Cheval de troie bouclier resident avg

Résolu/Fermé
Edmond Koalga Messages postés 15 Date d'inscription samedi 27 juillet 2013 Statut Membre Dernière intervention 18 janvier 2014 - 27 juil. 2013 à 11:18
Bmbou Messages postés 17 Date d'inscription samedi 12 octobre 2013 Statut Membre Dernière intervention 3 juillet 2016 - 27 oct. 2013 à 18:29
Bonjour
j'ai parcouru les anciens message et j'ai remarqué que le groupe est très courtois! FELICITATION
Voici mon problème: j'utilise depuis longtemps avg2013 comme antivirus et je l'appréciai vraiment mais il détecte à chaque démarrage un cheval de Troie que je ne me lasse pas de faire supprimé mais le même processus persiste.
j'étais enfin obligé de le désinstaller et de faire des recherches jusqu'à ce que je rencontre ce forum. Quelqu'un pourrai me secourir?
D'avance merci
A voir également:

17 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 665
Modifié par Malekal_morte- le 27/07/2013 à 11:21
Salut,

Quelle est le nom de la meance?
Dans quel fichier est-elle détectée?

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Edmond Koalga Messages postés 15 Date d'inscription samedi 27 juillet 2013 Statut Membre Dernière intervention 18 janvier 2014
27 juil. 2013 à 11:54
Je ne me rappel pas vraiment du fichier mais le nom est cheval de Troie avec dans les caractéristique bouclier resident
j'ai désinstallé avg mon inquiétude est si la menace existe toujours dans mon Pc
j'aimerais aussi pouvoir réinstaller qvg

cordialement à vous
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 665
27 juil. 2013 à 12:03
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

0
Edmond Koalga Messages postés 15 Date d'inscription samedi 27 juillet 2013 Statut Membre Dernière intervention 18 janvier 2014
27 juil. 2013 à 12:41
OK voici le rapport de adwcleaner

# AdwCleaner v2.306 - Rapport créé le 27/07/2013 à 10:25:58
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : user - USER-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\user\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Viewpoint
Dossier Supprimé : C:\ProgramData\SimilarSites
Dossier Supprimé : C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\hidjnkeodmholilgafgdlgmgggbhnigl

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\DefaultTab
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Default Tab
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A40DC6C5-79D0-4CA8-A185-8FF989AF1115}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{807DF5E0-4EF7-48A8-A405-239F3E29FFA9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{96BD48DD-741B-41AE-AC4A-AFF96BA00F7E}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\DefaultTabBHO.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbCommonUtils.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbHelper.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\Applications\ilividsetup.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
Clé Supprimée : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser
Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowser.1
Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX
Clé Supprimée : HKLM\SOFTWARE\Classes\DefaultTabBHO.DefaultTabBrowserActiveX.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9C049BA6-EA47-4AC3-AED6-A66D8DC9E1D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{9DBB28C1-1925-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{B87F8B63-7274-43FD-87FA-09D3B7496148}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C4BAE205-5E02-4E32-876E-F34B4E2D000C}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{CCA8F2AB-BE4E-41F0-A289-4D960CEA58EA}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EC4085F2-8DB3-45A6-AD0B-CA289F3C5D7E}
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\Default Tab
Clé Supprimée : HKLM\Software\iLividSRTB
Clé Supprimée : HKLM\Software\MetaStream
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FE69C007-C452-4D3E-86D2-1730DF8BC871}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{807DF5E0-4EF7-48A8-A405-239F3E29FFA9}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitUninstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitUninstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clé Supprimée : HKLM\Software\SimilarSites
Clé Supprimée : HKLM\Software\systweak
Clé Supprimée : HKLM\Software\Viewpoint
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0FA32667-9A8A-4E9C-902F-CA3323180003}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{6B458F62-592F-4B25-8967-E6A350A59328}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A36BCB13-778D-4A40-99C1-D686086D268F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FCC9CDD3-EFFF-11D1-A9F0-00A0244AC403}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{377E5D4D-77E5-476A-8716-7E70A9272DA0}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DefaultTab
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{03E2A1F3-4402-4121-8B35-733216D61217}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0FA32667-9A8A-4E9C-902F-CA3323180003}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E92DB5F-AAD9-49D3-8EAB-B40CBE5B1FF7}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6B458F62-592F-4B25-8967-E6A350A59328}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A36BCB13-778D-4A40-99C1-D686086D268F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C401D2CE-DC27-45C7-BC0C-8E6EA7F085D6}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FCC9CDD3-EFFF-11D1-A9F0-00A0244AC403}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Donnée Supprimée : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\mgrldr.dll
Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\mgrldr.dll
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{32D47EA5-9473-4CAD-805D-9999F15D5AE2}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{CA3EB689-8F09-4026-AA10-B9534C691CE0}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{FE69C007-C452-4D3E-86D2-1730DF8BC871}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{FE69C007-C452-4D3E-86D2-1730DF8BC871}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{32D47EA5-9473-4CAD-805D-9999F15D5AE2}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{FE69C007-C452-4D3E-86D2-1730DF8BC871}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Navigateurs] *****

