Virus ??? Résolu/Fermé

Question

Bonjour , Commodo me signale depuis hier une alerte pour un programme malveillant..Il s'appelle Application.win32.MCool.A@1..;Je n'ai trouvé aucunes infos à ce sujet nulle part..Commodo me propose de "nettoyer " , ce que je fais mais l'alerte revient toutes les heures...Pouvez vous me dire ce que c'est et que faire ??? Merci

Utilisateur anonyme · Answer

Bonsoir

[*] Télécharger sur le bureau RogueKiller (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

fiorinat · Answer

voilà qui est fait.... RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Windows [Droits d'admin] Mode : Recherche -- Date : 17/05/2013 18:18:06 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ SSDT[25] : unknown @ 0x805BC538 -> HOOKED (Unknown @ 0xBA7CC7FC) SSDT[41] : NtCreateKey @ 0x8062423A -> HOOKED (Unknown @ 0xBA7CC7B6) SSDT[50] : NtCreateSection @ 0x805AB3D0 -> HOOKED (Unknown @ 0xBA7CC806) SSDT[53] : NtCreateThread @ 0x805D1038 -> HOOKED (Unknown @ 0xBA7CC7AC) SSDT[63] : NtDeleteKey @ 0x806246D6 -> HOOKED (Unknown @ 0xBA7CC7BB) SSDT[65] : NtDeleteValueKey @ 0x806248A6 -> HOOKED (Unknown @ 0xBA7CC7C5) SSDT[68] : NtDuplicateObject @ 0x805BE010 -> HOOKED (Unknown @ 0xBA7CC7F7) SSDT[98] : NtLoadKey @ 0x8062645E -> HOOKED (Unknown @ 0xBA7CC7CA) SSDT[122] : NtOpenProcess @ 0x805CB456 -> HOOKED (Unknown @ 0xBA7CC798) SSDT[128] : NtOpenThread @ 0x805CB6E2 -> HOOKED (Unknown @ 0xBA7CC79D) SSDT[193] : NtReplaceKey @ 0x8062630E -> HOOKED (Unknown @ 0xBA7CC7D4) SSDT[204] : NtRestoreKey @ 0x80625C1A -> HOOKED (Unknown @ 0xBA7CC7CF) SSDT[213] : NtSetContextThread @ 0x805D2C1A -> HOOKED (Unknown @ 0xBA7CC80B) SSDT[247] : NtSetValueKey @ 0x806227AC -> HOOKED (Unknown @ 0xBA7CC7C0) SSDT[257] : NtTerminateProcess @ 0x805D22D8 -> HOOKED (Unknown @ 0xBA7CC7A7) S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA7CC810) S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA7CC815) ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\WINDOWS\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST3160815AS +++++ --- User --- [

Utilisateur anonyme · Answer

Re

ce win32 cherche a rentrer ou à sortir de ton PC?
Sur quel site as tu ce problème?

@+

fiorinat · Answer

ben aucune idée en fait...mon pc est en veille et cette alerte Commodo apparait....Le scan RogueKiller  me donne deux virus , est ce que je dois les supprimer ???

Utilisateur anonyme · Answer

Re

Tu ne supprimes rien .
Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

 
Clique sur  la loupe avec le signe +   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

fiorinat · Answer

Merci pour votre aide..Aucuns des liens ne fonctionnent ..qd je clique sur "exécuter" mon système me dit qu'il est impossible de le faire..:-(

fiorinat · Answer

je suis allée voir dans les activités de Commodo , le fichier ZPdiag est considéré comme malicieux .....c'est pour être pour ça que je ne sais pas l'exécuter..sinon j'ai réessayé et on me dit que je ne dispose pas des autorisations nécessaires...

fiorinat · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130517_c6v12f7d8s7

voilà je pense que cela a fonctionné.. :-)

Utilisateur anonyme · Answer

Re

Tu disposes de 2 antivirus.
Tu en désinstalles un

et poste moi ensuite un nouveau rapport ZHPDiag;merci

@+ 
 
           --------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.

fiorinat · Answer

2 antivirus ??? j'ai Antivir oui mais je n'en ai jamais mis un autre....quel est son nom ??

fiorinat · Answer

j'avais bien compris....mais je ne trouve pas d'antivirus autre qu'Antivir.... et rien que les pares feux chez Comodo...ça m'éneeeeere !!!!

fiorinat · Answer

me voici de retour de week end...j'ai désinstallé comodo et refait un scan , voici le rapport...

