Sujet Précédent Sujet Suivant

Processus persistant !

Résolu/Fermé
Utilisateur anonyme - 5 juin 2012 à 20:08
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 5 juin 2012 à 23:43
Bonjour à tous,

J'ai récemment ouvert un virus qui ne part pas ! j'ai localiser dans quel chemin il allais, je connais le nom du processus, à chaque démarrage je l'arrête, mais rien n y fait, il réapparait à chaque démarrage, il n'est pas détecté par l'antivirus, mais je sais que s'en est un... Je sais même que c'est un RAT (Remote Administration Tools), Mais pas moyen de l'enlever de là ! J'espère que quelqu'un pourras m'aider...

Merci d'avance.

11 réponses

Réponse 1 / 11
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 294
5 juin 2012 à 20:11
Bonjour,

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.

--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.
1
Réponse 2 / 11
Utilisateur anonyme
5 juin 2012 à 21:26
Merci pour vos réponse, les fichiers caché, c'est déjà fait. Le virus apparait dans roaming, mais le soucis c'est qu'une fois le processus supprimer, et le fichier supprimer de roaming, bah après redémarrage il revient ! formater mon PC pas question... trop de fichier dessus, et aucun moyen de les transferer...

Destrio5 : https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120605_m5b6b8k9i13

Merci d'avance
0
Réponse 3 / 11
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 294
5 juin 2012 à 21:41
Tu peux envoyer les fichiers sdhhdhdhhdfhd.exe, WinSec.exe et localsings.exe situés dans Roaming à Avira si tu veux :
https://www.avira.com/

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
G0 - GCSP: Preference [User Data\Default][HomePage] http://search.babylon.com
G0 - GCSP: Preference [User Data\Default] http://search.babylon.com
G0 - GCSP: Preference [User Data\Default][HomePage] http://search.babylon.com
M3 - MFPP: Plugins - [Nivaldo] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml
M2 - MFEP: prefs.js [Nivaldo - x1ts27lz.default\ffxtlbr@babylon.com] [] Babylon v1.1.8 (.Babylon.)
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com
O4 - HKLM\..\Run: [blankings] . (.IcoFX Software - Pas de description.) -- C:\Users\Nivaldo\AppData\Roaming\localsings.exe
O4 - HKCU\..\Run: [blankings] . (.IcoFX Software - Pas de description.) -- C:\Users\Nivaldo\AppData\Roaming\localsings.exe
O4 - HKLM\..\policies\Explorer\Run: [blankings] . (.IcoFX Software - Pas de description.) -- C:\Users\Nivaldo\AppData\Roaming\localsings.exe
O4 - HKUS\S-1-5-21-1302361540-131941523-3780894564-1004-1302361540-131941523-3780894564-1001\..\Run: [blankings] . (.IcoFX Software - Pas de description.) -- C:\Users\Nivaldo\AppData\Roaming\localsings.exe
[MD5.00000000000000000000000000000000] [APT] [msfupdate] (...) -- C:\metasploit\dev_msfupdate.bat" nowindow (.not file.)
O40 - ASIC: (no name) - {F6FCBCA9-E73B-2EDC-B1BE-FEA62FEEEF7A} . (.IcoFX Software - Pas de description.) -- C:\Users\Nivaldo\AppData\Roaming\localsings.exe
O47 - AAKE:Key Export SP - "C:\Users\Nivaldo\AppData\Roaming\localsings.exe" [Enabled] .(.IcoFX Software - Pas de description.) -- C:\Users\Nivaldo\AppData\Roaming\localsings.exe
O47 - AAKE:Key Export SP - "C:\Users\Nivaldo\AppData\Local\Temp\ekinox.exe" [Enabled] .(.IcoFX Software - Pas de description.) -- C:\Users\Nivaldo\AppData\Local\Temp\ekinox.exe
O47 - AAKE:Key Export SP - "C:\Users\Chantal\AppData\Roaming\localsings.exe" [Enabled] .(.IcoFX Software - Pas de description.) -- C:\Users\Chantal\AppData\Roaming\localsings.exe
O53 - SMSR:HKLM\...\startupreg\blankings [Key] . (.IcoFX Software - Pas de description.) -- C:\Users\Nivaldo\AppData\Roaming\localsings.exe
O69 - SBI: prefs.js [Nivaldo - x1ts27lz.default] user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
O69 - SBI: prefs.js [Nivaldo - x1ts27lz.default] user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
O69 - SBI: prefs.js [Nivaldo - x1ts27lz.default] user_pref("browser.search.defaulturl", "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17425");
O69 - SBI: prefs.js [Nivaldo - x1ts27lz.default] user_pref("browser.search.order.1", "Search the web (Babylon)");
O69 - SBI: prefs.js [Nivaldo - x1ts27lz.default] user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
O69 - SBI: prefs.js [Nivaldo - x1ts27lz.default] user_pref("keyword.URL", "http://search.babylon.com/?babsrc=KW_def&AF=17425&q=");
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} [DefaultScope] - (Search the web (Babylon)) - http://search.babylon.com
[MD5.ED797D8DC2C92401985D162E42FFA450] [SPRF][20/11/2010] (.Microsoft Corporation - Microsoft® Resource File To COFF Object Conversion Utility.) -- C:\Users\Nivaldo\AppData\Roaming\sdhhdhdhhdfhd.exe [32072]
[MD5.80D84CC210C850D54BDBBD1CA9BAD180] [SPRF][05/06/2012] (...) -- C:\Users\Nivaldo\AppData\Roaming\data.dat [44763]
[MD5.ED797D8DC2C92401985D162E42FFA450] [SPRF][20/11/2010] (.Microsoft Corporation - Microsoft® Resource File To COFF Object Conversion Utility.) -- C:\Users\Nivaldo\AppData\Roaming\WinSec.exe [32072]
[HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
[HKLM\Software\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}]
[HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKLM\Software\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}]
[HKLM\Software\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}]
C:\Users\Nivaldo\AppData\Roaming\Mozilla\Firefox\Profiles\x1ts27lz.default\Extensions\ffxtlbr@babylon.com
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.
0
Réponse 4 / 11
Utilisateur anonyme
5 juin 2012 à 22:03
Merci à toi !

