Besoin d'aide pour une infection (spyware ou trogen)
Résolu
kxbd57
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Aprés m'être fait piraté mon compte paypal, je me suis rendu compte qu'un .exe dans le répertoire temp de mon PC était en action sous le nom "Systray .exe stub", j'ai beau le supprimer il revient systématiquement.
Help me :(
voici le lien du rapport de ZHPdiag
http://cjoint.com/?CFzuo4qaLWC
Merci pour votre aide.
Aprés m'être fait piraté mon compte paypal, je me suis rendu compte qu'un .exe dans le répertoire temp de mon PC était en action sous le nom "Systray .exe stub", j'ai beau le supprimer il revient systématiquement.
Help me :(
voici le lien du rapport de ZHPdiag
http://cjoint.com/?CFzuo4qaLWC
Merci pour votre aide.
A voir également:
- Besoin d'aide pour une infection (spyware ou trogen)
- Spyware doctor - Télécharger - Antivirus & Antimalwares
- Spyware terminator - Télécharger - Antivirus & Antimalwares
- Spyware blaster - Télécharger - Antivirus & Antimalwares
- Anti spyware gratuit - Télécharger - Antivirus & Antimalwares
- Anti spyware - Télécharger - Antivirus & Antimalwares
17 réponses
Salut,
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Voici le deuxième rapport:
http://pjjoint.malekal.com/files.php?id=20130625_f8f5e5p15g12
je n'ai pas trouvé de fichier Extras.txt :(
http://pjjoint.malekal.com/files.php?id=20130625_f8f5e5p15g12
je n'ai pas trouvé de fichier Extras.txt :(
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-2228545987-3768416959-4155375315-1000..\Run: [4Y3Y0C3A9F7W1W5EOQRX] C:\Recycle.Bin\B6232F3AC31.exe /q File not found
O4 - HKU\S-1-5-21-2228545987-3768416959-4155375315-1000..\Run: [HKCU] C:\Users\Phil\AppData\Roaming\Resources\firefox.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-2228545987-3768416959-4155375315-1000 Winlogon: Shell - (C:\Users\Phil\AppData\Local\Temp\VaultCmd.exe) - File not found
[2013/06/09 17:40:37 | 000,004,991 | ---- | M] () -- C:\ProgramData\xhbjddli.elu
[2013/06/09 17:40:37 | 000,000,000 | ---- | M] () -- C:\ProgramData\211148173
[2013/06/24 17:18:56 | 000,073,356 | -H-- | M] () -- C:\Users\Phil\AppData\Roaming\cglogs.dat
[2005/04/08 04:16:43 | 000,073,356 | -H-- | C] () -- C:\Users\Phil\AppData\Roaming\cglogs.dat
[2012/05/01 20:10:37 | 000,000,000 | ---D | M] -- C:\Users\Phil\AppData\Roaming\winpt
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
~~
Scanne C:\Windows\SysWow64\drivers\rctx.sys sur https://www.virustotal.com/gui/
Donne le lien du scan ici.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-2228545987-3768416959-4155375315-1000..\Run: [4Y3Y0C3A9F7W1W5EOQRX] C:\Recycle.Bin\B6232F3AC31.exe /q File not found
O4 - HKU\S-1-5-21-2228545987-3768416959-4155375315-1000..\Run: [HKCU] C:\Users\Phil\AppData\Roaming\Resources\firefox.exe (Microsoft Corporation)
O20 - HKU\S-1-5-21-2228545987-3768416959-4155375315-1000 Winlogon: Shell - (C:\Users\Phil\AppData\Local\Temp\VaultCmd.exe) - File not found
[2013/06/09 17:40:37 | 000,004,991 | ---- | M] () -- C:\ProgramData\xhbjddli.elu
[2013/06/09 17:40:37 | 000,000,000 | ---- | M] () -- C:\ProgramData\211148173
[2013/06/24 17:18:56 | 000,073,356 | -H-- | M] () -- C:\Users\Phil\AppData\Roaming\cglogs.dat
[2005/04/08 04:16:43 | 000,073,356 | -H-- | C] () -- C:\Users\Phil\AppData\Roaming\cglogs.dat
[2012/05/01 20:10:37 | 000,000,000 | ---D | M] -- C:\Users\Phil\AppData\Roaming\winpt
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com
~~
Scanne C:\Windows\SysWow64\drivers\rctx.sys sur https://www.virustotal.com/gui/
Donne le lien du scan ici.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lien du scan :
https://www.virustotal.com/fr/file/fa7c4112427f4fd655b15aed02037ca34a576a3a54129ba7e4826c8687f003c7/analysis/1372191484/
https://www.virustotal.com/fr/file/fa7c4112427f4fd655b15aed02037ca34a576a3a54129ba7e4826c8687f003c7/analysis/1372191484/
ok :)
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
c'est sur, ah la folie du P2P .....
Systray.exe stub ne reviens plus depuis AdwCleaner
et un autre .exe qui revenais sous des noms differents dans le REP TEMP à aussi disparu
ça me donnera une leçon pour les P2P ;)
Systray.exe stub ne reviens plus depuis AdwCleaner
et un autre .exe qui revenais sous des noms differents dans le REP TEMP à aussi disparu
ça me donnera une leçon pour les P2P ;)
Non, le traitement des remboursement est en cours mais heureusement que j'ai ouvert ma boite mail au bon moment, car le hacker faisais les achats et supprimé les mails de paypal. j'ai pu réagir lundi alors que le premier achat avait été fait le dimanche.
Un des vendeurs lésés m'a contacter et ma donné l'adresse de livraison de l'achat.
bizarrement c'est dans un village à coté de chez moi. j'ai déjà ouvert une plainte sur le site du gouvernement dédié au piratage informatique.
Un des vendeurs lésés m'a contacter et ma donné l'adresse de livraison de l'achat.
bizarrement c'est dans un village à coté de chez moi. j'ai déjà ouvert une plainte sur le site du gouvernement dédié au piratage informatique.
yep
Histoire d'être sûr :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Poste le rapport ici.
Histoire d'être sûr :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Poste le rapport ici.
okay :)
On a terminé je pense :)
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
On a terminé je pense :)
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