-\\ Internet Explorer v10.0.9200.16635

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://isearch.glarysoft.com/?src=iehome --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Secondary Start Pages] = hxxp://isearch.glarysoft.com/?src=iehome --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Default_Page_URL] = hxxp://isearch.glarysoft.com/?src=iehome --> hxxp://www.google.com
Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Page] = hxxp://isearch.glarysoft.com/?src=iehome --> hxxp://www.google.com

-\\ Mozilla Firefox v20.0.1 (fr)

*************************

AdwCleaner[S1].txt - [393 octets] - [27/07/2013 10:23:35]
AdwCleaner[S2].txt - [11688 octets] - [27/07/2013 10:25:58]

########## EOF - C:\AdwCleaner[S2].txt - [11749 octets] ##########
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Edmond Koalga Messages postés 15 Date d'inscription samedi 27 juillet 2013 Statut Membre Dernière intervention 18 janvier 2014
Modifié par Edmond Koalga le 27/07/2013 à 13:37
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 665
27 juil. 2013 à 13:34
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
SRV:[b]64bit:[/b] - [2013/07/27 01:06:55 | 000,086,880 | ---- | M] (Microsoft Corporation) [Auto | Running] -- C:\Windows\SysNative\system\svchost.exe -- (system)
[2013/07/21 10:43:31 | 000,000,000 | ---D | C] -- C:\Windows\SysNative\system
[2013/07/21 00:14:24 | 000,000,000 | -HSD | C] -- C:\security
[2013/07/21 00:14:24 | 000,000,000 | -HSD | C] -- C:\Kernel


* redemarre le pc sous windows et poste le rapport ici



~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MoveIT - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MoveIT.zip
Envoie ce fichier _MoveIT.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

0
Edmond Koalga Messages postés 15 Date d'inscription samedi 27 juillet 2013 Statut Membre Dernière intervention 18 janvier 2014
Modifié par Edmond Koalga le 27/07/2013 à 14:02
Merci voici le rapport
========== OTL ==========
Error: Unable to stop service system!
Service system deleted successfully!
C:\Windows\SysNative\system\svchost.exe moved successfully.
C:\Windows\SysNative\system\msg folder moved successfully.
C:\Windows\SysNative\system folder moved successfully.
Folder move failed. C:\security\lpt1 scheduled to be moved on reboot.
C:\security folder moved successfully.
Folder move failed. C:\Kernel\lpt1 scheduled to be moved on reboot.
C:\Kernel folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 07272013_114241

Files\Folders moved on Reboot...
File\Folder C:\security\lpt1 not found!
File\Folder C:\Kernel\lpt1 not found!

