Virus PUM et Trojan.Ransom Résolu

Question

Bonjour à tous,  

j'ai plusieurs virus depuis quelques jours et ces derniers reviennent continuellement malgré les suppressions de Antivir et Malwarebytes 

Avira Antivir me trouve : 

- TR/Rogue.kfv.787615 Trojan 

Malwarebytes : 

- PUM.userWload 
- Trojan.Ransom 

Est-ce qu'ils sont dangereux, et surtout comment puis-je les supprimer définitivement ? 

Merci d'avance et un grand bravo à toute l'équipe de ce super site. 

Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log

Pazzzz · Answer

bonsoin Gen, merci de votre aide, voici le lien du scan  

https://www.cjoint.com/?3KytlQFs0YT  

et le fichier process  

https://www.cjoint.com/?3KytoJ1zlZz

g3n-h@ckm@n · Answer

selectionne ce texte :

Del_Part::
0

 Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Pazzzz · Answer

voici :

https://www.cjoint.com/?3KytORtCZR1

g3n-h@ckm@n · Answer

ca commence à le faire.........;

relance l'outil clique sur Diag  heberge le rapport et donne le lien

Pazzzz · Answer

voila le diag

https://www.cjoint.com/?3KyuifAOT8M

g3n-h@ckm@n · Answer

je peux avoir le dernier rapport de malxarebytes effectué ?

Pazzzz · Answer

biensur le voici: 

https://www.cjoint.com/?3KyuBldvWAu 

c'est le dernier, j'en ai fait 3 à la suite et ces 2 infections revenaient à chaque fois 


juste avant j'ai eu ce résultat avec un tas d'infections : 

https://www.cjoint.com/?3KyuFaLrTWf

g3n-h@ckm@n · Answer

relance pre_scan option Scan|Kill

je comprends pas pourquoi il a rien fait il est programmé pour ca

Pazzzz · Answer

effectivement c'est étrange !

voici le rapport :

https://www.cjoint.com/?3Kyvf2lKyCH

g3n-h@ckm@n · Answer

relance Pre_Scan , clic sur DiaG , heberge le rapport et donne le lien

Pazzzz · Answer

voila :

https://www.cjoint.com/?3KyvX15AYI9

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

Pazzzz · Answer

voila:

https://www.cjoint.com/?3KywvkvmrEe

g3n-h@ckm@n · Answer

bien encore des soucis ?

Pazzzz · Answer

tout à l'air parfait!

merci Gen!

g3n-h@ckm@n · Answer

le menage : 

 https://gen-hackman.kanak.fr/ 
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

juju666 · Answer

embarqué c'est pesé ! 
quel pro ce g3n :)

Pazzzz · Answer

encore merci, en effet il est trop fort!

Pazzzz · Answer

Salut Gen,

j'ai fait le ménage en suivant ton lien

là je viens d'effectuer un scan rapide avec Malwarebytes et... je retrouve mes deux infections !

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\Mehdi\LOCALS~1\Temp\mslqcnzn.com -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\Mehdi\LOCALS~1\Temp\mslqcnzn.com -> Aucune action effectuée.

g3n-h@ckm@n · Answer

tu supprimes jamais ?

Pazzzz · Answer

si à chaque fois, le pc me demande même de redémarrer pour bien supprimer

mais cela revient !

g3n-h@ckm@n · Answer

ce fichier n'existe pourtant plus...?

C:\Users\Mehdi\LOCAL Settings\Temp\mslqcnzn.com

Pazzzz · Answer

je supprime mais ça revient !

Pazzzz · Answer

les fichiers sont supprimés mais malwarebytes me les détecte

g3n-h@ckm@n · Answer

tu peux repondre à ma question ?

Pazzzz · Answer

dans le dossier en question je ne vois pas ce fichier, j'ai fait supprimer à chaque fois, mais si malwarebytes me le détecte c'est que ce fichier existe encore ?

Pazzzz · Answer

ça peut m'aider ça ?

http://support.kaspersky.com/fr/faq/?qid=208282276

g3n-h@ckm@n · Answer

alors c'est juste la clé qui est detectée

Pazzzz · Answer

ce n'est rien alors ?

g3n-h@ckm@n · Answer

ben si , si elle revient c'est qu'il y a un souci

Pazzzz · Answer

tu as une solution ?

ou faut-il formater ?

