TR/Dldr.andromedia.EBJ.2. virusRésolu/Fermé

Question

Bonjour, 



Je me permets de vous embeter car mon antivirus vient de détecté un virus hier
TR/Dldr.andromedia.EBJ.2.
Je suis sous vista.
Tout d'abord j'ai eu un message de ce type :
C:\windows\system32\wuauclt.exe

J'ai fais un scan avec antivir qui ne detecte rien d'anormal, puis j'ai fais un scan avec zhpdiag dont voici le scan
http://cjoint.com/12nv/BKuuGOJFlRO.htm

Je viens de rallumer mon pc que je trouve extrêmement lent (il n'était déjà pas trop rapide mais bon...)
La seule différence par rapport à hier matin c'est un message qui apparait lors de la page d'accueil qui est :
crsss.exe a cessé de fonctionner.
de plus je viens de voir que mon antivirus me prévient

TR/Dldr.andromedia.EBJ.2 a été détecté....

dans un de mes dossiers j'ai découvert des programmes impossibles à effacer du style ntuser.dat etc... 

j'ai chargé malwarebaytes qui m'a trouvé 12 nuisibles que j'ai supprimé mais après un autre scan, 2 susistaient.

je ne sais plus trop quoi faire, on m'a conseillé de faire une restauration de système, qu'en pensez vous?

Merci d'avance pour vos réponses

g3n-h@ckm@n · Answer

salut supprime ca et t'as plus de session : ntuser.dat

=======
 
 poste tes rapports de malwarebytes

tibich · Answer

ok je posterai  le scan de malwarebytes ce soir (je suis au boulot) 

merci

g3n-h@ckm@n · Answer

pas de soucis à te lire :)

tibich · Answer

voici le rapport

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.21.07

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
vanessa :: PC [administrateur]

21/11/2012 19:02:48
mbam-log-2012-11-21 (22-39-17).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 310479
Temps écoulé: 2 heure(s), 54 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\vanessa\AppData\Roaming\A-898672637.exe (Trojan.Downloader) -> 3520 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|A-898672637 (Trojan.Downloader) -> Données: C:\Users\vanessa\AppData\Roaming\A-898672637.exe -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|A-898672637 (Trojan.Downloader) -> Données: C:\Users\vanessa\AppData\Roaming\A-898672637.exe -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|9Y0E6A7B1HVX0C2VDYQCWZRBSOGAI (Trojan.Downloader) -> Données: C:\config.bin\9A052F914A2.exe /q -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 1
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Downloader) -> Mauvais: (C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com) Bon: () -> Aucune action effectuée.

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 7
C:\Users\vanessa\AppData\Roaming\A-898672637.exe (Trojan.Downloader) -> Aucune action effectuée.
C:\config.bin\9A052F914A2.exe (Trojan.Downloader) -> Aucune action effectuée.
C:\Users\vanessa\Local Settings\Temp\msafpmap.com (Trojan.Downloader) -> Aucune action effectuée.
C:\Users\vanessa\AppData\Local\Temp\0001c6e6.exe (Trojan.Downloader) -> Aucune action effectuée.
C:\Users\vanessa\AppData\Local\Temp\73222.exe (Trojan.Downloader) -> Aucune action effectuée.
C:\Users\vanessa\AppData\Local\Temp\msafpmap.com (Trojan.Downloader) -> Aucune action effectuée.
C:\Users\vanessa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A-898672637.exe (Trojan.Downloader) -> Aucune action effectuée.