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130520_d12b6y5r12q13

Utilisateur anonyme · Answer

Bonjour

1) Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


[HKCU\Software\Blabbers]    
[HKCU\Software\bbrs_002.tb]     
O43 - CFD: 29/12/2010 - 22:01:42 - [0] ----D C:\Documents and Settings\Windows\Application Data\iWin     
[HKLM\Software\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}]    
[HKLM\Software\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}]    
[HKLM\Software\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}]    
[HKCU\Software\bbrs_002.tb]    
[HKLM\Software\Classes\Prod.cap]    
C:\Documents and Settings\Windows\Application Data\iWin    
[HKCU\Software\APN PIP]     
[HKLM\Software\PIP]     
[HKCU\Software\APN PIP]    
[HKLM\Software\PIP]    
O64 - Services: CurCS - 30/08/2011 - C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service)  .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE 
STOP:SR - | Auto 30/08/2011 390504 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe 

FirewallRAZ
Emptytemp
EmptyCLSID


--------------------------------------------------------------------------------------------
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur) 

* Clique sur l'icone représentant le presse-papier ("coller le presse-papier") 
le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Clique sur le bouton GO pour lancer le nettoyage 
* Copie/colle la totalité du rapport dans ta prochaine réponse.

-> laisse travailler l'outil et ne touche à rien ... 


-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier  C:/ZHP/ZHPFix(R1) 



2)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


@+

fiorinat · Answer

Rapport de ZHPFix 2013.5.11.1 par Nicolas Coolman, Update du 11/05/2013
Fichier d'export Registre : 
Run by Windows at 20/05/2013 10:03:46
High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Blabbers
SUPPRIME Key: HKCU\Software\bbrs_002.tb
SUPPRIME Key: HKLM\Software\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}
SUPPRIME Key: HKLM\Software\Classes\Prod.cap
SUPPRIME Key: HKCU\Software\APN PIP
SUPPRIME Key: HKLM\Software\PIP
ERREUR Key: Service Legacy: LEGACY_BONJOUR_SERVICE

========== Valeur(s) du Registre ==========
SUPPRIME FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe
SUPPRIME FirewallRaz (SP) : C:\Program Files\LimeWire\LimeWire.exe
SUPPRIME FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings\windows\application data\iwin
SUPPRIME Temporaires Windows

========== Etat des services ==========
(Bonjour Service) . (Bonjour Service) de Apple Inc.Arrêté:


========== Récapitulatif ==========
9 : Clé(s) du Registre
6 : Valeur(s) du Registre
1 : Dossier(s)
2 : Fichier(s)
1 : Etat des services


End of clean in 00mn 04s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 20/05/2013 10:03:46 [1786]

fiorinat · Answer

j'ai voulu réinstaller Comodo firewall de suite mais visiblement cela n'existe plus qu'en version firewall + antivirus....Connaissez vous d'autres bons pares feux ?? ou alors je vire mon antivirus actuel pour installer le pack Comodo ???

Utilisateur anonyme · Answer

Bonsoir

Cela reste ton choix.
As tu encore des soucis de détection?

@+

fiorinat · Answer

non plus rien du tout , je vous remercie de votre aide.....

Utilisateur anonyme · Answer

Bonsoir

 Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

 Réactiver l'UAC
 Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
 Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras 
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt 



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
 
 @+

fiorinat · Answer

Voici le rapport....encore merci pour tout..

