Infection Malware-gen
Résolu/Fermé
A voir également:
- Infection Malware-gen
- Malware byte - Télécharger - Antivirus & Antimalwares
- Tamagotchi gen 1 vs gen 2 ✓ - Forum Jeux vidéo
- Supprimer malware - Guide
- Tor.jack malware - Forum Antivirus
- Xiaomi tv box s 2nd gen test - Accueil - TV & Vidéo
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
16 avril 2013 à 11:47
16 avril 2013 à 11:47
Salut,
pour voir :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
pour voir :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
Merci pour ton aide !
Le rapport OTL : http://pjjoint.malekal.com/files.php?id=20130416_8d11y10b6h9
Extras : http://pjjoint.malekal.com/files.php?id=20130416_i12b7h11h7e12
Le rapport OTL : http://pjjoint.malekal.com/files.php?id=20130416_8d11y10b6h9
Extras : http://pjjoint.malekal.com/files.php?id=20130416_i12b7h11h7e12
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 16/04/2013 à 12:55
Modifié par Malekal_morte- le 16/04/2013 à 12:55
rien d'extraordinaire à part des programmes parasites.
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/03/26 19:21:02 | 000,000,000 | ---D | M] (VideoDownloadConverter) -- C:\Users\Family Rota\AppData\Roaming\mozilla\Firefox\Profiles\80dteggk.default\extensions\4zffxtbr@VideoDownloadConverter_4z.com
IE - HKU\S-1-5-21-178219116-250135372-1744256008-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://mystart.incredibar.com/mb165?a=6R8Mygpsmp&i=26
IE - HKU\S-1-5-21-178219116-250135372-1744256008-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://search.babylon.com/?q={searchTerms}&affID=114741&tt=4812_2&babsrc=SP_ss&mntrId=f8af6416000000000000001fd036bc98
CHR - Extension: SweetIM for Facebook = C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: Yontoo = C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.2_0\
CHR - Extension: SweetPacks Chrome Extension = C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.1.0.1_0\
[2012/11/27 22:51:00 | 000,002,203 | ---- | M] () -- C:\Users\Family Rota\AppData\Roaming\mozilla\firefox\profiles\80dteggk.default\searchplugins\MyStart Search.xml
[2012/10/06 18:13:00 | 000,003,998 | ---- | M] () -- C:\Users\Family Rota\AppData\Roaming\mozilla\firefox\profiles\80dteggk.default\searchplugins\sweetim.xml
* redemarre le pc sous windows et poste le rapport ici
puis :
Télécharge https://toolslib.net AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
[2013/03/26 19:21:02 | 000,000,000 | ---D | M] (VideoDownloadConverter) -- C:\Users\Family Rota\AppData\Roaming\mozilla\Firefox\Profiles\80dteggk.default\extensions\4zffxtbr@VideoDownloadConverter_4z.com
IE - HKU\S-1-5-21-178219116-250135372-1744256008-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://mystart.incredibar.com/mb165?a=6R8Mygpsmp&i=26
IE - HKU\S-1-5-21-178219116-250135372-1744256008-1001\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://search.babylon.com/?q={searchTerms}&affID=114741&tt=4812_2&babsrc=SP_ss&mntrId=f8af6416000000000000001fd036bc98
CHR - Extension: SweetIM for Facebook = C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: SweetIM for Facebook = C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\
CHR - Extension: Yontoo = C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.2_0\
CHR - Extension: SweetPacks Chrome Extension = C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.1.0.1_0\
[2012/11/27 22:51:00 | 000,002,203 | ---- | M] () -- C:\Users\Family Rota\AppData\Roaming\mozilla\firefox\profiles\80dteggk.default\searchplugins\MyStart Search.xml
[2012/10/06 18:13:00 | 000,003,998 | ---- | M] () -- C:\Users\Family Rota\AppData\Roaming\mozilla\firefox\profiles\80dteggk.default\searchplugins\sweetim.xml
* redemarre le pc sous windows et poste le rapport ici
puis :
Télécharge https://toolslib.net AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tant mieux !
Le rapport OTL après "Correction" :
========== OTL ==========
HKU\S-1-5-21-178219116-250135372-1744256008-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-178219116-250135372-1744256008-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0 folder moved successfully.
