Aide virus Pum UserWLoad Résolu/Fermé

Question

Bonjour, 

Après 24h d'acharnement et de recherche sur internet, je me résouds à vaincre seul le virus Pum User Load et son cher compatriote Trojan. Comme d'autres précédemment, Malwarebytes le détecte, le supprime, mais il revient aussitot.

J'ai cru comprendre qu'il s'agissait d'un "exploit", j'ai donc remis à jour tous mes navigateurs et logiciels, mais rien ne change. Ayant vu que le probleme avait été le meme pour d'autres ici sur le forum, je cherche une ame charitable ayant un peu de temps ce matin pour m'aider à m'en débarasser, car mes connaissances limités en informatique ont été vaines face à ce virus.

Merci!


Pour commencer, voila mon rapport MalwareBytes:


--------------------------------------------------------------
Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.04.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
6ko :: 6KO-VAIO [administrateur]

Protection: Activé

06/03/2013 09:44:29
mbam-log-2013-03-06 (09-44-29).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 221920
Temps écoulé: 9 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\6ko\LOCALS~1\Temp\msvznqy.bat -> Suppression au redémarrage.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Ransom) -> Données: C:\Users\6ko\LOCALS~1\Temp\msvznqy.bat -> Suppression au redémarrage.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
-----------------------------------------------------------------------------------------------


Configuration: Windows 7 / Chrome 25.0.1364.152

Utilisateur anonyme · Answer

Bonjour

[*] Télécharger sur le bureau RogueKiller (by tigzy) Version 64
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

6ko35 · Answer

Wow! Impressionné par la rapidité de réponse! Merci, c'est top. Voilà le rapport RK: ----------------------------------------------------------------------------- RogueKiller V8.5.2 _x64_ [Feb 23 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : 6ko [Droits d'admin] Mode : Recherche -- Date : 06/03/2013 10:03:56 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 5 ¤¤¤ [SUSP PATH] A-1469738281.exe -- C:\Users\6ko\AppData\Roaming\A-1469738281.exe [-] -> TUÉ [TermProc] [SUSP PATH] duob.exe -- C:\Users\6ko\AppData\Roaming\Gimi\duob.exe [-] -> TUÉ [TermProc] [SUSP PATH] A-1469738281.exe -- C:\Users\6ko\AppData\Roaming\A-1469738281.exe [-] -> TUÉ [TermThr] [RESIDUE] A-1469738281.exe -- C:\Users\6ko\AppData\Roaming\A-1469738281.exe [-] -> TUÉ [TermProc] [RESIDUE] A-1469738281.exe -- C:\Users\6ko\AppData\Roaming\A-1469738281.exe [-] -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 12 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : Reluipr (C:\Users\6ko\AppData\Roaming\Gimi\duob.exe) [-] -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-3329284796-965089150-1986375118-1001[...]\Run : Reluipr (C:\Users\6ko\AppData\Roaming\Gimi\duob.exe) [-] -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\RunOnce : A-1469738281 ("C:\Users\6ko\AppData\Roaming\A-1469738281.exe") [-] -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-3329284796-965089150-1986375118-1001[...]\RunOnce : A-1469738281 ("C:\Users\6ko\AppData\Roaming\A-1469738281.exe") [-] -> TROUVÉ [SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\6ko\Local Settings\Temp\msvznqy.bat) [x] -> TROUVÉ [SHELL][SUSP PATH] HKUS\S-1-5-21-3329284796-965089150-1986375118-1001[...]\Windows : Load (C:\Users\6ko\Local Settings\Temp\msvznqy.bat) [x] -> TROUVÉ [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableTaskMgr (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : C:\Windows\Installer\{cf95e5d0-e200-d9bd-0d0b-7f7188561499}\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\Windows\Installer\{cf95e5d0-e200-d9bd-0d0b-7f7188561499}\L --> TROUVÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD5000BPVT-55HXZT3 +++++ --- User --- [MBR] 06503b5bc11031648ad5ce9a313cf2df [BSP] a83dcefc260340315de815007787991e : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 19355 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 39641088 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 39845888 | Size: 457483 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_06032013_100356.txt >> RKreport[1]_S_06032013_100356.txt -------------------------------------------------------------------------------------------

