Sujet Précédent Sujet Suivant

Fynloski :'(

Maxbfox -  
Malekal_morte- Messages postés 184348 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour à tous,

je suis infecté par ce vilain virus. J'ai trouvé pas mal de posts qui en parlaient, mais apparemment la solution pour s'en débarasser change à chaque fois, en fonction de ce que donne le rapport de ZHPDiag. Et comme je n'ai pas tout compris... Est-ce que quelqu'un pourrait m'assister pour m'en débarasser svp ?

Merci par avance.

11 réponses

Réponse 1 / 11
Malekal_morte- Messages postés 184348 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 693
 
Salut,

Pas besoin de ZHPDiag.

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
Réponse 2 / 11
Malekal_morte- Messages postés 184348 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 693
 
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge https://www.malekal.com/download/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

1
Réponse 3 / 11
Malekal_morte- Messages postés 184348 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 693
 
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\cg.exe ()
O4 - Startup: C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\EndlessSpace.exe ()
[2012/07/14 13:54:49 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\835997.exe
[2012/07/14 13:54:49 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\239002.exe
[2012/07/14 11:52:03 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\827654.exe
[2012/07/14 11:52:03 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\769301.exe
[2012/07/14 11:17:54 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\970512.exe
[2012/07/13 12:49:25 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\401474.exe
[2012/07/12 22:25:22 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\211998.exe
[2012/07/12 22:25:20 | 000,000,000 | ---D | C] -- C:\Users\Max\AppData\Roaming\dclogs
[2012/07/12 12:53:09 | 000,000,000 | ---D | C] -- C:\Users\Max\AppData\Local\{07582653-EA81-4E5A-A6
[2012/07/11 21:06:13 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\508615.exe
[2012/07/11 19:23:58 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\899083.exe
[2012/07/11 19:23:58 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\485026.exe
[2012/07/11 13:01:25 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\693263.exe
[2012/07/10 20:18:09 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\865295.exe
[2012/07/10 17:08:52 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\954655.exe
[2012/07/10 12:29:02 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\428113.exe
[2012/07/09 17:05:51 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\561894.exe
[2012/07/09 12:28:48 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\888301.exe
[2012/07/08 19:32:48 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\993627.exe
[2012/07/08 18:59:37 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\257763.exe
[2012/07/07 08:45:03 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\576068.exe
[2012/07/05 21:40:24 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\750454.exe
[2012/07/05 21:39:56 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\409877.exe
[2012/07/05 21:39:06 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\329376.exe
[2012/07/05 21:38:48 | 000,007,168 | ---- | C] (.NET Framework) -- C:\Users\Max\AppData\Roaming\370067.exe
[2012/07/14 13:54:50 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\835997.exe
[2012/07/14 13:54:49 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\239002.exe
[2012/07/14 13:54:46 | 000,002,560 | ---- | M] () -- C:\Users\Max\AppData\Roaming\csrss.exe
[2012/07/13 17:04:27 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\445798.exe
[2012/07/13 12:49:25 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\401474.exe
[2012/07/12 22:25:22 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\211998.exe
[2012/07/12 12:52:25 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\702582.exe
[2012/07/11 22:39:48 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\591163.exe
[2012/07/11 21:06:14 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\508615.exe
[2012/07/11 19:24:00 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\899083.exe
[2012/07/11 19:24:00 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\485026.exe
[2012/07/11 13:01:26 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\693263.exe
[2012/07/10 20:18:10 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\865295.exe
[2012/07/10 17:08:53 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\954655.exe
[2012/07/10 12:29:02 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\428113.exe
[2012/07/09 17:05:51 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\561894.exe
[2012/07/09 12:28:50 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\888301.exe
[2012/07/08 19:32:48 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\993627.exe
[2012/07/08 18:59:37 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\257763.exe
[2012/07/07 08:45:05 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\576068.exe
[2012/07/05 21:40:25 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\750454.exe
[2012/07/05 21:39:56 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\409877.exe
[2012/07/05 21:39:06 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\329376.exe
[2012/07/05 21:38:48 | 000,007,168 | ---- | M] (.NET Framework) -- C:\Users\Max\AppData\Roaming\370067.exe
[2012/07/05 21:38:46 | 008,961,024 | ---- | M] () -- C:\Users\Max\AppData\Roaming\EndlessSpace.exe
[2012/07/05 17:22:30 | 013,783,040 | ---- | M] () -- C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EndlessSpace.exe
[2012/07/08 19:32:54 | 001,990,656 | ---- | C] () -- C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cg.exe
[2011/07/09 13:09:43 | 000,000,000 | ---D | M] -- C:\Users\Max\AppData\Roaming\FREEzeFrog