Pazzzz · Answer

je tente le scan du logiciel proposé dans le lien ci-dessus par kaspersky

g3n-h@ckm@n · Answer

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe. (pour les utilisateurs de windows Vista , windows 7 , windows 8 , clique droit => executer en tant qu'administrateur" 

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

Pazzzz · Answer

voilà, j'en ai fait 2 car je n'avais pas assez de ports usb

https://www.cjoint.com/?3KAh0PHEPxV

https://www.cjoint.com/?3KAh1tMgyqK

g3n-h@ckm@n · Answer

il a dit quoi le truc de kaspersky ? rien je presume

Pazzzz · Answer

apparament il m'a détecté 909 objets suspects... mais n'a rien supprimé

je suis bon pour un formatage ?

g3n-h@ckm@n · Answer

dis m'en plus

Pazzzz · Answer

en fait rien du tout, les 909 objets suspects correspondent... à des fichiers que j'ai sur mon disque dur depuis des lustres (photos, fichiers word, pdf, mp3...)

donc on est pas plus avancé

g3n-h@ckm@n · Answer

le nom des infections trouvées stp

Pazzzz · Answer

le rapport mentionne :

Unknown Trojan-Ransom.Win32.Rector modification

g3n-h@ckm@n · Answer

mais il sont modifiés ces fichiers ? tu ne peux pas les ouvrir ?

Pazzzz · Answer

non ils ne le sont pas et je peux tout ouvrir, je n'ai aucun symptome d'un quelconque virus, mais j'ai Trojan Ranson et PumWload trouvé à chaque fois dans Walwarebytes

g3n-h@ckm@n · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : https://www.cjoint.com/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://cjoint.com/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Pazzzz · Answer

voici l'archive

https://www.cjoint.com/?3KBljnkb1ZH

g3n-h@ckm@n · Answer

il a fait l analyse complete sur tous tes disques aussi ?

Pazzzz · Answer

tu veux dire mes clés usb et dd externes ? non, je ne les avais pas branchés

Pazzzz · Answer

voilà l'archive pour l'analyse des premières clés

une deuxième suivra avec les autres supports

https://www.cjoint.com/?3KCmIx8aDkd

Pazzzz · Answer

la deuxième archive

https://www.cjoint.com/?3KCtxSiY5JD

g3n-h@ckm@n · Answer

redonne un rapport d'analyse de malwarebytes ?

Pazzzz · Answer

Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.11.28.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Mehdi :: MEHDI-PC [administrateur]

28/11/2012 12:36:38
mbam-log-2012-11-28 (12-36-38).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 235232
Temps écoulé: 7 minute(s), 41 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\Mehdi\LOCALS~1\Temp\mslqcnzn.com -> Suppression au redémarrage.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\Mehdi\LOCALS~1\Temp\mslqcnzn.com -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

essaie de le passer en mode sans echec

Pazzzz · Answer

c'est pareil !

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

Pazzzz · Answer

le fichier otl :

https://www.cjoint.com/?3KCwrp2QCqx

le fichier extra :

https://www.cjoint.com/?3KCwrSy1JfF

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous "Personnalisation" : 
 

:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe 

:OTL 
IE - HKLM\..\SearchScopes,DefaultScope =  
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error. 
IE - HKCU\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}      
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found. 
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {71576546-354D-41C9-AAE8-31F2EC22BF0D} - No CLSID value found. 
F3 - HKCU WinNT: Load - (C:\Users\Mehdi\LOCALS~1\Temp\mslqcnzn.com) -  File not found 
F3 - HKCU WinNT: Load - (C:\Users\Mehdi\LOCALS~1\Temp\mslqcnzn.com) -  File not found 
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} http://fichiers.touslesdrivers.com/maconfig/MaConfig_5_1_2_3.cab (Reg Error: Key error.)  

:Files 
C:\Users\Mehdi\Documents\Windows  


:commands 
[CLEARALLRESTOREPOINTS] 
[emptytemp] 
[start explorer] 
[reboot] 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 
  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Pazzzz · Answer

voici :

https://www.cjoint.com/?3KCwT5eXh9f

g3n-h@ckm@n · Answer

qu'en dit mbam ?

Pazzzz · Answer

Rien à signaler pour l'analyse rapide, c'est OK !

je ferai une analyse complète demain pour contrôler, puis je ferai le ménage comme préconisé auparavant

Pazzzz · Answer

ça a l'air OK, je te tiens au courant 2m1

en tout cas, merci beaucoup !!!

g3n-h@ckm@n · Answer

ok

Pazzzz · Answer

L'analyse complète de mbam ne détecte rien, je pense que le problème est résolu!

encore merci !

g3n-h@ckm@n · Answer

ok on a pas fait le menage il me semlbe

https://gen-hackman.kanak.fr/

Pazzzz · Answer

voilà c'est terminé, enfin tranquille ;-D

merci Gen!

Virus PUM et Trojan.Ransom

64 réponses

Discussions similaires

Newsletters