Ainslot.aa ver

sebastien -  
mafekire Messages postés 13 Statut Membre -
Bonjour,

mon ordinateur a été infecter par se ver et je n'arrive pas a le supprimer

14 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge ce tool : http://batchdhelus.open-web.fr/programme/MalwaresUploader.exe
    Puis tu coches Malekal à gauche
    Dans le cadre en bas, copie/colle les chemins des fichiers suivants :

    C:\Users\Sébastien\AppData\Local\Temp\wdfngr.exe
    C:\Users\Sébastien\AppData\Roaming\rootinis.exe
    C:\Users\Sébastien\AppData\Roaming\TPVNC92rufiasumis.exe


    et tu clics sur Upload en bas.

    ~~

    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    IE - HKLM\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2535290
    IE - HKU\S-1-5-21-594139606-4108576397-1512714219-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2535290
    IE - HKU\S-1-5-21-594139606-4108576397-1512714219-1001\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2535290
    FF - prefs.js..browser.search.defaulturl: http://search.conduit.com/ResultsExt.aspx?ctid=CT3202918&SearchSource=3&q={searchTerms}
    FF - prefs.js..keyword.URL: http://search.conduit.com/ResultsExt.aspx?ctid=CT3202918&SearchSource=2&q=
    O20 - HKU\S-1-5-21-594139606-4108576397-1512714219-1001 Winlogon: Shell - (C:\Users\Sébastien\AppData\Local\Temp\wdfngr.exe) - C:\Users\Sébastien\AppData\Local\Temp\wdfngr.exe (Microsoft Corporation)
    [2013-03-31 22:35:00 | 000,118,799 | ---- | C] (rgggegeg) -- C:\Users\Sébastien\AppData\Roaming\W6N6STZROFrufiasumis.exe
    [2011-04-14 01:24:49 | 000,055,632 | ---- | C] (Microsoft Corporation) -- C:\Users\Sébastien\AppData\Roaming\rootinis.exe
    [2013-04-01 10:00:06 | 000,000,000 | ---- | M] () -- C:\Users\Sébastien\AppData\Roaming\TPVNC92rufiasumis.exe
    [2010-11-14 03:54:43 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\913FF2745D0BBD7D405066D823B78344
    [2012-09-17 22:35:10 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Appz
    [2012-03-08 09:02:38 | 000,000,000 | ---D | M] -- C:\Users\Sébastien\AppData\Roaming\Media Finder
    :reg
    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="explorer.exe"


    * redemarre le pc sous windows et poste le rapport ici

    ~~

    Zip le dossier C:\OTL
    envoie le zip sur http://upload.malekal.com
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    y a encore des m*rdes :

    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    ActiveX: {DABADECB-DB7C-1B9E-04D9-AFFBEABD4AD5} -
    [2013-03-31 14:57:49 | 004,822,208 | RH-- | C] (Macromedia, Inc.) -- C:\Users\Sébastien\AppData\Roaming\first_time.exe
    [2013-04-03 13:56:45 | 000,046,589 | ---- | M] () -- C:\Users\Sébastien\AppData\Roaming\initroot
    [2010-11-04 21:57:27 | 000,055,632 | ---- | M] (Microsoft Corporation) -- C:\Users\Sébastien\AppData\Roaming\rootinis.exe
    [2013-03-31 15:07:22 | 000,953,344 | ---- | M] () -- C:\Users\Sébastien\AppData\Roaming\Mining\coin-miner.exe
    [2013-04-02 20:03:22 | 000,122,880 | ---- | M] (rufiosis) -- C:\Users\Sébastien\AppData\Roaming\Mining\parusuis.exe
    :folder
    C:\Users\Sébastien\AppData\Roaming\Mining\
    :files
    C:\Users\Sébastien\AppData\Local\Temp\navapswc.exe


    * redemarre le pc sous windows et poste le rapport ici

    Pareil si tu pouvais filer le dossier C:\_OTL.

    Refais un scan OTL comme là et donne le rapport : https://forums.commentcamarche.net/forum/affich-27509956-ainslot-aa-ver#1

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Supprime :
    C:\Users\Sébastien\AppData\Roaming\Mining
    C:\Users\Sébastien\AppData\Roaming\target

    Je pense que c'est bon.
    Tu pourrais zipper le dossier C:\_OTL et donne le zip (soit pjjoint, soit par upload.malekal.com)

    y a lui que je voudrais récup : C:\Users\Sébastien\AppData\Roaming\first_time.exe

    ~~

    J'ai envoyé les fichiers aux antivirus, la fois d'avant => https://forums.commentcamarche.net/forum/affich-27509956-ainslot-aa-ver#6

    de : https://www.virustotal.com/gui/file/fa1f20289270865dd0219d70cbf5ddf255b2ff57f0009b28120a8d55d08fd8ae

    SHA256: fa1f20289270865dd0219d70cbf5ddf255b2ff57f0009b28120a8d55d08fd8ae
    Nom du fichier : wdfngr.exe
    Ratio de détection : 8 / 46
    Date d'analyse : 2013-04-03 17:46:09 UTC (il y a 19 heures, 42 minutes)

    On passe today à : https://www.virustotal.com/gui/file/2c366145a60025de0169cdbd6f8cdec1ce4f423f69749e951bd59dfd3e300b7b

    SHA256: 2c366145a60025de0169cdbd6f8cdec1ce4f423f69749e951bd59dfd3e300b7b
    Nom du fichier : p_cherie anglicis.exe
    Ratio de détection : 14 / 46
    Date d'analyse : 2013-04-04 13:27:14 UTC (il y a 0 minute)

    ~~

    Et dans le tas, y a ESENT (que tu as), qui a aussi ajouté une détection : ESET-NOD32 a variant of Win32/Injector.XAS 20130404

    Donc ça devrait t'aider, au cas où.

    PAR CONTRE - ATTENTION
    PAR CONTRE - ATTENTION
    PAR CONTRE - ATTENTION
    PAR CONTRE - ATTENTION
    il faut que tu changes tous tes mots de passe WEB (facebook, mail etc), ils ont été volés.

    Ce que tu peux faire, c'est installer Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    Et, ce serait bien genre dans 2 jours, que tu refasses un scan OTL, histoire d'être sûr qu'il ne revienne pas.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  6. mafekire Messages postés 13 Statut Membre
     
    je ne suis pas capable d'envoyer le zip il dise que je n'ai sélectionner aucun fichier pi pour le otl esque je te le renvois dans 2 ou 3 jour quand je vais le refaire
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ha crotte, c'est quoi la taille du zip ?
      0
    2. mafekire Messages postés 13 Statut Membre
       
      29.4 mo
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui c'est trop gros.

      Si tu peux n'envoie que C:\_OTL\MoveIT\C\Users\Sébastien\AppData\Roaming\first_time.exe
      Si tu n'y arrives pas ou ça marche pas, laisse tomber, tant pis :)
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Change bien tous tes mots de passe! c'est important, sinon les pirates vont utiliser tes comptes.
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok en attendant le rapprot dans quelques jours, attention à ce que tu télécharges.

    Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Fais des scans réguliers avec, il est efficace.

    Sécurise ton PC !

    Important :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    Passe le mot à tes amis !

    ~~

    Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    0
  8. mafekire Messages postés 13 Statut Membre
     
    merci
    0