* redemarre le pc sous windows et poste le rapport ici

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
1
Réponse 4 / 11
Maxbfox
 
Voici le rapport :

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.14.03

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Max :: ORDIMAX [administrateur]

14/07/2012 11:35:07
mbam-log-2012-07-14 (11-49-05).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 213401
Temps écoulé: 12 minute(s), 38 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Max\AppData\Roaming\csrss.exe (Trojan.SmallDL) -> Aucune action effectuée.

(fin)
0
Malekal_morte- Messages postés 184348 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 693
 
Aucune action effectuée.

Tu as bien fait supprimer sélection ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
Maxbfox
 
Alors attends, parce que j'ai enregistré le rapport avant et après la suppression, donc le bon rapport doit être celui-ci pardon :

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.14.03

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Max :: ORDIMAX [administrateur]

14/07/2012 11:35:07
mbam-log-2012-07-14 (11-35-07).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 213401
Temps écoulé: 12 minute(s), 38 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Max\AppData\Roaming\csrss.exe (Trojan.SmallDL) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Réponse 6 / 11
Maxbfox
 
Pardon, je n'ai pas précisé mais Fynloski est toujours là, il est même présent 6 fois d'après Microsoft Security Essentials.
0
Réponse 7 / 11
Maxbfox
 
Désolé pour le retard, je guettais le mail me prévenant de ta réponse mais il n'est jamais venu : /

Voici le lien vers le OTL.txt
http://pjjoint.malekal.com/files.php?id=20120714_j11j13q13v13c14

et le lien vers le Extra.txt
http://pjjoint.malekal.com/files.php?id=20120714_o6d6h15z13v6
0
Réponse 8 / 11
Maxbfox
 
Voilà qui est fait, voici le rapport que j'ai eu avant de redémarrer :

