lance le.
* A l'invite, [Suppression]
* Un rapport va s'ouvrir à la fin, colle le dans la réponse
Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]
2)Purge la restauration sur Seven
Comment faire :
http://www.forum-seven.com/forum/
Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici:
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: ianick [Droits d'admin]
Mode: Recherche -- Date: 14/04/2012 11:38:27
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 6 ¤¤¤
[] HKLM\[...]\Run : () -> ACCESS DENIED
[] HKLM\[...]\Wow6432Node\Run : () -> ACCESS DENIED
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD740ADFD-00NLR5 ATA Device +++++
--- User ---
[MBR] 2423b4a543d771eee030a895f9fcb20f
[BSP] 4502461b6855deb798bad2ac96f40429 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 70896 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: SAMSUNG HD103SJ SCSI Disk Device +++++
--- User ---
[MBR] 85db5ff4da32d811bb53184d9ad234f2
[BSP] ce21fa1e50677f223b3aede369cbe918 : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: ianick [Droits d'admin]
Mode: Recherche -- Date: 14/04/2012 11:38:27
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 6 ¤¤¤
[] HKLM\[...]\Run : () -> ACCESS DENIED
[] HKLM\[...]\Wow6432Node\Run : () -> ACCESS DENIED
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD740ADFD-00NLR5 ATA Device +++++
--- User ---
[MBR] 2423b4a543d771eee030a895f9fcb20f
[BSP] 4502461b6855deb798bad2ac96f40429 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 70896 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: SAMSUNG HD103SJ SCSI Disk Device +++++
--- User ---
[MBR] 85db5ff4da32d811bb53184d9ad234f2
[BSP] ce21fa1e50677f223b3aede369cbe918 : MBR Code unknown
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Utilisateur anonyme
14 avril 2012 à 14:42
14 avril 2012 à 14:42
Re
Ton up ne sert à rien ;-((
Fait ceci:
Inscris toi avant tout
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://pjjoint.malekal.com/
https://www.cjoint.com/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
Ton up ne sert à rien ;-((
Fait ceci:
Inscris toi avant tout
Pour de plus amples informations, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://pjjoint.malekal.com/
https://www.cjoint.com/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
Utilisateur anonyme
15 avril 2012 à 13:30
15 avril 2012 à 13:30
Bonjour
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-------------------------------------------------------------------------------------------------
O43 - CFD: 22/03/2012 - 20:20:54 - [0,002] ----D C:\Users\ianick\AppData\Roaming\pdfforge
C:\Users\ianick\AppData\Roaming\pdfforge
O4 - HKLM\..\policies\Explorer\Run: [51158] C:\PROGRA~3\LOCALS~1\Temp\msaees.bat (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{8BDB5BEE-F30C-4751-B8DE-E9F521B26644}] (...) -- C:\Users\ianick\Documents\vcredist_x64.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{EBC86DA3-D57B-4256-AFC8-75CCA4C8CE0A}] (...) -- F:\FreeTrack_V2.2.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{F1D2633F-6D93-4C69-AE3B-26D325D1E2BB}] (...) -- C:\Users\ianick\Documents\epson326207eu.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{FF256623-1A13-4382-9F70-EB957243F2A0}] (...) -- D:\Games\Battlefield 3T\__Installer\vc\vc2008sp1\redist\vcredist_x64.exe (.not file.)
O52 - TDSD: \drivers.desc\"lameacm.acm"="Lame MP3 CODEC v0.91" . (...) -- (.not file.)
O53 - SMSR:HKLM\...\startupreg\Super-Charger [Key] . (...) -- C:\Program Files (x86)\MSI\Super-Charger\StartSuperCharger.exe (.not file.)
[HKLM\Software\WOW6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}]
FirewallRAZ
Emptytemp
--------------------------------------------------------------------------------------------
Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »
.
* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
*Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
*Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )
A+
Utilisation de l'outil ZHPFix :
* Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
-------------------------------------------------------------------------------------------------
O43 - CFD: 22/03/2012 - 20:20:54 - [0,002] ----D C:\Users\ianick\AppData\Roaming\pdfforge
C:\Users\ianick\AppData\Roaming\pdfforge
O4 - HKLM\..\policies\Explorer\Run: [51158] C:\PROGRA~3\LOCALS~1\Temp\msaees.bat (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{8BDB5BEE-F30C-4751-B8DE-E9F521B26644}] (...) -- C:\Users\ianick\Documents\vcredist_x64.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{EBC86DA3-D57B-4256-AFC8-75CCA4C8CE0A}] (...) -- F:\FreeTrack_V2.2.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{F1D2633F-6D93-4C69-AE3B-26D325D1E2BB}] (...) -- C:\Users\ianick\Documents\epson326207eu.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{FF256623-1A13-4382-9F70-EB957243F2A0}] (...) -- D:\Games\Battlefield 3T\__Installer\vc\vc2008sp1\redist\vcredist_x64.exe (.not file.)
O52 - TDSD: \drivers.desc\"lameacm.acm"="Lame MP3 CODEC v0.91" . (...) -- (.not file.)
O53 - SMSR:HKLM\...\startupreg\Super-Charger [Key] . (...) -- C:\Program Files (x86)\MSI\Super-Charger\StartSuperCharger.exe (.not file.)
[HKLM\Software\WOW6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}]
FirewallRAZ
Emptytemp
--------------------------------------------------------------------------------------------
Puis lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
« Exécuter en tant qu'administrateur »
.
* Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
*Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
*Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
-> laisse travailler l'outil et ne touche à rien ...
-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !
Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )
A+
Bonsoir,
voici le rapport zhp apres manip:
Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre :
Run by ianick at 15/04/2012 20:28:00
Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== ==========
SUPPRIME Key**: StartupReg: Super-Charger
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
========== ==========
ABSENTE RunValue: 51158
SUPPRIME TDSD Value: lameacm.acm
FirewallRaz :
SUPPRIME FirewallRaz (Public) : {1E85E16E-C8D2-4461-BB7B-B948DA1A8498}
SUPPRIME FirewallRaz (Public) : {A79F35E4-A757-4634-BDBC-7BE053053709}
========== ==========
SUPPRIME Folder: C:\Users\ianick\AppData\Roaming\pdfforge
: 85
========== ==========
ABSENT Folder/File: c:\users\ianick\appdata\roaming\pdfforge
ABSENT File: c:\progra~3\locals~1\temp\msaees.bat
ABSENT File: c:\program files (x86)\msi\super-charger\startsupercharger.exe
: 262
========== ==========
Task: {8BDB5BEE-F30C-4751-B8DE-E9F521B26644}
Task: {EBC86DA3-D57B-4256-AFC8-75CCA4C8CE0A}
Task: {F1D2633F-6D93-4C69-AE3B-26D325D1E2BB}
Task: {FF256623-1A13-4382-9F70-EB957243F2A0}
========== ==========
2 :
5 :
2 :
4 :
4 :
End of clean in 00mn 05s
========== ==========
C:\ZHP\ZHPFix[R1].txt - 15/04/2012 20:28:00 [1331]
Is it clean??(mbam me montre tj ce trojan)
voici le rapport zhp apres manip:
Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre :
Run by ianick at 15/04/2012 20:28:00
Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== ==========
SUPPRIME Key**: StartupReg: Super-Charger
SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
========== ==========
ABSENTE RunValue: 51158
SUPPRIME TDSD Value: lameacm.acm
FirewallRaz :
SUPPRIME FirewallRaz (Public) : {1E85E16E-C8D2-4461-BB7B-B948DA1A8498}
SUPPRIME FirewallRaz (Public) : {A79F35E4-A757-4634-BDBC-7BE053053709}
========== ==========
SUPPRIME Folder: C:\Users\ianick\AppData\Roaming\pdfforge
: 85
========== ==========
ABSENT Folder/File: c:\users\ianick\appdata\roaming\pdfforge
ABSENT File: c:\progra~3\locals~1\temp\msaees.bat
ABSENT File: c:\program files (x86)\msi\super-charger\startsupercharger.exe
: 262
========== ==========
Task: {8BDB5BEE-F30C-4751-B8DE-E9F521B26644}
Task: {EBC86DA3-D57B-4256-AFC8-75CCA4C8CE0A}
Task: {F1D2633F-6D93-4C69-AE3B-26D325D1E2BB}
Task: {FF256623-1A13-4382-9F70-EB957243F2A0}
========== ==========
2 :
5 :
2 :
4 :
4 :
End of clean in 00mn 05s
========== ==========
C:\ZHP\ZHPFix[R1].txt - 15/04/2012 20:28:00 [1331]
Is it clean??(mbam me montre tj ce trojan)
Voici:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.15.06
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
16/04/2012 18:48:21
mbam-log-2012-04-16 (18-48-21).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 219479
Temps écoulé: 1 minute(s), 30 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|51158 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msaees.bat -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.04.15.06
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
16/04/2012 18:48:21
mbam-log-2012-04-16 (18-48-21).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 219479
Temps écoulé: 1 minute(s), 30 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|51158 (Trojan.Agent) -> Données: C:\PROGRA~3\LOCALS~1\Temp\msaees.bat -> Suppression au redémarrage.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Utilisateur anonyme
17 avril 2012 à 18:38
17 avril 2012 à 18:38
Bonsoir
Tu disposes de CCleaner.
