Cheval de troie bouclier resident avg

Résolu
Edmond Koalga Messages postés 19 Statut Membre -  
Bmbou Messages postés 17 Statut Membre -
Bonjour
j'ai parcouru les anciens message et j'ai remarqué que le groupe est très courtois! FELICITATION
Voici mon problème: j'utilise depuis longtemps avg2013 comme antivirus et je l'appréciai vraiment mais il détecte à chaque démarrage un cheval de Troie que je ne me lasse pas de faire supprimé mais le même processus persiste.
j'étais enfin obligé de le désinstaller et de faire des recherches jusqu'à ce que je rencontre ce forum. Quelqu'un pourrai me secourir?
D'avance merci

17 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Quelle est le nom de la meance?
    Dans quel fichier est-elle détectée?

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
  2. Edmond Koalga Messages postés 19 Statut Membre
     
    Je ne me rappel pas vraiment du fichier mais le nom est cheval de Troie avec dans les caractéristique bouclier resident
    j'ai désinstallé avg mon inquiétude est si la menace existe toujours dans mon Pc
    j'aimerais aussi pouvoir réinstaller qvg

    cordialement à vous
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis:

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    0
  4. Edmond Koalga Messages postés 19 Statut Membre
     
    OK voici le rapport de adwcleaner

    # AdwCleaner v2.306 - Rapport créé le 27/07/2013 à 10:25:58
    # Mis à jour le 19/07/2013 par Xplode
    # Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
    # Nom d'utilisateur : user - USER-PC
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\user\Desktop\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\Viewpoint
    Dossier Supprimé : C:\ProgramData\SimilarSites
    Dossier Supprimé : C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\hidjnkeodmholilgafgdlgmgggbhnigl

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\AppDataLow\Software\DefaultTab
    Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
    Clé Supprimée : HKCU\Software\Conduit
    Clé Supprimée : HKCU\Software\Default Tab
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{807DF5E0-4EF7-48A8-A405-239F3E29FFA9}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
    Clé Supprimée : HKCU\Software\Softonic
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{96BD48DD-741B-41AE-AC4A-AFF96BA00F7E}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\DefaultTabBHO.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbCommonUtils.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbHelper.EXE
    Clé Supprimée : HKLM\SOFTWARE\Classes\Applications\ilividsetup.exe
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
    Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser
    Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX
    Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9DBB28C1-1925-11D3-A498-00104B6EB52E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{B87F8B63-7274-43FD-87FA-09D3B7496148}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C4BAE205-5E02-4E32-876E-F34B4E2D000C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{CCA8F2AB-BE4E-41F0-A289-4D960CEA58EA}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EC4085F2-8DB3-45A6-AD0B-CA289F3C5D7E}
    Clé Supprimée : HKLM\Software\DataMngr
    Clé Supprimée : HKLM\Software\Default Tab
    Clé Supprimée : HKLM\Software\iLividSRTB
    Clé Supprimée : HKLM\Software\MetaStream
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FE69C007-C452-4D3E-86D2-1730DF8BC871}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{807DF5E0-4EF7-48A8-A405-239F3E29FFA9}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitUninstaller_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitUninstaller_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASAPI32
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASMANCS
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKLM\Software\SimilarSites
    Clé Supprimée : HKLM\Software\systweak
    Clé Supprimée : HKLM\Software\Viewpoint
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0FA32667-9A8A-4E9C-902F-CA3323180003}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6B458F62-592F-4B25-8967-E6A350A59328}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A36BCB13-778D-4A40-99C1-D686086D268F}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FCC9CDD3-EFFF-11D1-A9F0-00A0244AC403}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{377E5D4D-77E5-476A-8716-7E70A9272DA0}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DefaultTab
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0FA32667-9A8A-4E9C-902F-CA3323180003}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6B458F62-592F-4B25-8967-E6A350A59328}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A36BCB13-778D-4A40-99C1-D686086D268F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FCC9CDD3-EFFF-11D1-A9F0-00A0244AC403}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
    Donnée Supprimée : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\mgrldr.dll
    Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\mgrldr.dll
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32D47EA5-9473-4CAD-805D-9999F15D5AE2}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{CA3EB689-8F09-4026-AA10-B9534C691CE0}]
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{FE69C007-C452-4D3E-86D2-1730DF8BC871}]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{FE69C007-C452-4D3E-86D2-1730DF8BC871}]
    Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{32D47EA5-9473-4CAD-805D-9999F15D5AE2}]
    Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{FE69C007-C452-4D3E-86D2-1730DF8BC871}]
    Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v10.0.9200.16635

    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://isearch.glarysoft.com/?src=iehome --> hxxp://www.google.com
    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Secondary Start Pages] = hxxp://isearch.glarysoft.com/?src=iehome --> hxxp://www.google.com
    Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://isearch.glarysoft.com/?src=iehome --> hxxp://www.google.com
    Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Page] = hxxp://isearch.glarysoft.com/?src=iehome --> hxxp://www.google.com