J'ai envoyer les fichier à avira.

voilà le rapport :

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Nivaldo\AppData\Roaming\sdhhdhdhhdfhd.exe
SUPPRIME Memory Process: C:\Users\Nivaldo\AppData\Roaming\WinSec.exe

========== Clé(s) du Registre ==========
SUPPRIME Key*: CLSID ASIC: \SOFTWARE\Microsoft\Active Setup\Installed Components\{F6FCBCA9-E73B-2EDC-B1BE-FEA62FEEEF7A}
SUPPRIME Key*: StartupReg: blankings
SUPPRIME Key*: SearchScopes :{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SUPPRIME Key*: HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}
SUPPRIME Key*: HKLM\Software\Classes\CLSID\{2EECD738-5844-4A99-B4B6-146BF802613B}
ABSENT Key: HKLM\Software\Classes\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}
SUPPRIME Key*: HKLM\Software\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
SUPPRIME Key*: HKLM\Software\Classes\CLSID\{E46C8196-B634-44a1-AF6E-957C64278AB1}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: blankings
ABSENT RunValue: blankings
SUPPRIME AAKE KeyValue: C:\Users\Nivaldo\AppData\Roaming\localsings.exe
SUPPRIME AAKE KeyValue: C:\Users\Nivaldo\AppData\Local\Temp\ekinox.exe
SUPPRIME AAKE KeyValue: C:\Users\Chantal\AppData\Roaming\localsings.exe

========== Elément(s) de donnée du Registre ==========
SUPPRIME R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\Nivaldo\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
PRESENT Chrome File: C:\Users\Nivaldo\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: http://search.babylon.com
SUPPRIME Mozilla Pref: user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
SUPPRIME Mozilla Pref: user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("browser.search.defaulturl", "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17425");
SUPPRIME Mozilla Pref: user_pref("browser.search.order.1", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
SUPPRIME Mozilla Pref: user_pref("keyword.URL", "http://search.babylon.com/?babsrc=KW_def&AF=17425&q=");