Utilisateur anonyme · Answer

Re

Relance RogueKiller option suppression et poste moi ce nouveau rapport

Merci
@+

6ko35 · Answer

Re, Le rapport en mode Suppression: ----------------------------------------------------------------------------------------- RogueKiller V8.5.2 _x64_ [Feb 23 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : 6ko [Droits d'admin] Mode : Suppression -- Date : 06/03/2013 10:10:27 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 5 ¤¤¤ [SUSP PATH] A-1469738281.exe -- C:\Users\6ko\AppData\Roaming\A-1469738281.exe [-] -> TUÉ [TermProc] [SUSP PATH] duob.exe -- C:\Users\6ko\AppData\Roaming\Gimi\duob.exe [-] -> TUÉ [TermProc] [SUSP PATH] A-1469738281.exe -- C:\Users\6ko\AppData\Roaming\A-1469738281.exe [-] -> TUÉ [TermThr] [RESIDUE] A-1469738281.exe -- C:\Users\6ko\AppData\Roaming\A-1469738281.exe [-] -> TUÉ [TermProc] [RESIDUE] A-1469738281.exe -- C:\Users\6ko\AppData\Roaming\A-1469738281.exe [-] -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 7 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : Reluipr (C:\Users\6ko\AppData\Roaming\Gimi\duob.exe) [-] -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\RunOnce : A-1469738281 ("C:\Users\6ko\AppData\Roaming\A-1469738281.exe") [-] -> SUPPRIMÉ [SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\6ko\Local Settings\Temp\msvznqy.bat) [x] -> SUPPRIMÉ [HJPOL] HKLM\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{cf95e5d0-e200-d9bd-0d0b-7f7188561499}\U --> SUPPRIMÉ [Del.Parent][FILE] 00000004.@ : C:\Windows\Installer\{cf95e5d0-e200-d9bd-0d0b-7f7188561499}\L\00000004.@ [-] --> SUPPRIMÉ [Del.Parent][FILE] 201d3dde : C:\Windows\Installer\{cf95e5d0-e200-d9bd-0d0b-7f7188561499}\L\201d3dde [-] --> SUPPRIMÉ [Del.Parent][FILE] 76603ac3 : C:\Windows\Installer\{cf95e5d0-e200-d9bd-0d0b-7f7188561499}\L\76603ac3 [-] --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{cf95e5d0-e200-d9bd-0d0b-7f7188561499}\L --> SUPPRIMÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD5000BPVT-55HXZT3 +++++ --- User --- [MBR] 06503b5bc11031648ad5ce9a313cf2df [BSP] a83dcefc260340315de815007787991e : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 19355 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 39641088 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 39845888 | Size: 457483 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_06032013_101027.txt >> RKreport[1]_S_06032013_100356.txt ; RKreport[2]_D_06032013_101027.txt ------------------------------------------------------------------------------------------------

Utilisateur anonyme · Answer

Re

Tu disposes de Malwaresbytes;met le à jour et lance une analyse complète de ton PC et poste moi ensuite son rapport

Merci

@+

6ko35 · Answer

Re, 

Malwwarebytes ne détecte plus rien!

Le rapport:

--------------------------------------------------------------------------------------
Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.03.04.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
6ko :: 6KO-VAIO [administrateur]

Protection: Activé

06/03/2013 10:15:06
mbam-log-2013-03-06 (10-15-06).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 669263
Temps écoulé: 3 heure(s), 31 minute(s), 59 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

-----------------------------------------------------------------------------

Utilisateur anonyme · Answer

Re

1)Vide la quarantaine de Malwaresbytes

2) Télécharge DelFix de Xplode

Lance le.
* A l'invite par défaut,  [Supprimer les outils de désinfection]  
Le rapport se trouve ici généralement
C:\DelFix.txt 

3) Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques ou clic droit sous Vista ;Seven et Windows 8 sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.


4)Purge la restauration sur Seven
Comment faire :

http://www.forum-seven.com/forum/

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections



 @+

6ko35 · Answer

Merci infiniment!

Utilisateur anonyme · Answer

Re

Ton problème est donc résolu;
je te propose donc de clore ce post

@+

eloit · Answer

Bonjour j'ai le même problème en effet lorsque je veut me connecte sur une des pc en réseau soit sa prend du temps avant de d'accédre soit elle je n'ai même pas accès j'ai réinstallé le systéme d'exploitation du pc plusieurs  plusieurs fois  sans succès et actuellement j'ai trois machines qui ont le même probléme
j'ai utiliser la méthode de Guillaume5188 sans sucés. j'implore votre aide
rapport de scan de malwaresantibytes :
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.05.09.08

Windows XP Service Pack 3 x86 NTFS (Mode sans échec)
Internet Explorer 6.0.2900.5512
po :: OK [administrateur]

10/05/2014 10:44:56
MBAM-log-2014-05-10 (12-59-24) avanst suppression.txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 283433
Temps écoulé: 2 heure(s), 7 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAM FILES\FICHIERS COMMUNS\SPIGOT\SEARCH SETTINGS\SEARCHSETTINGS.EXE (PUP.Optional.Spigot.A) -> Données: 1 -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SearchSettings (PUP.Optional.Spigot.A) -> Données: "C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe" -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\PROGRAM FILES\FICHIERS COMMUNS\SPIGOT\SEARCH SETTINGS\{58D2A791-6199-482F-A9AA-9B725EC61362}.XPI (PUP.Optional.Spigot.A) -> Données: 1 -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 3
C:\Program Files\Fichiers communs\Spigot\Search Settings (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\Lang (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\Res (PUP.Optional.Spigot.A) -> Aucune action effectuée.

Fichier(s) détecté(s): 19
C:\Program Files\Fichiers communs\Spigot\Search Settings\baidu_ff.xml (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\baidu_ie.xml (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\config.ini (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\searchcom_ff.xml (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\searchcom_ie.xml (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings.exe (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\SearchSettings64.exe (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\wth181.dll (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\wthx181.dll (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\yahoo_ff.xml (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\yahoo_ie.xml (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\yandex_ff.xml (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\yandex_ie.xml (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\{58d2a791-6199-482f-a9aa-9b725ec61362}.xpi (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\Lang\res1031.ini (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\Lang\res1033.ini (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\Lang\res1034.ini (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\Lang\res1036.ini (PUP.Optional.Spigot.A) -> Aucune action effectuée.
C:\Program Files\Fichiers communs\Spigot\Search Settings\Lang\res1040.ini (PUP.Optional.Spigot.A) -> Aucune action effectuée.

(fin)

Aide virus Pum UserWLoad

10 réponses

Discussions similaires