Exploit.drop.ur.2

arthurlamouche Messages postés 67 Statut Membre -  
arthurlamouche Messages postés 67 Statut Membre -
Bonjour,

Moi aussi je suis infecté par ce virus. Est-ce que je peux prendre une résolution sur un autre sujet du même type ou dois-je attendre un diagnostic personnalisé ?

Merci

Romain

60 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection virale présumée soulève la question de savoir s’il faut attendre un diagnostic personnalisé ou poursuivre des actions de nettoyage sur des sujets similaires. Des réponses orientent vers l’utilisation d’outils de nettoyage et de pré-analyses, comme des rapports pré_scan et des paramètres OTL, tout en recommandant la prudence concernant la suppression de fichiers en quarantaine. En parallèle, certains expliquent que désinstaller des logiciels ou réinstaller des composants peut résoudre des messages d’erreur, et ils partagent des liens ou des instructions pour générer et héberger des rapports. D’autres apportent une nuance utile sur la vérification des éléments détectés et sur le fait de ne pas publier des rapports longs, mais d’héberger ces fichiers via des liens externes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. SlyK Messages postés 1060 Statut Contributeur sécurité 147
     
    Bonsoir Romain,

    Je t'invite à faire ceci : OTL: Générer un rapport

    @+
    0
  2. SlyK Messages postés 1060 Statut Contributeur sécurité 147
     
    Re !

    Utilises-tu ceci ?
    - vShare.tv

    Désinstalle les programmes suivants :
    - SweetIM for Messenger 3.2  
    - Bing Bar  
    - Java(TM) 6 Update 7  
    - Java(TM) 6 Update 18  
    - Java(TM) 6 Update 22  
    - Java(TM) 6 Update 33  
    


    Copie ce script :
    :OTL  
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)  
    DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM)  
    IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}  
    IE - HKLM\..\SearchScopes\{4BF271E2-44A8-427B-B4BD-DFE0C5DD06BC}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcndtie7-fr-fr  
    IE - HKLM\..\SearchScopes\{D07633B4-C95A-46D5-B003-E190A6C324C4}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932  
     IE - HKU\S-1-5-21-773388751-1328491273-1543712315-1000\..\SearchScopes\{4BF271E2-44A8-427B-B4BD-DFE0C5DD06BC}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcndtie7-fr-fr  
    IE - HKU\S-1-5-21-773388751-1328491273-1543712315-1000\..\SearchScopes\{D07633B4-C95A-46D5-B003-E190A6C324C4}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932  
    FF - prefs.js..browser.search.defaultengine: "Web Search"  
    FF - prefs.js..browser.search.defaultenginename: "Web Search"  
    FF - prefs.js..browser.search.order.1: "Web Search"  
    [2011/07/11 19:04:02 | 000,000,633 | ---- | M] () -- C:\Users\Romain\AppData\Roaming\mozilla\firefox\profiles\9odpp7z7.default\searchplugins\startsear.xml  
    O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.  
    O2 - BHO: (Bing Bar Helper) - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files\Microsoft\BingBar\7.1.391.0\BingExt.dll (Microsoft Corporation.)  
    O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.  
    O3 - HKLM\..\Toolbar: (Bing Bar) - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files\Microsoft\BingBar\7.1.391.0\BingExt.dll (Microsoft Corporation.)  
    O4 - HKLM..\Run: []  File not found  
    O4 - HKLM..\Run: [KBD] C:\HP\KBD\KbdStub.EXE File not found  
    O4 - HKU\S-1-5-21-773388751-1328491273-1543712315-1000..\Run: [fsm]  File not found  
    O4 - HKU\S-1-5-21-773388751-1328491273-1543712315-1000..\Run: [rrrkrfwodavlcip] C:\ProgramData\rrrkrfwo.exe (Rtphxuxe)  
    O8 - Extra context menu item: Software - Reg Error: Value error. File not found  
    NetSvcs: FastUserSwitchingCompatibility -  File not found  
    NetSvcs: Nla -  File not found  
    NetSvcs: Ntmssvc -  File not found  
    NetSvcs: NWCWorkstation -  File not found  
    NetSvcs: Nwsapagent -  File not found  
    NetSvcs: SRService -  File not found  
    NetSvcs: WmdmPmSp -  File not found  
    NetSvcs: LogonHours -  File not found  
    NetSvcs: PCAudit -  File not found  
    NetSvcs: helpsvc -  File not found  
    NetSvcs: uploadmgr -  File not found  
    [2012/11/19 18:36:30 | 000,000,000 | ---D | C] -- C:\ProgramData\oclsjiaadjcmlam  
    [2012/11/19 18:36:28 | 000,105,472 | ---- | C] (Rtphxuxe) -- C:\ProgramData\rrrkrfwo.exe  
    [2012/11/15 20:17:46 | 095,023,320 | ---- | M] () -- C:\ProgramData\dsgsdgdsgdsgw.pad  
    [2012/11/19 18:36:13 | 000,082,869 | ---- | C] () -- C:\ProgramData\tmppsbcxdufbqvw  
    [2011/11/03 22:31:55 | 000,000,296 | ---- | C] () -- C:\ProgramData\~1kAlMiG2Kb7FzP  
    [2011/11/03 22:31:55 | 000,000,200 | ---- | C] () -- C:\ProgramData\~1kAlMiG2Kb7FzPr  
    [2011/11/03 22:31:42 | 000,000,448 | ---- | C] () -- C:\ProgramData\1kAlMiG2Kb7FzP  
    