# DelFix v10.2 - Rapport créé le 25/05/2013 à 16:36:24
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : Windows - WINDOWS-052C472
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\Trend Micro\Hijackthis
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\Windows\Bureau\MBRCheck_05.17.13_20.11.50.txt
Supprimé : C:\Documents and Settings\Windows\Bureau\MBRCheck_05.17.13_20.46.24.txt
Supprimé : C:\Documents and Settings\Windows\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Windows\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\Windows\Mes documents\Téléchargements\ZHPDiag2(1).exe
Supprimé : C:\Documents and Settings\Windows\Mes documents\Téléchargements\ZHPDiag2.exe
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe
Supprimée : HKCU\Software\Ad-Remover
Supprimée : HKCU\Software\USBFix
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\Classes\.cfxxe
Supprimée : HKLM\SOFTWARE\Classes\cfxxefile
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Purge de la restauration système ...

Supprimé : RP #1192 [Point de vérification système | 02/25/2013 16:34:19]
Supprimé : RP #1193 [Point de vérification système | 02/26/2013 17:58:22]
Supprimé : RP #1194 [Point de vérification système | 02/27/2013 18:30:41]
Supprimé : RP #1195 [Point de vérification système | 02/28/2013 18:37:56]
Supprimé : RP #1196 [Point de vérification système | 03/01/2013 18:49:45]
Supprimé : RP #1197 [Point de vérification système | 03/02/2013 18:59:54]
Supprimé : RP #1198 [Supprimé Java(TM) 6 Update 33 | 03/03/2013 10:49:42]
Supprimé : RP #1199 [Installé Java 7 Update 15 | 03/03/2013 10:50:34]
Supprimé : RP #1200 [Point de vérification système | 03/04/2013 16:36:40]
Supprimé : RP #1201 [Point de vérification système | 03/05/2013 20:42:03]
Supprimé : RP #1202 [Point de vérification système | 03/07/2013 18:14:29]
Supprimé : RP #1203 [Point de vérification système | 03/08/2013 18:44:54]
Supprimé : RP #1204 [Point de vérification système | 03/10/2013 10:30:56]
Supprimé : RP #1205 [Point de vérification système | 03/12/2013 10:57:07]
Supprimé : RP #1206 [Point de vérification système | 03/13/2013 13:34:26]
Supprimé : RP #1207 [Software Distribution Service 3.0 | 03/13/2013 20:28:59]
Supprimé : RP #1208 [Point de vérification système | 03/15/2013 06:06:14]
Supprimé : RP #1209 [Point de vérification système | 03/16/2013 13:20:06]
Supprimé : RP #1210 [Point de vérification système | 03/17/2013 15:42:33]
Supprimé : RP #1211 [Point de vérification système | 03/18/2013 18:39:48]
Supprimé : RP #1212 [Point de vérification système | 03/19/2013 20:44:47]
Supprimé : RP #1213 [Software Distribution Service 3.0 | 03/20/2013 21:02:53]
Supprimé : RP #1214 [Point de vérification système | 03/22/2013 16:48:17]
Supprimé : RP #1215 [Point de vérification système | 03/23/2013 17:42:31]
Supprimé : RP #1216 [Point de vérification système | 03/24/2013 20:22:56]
Supprimé : RP #1217 [Point de vérification système | 03/26/2013 09:37:12]
Supprimé : RP #1218 [Point de vérification système | 03/27/2013 09:37:46]
Supprimé : RP #1219 [Point de vérification système | 03/28/2013 14:17:42]
Supprimé : RP #1220 [Point de vérification système | 03/29/2013 16:33:32]
Supprimé : RP #1221 [Point de vérification système | 03/30/2013 18:09:03]
Supprimé : RP #1222 [Point de vérification système | 03/31/2013 19:13:02]
Supprimé : RP #1223 [Point de vérification système | 04/02/2013 08:59:09]
Supprimé : RP #1224 [Point de vérification système | 04/03/2013 09:13:38]
Supprimé : RP #1225 [Point de vérification système | 04/04/2013 09:27:18]
