Virus plutôt coriace... Résolu/Fermé

Question

Bonjour à tous, j'écris ici, car c'est maintenant .. ma dernière chance.

J'ai télécharger il y a peu un patch note non officiel pour un jeu ( et oui je suis un sombre crétin ..)

je l'ai ouvert et la mon Pc est devenu un vrai sapn de noël .. mais un sapin qui fonctionne image par image avec decallage de 5 scd.

j'ai supprimer très vite un reniffleur mais j'ai remarqué que l'infection allais.. a mon plus grand malheur bien plus loin.

je possède Spybot que j'ai installer pour nettoyer la base de registre et Malwerbytes Pro.

j'explique mon réel soucis: lors des scan registre de malwerbytes, ils trouve 3 virus:

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe 
-> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen) -> Données: explorer.exe C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe -> Mis en quarantaine et supprimé avec succès.
et 
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell.Gen.A) -> Mauvais: (explorer.exe C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) Bon: (Explorer.exe) -> Mis en quarantaine et réparé avec succès

Mon problème est que j'ai beau les supprimé, au démarrage, ces 3 petits farceur sont toujours présent !

Ce n'est pas tous.. j'ai remarqué que lors de l'infection 3 programme se sont installé, un nommé " Audio " et l'autre "AudioCard" ils s'exécutent tous deux au démarrage, j'ai beau les désinstaller et les désactivé du démarrage, ils reprennent leurs fonction tous seuls.

le dernier est un programme nommé : Flaseher.exe le fournisseur est apple.inc mais en regardant les détails,  l'ancien fournisseur est amonipro, l'icône est rose fluo avec marqué policeless déçu, celui ci est le plus vicieux, je ne peux ni le desactiver, ni le supprimer car il est toujours actif, en allant dans le processus, si je le ferme, un blue screen apparait.

Flaseher est devenu mon explorer.



Je précise que je n'ai pas de sauvegarde disque ..
que spybot et malwerbytes n'ont aucun effet.

Merci de votre aide..

Utilisateur anonyme · Answer

Bonsoir

[*] Télécharger sur le bureau RogueKiller (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport



@+

Patient n°23 · Answer

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode sans echec Utilisateur : weedox[Droits d'admin] Mode : Recherche -- Date : 14/04/2013 23:23:54 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 12 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : .Flasfh (C:\Users\Franck\AppData\Roaming\..Flash\Flaseher.exe) [-] -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-1410236154-1455553273-2078879821-1000[...]\Run : .Flasfh (C:\Users\Franck\AppData\Roaming\..Flash\Flaseher.exe) [-] -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\RunOnce : Audio (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> TROUVÉ [RUN][SUSP PATH] HKLM\[...]\RunOnce : Audio (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-1410236154-1455553273-2078879821-1000[...]\RunOnce : Audio (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> TROUVÉ [RUN][SUSP PATH] HKCU\[...]\Policies\Explorer\Run : Audio (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-1410236154-1455553273-2078879821-1000[...]\Policies\Explorer\Run : Audio (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> TROUVÉ [SHELL][SUSP PATH] HKLM\[...]\Windows : Load (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\windows\system32\drivers\etc\hosts 127.0.0.1 localhost 127.0.0.1 activate.adobe.com 127.0.0.1 genuine.microsoft.com 127.0.0.1 mpa.one.microsoft.com 127.0.0.1 sa.windows.com 127.0.0.1 se.windows.com 127.0.0.1 ie.search.msn.com 127.0.0.1 wustat.windows.com 127.0.0.1 wutrack.windows.com 127.0.0.1 catalog.microsoft.com 127.0.0.1 sls.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynettest.microsoft.com ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++ --- User --- [MBR] 398aa2db71a2e2d9e7d1c6922f7c5629 [BSP] 499e5fe33f53887f885be3694b98d8be : KIWI Image system MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 144890 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 328398848 | Size: 144893 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_14042013_232354.txt >> RKreport[1]_S_14042013_232354.txt

Utilisateur anonyme · Answer

Re

Tu relances RogueKiller option suppression et ensuite option Host RAZ

Tu me postes ces 2 rapports ;merci

@+

Patient n°23 · Answer

mode host RAZ; RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : weedox [Droits d'admin] Mode : HOSTS RAZ -- Date : 14/04/2013 23:51:00 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\windows\system32\drivers\etc\hosts 127.0.0.1 localhost 127.0.0.1 activate.adobe.com 127.0.0.1 genuine.microsoft.com 127.0.0.1 mpa.one.microsoft.com 127.0.0.1 sa.windows.com 127.0.0.1 se.windows.com 127.0.0.1 ie.search.msn.com 127.0.0.1 wustat.windows.com 127.0.0.1 wutrack.windows.com 127.0.0.1 catalog.microsoft.com 127.0.0.1 sls.microsoft.com 127.0.0.1 spynet2.microsoft.com 127.0.0.1 spynettest.microsoft.com ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[2]_H_14042013_235100.txt >> RKreport[1]_S_14042013_232354.txt ; RKreport[2]_H_14042013_235100.txt mode suppressio: RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : weedox [Droits d'admin] Mode : Suppression -- Date : 14/04/2013 23:51:47 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 15 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : .Flasfh (C:\Users\Franck\AppData\Roaming\..Flash\Flaseher.exe) [-] -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Run : Audio Card (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> SUPPRIMÉ [RUN][SUSP PATH] HKLM\[...]\Run : Audio Card (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\RunOnce : Audio (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> SUPPRIMÉ [RUN][SUSP PATH] HKLM\[...]\RunOnce : Audio (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> SUPPRIMÉ [RUN][SUSP PATH] HKCU\[...]\Policies\Explorer\Run : Audio (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> SUPPRIMÉ [RUN][SUSP PATH] HKLM\[...]\Policies\Explorer\Run : Audio (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> SUPPRIMÉ [SHELL][SUSP PATH] HKCU\[...]\Winlogon : Shell (explorer.exe C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> SUPPRIMÉ [SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> SUPPRIMÉ [SHELL][SUSP PATH] HKLM\[...]\Winlogon : Shell (explorer.exe C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> REMPLACÉ (Explorer.exe) [SHELL][SUSP PATH] HKLM\[...]\Windows : Load (C:\Users\Franck\AppData\Roaming\AudioDriver\AudioDriver.exe) [-] -> SUPPRIMÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++ --- User --- [MBR] 398aa2db71a2e2d9e7d1c6922f7c5629 [BSP] 499e5fe33f53887f885be3694b98d8be : KIWI Image system MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 144890 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 328398848 | Size: 144893 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3]_D_14042013_235147.txt >> RKreport[1]_S_14042013_232354.txt ; RKreport[2]_H_14042013_235100.txt ; RKreport[3]_D_14042013_235147.txt

g3n-h@ckm@n · Answer

bonjour ce windows n'est pas une version légale.
en ayant une version conforme avec les lois en vigueur moins de problèmes seraient présents.

Patient n°23 · Answer

bonjour gen .. je ne sais pas pourquoi tu viens mettre ton grain de sel si tu n'y connais rien .. 
J'ai un pc samsung R780 avec la version Windowsde Base acheter a la fnac..

La version Windows est LEGAL, j'ai les mise a jour comme tous le monde, j'ai office en licence payante, alors évite de piquer a vif les gens surtout lorsque c'est Faux.

Utilisateur anonyme · Answer

Bonsoir

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

 
Clique sur  la loupe avec le signe +   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

Virus plutôt coriace...

7 réponses

Discussions similaires

Newsletters