    :Commands  
    [EMPTYTEMP]  
    [EMPTYJAVA]  
    [EMPTYFLASH]

    Puis fais ceci : OTL: Script

    @+
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Salut,
      Pas parce qu'il fait indiqué "File not found" que c'est à fixer.
      EMPTYFLASH et EMPTYJAVA se font quand il exécute EMPTYTEMP
      @+
      0
    2. g3n-h@ckm@n
       
      ah ouais là logiquement le pc va avoir des sales problèmes :)
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      =]
      0
    4. SlyK Messages postés 1060 Statut Contributeur sécurité 147
       
      ou pas...
      0
    5. g3n-h@ckm@n
       
      héhé ^^
      0
  3. arthurlamouche Messages postés 67 Statut Membre
     
    Bonsoir,

    Je n'utilise plus vShare.tv et je pensais l'avoir supprimé.

    Je n'arrive pas à supprimer les fichiers dont tu parles. J'ai ce message d'erreur qui s'affiche pour chacun : "Impossible d'accéder au service Windows Installer. Ceci peut se produire si le programme d'installation de Windows n'est pas bien installé. Contactez votre support technique pour assistance" (dommage que l'impression écran ne fonctionne pas :()

    Je poste le rapport dès qu'il est prêt.

    A+
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. SlyK Messages postés 1060 Statut Contributeur sécurité 147
     
    Re !

    Tu as appuyer sur "Analyser" alors que j'avais demandé autre chose.
    Lis bien les consignes avant d'exécuter quelque chose !

    On s'en occupera par la suite.

    Pour ton problème de Windows Installer, effectue ceci :
    * Fait le raccourcis Windows + R, une fenêtre nommée "Executer" va s'ouvrir.
    * Tape cette commande msiexec /unreg puis attends le temps du traitement
    * Puis tape cette commande msiexec /regserver.

    Réessaye de désinstaller les logiciels.

    @+
    0
  6. SlyK Messages postés 1060 Statut Contributeur sécurité 147
     
    Re !

    La démarche pour faire remarcher Windows Installer a donc fonctionné ?

    Relance OTL et appuie sur "Analyse rapide".
    Héberge le rapport et poste le lien.

    @+
    0
  7. arthurlamouche Messages postés 67 Statut Membre
     
    Re !

    La démarche n'a pas fonctionné, désolé. J'avais beau lancer les commandes, rien ne s'est exécuté :(
    Du coup j'ai tenté de lancer la correction OTL avant de supprimer les logiciels puis j'ai relancé OTL et posté le rapport.

    Voici le rapport de l'analyse rapide : https://www.cjoint.com/?BKvvvsdCx4u

    A+
    0
  8. SlyK Messages postés 1060 Statut Contributeur sécurité 147
     
    Re !

    Héberge moi ce fichier :
    - C:\Windows\System32\jureg.exe


    @+
    0
  9. arthurlamouche Messages postés 67 Statut Membre
     
    Hum cjoint n'admet pas ce genre de fichier !
    0
  10. SlyK Messages postés 1060 Statut Contributeur sécurité 147
     
    Re !

    Tu peux le compresser ou utilisez un autre hébergeur.

    @+
    0
  11. arthurlamouche Messages postés 67 Statut Membre
     
    Mauvaise nouvelle, Avira vient de détecter un autre trojan :( : tr/ crypt .xpack.gen

    Quand yen a plus, yen a encore... J'espère que tu pourras me filer un coup de main

    A+
    0
  12. g3n-h@ckm@n
     
    salut je vais t'aider à continuer Slyk est très occupé et non dispo il m'a demandé de venir t'aider à finir

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Ne transmets pas le lien de suppression !!!

    afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

    C:\Pre_Scan\Process\Close.log
    0
  13. g3n-h@ckm@n
     
    relance l'outil , clique sur DiaG puis heberge le rapport Pre_Diag....txt et donne le lien
    0
  14. g3n-h@ckm@n
     
    Attention !!! pense à re-désactiver tes protections

    Clique sur ce lien : https://www.cjoint.com/?BKzw3se3NB9

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  • 1
  • 2
  • 3