Supprimé : RP #1226 [Point de vérification système | 04/05/2013 10:18:08]
Supprimé : RP #1227 [Supprimé Java 7 Update 15 | 04/05/2013 18:51:16]
Supprimé : RP #1228 [Installé Java 7 Update 17 | 04/05/2013 18:52:02]
Supprimé : RP #1229 [Point de vérification système | 04/06/2013 19:44:35]
Supprimé : RP #1230 [Point de vérification système | 04/09/2013 07:29:25]
Supprimé : RP #1231 [Point de vérification système | 04/10/2013 16:14:15]
Supprimé : RP #1232 [Software Distribution Service 3.0 | 04/10/2013 19:51:51]
Supprimé : RP #1233 [Point de vérification système | 04/12/2013 08:50:09]
Supprimé : RP #1234 [Point de vérification système | 04/14/2013 06:49:18]
Supprimé : RP #1235 [Point de vérification système | 04/15/2013 17:23:52]
Supprimé : RP #1236 [Point de vérification système | 04/16/2013 18:00:10]
Supprimé : RP #1237 [Point de vérification système | 04/17/2013 18:12:00]
Supprimé : RP #1238 [Point de vérification système | 04/18/2013 18:25:54]
Supprimé : RP #1239 [Point de vérification système | 04/19/2013 18:55:07]
Supprimé : RP #1240 [Point de vérification système | 04/20/2013 19:30:33]
Supprimé : RP #1241 [Point de vérification système | 04/22/2013 19:36:35]
Supprimé : RP #1242 [Installé Java 7 Update 21 | 04/23/2013 18:59:36]
Supprimé : RP #1243 [Point de vérification système | 04/24/2013 20:15:11]
Supprimé : RP #1244 [Point de vérification système | 04/26/2013 12:34:34]
Supprimé : RP #1245 [Point de vérification système | 04/27/2013 14:01:44]
Supprimé : RP #1246 [Point de vérification système | 04/28/2013 14:46:57]
Supprimé : RP #1247 [Point de vérification système | 04/29/2013 15:52:39]
Supprimé : RP #1248 [Point de vérification système | 04/30/2013 16:23:49]
Supprimé : RP #1249 [Point de vérification système | 05/01/2013 19:10:17]
Supprimé : RP #1250 [Point de vérification système | 05/03/2013 07:23:17]
Supprimé : RP #1251 [Point de vérification système | 05/04/2013 07:58:09]
Supprimé : RP #1252 [Point de vérification système | 05/05/2013 08:28:26]
Supprimé : RP #1253 [Point de vérification système | 05/06/2013 16:16:00]
Supprimé : RP #1254 [Point de vérification système | 05/07/2013 16:54:32]
Supprimé : RP #1255 [Point de vérification système | 05/08/2013 20:28:15]
Supprimé : RP #1256 [Point de vérification système | 05/10/2013 07:35:32]
Supprimé : RP #1257 [Point de vérification système | 05/12/2013 06:25:29]
Supprimé : RP #1258 [Point de vérification système | 05/13/2013 07:08:26]
Supprimé : RP #1259 [Point de vérification système | 05/14/2013 07:23:45]
Supprimé : RP #1260 [Point de vérification système | 05/15/2013 09:21:20]
Supprimé : RP #1261 [Point de vérification système | 05/16/2013 10:34:47]
Supprimé : RP #1262 [Supprimé File Uploader | 05/16/2013 18:51:51]
Supprimé : RP #1263 [Software Distribution Service 3.0 | 05/16/2013 18:53:14]
Supprimé : RP #1264 [Point de vérification système | 05/18/2013 06:56:02]
Supprimé : RP #1265 [Point de vérification système | 05/19/2013 07:07:28]
Supprimé : RP #1266 [Supprimé COMODO Internet Security | 05/20/2013 06:32:19]
Supprimé : RP #1267 [Point de vérification système | 05/21/2013 07:06:04]
Supprimé : RP #1268 [Point de vérification système | 05/22/2013 07:26:19]
Supprimé : RP #1269 [Point de vérification système | 05/23/2013 15:21:17]
Supprimé : RP #1270 [Point de vérification système | 05/24/2013 15:41:08]

Nouveau point de restauration créé !

########## - EOF - ##########

Utilisateur anonyme · Answer

Bonsoir

Je te propose donc de mettre ce sujet en résolu.

@+

fiorinat · Answer

encore merci à vous....

Virus ???

21 réponses

Discussions similaires