TR/Dldr.andromedia.EBJ.2. virus

Résolu
tibich Messages postés 60 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Je me permets de vous embeter car mon antivirus vient de détecté un virus hier
TR/Dldr.andromedia.EBJ.2.
Je suis sous vista.
Tout d'abord j'ai eu un message de ce type :
C:\windows\system32\wuauclt.exe

J'ai fais un scan avec antivir qui ne detecte rien d'anormal, puis j'ai fais un scan avec zhpdiag dont voici le scan
http://cjoint.com/12nv/BKuuGOJFlRO.htm

Je viens de rallumer mon pc que je trouve extrêmement lent (il n'était déjà pas trop rapide mais bon...)
La seule différence par rapport à hier matin c'est un message qui apparait lors de la page d'accueil qui est :
crsss.exe a cessé de fonctionner.
de plus je viens de voir que mon antivirus me prévient

TR/Dldr.andromedia.EBJ.2 a été détecté....

dans un de mes dossiers j'ai découvert des programmes impossibles à effacer du style ntuser.dat etc...

j'ai chargé malwarebaytes qui m'a trouvé 12 nuisibles que j'ai supprimé mais après un autre scan, 2 susistaient.

je ne sais plus trop quoi faire, on m'a conseillé de faire une restauration de système, qu'en pensez vous?

Merci d'avance pour vos réponses

55 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection détectée TR/Dldr.andromedia.EBJ.2 sur Windows Vista est associée à un ralentissement du système et à des messages d’erreur tels que crsss.exe qui cessent de fonctionner. Plusieurs réponses préconisent des outils de détection et de nettoyage, comme Malwarebytes, et des procédures avancées utilisant des scripts ou des rapports pour identifier les éléments persistant et les points de démarrage. Des mesures peuvent inclure la suppression d’éléments au démarrage, la mise à jour des systèmes et le changement des mots de passe, bien que les résultats varient selon les analyses réalisées. En dernier lieu, les rapports et les liens fournis par les outils permettent de poursuivre l’investigation sans conclure sur l’état du système, tout en privilégiant sauvegardes et points de restauration.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut supprime ca et t'as plus de session : ntuser.dat

    =======

    poste tes rapports de malwarebytes
    0
  2. tibich Messages postés 60 Statut Membre
     
    ok je posterai le scan de malwarebytes ce soir (je suis au boulot)

    merci
    0
  3. tibich Messages postés 60 Statut Membre
     
    voici le rapport

    Malwarebytes Anti-Malware 1.65.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.11.21.07

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 7.0.6002.18005
    vanessa :: PC [administrateur]

    21/11/2012 19:02:48
    mbam-log-2012-11-21 (22-39-17).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 310479
    Temps écoulé: 2 heure(s), 54 minute(s), 7 seconde(s)

    Processus mémoire détecté(s): 1
    C:\Users\vanessa\AppData\Roaming\A-898672637.exe (Trojan.Downloader) -> 3520 -> Aucune action effectuée.

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 5
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|A-898672637 (Trojan.Downloader) -> Données: C:\Users\vanessa\AppData\Roaming\A-898672637.exe -> Aucune action effectuée.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|A-898672637 (Trojan.Downloader) -> Données: C:\Users\vanessa\AppData\Roaming\A-898672637.exe -> Aucune action effectuée.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|9Y0E6A7B1HVX0C2VDYQCWZRBSOGAI (Trojan.Downloader) -> Données: C:\config.bin\9A052F914A2.exe /q -> Aucune action effectuée.
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com -> Aucune action effectuée.
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com -> Aucune action effectuée.

    Elément(s) de données du Registre détecté(s): 1
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Downloader) -> Mauvais: (C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com) Bon: () -> Aucune action effectuée.

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 7
    C:\Users\vanessa\AppData\Roaming\A-898672637.exe (Trojan.Downloader) -> Aucune action effectuée.
    C:\config.bin\9A052F914A2.exe (Trojan.Downloader) -> Aucune action effectuée.
    C:\Users\vanessa\Local Settings\Temp\msafpmap.com (Trojan.Downloader) -> Aucune action effectuée.
    C:\Users\vanessa\AppData\Local\Temp\0001c6e6.exe (Trojan.Downloader) -> Aucune action effectuée.
    C:\Users\vanessa\AppData\Local\Temp\73222.exe (Trojan.Downloader) -> Aucune action effectuée.
    C:\Users\vanessa\AppData\Local\Temp\msafpmap.com (Trojan.Downloader) -> Aucune action effectuée.
    C:\Users\vanessa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\A-898672637.exe (Trojan.Downloader) -> Aucune action effectuée.

    (fin)
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n
     
    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    https://forums-fec.be/gen-hackman/Pre_Scan.exe

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    https://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Ne transmets pas le lien de suppression !!!

    afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

    C:\Pre_Scan\Process\Close.log
    0
  6. tibich Messages postés 60 Statut Membre
     
    ok
    par contre je suis un peu quiche..
    la racine de mon disque système, je ne vois pas ce que c'est en fait je poste le rapport que l'outil va me donner?
    0
  7. g3n-h@ckm@n
     
    ben oui c'est ton dique C:\ logiquement ^^ c'est ecrit ^^
    0
  8. tibich Messages postés 60 Statut Membre
     
    Je viens de finir de faire tourner le logiciel
    il ne s'est pas bloqué
    il a du se rallumer pendant mon absence j'ai retrouvé des icones que je n'avais plus sur mon bureau et j'ai vu que dans mes dossiers all users il n'y a plus les "trucs bizarres" que j'avais reprée
    par contre je suis étonnée le logiciel ne génère pas de rapport? comment faire pour le poster (enfin le retrouver pour que je puisse le poster)?
    encore merci pour ton aide
    0
  9. tibich Messages postés 60 Statut Membre
     
    Bonjour
    merci pour ton aide il semblerait que ton logiciel ait fait des miracle
    cependant j'ai toujours un message d'erreur lors de l'ouverture de windows qui me met qu'il est impossible d'ouvrir un fichier dans les temporaires.

    voici le rapport j'ai finis par comprendre ce qu'était la racine de mon disque dur!!!!

    https://www.cjoint.com/?BKyoRAUqMhC
    0
  10. g3n-h@ckm@n
     
    à mon avis c'est plutot malwarebytes juste avant qui a fait des miracles lol

    relance l'outil , clique sur "DiaG" puis heberge Pre_Diag.....txt et donne le lien
    0
  11. g3n-h@ckm@n
     
    Télécharge et enregistre ADWCleaner sur ton bureau :

    Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste C:\Adwcleaner[Sx].txt
    0
  12. tibich Messages postés 60 Statut Membre
     
    ok
    sinon toujours ce message récurent à l'allumage
    C:\Users\V.\LOCALS_1\Temp\msafpmap.com
    0
  13. g3n-h@ckm@n
     
    on va s'en occuper t'inquietes , suis juste ce que je propose dans l'ordre et ne tente rien par toi-même
    0
  14. tibich Messages postés 60 Statut Membre
     
    ok pas de soucis!
    0
  • 1
  • 2
  • 3