(fin)

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

tibich · Answer

ok
par contre je suis un peu quiche..
la racine de mon disque système, je ne vois pas ce que c'est en fait je poste le rapport que l'outil va me donner?

g3n-h@ckm@n · Answer

ben oui c'est ton dique C:\ logiquement ^^ c'est ecrit ^^

tibich · Answer

Je viens de finir de faire tourner le logiciel
il ne s'est pas bloqué 
il a du se rallumer pendant mon absence j'ai retrouvé des icones que je n'avais plus sur mon bureau et j'ai vu que dans mes dossiers all users il n'y a plus les "trucs bizarres" que j'avais reprée
par contre je suis étonnée le logiciel ne génère pas de rapport? comment faire pour le poster (enfin le retrouver pour que je puisse le poster)?
encore merci pour ton aide

g3n-h@ckm@n · Answer

c'est ecrit...

tibich · Answer

Bonjour
merci pour ton aide il semblerait que ton logiciel ait fait des miracle
cependant j'ai toujours un message d'erreur lors de l'ouverture de windows qui me met qu'il est impossible d'ouvrir un fichier dans les temporaires.

voici le rapport j'ai finis par comprendre ce qu'était la racine de mon disque dur!!!!

	https://www.cjoint.com/?BKyoRAUqMhC

g3n-h@ckm@n · Answer

à mon avis c'est plutot malwarebytes juste avant qui a fait des miracles lol

relance l'outil , clique sur "DiaG" puis heberge Pre_Diag.....txt et donne le lien

tibich · Answer

ok

tibich · Answer

https://www.cjoint.com/?BKypxR830HI

voilà le dernier diagnostique

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

tibich · Answer

ok
sinon toujours ce message récurent à l'allumage
C:\Users\V.\LOCALS_1\Temp\msafpmap.com

g3n-h@ckm@n · Answer

on va s'en occuper t'inquietes , suis juste ce que je propose dans l'ordre et ne tente rien par toi-même

tibich · Answer

ok pas de soucis!

g3n-h@ckm@n · Answer

à lire le rapport d'ADWC

tibich · Answer

voici le rapport

https://www.cjoint.com/?BKyp3ZfdCi3

tibich · Answer

voici

https://www.cjoint.com/?BKyrOT3Fc74

g3n-h@ckm@n · Answer

desinstalle adobe reader 9
 
 c'est un pc d'entreprise ?

tibich · Answer

c'est fait

g3n-h@ckm@n · Answer

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BKyteocSOUF

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

tibich · Answer

ok j'ai fais ce que tu m'as dis mais cela ne m'a pas ouvert de fenetre noire dois je relancer le scan de pre script une fois copié le texte?

bon j'ai refais la manip cela me donne un message

Line7297(File"C:\Users\v.\Desktop\Pre_Scan.pif") : Error : error parsing function call

g3n-h@ckm@n · Answer

bizarre j'ai rien qui puisse faire une erreur sur cette ligne....

g3n-h@ckm@n · Answer

poste le rapport qui est dans C:\ voir ?

tibich · Answer

je crains que ce soit le rapport que j'ai déjà transmis, il n'y a rine d'uatre dans le c:\
https://www.cjoint.com/?BKyvrwqX1CB

j'ai refais la manip toujours le meme message, se pourrait-il que ce soit du au parefeu ou antivirus je ne les ai pas déconnecté pour faire la manip

g3n-h@ckm@n · Answer

retelecharge-le et reessaie

tibich · Answer

voici le rapport

https://www.cjoint.com/?BKyvLyhBeu5

g3n-h@ckm@n · Answer

ok des soucis persistent ?

tibich · Answer

tout à l'air d'aller bien hormis ce message lors de l'ouverture

g3n-h@ckm@n · Answer

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape msafpmap.com

 dans cette fenêtre 

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

tibich · Answer

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 21:53:50 le 24/11/2012
4. 
5. Valeur(s) recherchée(s):
6. msafpmap.com
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. Aucun fichier trouvé
15. 
16. 
17. ====== Entrée(s) du registre ======
18. 
19. 
20. [HKU\S-1-5-21-2464530818-3667802730-2290125323-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows]
21. "Load"="C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com" (REG_SZ)
22. 
23. =========================
24. 
25. Fin à: 21:59:18 le 24/11/2012
26. 388996 Éléments analysés
27. 
28. =========================
29. E.O.F

g3n-h@ckm@n · Answer

et sans script !! ^^ 

touche windows + R 

tape RegEdit 

déplie avec les petits "+" 

 HKEY_CURRENT_USER 
\Software 
\Microsoft 
\Windows NT 
\CurrentVersion 
\Windows 
clique gauche sur "windows" 