    -\\ Mozilla Firefox v20.0.1 (fr)

    *************************

    AdwCleaner[S1].txt - [393 octets] - [27/07/2013 10:23:35]
    AdwCleaner[S2].txt - [11688 octets] - [27/07/2013 10:25:58]

    ########## EOF - C:\AdwCleaner[S2].txt - [11749 octets] ##########
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    SRV:[b]64bit:[/b] - [2013/07/27 01:06:55 | 000,086,880 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysNative\system\svchost.exe -- (system)
    [2013/07/21 10:43:31 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\system
    [2013/07/21 00:14:24 | 000,000,000 | -HSD | C] -- C:\security
    [2013/07/21 00:14:24 | 000,000,000 | -HSD | C] -- C:\Kernel


    * redemarre le pc sous windows et poste le rapport ici

    ~~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Tu dois voir le dossier _OTL, ouvre le.
    Là tu dois voir un dossier MoveIT - NE PAS OUVRIR.
    Dessus, fais : Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier MoveIT.zip
    Envoie ce fichier _MoveIT.zip sur http://upload.malekal.com

    Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

    0
  7. Edmond Koalga Messages postés 19 Statut Membre
     
    Merci voici le rapport
    ========== OTL ==========
    Error: Unable to stop service system!
    Service system deleted successfully!
    C:\Windows\SysNative\system\svchost.exe moved successfully.
    C:\Windows\SysNative\system\msg folder moved successfully.
    C:\Windows\SysNative\system folder moved successfully.
    Folder move failed. C:\security\lpt1 scheduled to be moved on reboot.
    C:\security folder moved successfully.
    Folder move failed. C:\Kernel\lpt1 scheduled to be moved on reboot.
    C:\Kernel folder moved successfully.

    OTL by OldTimer - Version 3.2.69.0 log created on 07272013_114241

    Files\Folders moved on Reboot...
    File\Folder C:\security\lpt1 not found!
    File\Folder C:\Kernel\lpt1 not found!

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...

    j'ai aussi envoyer le fichier zip
    je dois me déconnecter je devrai pouvoir me reconnecter à 15h GMT
    je suis ravis de votre aide
    Merci à vous
    à ce soir
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Mouais pas terrible la détection :

    https://www.virustotal.com/fr/file/ef62a60bdf4ab723801fd49ac02d7837cfa922feb67b4ad040bd1385c662aaa8/analysis/1374926195/

    SHA256: ef62a60bdf4ab723801fd49ac02d7837cfa922feb67b4ad040bd1385c662aaa8
    Nom du fichier : svchost.exe
    Ratio de détection : 7 / 46
    Date d'analyse : 2013-07-27 11:56:35 UTC (il y a 0 minute)

    AVG Generic8_c.AAGH 20130727
    Comodo UnclassifiedMalware 20130727
    Malwarebytes FakeMS 20130727
    McAfee Artemis!7122C8C86DFF 20130727
    McAfee-GW-Edition Artemis!7122C8C86DFF 20130727
    Panda Bck/DService.AFQ 20130726
    TrendMicro-HouseCall TROJ_GEN.RC1H1JP 20130727


    J'ai balancé aux antivirus, Kaspersky devrait le détecté rapidos.

    ~~

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.
    0
  9. Edmond Koalga Messages postés 19 Statut Membre
     
    Bonsoir
    voici le rapport de malewarebyte
    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.01.13.04

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.10.9200.16635
    user :: USER-PC [administrateur]

    27/07/2013 01:28:50
    mbam-log-2013-07-27 (01-28-50).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 193167
    Temps écoulé: 1 minute(s), 7 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Users\user\AppData\Local\Temp\Opera.exe (Trojan.PWS) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.07.27.04

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 10.0.9200.16635
    user :: USER-PC [administrateur]

    27/07/2013 16:46:13
    mbam-log-2013-07-27 (16-46-13).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 237370
    Temps écoulé: 1 minute(s), 31 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 4
    HKCR\CLSID\{A1E28287-1A31-4b0f-8D05-AA8C465D3C5A} (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    HKCR\TypeLib\{FEB62B15-CC00-4736-AAEC-BA046C9DFF73} (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    HKCR\Interface\{1F8EDE97-36D5-422A-B8F0-9406E2D87C60} (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1E28287-1A31-4B0F-8D05-AA8C465D3C5A} (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 6
    C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabBHO.dll (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabStart.exe (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabStart64.exe (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabWrap.dll (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabWrap64.dll (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:\downloads\SoftonicDownloader_pour_internet-download-manager.exe (PUP.Optional.Softonic) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Merci
    A vous
    0
  10. Bmbou Messages postés 17 Statut Membre
     
    Bonjour,

    Je pense avoir le même problème :

    Le fichier svchost.exe est infecté par un cheval de troie appelé generic8_c.aagh. Je n'arrive pas à m'en débarasser via AVG. Est ce que je peux suivre la même procédure décrite par Malekal_morte ?

