VirTool:Win32/Obfuscator.XZ
Résolu/Fermé7 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 mars 2013 à 13:26
11 mars 2013 à 13:26
Salut,
Spybot sert à rien.
C'est Windows Defender qui détecte cela ?
Plus d'infos ?
Pour voir :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Spybot sert à rien.
C'est Windows Defender qui détecte cela ?
Plus d'infos ?
Pour voir :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Merci pour ta réponse.
Windows defender ne le detecte pas non plus, c'est windows live onecare qui le trouve.
Quelles infos supplémentaires te faut-il? j'ai déjà trouver 2 spywares depuis qui se sont introduits, mais ils sont théoriquement supprimés. J'ai fait un scan avec rkill pour voir les processus dangereux mais il n'a rien trouvé.
Je fais le scan OTL et je reviens vers toi
Windows defender ne le detecte pas non plus, c'est windows live onecare qui le trouve.
Quelles infos supplémentaires te faut-il? j'ai déjà trouver 2 spywares depuis qui se sont introduits, mais ils sont théoriquement supprimés. J'ai fait un scan avec rkill pour voir les processus dangereux mais il n'a rien trouvé.
Je fais le scan OTL et je reviens vers toi
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 mars 2013 à 13:53
11 mars 2013 à 13:53
A mon avis, c'est rien de grave.
Sinon Malwarebyte le détecterait.
Fais OTL histoire de valider que le PC n'est pas infecté.
Sinon Malwarebyte le détecterait.
Fais OTL histoire de valider que le PC n'est pas infecté.
ok, tu me rassures.
Ce qui m'intrigue c'est que mon pc rame et des fois même il se fige, alors que ça ne lui arrivait jamais.
Et surtout ces 2 spyware :
je fais un scan spybot, rien.
Je fais un 2eme scan quelques jours après sans être aller sur des sites frauduleux ou avoir telechargé quoi que ce soit et il en trouve 1..! Je le supprime.
Je refais un scan quelques jours après à nouveau avec spybot et il trouve un nouveau spyware (non détecté au scan précédent) et sachant qu'une fois de plus je n'ai quasiment pas touché au pc...
le scan OTL est en cours
Ce qui m'intrigue c'est que mon pc rame et des fois même il se fige, alors que ça ne lui arrivait jamais.
Et surtout ces 2 spyware :
je fais un scan spybot, rien.
Je fais un 2eme scan quelques jours après sans être aller sur des sites frauduleux ou avoir telechargé quoi que ce soit et il en trouve 1..! Je le supprime.
Je refais un scan quelques jours après à nouveau avec spybot et il trouve un nouveau spyware (non détecté au scan précédent) et sachant qu'une fois de plus je n'ai quasiment pas touché au pc...
le scan OTL est en cours
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 mars 2013 à 14:05
11 mars 2013 à 14:05
Spybot sert à rien.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila les rapports
http://pjjoint.malekal.com/files.php?id=20130311_e12p9l5k6j8
http://pjjoint.malekal.com/files.php?id=20130311_o8j14n5w6e8
http://pjjoint.malekal.com/files.php?id=20130311_e12p9l5k6j8
http://pjjoint.malekal.com/files.php?id=20130311_o8j14n5w6e8
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 mars 2013 à 14:40
11 mars 2013 à 14:40
Pas infecté.
Désinstalle Spybot.
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2012/07/09 20:44:59 | 000,000,288 | ---- | C] () -- C:\Users\Nico\AppData\Roaming\.backup.dm
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jerecherche.org/keyword/
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jerecherche.org
[2012/03/18 10:30:09 | 000,040,436 | ---- | M] () -- \searchplugins\jerecherche.xml
* redemarre le pc sous windows et poste le rapport ici
Désinstalle Spybot.
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2012/07/09 20:44:59 | 000,000,288 | ---- | C] () -- C:\Users\Nico\AppData\Roaming\.backup.dm
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.jerecherche.org/keyword/
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.jerecherche.org
IE - HKU\S-1-5-21-3829750936-3858434420-2396064895-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.jerecherche.org
[2012/03/18 10:30:09 | 000,040,436 | ---- | M] () -- \searchplugins\jerecherche.xml
* redemarre le pc sous windows et poste le rapport ici
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 mars 2013 à 15:00
11 mars 2013 à 15:00
Pour ce qui est du malware détecté dans le titre.
Si tu ne donnes pas plus d'informations, je ne pourrai pas t'aider.
Notamment le fichier qui est détecté.
Si tu ne donnes pas plus d'informations, je ne pourrai pas t'aider.
Notamment le fichier qui est détecté.
Comme je te l'ai dit plus haut, je n'ai pas plus d'info. j'ai lancé un scan avec windows live onecare safety scanner online, qui a détecté ce virus mais il ne donne pas l'emplacement et ne le corrige pas non plus.
Windows defender ne le détecte pas. Avira non plus.
Du coup j'ai relancé le scan avec windows live onecare safety scanner online pour être sûr et il l'a encore détecté...
Je ne sais pas trop où regarder pour te donner davantage d'informations... Peux tu m'orienter?
je poste le rapport OTL de suite
Windows defender ne le détecte pas. Avira non plus.
Du coup j'ai relancé le scan avec windows live onecare safety scanner online pour être sûr et il l'a encore détecté...
Je ne sais pas trop où regarder pour te donner davantage d'informations... Peux tu m'orienter?
je poste le rapport OTL de suite
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 mars 2013 à 15:36
11 mars 2013 à 15:36
Malwarebyte OK
Widnows Defender OK
Avira OK
OTL OK
Juste cette détection, mais aucune info.
Pour moi le PC n'est pas infecté.
Widnows Defender OK
Avira OK
OTL OK
Juste cette détection, mais aucune info.
Pour moi le PC n'est pas infecté.
Voilà le rapport
http://pjjoint.malekal.com/files.php?id=20130311_i14i15f6q5u13
Si j'ai bien compris ces corrections s'appliquent à internet explorer, mais j'utilise uniquement google chrome... c'est normal?
http://pjjoint.malekal.com/files.php?id=20130311_i14i15f6q5u13
Si j'ai bien compris ces corrections s'appliquent à internet explorer, mais j'utilise uniquement google chrome... c'est normal?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 mars 2013 à 15:35
11 mars 2013 à 15:35
oui c'est normal.