File C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0 not found.
C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.2_0 folder moved successfully.
C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.1.0.1_0 folder moved successfully.
C:\Users\Family Rota\AppData\Roaming\mozilla\firefox\profiles\80dteggk.default\searchplugins\MyStart Search.xml moved successfully.
C:\Users\Family Rota\AppData\Roaming\mozilla\firefox\profiles\80dteggk.default\searchplugins\sweetim.xml moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 04162013_125520
___________________
___________________
Le rapport AdwCleaner (ne fonctionnait ni sous pjioint ni en C/C ici) :
http://cjoint.com/data/0DqnmGlZbrs.htm
Le rapport OTL après "Correction" :
========== OTL ==========
HKU\S-1-5-21-178219116-250135372-1744256008-1001\SOFTWARE\Microsoft\Internet Explorer\Main\\Start Page| /E : value set successfully!
Registry key HKEY_USERS\S-1-5-21-178219116-250135372-1744256008-1001\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.
C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0 folder moved successfully.
File C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0 not found.
C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\niapdbllcanepiiimjjndipklodoedlc\1.0.2_0 folder moved successfully.
C:\Users\Family Rota\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.1.0.1_0 folder moved successfully.
C:\Users\Family Rota\AppData\Roaming\mozilla\firefox\profiles\80dteggk.default\searchplugins\MyStart Search.xml moved successfully.
C:\Users\Family Rota\AppData\Roaming\mozilla\firefox\profiles\80dteggk.default\searchplugins\sweetim.xml moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 04162013_125520
___________________
___________________
Le rapport AdwCleaner (ne fonctionnait ni sous pjioint ni en C/C ici) :
http://cjoint.com/data/0DqnmGlZbrs.htm
En passant, j'ai refait une analyse Avast! parce que je ne sais pas si les manip' d'avant (OTL et AdwCleaner) ont bien fonctionné, et il y a toujours les 39 infections comme au début (et ce n'est que le scan rapide). Encore une fois, je n'ai ni mis en quarantaine ni rien, parce qu'une fois j'ai eu un beau plantage après avoir essayé de mettre un fichier système en quarantaine sur mon propre pc... Je ne sais pas s'il le fallait là !
En tout cas merci encore de prendre le temps.
En tout cas merci encore de prendre le temps.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
16 avril 2013 à 14:49
16 avril 2013 à 14:49
Avast! détecte une DLL comme malicieuse, je pense pas qu'elle le soit.
Apparemment elle est un peu partout.
Déjà c'est une détection générique donc y a des chances que ce soit un faux positif.
Ensuite c'est dans C:\Windows.old pour la majoirté, soit une ancienne version de Windows, donc pas actif.
Le mieux c'est de soumettre le fichier sur https://www.virustotal.com/gui/ et voir les détections.
Apparemment elle est un peu partout.
Déjà c'est une détection générique donc y a des chances que ce soit un faux positif.
Ensuite c'est dans C:\Windows.old pour la majoirté, soit une ancienne version de Windows, donc pas actif.
Le mieux c'est de soumettre le fichier sur https://www.virustotal.com/gui/ et voir les détections.
Ah ok, je ne pensais que "old" signifiait tout simplement ancienne version. Un ami de mes parents leur a installé Vista lorsqu'il a "refait" leur pc, mais il a dû laisser d'anciennes données.
Du coup :
Par exemple, voilà ce que me dit Virus Total pour le fichier Utils.dll situé dans : C:\\Windows.old\Windows\system32\Utils.dll (si tu peux bien voir) :
https://www.virustotal.com/fr/file/187a33967035cf3a1551ea1da9014627c506ae83a61ae0a2d23c72d3b0f023dc/analysis/1366116852/
S'il s'agit d'anciennes données, elles peuvent être supprimées sans crainte ?
Du coup :
Par exemple, voilà ce que me dit Virus Total pour le fichier Utils.dll situé dans : C:\\Windows.old\Windows\system32\Utils.dll (si tu peux bien voir) :
https://www.virustotal.com/fr/file/187a33967035cf3a1551ea1da9014627c506ae83a61ae0a2d23c72d3b0f023dc/analysis/1366116852/
S'il s'agit d'anciennes données, elles peuvent être supprimées sans crainte ?