Utilisateur TEMP + vers détecté
Résolu/Fermé
-YZF-
Messages postés
12
Date d'inscription
samedi 23 mars 2013
Statut
Membre
Dernière intervention
8 novembre 2013
-
29 juil. 2013 à 22:57
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 31 juil. 2013 à 18:31
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 31 juil. 2013 à 18:31
A voir également:
- Utilisateur TEMP + vers détecté
- Windows 7 vers windows 10 - Guide
- Usb non detecté - Guide
- Core temp - Télécharger - Divers Utilitaires
- Transferer photo android vers pc - Guide
- Qwerty vers azerty - Guide
10 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
29 juil. 2013 à 23:03
29 juil. 2013 à 23:03
Salut,
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
-YZF-
Messages postés
12
Date d'inscription
samedi 23 mars 2013
Statut
Membre
Dernière intervention
8 novembre 2013
Modifié par -YZF- le 30/07/2013 à 04:45
Modifié par -YZF- le 30/07/2013 à 04:45
Salut,
AdwCleaner:
https://pjjoint.malekal.com/files.php?id=20130730_i13u10o5i5d10
OTL:
https://pjjoint.malekal.com/files.php?id=20130730_o10r11h13f8q14
Extras:
https://pjjoint.malekal.com/files.php?id=20130730_q10n14h9o10w13
Merci l'ami pour ton aide.
Si tu as le temps de m'expliquer brièvement ce qui se passe, et à quoi c'est dû, j'aimerai comprendre.
PS: Malekal Morte référence au groupe ? j'plussoie ;)
AdwCleaner:
https://pjjoint.malekal.com/files.php?id=20130730_i13u10o5i5d10
OTL:
https://pjjoint.malekal.com/files.php?id=20130730_o10r11h13f8q14
Extras:
https://pjjoint.malekal.com/files.php?id=20130730_q10n14h9o10w13
Merci l'ami pour ton aide.
Si tu as le temps de m'expliquer brièvement ce qui se passe, et à quoi c'est dû, j'aimerai comprendre.
PS: Malekal Morte référence au groupe ? j'plussoie ;)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
30 juil. 2013 à 08:00
30 juil. 2013 à 08:00
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-3728152319-1843696989-4019860144-1000..\Run: [updat] wscript.exe //B C:\Users\YZF\AppData\Local\Temp\updat.vbs File not found
O4 - Startup: C:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs ()
[2013/07/28 00:41:56 | 000,260,213 | ---- | M] () -- C:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MoveIT - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MoveIT.zip
Envoie ce fichier _MoveIT.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
~~
Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-3728152319-1843696989-4019860144-1000..\Run: [updat] wscript.exe //B C:\Users\YZF\AppData\Local\Temp\updat.vbs File not found
O4 - Startup: C:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs ()
[2013/07/28 00:41:56 | 000,260,213 | ---- | M] () -- C:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs
* redemarre le pc sous windows et poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MoveIT - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MoveIT.zip
Envoie ce fichier _MoveIT.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
~~
Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.
Voici le rapport :
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3728152319-1843696989-4019860144-1000\Software\Microsoft\Windows\CurrentVersion\Run\\updat deleted successfully.
C:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs moved successfully.
File C:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs not found.
- le dossier à été envoyé mais il porte le nom de MovedFiles.Zip et non MovedIT.
- les modules :
Adblock Plus 2.3.1
avast! Online Security 8.0.1489
Black Google Theme 2.2
Black Youtube 4.8
Firebug 1.11.4
Hotspot Shield Helper 3.11
En revanche, dans les plugins, j'ai un problème avec Silverlight Plug-In 4.0.50401.0.
Il est inscrit à coté " Silverlight Plug in est connu pour être vulnérable et doit être mis à jour."
Quand je veux le mettre à jour : "Silverlight 4.1.10328.0 and lower a été bloqué pour votre protection."
Merci à toi
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3728152319-1843696989-4019860144-1000\Software\Microsoft\Windows\CurrentVersion\Run\\updat deleted successfully.
C:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs moved successfully.
File C:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\updat.vbs not found.
- le dossier à été envoyé mais il porte le nom de MovedFiles.Zip et non MovedIT.
- les modules :
Adblock Plus 2.3.1
avast! Online Security 8.0.1489
Black Google Theme 2.2
Black Youtube 4.8
Firebug 1.11.4
Hotspot Shield Helper 3.11
En revanche, dans les plugins, j'ai un problème avec Silverlight Plug-In 4.0.50401.0.
Il est inscrit à coté " Silverlight Plug in est connu pour être vulnérable et doit être mis à jour."
Quand je veux le mettre à jour : "Silverlight 4.1.10328.0 and lower a été bloqué pour votre protection."
Merci à toi
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
30 juil. 2013 à 17:34
30 juil. 2013 à 17:34
c'est bon pour les plugins.
Refais un scan OTL histoire de s'assurer que y a plus de .vbs
Refais un scan OTL histoire de s'assurer que y a plus de .vbs
re,
le lien OTL:
http://pjjoint.malekal.com/files.php?id=20130730_z12v10q11x5e8
Après un nouveau scan Kapersky, il bien vu que OTL à trouvé des vers, mais visiblement ils sont toujours présent. :
HEUR:Worm.Script.Generic
updat.vbs
c:\Users\YZF\AppData\Local\Temp
HEUR:Worm.Script.Generic
updat.vbs
c:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
HEUR:Worm.Script.Generic
updat.vbs
C:\Documents and Settings\YZF\AppData\Local\Temp
HEUR:Worm.Script.Generic
updat.vbs
C:\Documents and Settings\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup
HEUR:Worm.Script.Generic
updat.vbs
C:\_OTL\MovedFiles.zip//MovedFiles/07302013_162727/C_Users/YZF/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup
HEUR:Worm.Script.Generic
updat.vbs
C:\_OTL\MovedFiles\07302013_162727\C_Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Une idée, sinon au sujet des utilisateurs temporaire?
