Upnp.exe ? Virus ? Svp ?
Résolu
-Helice-
Messages postés
148
Date d'inscription
Statut
Membre
Dernière intervention
-
-Helice- Messages postés 148 Date d'inscription Statut Membre Dernière intervention -
-Helice- Messages postés 148 Date d'inscription Statut Membre Dernière intervention -
Bonjour, depuis pas très longtemps, un fichier "upnp.exe" est apparu dans %temp% (appdata\local) et malwarebytes me dit "Backdoor.Daromec" et je me suis renseigné vite fait, j'ai vu que c'etait un truc pour bitcomet (que je n'ai pas sur mon Disque dur) et que normalement ce fichier n'apparait pas dans le dossier %temp% donc est-ce que c'est un fichier caché ? un rootkit ? j'ai beau le supprimer il revient ce c*n :(
Merci de votre aide :)
Merci de votre aide :)
A voir également:
- Upnp.exe ? Virus ? Svp ?
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
6 réponses
Salut,
C'est pas plutôt Backdoor.Darkcomet ?
C't'un rat :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
C'est pas plutôt Backdoor.Darkcomet ?
C't'un rat :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Merci de la réponse, j'avais fait suppression avec malwarebytes du coup le fichier n'est plus dans %temp%, c'est grave ? Et le nom de l'infection était vraiment bien "Daromec".
Je fais le scan, merci de l'aide.
Je fais le scan, merci de l'aide.
Tous tes mots de passe WEB (Facebook, mail etc) ont été récupérés.
Faut les changer.
Fais le scan OTL.
Faut les changer.
Fais le scan OTL.
Re, liens:
Log OTL: https://pjjoint.malekal.com/files.php?read=20130228_11t6m13b10z13
Extras: https://pjjoint.malekal.com/files.php?read=20130228_s14h10d13g5d9
EDIT:
J'ai un fichier 'FXSAPIDebugLog.txt' (non supprimable car utilisé par une autre ressource) dans mon %temp%, j'ai cherché et j'ai vu que c'etait un fichier du service "Spouleur d'impression"
description: "Charge les fichiers en mémoire pour une impression ultérieure"
Je n'ai rien demandé d'imprimer (je n'ai pas l'imprimante branchée, ouf) ... et pourtant je n'avais pas ce fichier ici avant le upnp, une requete d'impression via upnp.exe ? Enfin après je me complique l'esprit pour chercher loin, si ça se trouve ce n'est rien ^^
Log OTL: https://pjjoint.malekal.com/files.php?read=20130228_11t6m13b10z13
Extras: https://pjjoint.malekal.com/files.php?read=20130228_s14h10d13g5d9
EDIT:
J'ai un fichier 'FXSAPIDebugLog.txt' (non supprimable car utilisé par une autre ressource) dans mon %temp%, j'ai cherché et j'ai vu que c'etait un fichier du service "Spouleur d'impression"
description: "Charge les fichiers en mémoire pour une impression ultérieure"
Je n'ai rien demandé d'imprimer (je n'ai pas l'imprimante branchée, ouf) ... et pourtant je n'avais pas ce fichier ici avant le upnp, une requete d'impression via upnp.exe ? Enfin après je me complique l'esprit pour chercher loin, si ça se trouve ce n'est rien ^^
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
c'est bon.
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.
Faire attention à ce que vous téléchargez
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.
Faire attention à ce que vous téléchargez