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


j'ai aussi envoyer le fichier zip
je dois me déconnecter je devrai pouvoir me reconnecter à 15h GMT
je suis ravis de votre aide
Merci à vous
à ce soir
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 665
27 juil. 2013 à 13:58
Mouais pas terrible la détection :

https://www.virustotal.com/fr/file/ef62a60bdf4ab723801fd49ac02d7837cfa922feb67b4ad040bd1385c662aaa8/analysis/1374926195/

SHA256: ef62a60bdf4ab723801fd49ac02d7837cfa922feb67b4ad040bd1385c662aaa8
Nom du fichier : svchost.exe
Ratio de détection : 7 / 46
Date d'analyse : 2013-07-27 11:56:35 UTC (il y a 0 minute)

AVG Generic8_c.AAGH 20130727
Comodo UnclassifiedMalware 20130727
Malwarebytes FakeMS 20130727
McAfee Artemis!7122C8C86DFF 20130727
McAfee-GW-Edition Artemis!7122C8C86DFF 20130727
Panda Bck/DService.AFQ 20130726
TrendMicro-HouseCall TROJ_GEN.RC1H1JP 20130727


J'ai balancé aux antivirus, Kaspersky devrait le détecté rapidos.

~~

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
0
Edmond Koalga Messages postés 15 Date d'inscription samedi 27 juillet 2013 Statut Membre Dernière intervention 18 janvier 2014
27 juil. 2013 à 18:56
Bonsoir
voici le rapport de malewarebyte
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.01.13.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.10.9200.16635
user :: USER-PC [administrateur]

27/07/2013 01:28:50
mbam-log-2013-07-27 (01-28-50).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 193167
Temps écoulé: 1 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\user\AppData\Local\Temp\Opera.exe (Trojan.PWS) -> Mis en quarantaine et supprimé avec succès.

(fin)





Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.27.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
user :: USER-PC [administrateur]

27/07/2013 16:46:13
mbam-log-2013-07-27 (16-46-13).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 237370
Temps écoulé: 1 minute(s), 31 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 4
HKCR\CLSID\{A1E28287-1A31-4b0f-8D05-AA8C465D3C5A} (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{FEB62B15-CC00-4736-AAEC-BA046C9DFF73} (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{1F8EDE97-36D5-422A-B8F0-9406E2D87C60} (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1E28287-1A31-4B0F-8D05-AA8C465D3C5A} (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabBHO.dll (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabStart.exe (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabStart64.exe (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabWrap.dll (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
C:\Users\user\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabWrap64.dll (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
C:\downloads\SoftonicDownloader_pour_internet-download-manager.exe (PUP.Optional.Softonic) -> Mis en quarantaine et supprimé avec succès.

(fin)

Merci
A vous
0
Bmbou Messages postés 17 Date d'inscription samedi 12 octobre 2013 Statut Membre Dernière intervention 3 juillet 2016
12 oct. 2013 à 12:46
Bonjour,

Je pense avoir le même problème :

Le fichier svchost.exe est infecté par un cheval de troie appelé generic8_c.aagh. Je n'arrive pas à m'en débarasser via AVG. Est ce que je peux suivre la même procédure décrite par Malekal_morte ?

J'utilise windows 7, 64 bits.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 665
12 oct. 2013 à 13:40
fais le scan malwarebyte aussi.
0
Bmbou Messages postés 17 Date d'inscription samedi 12 octobre 2013 Statut Membre Dernière intervention 3 juillet 2016
12 oct. 2013 à 18:00
Re bonjour

J'ai effectuer les différents scans que tu demandais, voici les rapports ci dessous

Adwcleaner > https://pjjoint.malekal.com/files.php?id=20131012_w14y10p8i13v5
OLT > https://pjjoint.malekal.com/files.php?id=20131012_c10o8t12o11m10
OLT extra > https://pjjoint.malekal.com/files.php?id=20131012_g12f5f14b8u13
Malwarebits > https://pjjoint.malekal.com/files.php?id=20131012_z14l15t9z5z5

Le virus semble me générer des erreurs de compilation Visual Basic, le message d'erreur suivant s'affiche. Peut être cela t'aidera à mieux cerner le porbleme/