Merci pour ton temps
le lien OTL:
http://pjjoint.malekal.com/files.php?id=20130730_z12v10q11x5e8
Après un nouveau scan Kapersky, il bien vu que OTL à trouvé des vers, mais visiblement ils sont toujours présent. :
HEUR:Worm.Script.Generic
updat.vbs
c:\Users\YZF\AppData\Local\Temp
HEUR:Worm.Script.Generic
updat.vbs
c:\Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
HEUR:Worm.Script.Generic
updat.vbs
C:\Documents and Settings\YZF\AppData\Local\Temp
HEUR:Worm.Script.Generic
updat.vbs
C:\Documents and Settings\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programmes\Startup
HEUR:Worm.Script.Generic
updat.vbs
C:\_OTL\MovedFiles.zip//MovedFiles/07302013_162727/C_Users/YZF/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup
HEUR:Worm.Script.Generic
updat.vbs
C:\_OTL\MovedFiles\07302013_162727\C_Users\YZF\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Une idée, sinon au sujet des utilisateurs temporaire?
Merci pour ton temps
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 30/07/2013 à 20:41
Modifié par Malekal_morte- le 30/07/2013 à 20:41
CTRL+ALT+SUppr et gestionnaire de tâches.
onglet processus
cherche wscript.exe
s'il est présent, tu clics desuss et fin de tâches.
Menu Démarrer / tous les programmes / Démarrage
tu dois avoir updat.vbs
clic / droit supprimer
Redémarre le PC et vérifie qu'il ne se remet plus dans Démarrage du Menu Démarrer
(tu peux avoir des messages d'erreurs au démarrage, c'est normal).
Pour les utilisateurs, tu peux les supprimer.
Mais ça doit être créé par les trucs Hotpost.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
onglet processus
cherche wscript.exe
s'il est présent, tu clics desuss et fin de tâches.
Menu Démarrer / tous les programmes / Démarrage
tu dois avoir updat.vbs
clic / droit supprimer
Redémarre le PC et vérifie qu'il ne se remet plus dans Démarrage du Menu Démarrer
(tu peux avoir des messages d'erreurs au démarrage, c'est normal).
Pour les utilisateurs, tu peux les supprimer.
Mais ça doit être créé par les trucs Hotpost.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
-YZF-
Messages postés
12
Date d'inscription
samedi 23 mars 2013
Statut
Membre
Dernière intervention
8 novembre 2013
30 juil. 2013 à 22:20
30 juil. 2013 à 22:20
arf, wscript.exe et updat.vbs réapparaissent au démarrage même en supprimmant avec Eraser. C'est une manipulation que je devrais refaire à chaque démarrage ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
30 juil. 2013 à 22:22
30 juil. 2013 à 22:22
CTRL+ALT+SUppr et gestionnaire de tâches.
onglet processus
cherche wscript.exe
s'il est présent, tu clics desuss et fin de tâches.
Menu Démarrer / tous les programmes / Démarrage
tu dois avoir updat.vbs
clic / droit supprimer
Ensuite ouvre mon ordinateur
dans la barre d'adresse tape %TEMP%
vire le updat.vbs s'il y est.
Eventuellement fais un scan Kaspersky et vire tout.
Redémarre le PC et vois si ça revient.
onglet processus
cherche wscript.exe
s'il est présent, tu clics desuss et fin de tâches.
Menu Démarrer / tous les programmes / Démarrage
tu dois avoir updat.vbs
clic / droit supprimer
Ensuite ouvre mon ordinateur
dans la barre d'adresse tape %TEMP%
vire le updat.vbs s'il y est.
Eventuellement fais un scan Kaspersky et vire tout.
Redémarre le PC et vois si ça revient.
Ça y est je ne vois plus ni de updat.vbs ni de wscript.exe :)
En repassant un scan Kaspersky, il me retrouve plus qu' un programme malveillant (en détruisant le dossier zip OTL de tout à l'heure) :
HEUR:Worm.Script.Generic
$RSG90YH.vbs
C:\$Recycle.Bin\S-1-5-21-3728152319-1843696989-4019860144-1000
et je ne peux pas interagir avec le fichier.
En fait, Le scan de Kaspersky est uniquement un scan que j'ai dl je n'ai accès à aucunes actions
Mon AV est avast qui visiblement est moisi n'ayant rien détecté. Ni MalwareBytes d'ailleurs.
En repassant un scan Kaspersky, il me retrouve plus qu' un programme malveillant (en détruisant le dossier zip OTL de tout à l'heure) :
HEUR:Worm.Script.Generic
$RSG90YH.vbs
C:\$Recycle.Bin\S-1-5-21-3728152319-1843696989-4019860144-1000
et je ne peux pas interagir avec le fichier.
En fait, Le scan de Kaspersky est uniquement un scan que j'ai dl je n'ai accès à aucunes actions
Mon AV est avast qui visiblement est moisi n'ayant rien détecté. Ni MalwareBytes d'ailleurs.
-YZF-
Messages postés
12
Date d'inscription
samedi 23 mars 2013
Statut
Membre
Dernière intervention
8 novembre 2013
31 juil. 2013 à 18:24
31 juil. 2013 à 18:24
c'est bon j'ai réussi à le supprimer.
Merci infiniment à Malekal_morte-
Merci infiniment à Malekal_morte-
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
31 juil. 2013 à 18:31
31 juil. 2013 à 18:31
J'ai envoyé le malware aux antivirus hier, ils vont le rajouter petit à petit :)
Change tes mots de passe.
Change tes mots de passe.
