Fynloski :'(

Maxbfox -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour à tous,

je suis infecté par ce vilain virus. J'ai trouvé pas mal de posts qui en parlaient, mais apparemment la solution pour s'en débarasser change à chaque fois, en fonction de ce que donne le rapport de ZHPDiag. Et comme je n'ai pas tout compris... Est-ce que quelqu'un pourrait m'assister pour m'en débarasser svp ?

Merci par avance.

11 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Pas besoin de ZHPDiag.

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge https://www.malekal.com/download/OTL.exe sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    1
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\cg.exe ()
    O4 - Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\EndlessSpace.exe ()
    [2012/07/14 13:54:49 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\835997.exe
    [2012/07/14 13:54:49 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\239002.exe
    [2012/07/14 11:52:03 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\827654.exe
    [2012/07/14 11:52:03 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\769301.exe
    [2012/07/14 11:17:54 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\970512.exe
    [2012/07/13 12:49:25 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\401474.exe
    [2012/07/12 22:25:22 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\211998.exe
    [2012/07/12 22:25:20 | 000,000,000 | ---D | C] -- C:\Users\Max\AppData\Roaming\dclogs
    [2012/07/12 12:53:09 | 000,000,000 | ---D | C] -- C:\Users\Max\AppData\Local\{07582653-EA81-4E5A-A6
    [2012/07/11 21:06:13 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\508615.exe
    [2012/07/11 19:23:58 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\899083.exe
    [2012/07/11 19:23:58 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\485026.exe
    [2012/07/11 13:01:25 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\693263.exe
    [2012/07/10 20:18:09 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\865295.exe
    [2012/07/10 17:08:52 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\954655.exe
    [2012/07/10 12:29:02 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\428113.exe
    [2012/07/09 17:05:51 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\561894.exe
    [2012/07/09 12:28:48 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\888301.exe
    [2012/07/08 19:32:48 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\993627.exe
    [2012/07/08 18:59:37 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\257763.exe
    [2012/07/07 08:45:03 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\576068.exe
    [2012/07/05 21:40:24 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\750454.exe
    [2012/07/05 21:39:56 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\409877.exe
    [2012/07/05 21:39:06 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\329376.exe
    [2012/07/05 21:38:48 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\370067.exe
    [2012/07/14 13:54:50 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\835997.exe
    [2012/07/14 13:54:49 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\239002.exe
    [2012/07/14 13:54:46 | 000,002,560 | ---- | M] () -- C:\Users\Max\AppData\Roaming\csrss.exe
    [2012/07/13 17:04:27 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\445798.exe
    [2012/07/13 12:49:25 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\401474.exe
    [2012/07/12 22:25:22 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\211998.exe
    [2012/07/12 12:52:25 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\702582.exe
    [2012/07/11 22:39:48 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\591163.exe
    [2012/07/11 21:06:14 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\508615.exe
    [2012/07/11 19:24:00 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\899083.exe
    [2012/07/11 19:24:00 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\485026.exe
    [2012/07/11 13:01:26 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\693263.exe
    [2012/07/10 20:18:10 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\865295.exe
    [2012/07/10 17:08:53 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\954655.exe
    [2012/07/10 12:29:02 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\428113.exe
    [2012/07/09 17:05:51 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\561894.exe
    [2012/07/09 12:28:50 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\888301.exe
    [2012/07/08 19:32:48 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\993627.exe
    [2012/07/08 18:59:37 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\257763.exe
    [2012/07/07 08:45:05 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\576068.exe
    [2012/07/05 21:40:25 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\750454.exe
    [2012/07/05 21:39:56 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\409877.exe
    [2012/07/05 21:39:06 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\329376.exe
    [2012/07/05 21:38:48 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\370067.exe
    [2012/07/05 21:38:46 | 008,961,024 | ---- | M] () -- C:\Users\Max\AppData\Roaming\EndlessSpace.exe
    [2012/07/05 17:22:30 | 013,783,040 | ---- | M] () -- C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EndlessSpace.exe
    [2012/07/08 19:32:54 | 001,990,656 | ---- | C] () -- C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cg.exe
    [2011/07/09 13:09:43 | 000,000,000 | ---D | M] -- C:\Users\Max\AppData\Roaming\FREEzeFrog


