Virus 5d5e3c1b562e3a75dc95740a35744ad0.exe

Question

Bonjour, 

J'ais quelque soucis avec mon ordi depuis quelque jour, il bloque après un certains moment obliger d'appuyé sur le bouton pour rédémaré, même le gestionaire de tâches (ne répond pas) après un labs de temp (aléatoire)

Ensuite au démarage de windows j'ais été dans le gestionaire de tâche et j'ais vus une application suspecte  sur mon ordinateur du coup jais taper le nom sur google 5d5e3c1b562e3a75dc95740a35744ad0 

Et d'après la recherche c'est un virus qui s'ouvre au démarage de windows, je n'en c'est pas plus tout est en anglais sur les recherche google,

 Pouvez vous m'aider s'il vous plaît j'ais tout essayer analyse complete avec microsoft sécurity essentials, pareil avec malware bytes anti malware, il ne repère rien du tout .... 

Merci part avance.

Configuration: Windows 7 / Opera 9.80

Fish66 · Answer

Bonjour,
Démarrage  en Mode sans échec avec prise en charge réseau :

Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter

Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau

puis tape entrée.

Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !

(Si F8 ne marche pas utilise la touche F5)
=======================
Dans ce mode fais ceci stp :
* Télécharge sur le bureau RogueKiller (par tigzy)    

https://www.luanagames.com/index.fr.html    

* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )    

* Quitte tous tes programmes en cours    

* Lance RogueKiller.exe   

Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe   

* Laisse le prescan se terminer, clique sur Scan   

* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message  

@+

Anorexia · Answer

Bonjour je te remercie pour ton aide, voici le raport (dit moi si je doit faire suprimer dans rogue killer je le laisse ouvert au cas ou) RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Serina [Droits d'admin] Mode : Recherche -- Date : 17/05/2013 16:23:06 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 12 ¤¤¤ [RUN][HJNAME] HKCU\[...]\Run : 5d5e3c1b562e3a75dc95740a35744ad0 ("C:\Users\Serina\svchost.exe" ..) [-] -> TROUVÉ [RUN][HJNAME] HKUS\S-1-5-21-2971129922-1611469774-489433517-1000[...]\Run : 5d5e3c1b562e3a75dc95740a35744ad0 ("C:\Users\Serina\svchost.exe" ..) [-] -> TROUVÉ [RUN][HJNAME] HKLM\[...]\Wow6432Node\Run : 5d5e3c1b562e3a75dc95740a35744ad0 ("C:\Users\Serina\svchost.exe" ..) [-] -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ [HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 activate.adobe.com 127.0.0.1 localhost 127.0.0.1 192.150.14.69 127.0.0.1 192.150.18.101 127.0.0.1 192.150.18.108 127.0.0.1 192.150.22.40 127.0.0.1 192.150.8.100 127.0.0.1 192.150.8.118 127.0.0.1 3dns-1.adobe.com 127.0.0.1 3dns-2.adobe.com 127.0.0.1 3dns-2.adobe.com 127.0.0.1 3dns-3.adobe.com 127.0.0.1 3dns-3.adobe.com 127.0.0.1 3dns-4.adobe.com 127.0.0.1 3dns.adobe.com 127.0.0.1 activate-sea.adobe.com 127.0.0.1 activate-sea.adobe.com 127.0.0.1 activate-sjc0.adobe.com 127.0.0.1 activate-sjc0.adobe.com 127.0.0.1 activate.adobe.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD50 00BPVT-22HXZT1 SATA Disk Device +++++ --- User --- [MBR] a93c024d5d4b71fad1cd2772988e4d39 [BSP] fbc9f3091fe09f066ef27629f11175d8 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 471328 Mo 1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 965283838 | Size: 5609 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: SD Card +++++ --- User --- [MBR] ee173d3cfc1057e734b8101710a7b5ed [BSP] 9cf4c9f48896f1e9291f92333c801529 : Legit.A MBR Code Partition table: 0 - [XXXXXX] MINIX (0x41) [VISIBLE] Offset (sectors): 249 | Size: 968 Mo User = LL1 ... OK! Error reading LL2 MBR! +++++ PhysicalDrive2: BUFFALO External HDD USB Device +++++ --- User --- [MBR] 76dfbc571a19fcbe73afc316d2352e6f [BSP] 7443841dac462f1a1a5872ba7de07d05 : Empty MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 953867 Mo Error reading LL1 MBR! Error reading LL2 MBR! +++++ PhysicalDrive3: Intenso External USB 3.0 USB Device +++++ --- User --- [MBR] 0f994819dfdaf45b7f8e8653a00caa34 [BSP] 22302bc584f3fc5990ea687881cce626 : Empty MBR Code Partition table: 0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 2048 | Size: 953866 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1]_S_17052013_162306.txt >> RKreport[1]_S_17052013_162306.txt

