infecté par winlongo

Question

bonsoir
mon pc sous seven est infecté par winlongo 
 

Malwarebytes Anti-Malware (PRO) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.21.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
eric :: PC-DE-ERIC [administrateur]

Protection: Activé

21/02/2013 21:02:52
MBAM-log-2013-02-21 (21-09-02).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 188210
Temps écoulé: 5 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit (Hijack.UserInit) -> Mauvais: (C:\Windows\system32\userinit.exe,C:\Users\eric\Documents\MSDCSC\msdcsc.exe) Bon: (userinit.exe) -> Aucune action effectuée.

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
merci de votre aide

Configuration: Windows 7 / Internet Explorer 9.0

Malekal_morte- · Answer

Salut,

"Aucune action effectuée" <= tu as bien supprimé ?

cireluz · Answer

bonsoir 
non aucune action effectué

Malekal_morte- · Answer

Ben supprime.

et ensuite :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

cireluz · Answer

voici le rapport
http://pjjoint.malekal.com/files.php?id=20130221_g13e15m8d15k6

Malekal_morte- · Answer

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
[2013/02/21 15:36:19 | 000,000,000 | -H-D | C] -- C:\Users\eric\Documents\MSDCSC 

* redemarre le pc sous windows et poste le rapport ici 


~~


Change tes mots de passe WEB.
ils ont dû etre récupérés.

cireluz · Answer

========== OTL ==========
C:\Users\eric\Documents\MSDCSC folder moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 02212013_224404
rien a changer je bloque toujours sur mozilla

Malekal_morte- · Answer

Ca doit être bon.
Change tes mots de passe et attention à ce que tu télécharges.

cireluz · Answer

je n'arrive toujourspas a utiliser mozilla je clique dessus et ils'ouvre mais des que je tape un lien sur favoris il s'ouvre et bloque dessus et je dois passer par ouvrir le gestionnaire des taches pour fermer mozila

Malekal_morte- · Answer

Exporte tes favoris : https://support.mozilla.org/fr/kb/exporter-marque-pages-firefox-fichier-html
Désinstalle Firefox
Fais une recherche de fichiers sur mozilla et firefox, supprime tout.
Réinstalle le.

cireluz · Answer

ok je vais trééssayer car je l'avais deja fait

cireluz · Answer

rien n'a changer toujours bloqué sur mozilla meme apres reinstallation
bizarre

Malekal_morte- · Answer

Dans le menu Outils / Modules Complémentaires et extensions.
Y a des extensions installées?

cireluz · Answer

oui il faut les supprimés?

cireluz · Answer

hello!!
toujours ce probleme avec mozilla ,apres desinstallation complete sans garder les informations et modules complementaires il  BUG toujours lors de la reinstallation:
je clique sur mozilla et il s'ouvre,je vais dans favoris et choisi votre site par exemple il s'ouvre puis reste bloqué il faut que je passe par la rubrique gestionnaire des taches pour le desactiver
il doit y avoir un virus ou autre qui me bloque mozilla non?

cireluz · Answer

oui j'ai utlise rogue killer et il a trouve 4 rogues, ces 4 rogues reviennent a chaque redemarrage j'ai utilisé ad r et il bloque a 5 pour cent donc je l'ai utilise en mode sans echec ,mais cela a rien changé pour mozilla RogueKiller V8.5.1 [Feb 21 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : eric [Droits d'admin] Mode : Recherche -- Date : 22/02/2013 11:40:53 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9160821AS ATA Device +++++ --- User --- [MBR] 7fc6a2a9b8284ad34eeb12ce28b271b2 [BSP] 163f53265e4e11eec6d040fa64791df0 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 140622 Mo 1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 288006144 | Size: 11998 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_22022013_114053.txt >> RKreport[1]_S_22022013_114053.txt RogueKiller V8.5.1 [Feb 21 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : eric [Droits d'admin] Mode : Suppression -- Date : 22/02/2013 11:42:58 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 4 ¤¤¤ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST9160821AS ATA Device +++++ --- User --- [MBR] 7fc6a2a9b8284ad34eeb12ce28b271b2 [BSP] 163f53265e4e11eec6d040fa64791df0 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 140622 Mo 1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 288006144 | Size: 11998 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_22022013_114258.txt >> RKreport[1]_S_22022013_114053.txt ; RKreport[2]_D_22022013_114258.txt

Malekal_morte- · Answer

Le rapport RogueKiller est correct.

Tu peux installer Google Chrome, il fonctionne ?

cireluz · Answer

pourquoi ? je veux travailer avec mozilla et non google chrome 
je te disais que les 4 rogues revenait a chaque demarrage il y a quelque chose!!

Malekal_morte- · Answer

y a pas de rogue.
Le rapport RogueKiller est correcte (seconde édition).
C'est juste des clefs dans le regsitre.


Firefox plante aussi en mode sans échec ?

cireluz · Answer

sans connection internet je pense pas qu'il demarre

cireluz · Answer

il ne faut pas crier ,je peux tres bien comprendre malgres mon ignorance en desinfection
alors j'ai le meme soucis en mode sans echec et malwarebytes desinstallé
completement fou cette situation

cireluz · Answer

non il n' y avait plus rien

Malekal_morte- · Answer

Essaye avec un nouveau profil voir ce que ça donne.
Essaye en mettant une version antérieure genre .17 ou .18 voir si ça fait pareil : https://www.oldapps.com/firefox.php

cireluz · Answer

meme combat
c'est dingue

cireluz · Answer

bon j'ai formater et apparemment mozilla fonctionne de nouveau, c'est incompréhensible, car je n'avais rien changé seul la mise a jour de mozilla ,java ,glary utility
j'avais quand meme fait une analyse via docteur web et il avait trouvé 2  virus qui commençaient:flash;;;;;;j'ai voulu faire une sauvegarde mais le fichier etait impossible a ouvrir(format ckv)
je poursuit les mises a jour windows 144!!!!
en attendant e résultat final 
au fait pourquoi je dois changer mes mots de passe sur le web qui avait il sur mon pc ?

cireluz · Answer

bonjour 
il s'agissait de quelle infection stp
car je pense que s'était izarc qui a contaminé le pc
de plus sur votre site il n'est pas bon le fichier izarc impossible a ouvrir 
merci et bon week end

Malekal_morte- · Answer

Rats => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Je pense pas qu'il y est un rapport avec izarc

cireluz · Answer

bonjour
et merci de ta réponse
j'ai un 2ieme pc tu crois qu'il pourrait être infecté également?
au vu de ton lien cela se fait sur le pc incriminé et effectivement l'explication de malekal correspond a ce qui a du se passer sur mon pc 
merci encore et bon week

Infecté par winlongo

27 réponses

Votre réponse

Discussions similaires

Newsletters