Met le à jour et lance le avec ces réglages.
double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.
@+
Tu disposes de CCleaner.
Met le à jour et lance le avec ces réglages.
double-cliques sur l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur option et puis avancé
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
.cliques sur nettoyeur
.cliques sur windows et dans la colonne avancé
. coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
.cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs
.laisse tout coché et clique sur réparer les erreurs sélectionnées
.il te demande de sauvegarder OUI
.tu lui donnes un nom pour pouvoir la retrouver et enregistre
.clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
.tu peux fermer Ccleaner.
@+
Bonsoir,
C'est fait. Ces trois clé ne veulent pas s effacer et leur apparition est redondante a chaque recherche d erreur de clé (j ai fait un copié collé de ccleaner):
1 Extension de fichiers inutilisée {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
2 ActiveX/COM inexistant LocalServer32\"%ProgramFiles(x86)%\Internet Explorer\iexplore.exe" -startmediumtab HKCR\CLSID\{D5E8041D-920F-45e9-B8FB-B1DEB82C6E5E}
3 Application pour l'ouverture inexistante "C:\Program Files (x86)\Internet Explorer\iexplore.exe" %1 HKCR\Applications\iexplore.exe\shell\open
Meme resultat pour mbam...
C'est fait. Ces trois clé ne veulent pas s effacer et leur apparition est redondante a chaque recherche d erreur de clé (j ai fait un copié collé de ccleaner):
1 Extension de fichiers inutilisée {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}
2 ActiveX/COM inexistant LocalServer32\"%ProgramFiles(x86)%\Internet Explorer\iexplore.exe" -startmediumtab HKCR\CLSID\{D5E8041D-920F-45e9-B8FB-B1DEB82C6E5E}
3 Application pour l'ouverture inexistante "C:\Program Files (x86)\Internet Explorer\iexplore.exe" %1 HKCR\Applications\iexplore.exe\shell\open
Meme resultat pour mbam...
Utilisateur anonyme
Modifié par Guillaume5188 le 17/04/2012 à 21:30
Modifié par Guillaume5188 le 17/04/2012 à 21:30
Re
Editer
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Editer
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Bonjour,
J'ai pris le tout: "Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"51158"=-"
rapport combofix:
http://pjjoint.malekal.com/files.php?id=20120418_h1215q9p11g11
J'ai pris le tout: "Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"51158"=-"
rapport combofix:
http://pjjoint.malekal.com/files.php?id=20120418_h1215q9p11g11
penses tu que la modif est effective, j ai suivi a la lettre le copier colle, le glissement,y a t il une erreur de syntaxe dans cette ligne de clé?
voici le rapport obtenu:
http://pjjoint.malekal.com/files.php?id=20120418_g10l8e8n5p7
voici le rapport obtenu:
http://pjjoint.malekal.com/files.php?id=20120418_g10l8e8n5p7
Finally!!!!
Apres avoir braver le coup des autorisations et tout le bronx pour supprimer cette clé, ca me parait ok, plus de soucis au niveau de mbam en tout cas...
Merci pour ton aide et surtout ta patience ;)
Salut
Apres avoir braver le coup des autorisations et tout le bronx pour supprimer cette clé, ca me parait ok, plus de soucis au niveau de mbam en tout cas...
Merci pour ton aide et surtout ta patience ;)
Salut