Fish66 · Answer

1/
Relance RogueKiller puis clique sur "Suppression" ensuite sur "Host RAZ" et poste les deux rapports correspondant à ces 2 options 

2/
Ensuite et toujours dans ce mode, relance mbam, supprime ce qu'il trouve puis poste le rapport

Anorexia · Answer

Voila pour rogue killer, Mbam je lance un scan complet ? merci d'avance RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur : Serina [Droits d'admin] Mode : HOSTS RAZ -- Date : 17/05/2013 17:01:32 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 activate.adobe.com 127.0.0.1 localhost 127.0.0.1 192.150.14.69 127.0.0.1 192.150.18.101 127.0.0.1 192.150.18.108 127.0.0.1 192.150.22.40 127.0.0.1 192.150.8.100 127.0.0.1 192.150.8.118 127.0.0.1 3dns-1.adobe.com 127.0.0.1 3dns-2.adobe.com 127.0.0.1 3dns-2.adobe.com 127.0.0.1 3dns-3.adobe.com 127.0.0.1 3dns-3.adobe.com 127.0.0.1 3dns-4.adobe.com 127.0.0.1 3dns.adobe.com 127.0.0.1 activate-sea.adobe.com 127.0.0.1 activate-sea.adobe.com 127.0.0.1 activate-sjc0.adobe.com 127.0.0.1 activate-sjc0.adobe.com 127.0.0.1 activate.adobe.com [...] ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[3]_H_17052013_170132.txt >> RKreport[1]_S_17052013_162306.txt ; RKreport[2]_D_17052013_170127.txt ; RKreport[3]_H_17052013_170132.txt

Anorexia · Answer

Je pense que ca va ètre long il n'y a pas moyen d'exclure les jeux pc que j'ais installer de l'analyse, car j'en et beaucoup et il prend un temp fous a les analyser ...

Fish66 · Answer

On doit analyser tous les fichiers pour vérification!  :-)

juju666 · Answer

Salut
Pour info.

Tous les mots de passe ont été volés, faudra penser à les changer en fin de désinfection.

A+

Anorexia · Answer

En voilà une bonne nouvelle >_<

juju666 · Answer

Fallait pas faire joujou avec des cr@cks :)

Anorexia · Answer

Merci de vos conseils, mais MBAM vien de bloqué on dirais l'ordi ne réagis plus

il a détecté 7 éléments mais ne réagis plus ....

Anorexia · Answer

Bon voilà j'ais du redémarrer l'ordi en appuyant sur le bouton de force car tout étais bloqué comme d'hab, l'analyse MBAM ne fonctionne pas le pc tiens pas jusque là vous avez d'autres solution pour moi ? merci d'avance

Anorexia · Answer

Re,

J'ais fait une analyse rapide vus que c'est la seule qui fonctionne




Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.17.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Serina :: SERINA-PC [administrateur]

Protection: Désactivé

17/05/2013 18:30:18
MBAM-log-2013-05-17 (18-35-23).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 209727
Temps écoulé: 4 minute(s), 47 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\Serina\svchost.exe (Trojan.Agent) -> 3088 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|5d5e3c1b562e3a75dc95740a35744ad0 (Trojan.Agent) -> Données: "C:\Users\Serina\svchost.exe" .. -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Serina\svchost.exe (Trojan.Agent) -> Aucune action effectuée.
C:\Users\Serina\svchost.exe.tmp (Stolen.Data) -> Aucune action effectuée.

(fin)

juju666 · Answer

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
&#9654 Coche les cases à coté de Recherche Lop et Recherche Purity.
&#9654 Laisse tous les autres paramètres par défaut 

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


msconfig 
netsvcs 
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

Anorexia · Answer

Merci pour l'aide cependant y'a qu'un seul bloc note qui c'est ouvert et sur le bureau un seul (OTL) pas eu l'extra

https://forums-fec.be/upload/www/?a=d&i=6566141865   (OTL)

Fish66 · Answer

D'accord!
Avant d'utiliser ComboFix :

          

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau

* Lance le

* Une fenêtre apparait : clique sur "Disable"

