Bytu.exe

Résolu
franco-6009 -  
 franco-6009 -
Bonjour,

Cen'est pas une blague... auriez vous des information sur cette commande, elle se trouvait dans

C:\Documents and Settings\Administrateur\Application Data\xi??? (dsl)

il y avait, avant suppression par mes soins, une commande d'execution portant le logo et le nom du solitaire mais bien evidemment le solitaire ne se trouve pas la... c'est malware qui me l a detecté, et pour finir il y avait une clé de demarrage automatique egalement...
Auriez vous des infos la dessus.
cldt

7 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+
    0
  2. franco-6009
     
    Bonsoir et merci pour la rapidité a cette heure ci

    RogueKiller V7.4.2 [03/05/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Recherche -- Date: 04/05/2012 02:51:07

    ¤¤¤ Processus malicieux: 1 ¤¤¤
    [SVCHOST] svchost.exe -- C:\WINDOWS\system32\svchost.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 6 ¤¤¤
    [SUSP PATH] HKCU\[...]\Policies\Explorer\Run : Nero (C:\Documents and Settings\Administrateur\Application Data\2C9B50.exe) -> FOUND
    [SUSP PATH] HKUS\S-1-5-21-1214440339-1454471165-1801674531-500[...]\Policies\Explorer\Run : Nero (C:\Documents and Settings\Administrateur\Application Data\2C9B50.exe) -> FOUND
    [HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> FOUND
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤
    SSDT[41] : NtCreateKey @ 0x806240F0 -> HOOKED (Unknown @ 0xB8770576)
    SSDT[53] : NtCreateThread @ 0x805D1018 -> HOOKED (Unknown @ 0xB877056C)
    SSDT[63] : NtDeleteKey @ 0x8062458C -> HOOKED (Unknown @ 0xB877057B)
    SSDT[65] : NtDeleteValueKey @ 0x8062475C -> HOOKED (Unknown @ 0xB8770585)
    SSDT[98] : NtLoadKey @ 0x80626314 -> HOOKED (Unknown @ 0xB877058A)
    SSDT[122] : NtOpenProcess @ 0x805CB440 -> HOOKED (Unknown @ 0xB8770558)
    SSDT[128] : NtOpenThread @ 0x805CB6CC -> HOOKED (Unknown @ 0xB877055D)
    SSDT[193] : NtReplaceKey @ 0x806261C4 -> HOOKED (Unknown @ 0xB8770594)
    SSDT[204] : NtRestoreKey @ 0x80625AD0 -> HOOKED (Unknown @ 0xB877058F)
    SSDT[247] : NtSetValueKey @ 0x80622662 -> HOOKED (Unknown @ 0xB8770580)
    SSDT[257] : NtTerminateProcess @ 0x805D29E2 -> HOOKED (Unknown @ 0xB8770567)

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    <html>
    <head><title>502 Bad Gateway</title></head>
    <body bgcolor="white">
    <center><h1>502 Bad Gateway</h1></center>
    <hr><center>nginx</center>
    </body>
    </html>

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Maxtor 6Y120L0 +++++
    --- User ---
    [MBR] 370736fc6ded06a55ae13704e9b55e03
    [BSP] 31e7ebda2ab75d063f4ee80751af4c68 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 117232 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: ST380011A +++++
    --- User ---
    [MBR] d143f0143834e220720b5f0494a072d1
    [BSP] 742344b9330fcb65cfdcdba9529fbf20 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76308 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  3. Utilisateur anonyme
     
    Re

    Relance Roguekiller option suppression

    Ensuite:

    Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    Bouton »Download free version »

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+

    0
  4. franco-6009
     
    Salut le rapport final indique qu'aucune menace n'a été detectée merci et bonne journée
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Bonjour

    Ton problème est résolu?

    @+
    0
  7. franco-6009
     
    Oui c'est reglé plus aucun fichier suspect mon ordi est propre...enfin il en a tout l'air.
    Merci cldt
    0
  8. franco-6009
     
    Au fait vos outils ont l'air efficaces

    prescan, rogue et adwcleaner, de quoi sagit-il exactement logiciels open source devellopées par des passionnés?
    0