    J'utilise windows 7, 64 bits.
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      fais le scan malwarebyte aussi.
      0
  11. Bmbou Messages postés 17 Statut Membre
     
    Re bonjour

    J'ai effectuer les différents scans que tu demandais, voici les rapports ci dessous

    Adwcleaner > https://pjjoint.malekal.com/files.php?id=20131012_w14y10p8i13v5
    OLT > https://pjjoint.malekal.com/files.php?id=20131012_c10o8t12o11m10
    OLT extra > https://pjjoint.malekal.com/files.php?id=20131012_g12f5f14b8u13
    Malwarebits > https://pjjoint.malekal.com/files.php?id=20131012_z14l15t9z5z5

    Le virus semble me générer des erreurs de compilation Visual Basic, le message d'erreur suivant s'affiche. Peut être cela t'aidera à mieux cerner le porbleme/

    MESSAGE d'ERREUR
    Script : C:\security\system.vbe
    Ligne 1
    Caract 1
    Erreur : instruction inattendue
    Code 800A0400
    Source Erreur de compilation Microsoft VBScript

    En tout cas, merci de ton aide.
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    SRV:[b]64bit:[/b] - [2013/10/12 13:02:29 | 000,086,890 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\system\svchost.exe -- (system)
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: rescue = C:\ProgramData\rescue.vbe ()
    [2013/10/12 13:02:29 | 000,002,769 | ---- | M] () -- C:\ProgramData\rescue.vbe
    :Commands
    [emptytemp]
    [emptyflash]
    [resethosts]
    [reboot]

    * poste le rapport ici

    ~~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Tu dois voir le dossier _OTL, ouvre le.
    Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
    Dessus, fais : Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier MovedFiles.zip
    Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

    Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

    0
  13. Bmbou Messages postés 17 Statut Membre
     
    Voici le rapport,

    J'ai envoyé le zip, mais au moment de créer l'archive j'ai quand meme eu un message d'erreur.

    Encore merci pour l'aide.

    RAPPORT OTL >>>

    All processes killed
    ========== OTL ==========
    Service system stopped successfully!
    Service system deleted successfully!
    C:\Windows\SysNative\system\svchost.exe moved successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\rescue deleted successfully.
    C:\ProgramData\rescue.vbe moved successfully.
    File C:\ProgramData\rescue.vbe not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 56468 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Nicolas
    ->Temp folder emptied: 153690591 bytes
    ->Temporary Internet Files folder emptied: 116588850 bytes
    ->Java cache emptied: 29390312 bytes
    ->FireFox cache emptied: 467774583 bytes
    ->Google Chrome cache emptied: 326801283 bytes
    ->Flash cache emptied: 211713 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 557712421 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 78421057 bytes
    RecycleBin emptied: 1766338136 bytes

    Total Files Cleaned = 3,335.00 mb

    [EMPTYFLASH]

    User: All Users

    User: Default
    ->Flash cache emptied: 0 bytes

    User: Default User
    ->Flash cache emptied: 0 bytes

    User: Nicolas
    ->Flash cache emptied: 0 bytes

    User: Public

    Total Flash Files Cleaned = 0.00 mb

    C:\Windows\System32\drivers\etc\Hosts moved successfully.
    HOSTS file reset successfully

    OTL by OldTimer - Version 3.2.69.0 log created on 10122013_191538

    Files\Folders moved on Reboot...
    C:\Users\Nicolas\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    C:\Users\Nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
    File move failed. C:\Windows\temp\TmpFile1 scheduled to be moved on reboot.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    0
  14. Bmbou Messages postés 17 Statut Membre
     
    apparemment le fichier infecté a été supprimé. Merci.

    Que dois je faire avec les fichiers de quarantaine de OTL. Je peux les supprimer de manière classique ?
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux tout supprimer.

    Fais des scans réguliers de Malwarebytes ces prochains jours.

    Change tes mots de passe WEB (Facebook, Mail etc), ils ont été volés.
    0
  16. Bmbou Messages postés 17 Statut Membre
     
    Ok, en tout cas je te remercie vraiment.

    Sais tu quel genre d'infection c'était ? Et qui a récupéré mes mots de passe ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      oui, type RAT => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
      0
  17. Bmbou Messages postés 17 Statut Membre
     
    Bonjour

    J'ai encore une petite question

    Des clés de registres ont été modifiées ou supprimées (lnkfile) ce qui pose des porblème d'affichage des raccourcis. Est ce que je peux faire un point de restauration ? Cela va t-il "restaurer" l'infection ?

    Merci d'avance
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      si tu prends une date où l'infection était active oui.
      Faut donc prendre une date antérieure!
      0
    2. Bmbou Messages postés 17 Statut Membre
       
      ok merci
      0