    * redemarre le pc sous windows et poste le rapport ici

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
  4. Maxbfox
     
    Voici le rapport :

    Malwarebytes Anti-Malware 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.07.14.03

    Windows 7 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Max :: ORDIMAX [administrateur]

    14/07/2012 11:35:07
    mbam-log-2012-07-14 (11-49-05).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 213401
    Temps écoulé: 12 minute(s), 38 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 1
    HKCU\Software\DC3_FEXEC (Malware.Trace) -> Aucune action effectuée.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\Max\AppData\Roaming\csrss.exe (Trojan.SmallDL) -> Aucune action effectuée.

    (fin)
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Aucune action effectuée.

      Tu as bien fait supprimer sélection ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Maxbfox
     
    Alors attends, parce que j'ai enregistré le rapport avant et après la suppression, donc le bon rapport doit être celui-ci pardon :

    Malwarebytes Anti-Malware 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.07.14.03

    Windows 7 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Max :: ORDIMAX [administrateur]

    14/07/2012 11:35:07
    mbam-log-2012-07-14 (11-35-07).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 213401
    Temps écoulé: 12 minute(s), 38 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 1
    HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\Max\AppData\Roaming\csrss.exe (Trojan.SmallDL) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  7. Maxbfox
     
    Pardon, je n'ai pas précisé mais Fynloski est toujours là, il est même présent 6 fois d'après Microsoft Security Essentials.
    0
  8. Maxbfox
     
    Désolé pour le retard, je guettais le mail me prévenant de ta réponse mais il n'est jamais venu : /

    Voici le lien vers le OTL.txt
    http://pjjoint.malekal.com/files.php?id=20120714_j11j13q13v13c14

    et le lien vers le Extra.txt
    http://pjjoint.malekal.com/files.php?id=20120714_o6d6h15z13v6
    0
  9. Maxbfox
     
    Voilà qui est fait, voici le rapport que j'ai eu avant de redémarrer :