========== OTL ==========
C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\cg.exe moved successfully.
C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\EndlessSpace.exe moved successfully.
C:\Users\Max\AppData\Roaming\835997.exe moved successfully.
C:\Users\Max\AppData\Roaming\239002.exe moved successfully.
C:\Users\Max\AppData\Roaming\827654.exe moved successfully.
C:\Users\Max\AppData\Roaming\769301.exe moved successfully.
C:\Users\Max\AppData\Roaming\970512.exe moved successfully.
C:\Users\Max\AppData\Roaming\401474.exe moved successfully.
C:\Users\Max\AppData\Roaming\211998.exe moved successfully.
C:\Users\Max\AppData\Roaming\dclogs folder moved successfully.
Folder C:\Users\Max\AppData\Local\{07582653-EA81-4E5A-A6\ not found.
C:\Users\Max\AppData\Roaming\508615.exe moved successfully.
C:\Users\Max\AppData\Roaming\899083.exe moved successfully.
C:\Users\Max\AppData\Roaming\485026.exe moved successfully.
C:\Users\Max\AppData\Roaming\693263.exe moved successfully.
C:\Users\Max\AppData\Roaming\865295.exe moved successfully.
C:\Users\Max\AppData\Roaming\954655.exe moved successfully.
C:\Users\Max\AppData\Roaming\428113.exe moved successfully.
C:\Users\Max\AppData\Roaming\561894.exe moved successfully.
C:\Users\Max\AppData\Roaming\888301.exe moved successfully.
C:\Users\Max\AppData\Roaming\993627.exe moved successfully.
C:\Users\Max\AppData\Roaming\257763.exe moved successfully.
C:\Users\Max\AppData\Roaming\576068.exe moved successfully.
C:\Users\Max\AppData\Roaming\750454.exe moved successfully.
C:\Users\Max\AppData\Roaming\409877.exe moved successfully.
C:\Users\Max\AppData\Roaming\329376.exe moved successfully.
C:\Users\Max\AppData\Roaming\370067.exe moved successfully.
File C:\Users\Max\AppData\Roaming\835997.exe not found.
File C:\Users\Max\AppData\Roaming\239002.exe not found.
C:\Users\Max\AppData\Roaming\csrss.exe moved successfully.
C:\Users\Max\AppData\Roaming\445798.exe moved successfully.
File C:\Users\Max\AppData\Roaming\401474.exe not found.
File C:\Users\Max\AppData\Roaming\211998.exe not found.
C:\Users\Max\AppData\Roaming\702582.exe moved successfully.
C:\Users\Max\AppData\Roaming\591163.exe moved successfully.
File C:\Users\Max\AppData\Roaming\508615.exe not found.
File C:\Users\Max\AppData\Roaming\899083.exe not found.
File C:\Users\Max\AppData\Roaming\485026.exe not found.
File C:\Users\Max\AppData\Roaming\693263.exe not found.
File C:\Users\Max\AppData\Roaming\865295.exe not found.
File C:\Users\Max\AppData\Roaming\954655.exe not found.
File C:\Users\Max\AppData\Roaming\428113.exe not found.
File C:\Users\Max\AppData\Roaming\561894.exe not found.
File C:\Users\Max\AppData\Roaming\888301.exe not found.
File C:\Users\Max\AppData\Roaming\993627.exe not found.
File C:\Users\Max\AppData\Roaming\257763.exe not found.
File C:\Users\Max\AppData\Roaming\576068.exe not found.
File C:\Users\Max\AppData\Roaming\750454.exe not found.
File C:\Users\Max\AppData\Roaming\409877.exe not found.
File C:\Users\Max\AppData\Roaming\329376.exe not found.
File C:\Users\Max\AppData\Roaming\370067.exe not found.
C:\Users\Max\AppData\Roaming\EndlessSpace.exe moved successfully.
File C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\EndlessSpace.exe not found.
File C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\cg.exe not found.
C:\Users\Max\AppData\Roaming\FREEzeFrog folder moved successfully.

OTL by OldTimer - Version 3.2.26.5 log created on 07152012_003028
0
Réponse 9 / 11
Maxbfox
 
Je ne sais pas si la procédure est sensée être treminée, mais après avoir redémarré Windows Security Essentials ne m'a pas détecté à nouveau le virus. J'ai fait un scan rapide et rien. Je fais un scan complet, puis ensuite je ferais uns can complet avec Malwarebyte en mode sans échec pour être totalement sûr.
0
Réponse 10 / 11
Malekal_morte- Messages postés 184348 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 693
 
okay.

Tu peux zipper le dossier _OTL.zip et l'envoyer sur http://upload.malekal.com stp.
0
Réponse 11 / 11
Maxbfox
 
Il ya plein de .exe là-dedans, ce sont tous les exécutables suspicieux ?
Je te le mets en .rar, je ne peux pas en .zip.

Mon scan est très long, il n'en est pas encore à la moitié.Je ne peux pas compresser le dossier pour l'instant. Vu l'heure qu'il est je vais laisser le scan finir cette nuit et je t'enverrais ça demain matin.

Merci beaucoup pour ton aide.
0
Malekal_morte- Messages postés 184348 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 693
 
c'est surtout ces deux là qui m'interressent :
* C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\cg.exe
* C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup\EndlessSpace.exe
0
Maxbfox
 
Bon, après 3 redémarrages toujours aucune trace de Fynloski.
Par contre je ne peux pas compresser le dossier OTL, j'ai un double message d'erreur.
Du coup je t'ai compressé le sous-dossier MovedFiles.

Est-ce que je peux supprimer OTL et tous les fichiers qu'il m'a créé ?

Encore merci
0
Maxbfox
 
Désolé je ne peux pas t'envoyer le fichier car il dépasse les 8Mo.
Et le EndlessSpace.exe les dépasse à lui seul...
0
Malekal_morte- Messages postés 184348 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 693
 
ouin ?
Mediafire ?
cg.exe il passe ?
par mail ? spamhere-@wanadoo.fr
0

Discussions similaires

backdoor win32 fynloski a
misteroli -
lilidurhone -

10 réponses