Upnp.exe ? Virus ? Svp ?
Résolu/Fermé
-Helice-
Messages postés
148
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
27 février 2014
-
28 févr. 2013 à 10:45
-Helice- Messages postés 148 Date d'inscription mercredi 4 mai 2011 Statut Membre Dernière intervention 27 février 2014 - 28 févr. 2013 à 12:22
-Helice- Messages postés 148 Date d'inscription mercredi 4 mai 2011 Statut Membre Dernière intervention 27 février 2014 - 28 févr. 2013 à 12:22
A voir également:
- Upnp.exe ? Virus ? Svp ?
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Tinyurl.com virus - Forum Virus
- Virus mcafee - Accueil - Piratage
6 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
28 févr. 2013 à 10:50
28 févr. 2013 à 10:50
Salut,
C'est pas plutôt Backdoor.Darkcomet ?
C't'un rat :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
C'est pas plutôt Backdoor.Darkcomet ?
C't'un rat :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
-Helice-
Messages postés
148
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
27 février 2014
93
28 févr. 2013 à 11:08
28 févr. 2013 à 11:08
Merci de la réponse, j'avais fait suppression avec malwarebytes du coup le fichier n'est plus dans %temp%, c'est grave ? Et le nom de l'infection était vraiment bien "Daromec".
Je fais le scan, merci de l'aide.
Je fais le scan, merci de l'aide.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
28 févr. 2013 à 11:10
28 févr. 2013 à 11:10
Tous tes mots de passe WEB (Facebook, mail etc) ont été récupérés.
Faut les changer.
Fais le scan OTL.
Faut les changer.
Fais le scan OTL.
-Helice-
Messages postés
148
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
27 février 2014
93
Modifié par -Helice- le 28/02/2013 à 12:09
Modifié par -Helice- le 28/02/2013 à 12:09
Re, liens:
Log OTL: https://pjjoint.malekal.com/files.php?read=20130228_11t6m13b10z13
Extras: https://pjjoint.malekal.com/files.php?read=20130228_s14h10d13g5d9
EDIT:
J'ai un fichier 'FXSAPIDebugLog.txt' (non supprimable car utilisé par une autre ressource) dans mon %temp%, j'ai cherché et j'ai vu que c'etait un fichier du service "Spouleur d'impression"
description: "Charge les fichiers en mémoire pour une impression ultérieure"
Je n'ai rien demandé d'imprimer (je n'ai pas l'imprimante branchée, ouf) ... et pourtant je n'avais pas ce fichier ici avant le upnp, une requete d'impression via upnp.exe ? Enfin après je me complique l'esprit pour chercher loin, si ça se trouve ce n'est rien ^^
Log OTL: https://pjjoint.malekal.com/files.php?read=20130228_11t6m13b10z13
Extras: https://pjjoint.malekal.com/files.php?read=20130228_s14h10d13g5d9
EDIT:
J'ai un fichier 'FXSAPIDebugLog.txt' (non supprimable car utilisé par une autre ressource) dans mon %temp%, j'ai cherché et j'ai vu que c'etait un fichier du service "Spouleur d'impression"
description: "Charge les fichiers en mémoire pour une impression ultérieure"
Je n'ai rien demandé d'imprimer (je n'ai pas l'imprimante branchée, ouf) ... et pourtant je n'avais pas ce fichier ici avant le upnp, une requete d'impression via upnp.exe ? Enfin après je me complique l'esprit pour chercher loin, si ça se trouve ce n'est rien ^^
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
28 févr. 2013 à 12:17
28 févr. 2013 à 12:17
c'est bon.
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.
Faire attention à ce que vous téléchargez
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.
Faire attention à ce que vous téléchargez
-Helice-
Messages postés
148
Date d'inscription
mercredi 4 mai 2011
Statut
Membre
Dernière intervention
27 février 2014
93
28 févr. 2013 à 12:22
28 févr. 2013 à 12:22
Merci malekal pour cette patience, je vais changer les mots de passe, je ferais signe si cette saleté revient.
Bonne journée
Bonne journée
