TR/Dldr.andromedia.EBJ.2. virus
Résolu
tibich
Messages postés
60
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je me permets de vous embeter car mon antivirus vient de détecté un virus hier
TR/Dldr.andromedia.EBJ.2.
Je suis sous vista.
Tout d'abord j'ai eu un message de ce type :
C:\windows\system32\wuauclt.exe
J'ai fais un scan avec antivir qui ne detecte rien d'anormal, puis j'ai fais un scan avec zhpdiag dont voici le scan
http://cjoint.com/12nv/BKuuGOJFlRO.htm
Je viens de rallumer mon pc que je trouve extrêmement lent (il n'était déjà pas trop rapide mais bon...)
La seule différence par rapport à hier matin c'est un message qui apparait lors de la page d'accueil qui est :
crsss.exe a cessé de fonctionner.
de plus je viens de voir que mon antivirus me prévient
TR/Dldr.andromedia.EBJ.2 a été détecté....
dans un de mes dossiers j'ai découvert des programmes impossibles à effacer du style ntuser.dat etc...
j'ai chargé malwarebaytes qui m'a trouvé 12 nuisibles que j'ai supprimé mais après un autre scan, 2 susistaient.
je ne sais plus trop quoi faire, on m'a conseillé de faire une restauration de système, qu'en pensez vous?
Merci d'avance pour vos réponses
Je me permets de vous embeter car mon antivirus vient de détecté un virus hier
TR/Dldr.andromedia.EBJ.2.
Je suis sous vista.
Tout d'abord j'ai eu un message de ce type :
C:\windows\system32\wuauclt.exe
J'ai fais un scan avec antivir qui ne detecte rien d'anormal, puis j'ai fais un scan avec zhpdiag dont voici le scan
http://cjoint.com/12nv/BKuuGOJFlRO.htm
Je viens de rallumer mon pc que je trouve extrêmement lent (il n'était déjà pas trop rapide mais bon...)
La seule différence par rapport à hier matin c'est un message qui apparait lors de la page d'accueil qui est :
crsss.exe a cessé de fonctionner.
de plus je viens de voir que mon antivirus me prévient
TR/Dldr.andromedia.EBJ.2 a été détecté....
dans un de mes dossiers j'ai découvert des programmes impossibles à effacer du style ntuser.dat etc...
j'ai chargé malwarebaytes qui m'a trouvé 12 nuisibles que j'ai supprimé mais après un autre scan, 2 susistaient.
je ne sais plus trop quoi faire, on m'a conseillé de faire une restauration de système, qu'en pensez vous?
Merci d'avance pour vos réponses
A voir également:
- TR/Dldr.andromedia.EBJ.2. virus
- Supercopier 2 - Télécharger - Gestion de fichiers
- Virus mcafee - Accueil - Piratage
- 2 ecran pc - Guide
- +33 2 22 06 18 43 ✓ - Forum Mobile
- Faire 2 colonnes sur word - Guide
55 réponses
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BKyteocSOUF
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Clique sur ce lien : https://www.cjoint.com/?BKyteocSOUF
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
ok j'ai fais ce que tu m'as dis mais cela ne m'a pas ouvert de fenetre noire dois je relancer le scan de pre script une fois copié le texte?
bon j'ai refais la manip cela me donne un message
Line7297(File"C:\Users\v.\Desktop\Pre_Scan.pif") : Error : error parsing function call
bon j'ai refais la manip cela me donne un message
Line7297(File"C:\Users\v.\Desktop\Pre_Scan.pif") : Error : error parsing function call
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
je crains que ce soit le rapport que j'ai déjà transmis, il n'y a rine d'uatre dans le c:\
https://www.cjoint.com/?BKyvrwqX1CB
j'ai refais la manip toujours le meme message, se pourrait-il que ce soit du au parefeu ou antivirus je ne les ai pas déconnecté pour faire la manip
https://www.cjoint.com/?BKyvrwqX1CB
j'ai refais la manip toujours le meme message, se pourrait-il que ce soit du au parefeu ou antivirus je ne les ai pas déconnecté pour faire la manip
Télécharge SEAF.exe de C_XX
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape msafpmap.com
dans cette fenêtre
confirme la recherche "aussi" dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape msafpmap.com
dans cette fenêtre
confirme la recherche "aussi" dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 21:53:50 le 24/11/2012
4.
5. Valeur(s) recherchée(s):
6. msafpmap.com
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKU\S-1-5-21-2464530818-3667802730-2290125323-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows]
21. "Load"="C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com" (REG_SZ)
22.
23. =========================
24.
25. Fin à: 21:59:18 le 24/11/2012
26. 388996 Éléments analysés
27.
28. =========================
29. E.O.F
2.
3. Commencé à: 21:53:50 le 24/11/2012
4.
5. Valeur(s) recherchée(s):
6. msafpmap.com
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKU\S-1-5-21-2464530818-3667802730-2290125323-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows]
21. "Load"="C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com" (REG_SZ)
22.
23. =========================
24.
25. Fin à: 21:59:18 le 24/11/2012
26. 388996 Éléments analysés
27.
28. =========================
29. E.O.F
et sans script !! ^^
touche windows + R
tape RegEdit
déplie avec les petits "+"
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
clique gauche sur "windows"
à droite : double clique sur "Load"
supprime ceci : "C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com"
et laisse en blanc
valide et redemarre le pc ^^
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
touche windows + R
tape RegEdit
déplie avec les petits "+"
HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
clique gauche sur "windows"
à droite : double clique sur "Load"
supprime ceci : "C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com"
et laisse en blanc
valide et redemarre le pc ^^
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
Bonjour,
Merci pour ta précieuse aide
Je viens d'effectuer par 2 fois la manoeuvre et lors de la validation
j'ai un message du type "impossible modifier Load : erreur lors de l'écriture du nouveau contenu de la valeur"....
c'est pénible mais au final je veux pas te faire perdre ton temps mon ordi marche bien, il n'est plus infecté on va dire que c'est pas très grave. Tant pis pour ce message,
Merci pour ta précieuse aide
Je viens d'effectuer par 2 fois la manoeuvre et lors de la validation
j'ai un message du type "impossible modifier Load : erreur lors de l'écriture du nouveau contenu de la valeur"....
c'est pénible mais au final je veux pas te faire perdre ton temps mon ordi marche bien, il n'est plus infecté on va dire que c'est pas très grave. Tant pis pour ce message,
selectionne ce texte :
command::
For %%a in (
"Load"
) do (
%Homedrive%\Pre_Scan\svchost.exe acl "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" /ge:f;d /p /q /oa >nul 2>&1 && (
%Homedrive%\Pre_Scan\svchost.exe query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" >nul &&(
%Homedrive%\Pre_Scan\svchost.exe Delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" )))
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
command::
For %%a in (
"Load"
) do (
%Homedrive%\Pre_Scan\svchost.exe acl "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" /ge:f;d /p /q /oa >nul 2>&1 && (
%Homedrive%\Pre_Scan\svchost.exe query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" >nul &&(
%Homedrive%\Pre_Scan\svchost.exe Delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" )))
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
voila
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1124 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
vanessa : Windows Vista (TM) Home Basic (32 bits)
Switchs : https://gen-hackman.kanak.fr/
New restorepoint created
Script : 19:48:02
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Command
Batch File Executed
¤
End : 19:48:03
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1124 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
vanessa : Windows Vista (TM) Home Basic (32 bits)
Switchs : https://gen-hackman.kanak.fr/
New restorepoint created
Script : 19:48:02
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Command
Batch File Executed
¤
End : 19:48:03
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
non c'est mon pc perso pourquoi?