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Nivaldo\AppData\Roaming\Mozilla\Firefox\Profiles\x1ts27lz.default\extensions\ffxtlbr@babylon.com
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME File: c:\program files\mozilla firefox\searchplugins\babylon.xml
SUPPRIME File: c:\users\nivaldo\appdata\roaming\localsings.exe
ABSENT File: c:\users\nivaldo\appdata\roaming\localsings.exe
SUPPRIME File: c:\users\nivaldo\appdata\local\temp\ekinox.exe
SUPPRIME File: c:\users\chantal\appdata\roaming\localsings.exe
SUPPRIME File: c:\users\nivaldo\appdata\roaming\sdhhdhdhhdfhd.exe
SUPPRIME File: C:\Users\Nivaldo\AppData\Roaming\data.dat
SUPPRIME File*: c:\users\nivaldo\appdata\roaming\data.dat
SUPPRIME File*: c:\users\nivaldo\appdata\roaming\winsec.exe
ABSENT Folder/File: c:\users\nivaldo\appdata\roaming\mozilla\firefox\profiles\x1ts27lz.default\extensions\ffxtlbr@babylon.com
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: msfupdate

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Processus mémoire
9 : Clé(s) du Registre
5 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
3 : Dossier(s)
12 : Fichier(s)
15 : Préférences navigateur
1 : Tache planifiée
1 : Restauration Système


End of clean in 01mn 18s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 05/06/2012 22:00:08 [4470]
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 294
5 juin 2012 à 22:12
--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

--> Je voudrais un nouveau rapport ZHPDiag aussi.
0
Réponse 6 / 11
Utilisateur anonyme
5 juin 2012 à 22:47
Merci encore !

Le rapport d'adwcleaner :

***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Chantal\AppData\Roaming\Babylon

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL

***** [Registre - GUID] *****


***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v12.0 (fr)

Nom du profil : default
Fichier : C:\Users\Nivaldo\AppData\Roaming\Mozilla\Firefox\Profiles\x1ts27lz.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

Nom du profil : default
Fichier : C:\Users\Chantal\AppData\Roaming\Mozilla\Firefox\Profiles\k2jjsyq3.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v19.0.1084.52

Fichier : C:\Users\Nivaldo\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [304 octets] - [05/06/2012 22:24:23]
AdwCleaner[S2].txt - [1343 octets] - [05/06/2012 22:28:32]

########## EOF - C:\AdwCleaner[S2].txt - [1471 octets] ##########

ZHPDiag: https://pjjoint.malekal.com/files.php?read=ZHPDiag_20120605_h8s8e6e14r6
0
Réponse 7 / 11
Utilisateur anonyme
5 juin 2012 à 22:48
Merci pour tout, les virus sont supprimer... plus de réapparition dans les processus, roaming vide... Merci beaucoup !
0
Réponse 8 / 11
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 294
5 juin 2012 à 22:54
Pour finir :


1/

--> Relance AdwCleaner et choisis "Désinstallation".

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


3/

---> Il est nécessaire de supprimer les points de restauration. Ensuite, crée un point de restauration.


==Prévention==

Change tes mots de passe, on ne sait jamais.

Il y a Malwarebytes' Anti-Malware qui est pas mal pour supprimer les infections :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader) : Lien


Sois plus vigilant(e) sur Internet ;)
0
Réponse 9 / 11
Utilisateur anonyme
5 juin 2012 à 23:42
Merci pour tout, c'est fait !
0
Réponse 10 / 11
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 294
5 juin 2012 à 23:43
Bonne soirée ;)
0
Réponse 11 / 11
Profil bloqué
5 juin 2012 à 20:18
ces types de virus sont très persistant. la façons la plus simple est de scanner ton ordinateur. mais ton antivirus ne trouve rien. si tu detecte la base de ton virus suprime le. parfois il va faloir que tu le trouve en dossier caché. ex panneau de config puis recherche dossier. puis clique. ensuite tu met afficher dossier caché.
si rien non plus tu devrait peut etre faire un backup de tes fichier de travail et autre. puis tu formate ton ordi
-2

Discussions similaires

Échec de l'initialisation d'ouverture de session
clement62123 -
jmbesnard -

4 réponses
processus inactif du systeme
edsurf64 -
mick8 -

29 réponses
processus d'execution client serveur utilise GPU
Lixis258 -
Malekal_morte- -

1 réponse
processus hote windows rundll32
ladypink13 -
flo39400 -

1 réponse
Le processus ne peut pas accéder au fichier
stanly971 -
stanly971 -

2 réponses