* Fais redémarrer l'ordinateur si l'outil te le demande  

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

===================================================

Attention, avant de commencer, lis attentivement la procédure 

********************************************************

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\ 

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »  

Voici Aide combofix

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\



*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION

(si il te propose de l'installer remets internet)

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

*Note : Le rapport se trouve également là : C:\ComboFix.txt

Anorexia · Answer

Re, voilà j'ais fait comme tu ma dis, part contre j'ais désinstaller mon AV car combofix disais qu'il étais toujour actif alors qu'il ne l'étais plus :( si tu connait un bon AV gratuit histoire d'ètre protégé a l'avenir merci d'avance


Bon le texte est trop long pour poster ici visiblement je l'ai heberger là

https://forums-fec.be/upload/www/?a=d&i=2215307789

Fish66 · Answer

Tu as bien fait!
------------------------
1/
Relance mbam pour une analyse complète, supprime ce qu'il trouve puis poste le rapport stp

2/
* Télécharge Avira antivir V13 à partir ce lien :
http://www.commentcamarche.net/download/telecharger-55-antivir
* Exécute le pour installation
(A ne pas cocher la case Askbar )  et en choisissant : la configuration optimale
* Lance une analyse puis poste le rapport

A demain

Bonne nuit

Anorexia · Answer

Malwarebyte bloque toujour a 1h19 de l'analyse

Mais c'est bon j'ais éradiqué le virus Combofix a tout viré, merci fish66 et tout les autres qui mon aider ! je mes régler :)

Fish66 · Answer

Bonsoir,
 Malwarebyte bloque toujour a 1h19 de l'analyse
Tu peux le lancer (analyse complète) en mode sans échec avec prise en charge du réseau.
S'il se bloque encore tu peux faire ceci :
Télécharge MBAM-CLEAN et enregistre-le sur ton bureau Lance-le et suis les instructions.  

Il va te demander ensuite de redémarrer le PC. Accepte.  

==========================  
Après redémarrage de la machine :  

Télécharge et enregistre sur ton bureau MBAM  

Installe-le.  

Fais les mises à jour.  

Fais une analyse complète, coche tout et supprime tout, et poste le rapport. 
================================
Il y'a risque de réinfecter ton PC, si tu ne termines pas jusqu'au bout!  :-)

Bonne soirée

Anorexia · Answer

Coucou Oui j'avais essayer en mode sans échec pareil :(

, Je voulais savoir j'ais la version pro de MBAM, ca va pas me l'éffacer si je réinstall ?  Merci.

Pour ce qui est de l'antivirus que tu m'avais proposer, + la configuration j'ais laisser tomber car il bloquais tout les site ou j'allais, du coup j'ais remis Microsoft sécurity essentials.

Fish66 · Answer

Bonsoir,
Puisque tu as la version pro de mbam, laisse le..
-------------------------
Relance OTL, clique sur "Analyse rapide" (ne touche à rien d'autre) puis héberge le rapport OTL.txt qui s'ouvrira sur :https://forums-fec.be/upload/ ou  http://pjjoint.malekal.com/

A demain

Bonne nuit

Anorexia · Answer

Bonsoir, voilà le raport  

https://forums-fec.be/upload/www/?a=d&i=8547444431

Bonne nuit et merci pour l'aide :)

Fish66 · Answer

Bonjour,
1/
Relance OTL

- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:OTL
O18 - Protocol\Handler\skype4com - No CLSID value found
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:DFC5A2B2      
@Alternate Data Stream - 127 bytes -> C:\ProgramData\TEMP:430C6D84      

:Files
C:\ProgramData\Spybot - Search & Destroy    

:Commands
[purity]
[emptytemp]
[reboot]



* Clique sur le bouton Correction. 

* Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.

* Accepte en cliquant sur OK.

* Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles 

2/
Télécharger Eset Nod32 :

http://download.eset.com/special/eos/esetsmartinstaller_fra.exe

* Lancer le fichier

* Accepter les conditions

* Autoriser le programme à accéder à Internet

* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)

* Téléchargement des signatures


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte !

* Le scan débute dés la fin du téléchargement

* Générer le rapport

* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte...



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum.

Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt

Pour vous aider voici un tuto rédigé par dorgane :

https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

3/
Bit defender en ligne :

Fais une analyse antivirus en ligne sur BitDefender on line avec Internet Explorer

Laisse-toi guider. Colle son rapport ici.

@+

Virus 5d5e3c1b562e3a75dc95740a35744ad0.exe

23 réponses

Votre réponse

Discussions similaires

Newsletters