TR/Dldr.andromedia.EBJ.2. virus

Résolu/Fermé
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014 - 22 nov. 2012 à 17:14
 Utilisateur anonyme - 29 nov. 2012 à 21:34
Bonjour,



Je me permets de vous embeter car mon antivirus vient de détecté un virus hier
TR/Dldr.andromedia.EBJ.2.
Je suis sous vista.
Tout d'abord j'ai eu un message de ce type :
C:\windows\system32\wuauclt.exe

J'ai fais un scan avec antivir qui ne detecte rien d'anormal, puis j'ai fais un scan avec zhpdiag dont voici le scan
http://cjoint.com/12nv/BKuuGOJFlRO.htm

Je viens de rallumer mon pc que je trouve extrêmement lent (il n'était déjà pas trop rapide mais bon...)
La seule différence par rapport à hier matin c'est un message qui apparait lors de la page d'accueil qui est :
crsss.exe a cessé de fonctionner.
de plus je viens de voir que mon antivirus me prévient

TR/Dldr.andromedia.EBJ.2 a été détecté....

dans un de mes dossiers j'ai découvert des programmes impossibles à effacer du style ntuser.dat etc...

j'ai chargé malwarebaytes qui m'a trouvé 12 nuisibles que j'ai supprimé mais après un autre scan, 2 susistaient.

je ne sais plus trop quoi faire, on m'a conseillé de faire une restauration de système, qu'en pensez vous?

Merci d'avance pour vos réponses
A voir également:

55 réponses

Utilisateur anonyme
24 nov. 2012 à 17:52
desinstalle adobe reader 9

c'est un pc d'entreprise ?
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 18:25
ok pour adobe 9
non c'est mon pc perso pourquoi?
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 18:39
c'est fait
0
Utilisateur anonyme
24 nov. 2012 à 19:04
Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BKyteocSOUF

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
Modifié par tibich le 24/11/2012 à 21:01
ok j'ai fais ce que tu m'as dis mais cela ne m'a pas ouvert de fenetre noire dois je relancer le scan de pre script une fois copié le texte?

bon j'ai refais la manip cela me donne un message

Line7297(File"C:\Users\v.\Desktop\Pre_Scan.pif") : Error : error parsing function call
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
24 nov. 2012 à 21:08
bizarre j'ai rien qui puisse faire une erreur sur cette ligne....
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 21:10
je peux recommencer si tu veux
0
Utilisateur anonyme
24 nov. 2012 à 21:15
poste le rapport qui est dans C:\ voir ?
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 21:19
je crains que ce soit le rapport que j'ai déjà transmis, il n'y a rine d'uatre dans le c:\
https://www.cjoint.com/?BKyvrwqX1CB

j'ai refais la manip toujours le meme message, se pourrait-il que ce soit du au parefeu ou antivirus je ne les ai pas déconnecté pour faire la manip
0
Utilisateur anonyme
24 nov. 2012 à 21:21
retelecharge-le et reessaie
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 21:23
ok
par contre j'ai remarqué que j'ai des logos de personnages qui sont apparus sur certaines de mes icones de mon bureau!
0
Utilisateur anonyme
24 nov. 2012 à 21:30
oui c'est l'UAC qui s'est reactivée
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 21:38
0
Utilisateur anonyme
24 nov. 2012 à 21:45
ok des soucis persistent ?
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 21:48
tout à l'air d'aller bien hormis ce message lors de l'ouverture
0
Utilisateur anonyme
24 nov. 2012 à 21:51
Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape msafpmap.com

dans cette fenêtre

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 22:00
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 21:53:50 le 24/11/2012
4.
5. Valeur(s) recherchée(s):
6. msafpmap.com
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKU\S-1-5-21-2464530818-3667802730-2290125323-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows]
21. "Load"="C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com" (REG_SZ)
22.
23. =========================
24.
25. Fin à: 21:59:18 le 24/11/2012
26. 388996 Éléments analysés
27.
28. =========================
29. E.O.F
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
24 nov. 2012 à 22:10
rha cette valeur load !
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 22:12
ça veut dire quoi?
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
24 nov. 2012 à 22:19
t'inquiète g3n va te la faire sauter et tu n'auras plus le message d'erreur au démarrage ;)
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
24 nov. 2012 à 22:21
ok merci
0
et sans script !! ^^

touche windows + R

tape RegEdit

déplie avec les petits "+"

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Windows
clique gauche sur "windows"

à droite : double clique sur "Load"

supprime ceci : "C:\Users\vanessa\LOCALS~1\Temp\msafpmap.com"

et laisse en blanc

valide et redemarre le pc ^^
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
25 nov. 2012 à 10:19
Bonjour,

Merci pour ta précieuse aide

Je viens d'effectuer par 2 fois la manoeuvre et lors de la validation

j'ai un message du type "impossible modifier Load : erreur lors de l'écriture du nouveau contenu de la valeur"....

c'est pénible mais au final je veux pas te faire perdre ton temps mon ordi marche bien, il n'est plus infecté on va dire que c'est pas très grave. Tant pis pour ce message,
0
Utilisateur anonyme
25 nov. 2012 à 11:00
ok

clique droit sur load , puis supprimer
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
25 nov. 2012 à 11:11
ça me met impossible de supprimer cette valeur
0
selectionne ce texte :

command::
For %%a in (
"Load"
) do (
%Homedrive%\Pre_Scan\svchost.exe acl "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" /ge:f;d /p /q /oa >nul 2>&1 && (
%Homedrive%\Pre_Scan\svchost.exe query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" >nul &&(
%Homedrive%\Pre_Scan\svchost.exe Delete "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /v "%%~a" )))


Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 nov. 2012 à 12:07
t'as merdé ton switch ^^
0
Utilisateur anonyme
25 nov. 2012 à 12:26
pas compris...
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 nov. 2012 à 12:27
tricheur :p
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
25 nov. 2012 à 19:49
voila

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1124 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

vanessa : Windows Vista (TM) Home Basic (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 19:48:02

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ | Command

Batch File Executed

¤


End : 19:48:03

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Utilisateur anonyme
25 nov. 2012 à 20:47
voila normalement la valeur Load a dégagé
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
25 nov. 2012 à 21:58
j'aimerai bien
j'ai refait les 2 manips précédentes et j'ai toujours ce même message d'erreur
merci quand même.
l'important c'est que mon ordi soit clean
0
Utilisateur anonyme
25 nov. 2012 à 22:27
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
0
tibich Messages postés 60 Date d'inscription jeudi 22 novembre 2012 Statut Membre Dernière intervention 11 juin 2014
Modifié par tibich le 26/11/2012 à 22:22
0