    ========== OTL ==========
    C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\cg.exe moved successfully.
    C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\EndlessSpace.exe moved successfully.
    C:\Users\Max\AppData\Roaming\835997.exe moved successfully.
    C:\Users\Max\AppData\Roaming\239002.exe moved successfully.
    C:\Users\Max\AppData\Roaming\827654.exe moved successfully.
    C:\Users\Max\AppData\Roaming\769301.exe moved successfully.
    C:\Users\Max\AppData\Roaming\970512.exe moved successfully.
    C:\Users\Max\AppData\Roaming\401474.exe moved successfully.
    C:\Users\Max\AppData\Roaming\211998.exe moved successfully.
    C:\Users\Max\AppData\Roaming\dclogs folder moved successfully.
    Folder C:\Users\Max\AppData\Local\{07582653-EA81-4E5A-A6\ not found.
    C:\Users\Max\AppData\Roaming\508615.exe moved successfully.
    C:\Users\Max\AppData\Roaming\899083.exe moved successfully.
    C:\Users\Max\AppData\Roaming\485026.exe moved successfully.
    C:\Users\Max\AppData\Roaming\693263.exe moved successfully.
    C:\Users\Max\AppData\Roaming\865295.exe moved successfully.
    C:\Users\Max\AppData\Roaming\954655.exe moved successfully.
    C:\Users\Max\AppData\Roaming\428113.exe moved successfully.
    C:\Users\Max\AppData\Roaming\561894.exe moved successfully.
    C:\Users\Max\AppData\Roaming\888301.exe moved successfully.
    C:\Users\Max\AppData\Roaming\993627.exe moved successfully.
    C:\Users\Max\AppData\Roaming\257763.exe moved successfully.
    C:\Users\Max\AppData\Roaming\576068.exe moved successfully.
    C:\Users\Max\AppData\Roaming\750454.exe moved successfully.
    C:\Users\Max\AppData\Roaming\409877.exe moved successfully.
    C:\Users\Max\AppData\Roaming\329376.exe moved successfully.
    C:\Users\Max\AppData\Roaming\370067.exe moved successfully.
    File C:\Users\Max\AppData\Roaming\835997.exe not found.
    File C:\Users\Max\AppData\Roaming\239002.exe not found.
    C:\Users\Max\AppData\Roaming\csrss.exe moved successfully.
    C:\Users\Max\AppData\Roaming\445798.exe moved successfully.
    File C:\Users\Max\AppData\Roaming\401474.exe not found.
    File C:\Users\Max\AppData\Roaming\211998.exe not found.
    C:\Users\Max\AppData\Roaming\702582.exe moved successfully.
    C:\Users\Max\AppData\Roaming\591163.exe moved successfully.
    File C:\Users\Max\AppData\Roaming\508615.exe not found.
    File C:\Users\Max\AppData\Roaming\899083.exe not found.
    File C:\Users\Max\AppData\Roaming\485026.exe not found.
    File C:\Users\Max\AppData\Roaming\693263.exe not found.
    File C:\Users\Max\AppData\Roaming\865295.exe not found.
    File C:\Users\Max\AppData\Roaming\954655.exe not found.
    File C:\Users\Max\AppData\Roaming\428113.exe not found.
    File C:\Users\Max\AppData\Roaming\561894.exe not found.
    File C:\Users\Max\AppData\Roaming\888301.exe not found.
    File C:\Users\Max\AppData\Roaming\993627.exe not found.
    File C:\Users\Max\AppData\Roaming\257763.exe not found.
    File C:\Users\Max\AppData\Roaming\576068.exe not found.
    File C:\Users\Max\AppData\Roaming\750454.exe not found.
    File C:\Users\Max\AppData\Roaming\409877.exe not found.
    File C:\Users\Max\AppData\Roaming\329376.exe not found.
    File C:\Users\Max\AppData\Roaming\370067.exe not found.
    C:\Users\Max\AppData\Roaming\EndlessSpace.exe moved successfully.
    File C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EndlessSpace.exe not found.
    File C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cg.exe not found.
    C:\Users\Max\AppData\Roaming\FREEzeFrog folder moved successfully.

    OTL by OldTimer - Version 3.2.26.5 log created on 07152012_003028
    0
  10. Maxbfox
     
    Je ne sais pas si la procédure est sensée être treminée, mais après avoir redémarré Windows Security Essentials ne m'a pas détecté à nouveau le virus. J'ai fait un scan rapide et rien. Je fais un scan complet, puis ensuite je ferais uns can complet avec Malwarebyte en mode sans échec pour être totalement sûr.
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    okay.

    Tu peux zipper le dossier _OTL.zip et l'envoyer sur http://upload.malekal.com stp.
    0
  12. Maxbfox
     
    Il ya plein de .exe là-dedans, ce sont tous les exécutables suspicieux ?
    Je te le mets en .rar, je ne peux pas en .zip.

    Mon scan est très long, il n'en est pas encore à la moitié.Je ne peux pas compresser le dossier pour l'instant. Vu l'heure qu'il est je vais laisser le scan finir cette nuit et je t'enverrais ça demain matin.

    Merci beaucoup pour ton aide.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      c'est surtout ces deux là qui m'interressent :
      * C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\cg.exe
      * C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\EndlessSpace.exe
      0
    2. Maxbfox
       
      Bon, après 3 redémarrages toujours aucune trace de Fynloski.
      Par contre je ne peux pas compresser le dossier OTL, j'ai un double message d'erreur.
      Du coup je t'ai compressé le sous-dossier MovedFiles.

      Est-ce que je peux supprimer OTL et tous les fichiers qu'il m'a créé ?

      Encore merci
      0
    3. Maxbfox
       
      Désolé je ne peux pas t'envoyer le fichier car il dépasse les 8Mo.
      Et le EndlessSpace.exe les dépasse à lui seul...
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ouin ?
      Mediafire ?
      cg.exe il passe ?
      par mail ? spamhere-@wanadoo.fr
      0