à droite : double clique sur "Load" 

supprime ceci : "C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com"
  
 et laisse en blanc  

valide  et redemarre le pc ^^ 
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

tibich · Answer

Bonjour,

Merci pour ta précieuse aide

Je viens d'effectuer par 2 fois la manoeuvre et lors de la validation

j'ai un message du type "impossible modifier Load : erreur lors de l'écriture du nouveau contenu de la valeur"....

c'est pénible mais au final je veux pas te faire perdre ton temps mon ordi marche bien, il n'est plus infecté on va dire que c'est pas très grave. Tant pis pour ce message,

g3n-h@ckm@n · Answer

selectionne ce texte :  

command::  
For %%a in (  
"Load"  
) do (  
%Homedrive%\Pre_Scan\svchost.exe acl "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" /ge:f;d /p /q /oa >nul 2>&1 && (  
%Homedrive%\Pre_Scan\svchost.exe query  "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a"  >nul &&(   
%Homedrive%\Pre_Scan\svchost.exe Delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" )))  

Relance Pre_scan puis choisis l'option "Script"  

une page va s'ouvrir  

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.  

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.  

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte  

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille   

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail  
   
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

tibich · Answer

voila

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1124 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

vanessa : Windows Vista (TM) Home Basic (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 19:48:02

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ | Command

Batch File Executed

¤


End : 19:48:03

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

voila normalement la valeur Load a dégagé

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

tibich · Answer

ok c'est en cours

https://www.cjoint.com/?BKAwuOmWj1v

https://www.cjoint.com/?BKAwvM0iflf

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-2464530818-3667802730-2290125323-1000\..\SearchScopes,DefaultScope = 
FF - user.js - File not found
O4 - Startup: C:\Users\vanessa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.3.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()     
F3 - HKU\S-1-5-21-2464530818-3667802730-2290125323-1000 WinNT: Load - (C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com) -  File not found
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)     

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

tibich · Answer

bonjour

voilà

https://www.cjoint.com/?BKBpLrEM728

tibich · Answer

je crois que c'est bon plus de message à l'ouverture de windows

merci pour ta précieuse aide

encore un autre merci pour le temps que tu as passé sur mon problème

g3n-h@ckm@n · Answer

ok le menage

https://gen-hackman.kanak.fr/

Malekal_morte- · Answer

Faut aussi que tu changes tous tes mots de passe (Facebook, hotmail etc) stockés dans tes navigateurs WEB, ils ont été pompés.

g3n-h@ckm@n · Answer

exact !

je zappe un peu trop souvent ca d'ailleurs ...

tibich · Answer

ok mais tous les mots de passe ou uniquement ceux sauvegardés par les navigateurs?

tibich · Answer

voici le rapport delfix

# DelFix v6.2 - Rapport créé le 27/11/2012 à 21:27:53
# Mis à jour le 11/11/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Nom d'utilisateur : vanessa - PC
# Exécuté depuis : C:\Users\vanessa\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\_OTL
Non Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Non Supprimé : C:\Pre_Scan
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\SEAF

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\JavaRa.log
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\vanessa\Desktop\AdwCleaner.exe
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWMBR

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1319 octets] - [27/11/2012 21:27:53]

########## EOF - C:\DelFix[S1].txt - [1443 octets] ##########

g3n-h@ckm@n · Answer

regarde si tu peux supprimer le dossier pre_scan en mode sans echec

tibich · Answer

ok
sinon la suite
	https://www.cjoint.com/?BKBvNTTrYPE

tibich · Answer

la dernière ligne de purera
Total space cleaned: 19.69 MB

tibich · Answer

ça a l'air d'aller
plus que la défragmentation et ça ira?

g3n-h@ckm@n · Answer

bah fais tout le menage :)

tibich · Answer

voilà le ménage a été fais reste la defragmentation qui se fera cette nuit
encore un grand merci

g3n-h@ckm@n · Answer

:^)

TR/Dldr.andromedia.EBJ.2. virus

55 réponses

Discussions similaires

Newsletters