MESSAGE d'ERREUR
Script : C:\security\system.vbe
Ligne 1
Caract 1
Erreur : instruction inattendue
Code 800A0400
Source Erreur de compilation Microsoft VBScript

En tout cas, merci de ton aide.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 665
12 oct. 2013 à 19:13
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
SRV:[b]64bit:[/b] - [2013/10/12 13:02:29 | 000,086,890 | ---- | M] () [Auto | Stopped] -- C:\Windows\SysNative\system\svchost.exe -- (system)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: rescue = C:\ProgramData\rescue.vbe ()
[2013/10/12 13:02:29 | 000,002,769 | ---- | M] () -- C:\ProgramData\rescue.vbe
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]

* poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.


0
Bmbou Messages postés 17 Date d'inscription samedi 12 octobre 2013 Statut Membre Dernière intervention 3 juillet 2016
12 oct. 2013 à 19:27
Voici le rapport,

J'ai envoyé le zip, mais au moment de créer l'archive j'ai quand meme eu un message d'erreur.

Encore merci pour l'aide.



RAPPORT OTL >>>

All processes killed
========== OTL ==========
Service system stopped successfully!
Service system deleted successfully!
C:\Windows\SysNative\system\svchost.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\rescue deleted successfully.
C:\ProgramData\rescue.vbe moved successfully.
File C:\ProgramData\rescue.vbe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56468 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Nicolas
->Temp folder emptied: 153690591 bytes
->Temporary Internet Files folder emptied: 116588850 bytes
->Java cache emptied: 29390312 bytes
->FireFox cache emptied: 467774583 bytes
->Google Chrome cache emptied: 326801283 bytes
->Flash cache emptied: 211713 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 557712421 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 78421057 bytes
RecycleBin emptied: 1766338136 bytes

Total Files Cleaned = 3,335.00 mb


[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 0 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Nicolas
->Flash cache emptied: 0 bytes

User: Public

Total Flash Files Cleaned = 0.00 mb

C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTL by OldTimer - Version 3.2.69.0 log created on 10122013_191538

Files\Folders moved on Reboot...
C:\Users\Nicolas\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Nicolas\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\Windows\temp\TmpFile1 scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
Bmbou Messages postés 17 Date d'inscription samedi 12 octobre 2013 Statut Membre Dernière intervention 3 juillet 2016
Modifié par Bmbou le 13/10/2013 à 22:36
apparemment le fichier infecté a été supprimé. Merci.

Que dois je faire avec les fichiers de quarantaine de OTL. Je peux les supprimer de manière classique ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 665
13 oct. 2013 à 22:38
Tu peux tout supprimer.

Fais des scans réguliers de Malwarebytes ces prochains jours.

Change tes mots de passe WEB (Facebook, Mail etc), ils ont été volés.
0
Bmbou Messages postés 17 Date d'inscription samedi 12 octobre 2013 Statut Membre Dernière intervention 3 juillet 2016
13 oct. 2013 à 22:46
Ok, en tout cas je te remercie vraiment.

Sais tu quel genre d'infection c'était ? Et qui a récupéré mes mots de passe ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 665
13 oct. 2013 à 22:47
oui, type RAT => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
0
Bmbou Messages postés 17 Date d'inscription samedi 12 octobre 2013 Statut Membre Dernière intervention 3 juillet 2016
27 oct. 2013 à 15:58
Bonjour

J'ai encore une petite question

Des clés de registres ont été modifiées ou supprimées (lnkfile) ce qui pose des porblème d'affichage des raccourcis. Est ce que je peux faire un point de restauration ? Cela va t-il "restaurer" l'infection ?

Merci d'avance
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 665
27 oct. 2013 à 17:49
si tu prends une date où l'infection était active oui.
Faut donc prendre une date antérieure!
0
Bmbou Messages postés 17 Date d'inscription samedi 12 octobre 2013 Statut Membre Dernière intervention 3 juillet 2016
27 oct. 2013 à 18:29
ok merci
0