Infecté par trojan Backdoor:Win32/Fynloski.A

Résolu
CortoM90 Messages postés 13 Statut Membre -  
CortoM90 Messages postés 13 Statut Membre -
Bonjour,

mon antivirus MSE détecte le trojan Fynloski mais il n'arrive pas à le supprimer.

Est ce que quelqu'un à une idée? ça à l'aire d'être costaud.

merci d'avance

10 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
    Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
    Lance AdwCleaner, clique sur [Scanner].
    Le scan peux durer plusieurs minutes, patienter.
    Une fois le scan terminé, clique sur [Nettoyer]

    Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis:

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
    Je répète : donne le lien du rapport pjjoint ici en réponse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharger et installer Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    ** Prendre la version gratuite - ATTENTION à l'issu de l'installation décochez l'option : "Activer l'essai gratuit de Malwarebytes Anti-Malware PRO" **
    Une fois installé :
    - Faire un scan rapide.
    - Lorsque le scan est terminé, fais un clic droit / tout cocher.
    - En bas, bouton supprimer selection.
    - Redémarre si nécessaire.
    1
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Windows\system32\wlcom\svhost.exe (Microsoft Corporation)
    O7 - HKU\S-1-5-21-4292789630-3410613395-2174412893-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Policies = C:\Windows\system32\wlcom\svhost.exe (Microsoft Corporation)
    O7 - HKU\S-1-5-21-4292789630-3410613395-2174412893-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: WindowsStart = %AppData%\Microsoft\taskhost.exe ()
    O7 - HKU\S-1-5-21-4292789630-3410613395-2174412893-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
    O7 - HKU\S-1-5-21-4292789630-3410613395-2174412893-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    ActiveX: {7R68ON4R-1F75-345G-311T-711L81SR0BBQ} - C:\Windows\system32\wlcom\svhost.exe
    [2013/09/25 22:02:27 | 000,000,000 | ---D | C] -- C:\Users\Antoine\AppData\Roaming\dclogs
    [2013/09/26 20:43:27 | 000,002,528 | ---- | M] () -- C:\Users\Antoine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.lnk

    * poste le rapport ici

    ~~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Tu dois voir le dossier _OTL, ouvre le.
    Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
    Dessus, fais : Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier MovedFiles.zip
    Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

    Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. CortoM90 Messages postés 13 Statut Membre
     
    Merci ce calvaire est terminée grâce à toi!
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      je peux voir le rapport Malwarebyte ?
      0
    2. CortoM90 Messages postés 13 Statut Membre
       
      ok je le retrouve où?
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      onglet rapport, sinon suis les instructions.
      0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Refais un scan OTL et donne le rapport.
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    PRC - [2013/09/14 10:52:43 | 000,142,336 | ---- | M] () -- C:\Program Files (x86)\Winamax Poker\Winamax Poker.exe

    Comme tu joue au Poker, possible que le malware soit utilisé pour voir ton écran (donc ton jeu...)..

    ~~

    Tu as été infecté par un Rat (Remote Administration Tools).
    => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

    Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
    Vous cliquez, téléchargez et executer.
    Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

    Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

    Faire attention à ce que vous téléchargez - change tous tes mots de passe
    0
  8. CortoM90 Messages postés 13 Statut Membre
     
    quoi mon jeu?

    ok je change mes mots de passes
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Si tu joues de l'argent sur les jeux de Poker en ligne.
      0
    2. CortoM90 Messages postés 13 Statut Membre
       
      ok ça passe car j'ai pas des fortunes.

      le mec qui a envoyé ça viens de Amiens (environs), j'ai vu ça grace au section active sur FB (je n'ai aucun lien avec cette ville)

      par contre, il ne m'a pris que les mot de passe?

      concernant le mot de passe pour ma banque en ligne, c'est aussi le cas? car il me semble que ce n'est pas sauvgardé (obligé de retaper à chaque fois mes mots de passe)
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      humm c'est difficile à dire pour ta banque en ligne.
      Contactez les.

      Tu as encore le lien Facebook ?
      et le compte ?
      0
    4. CortoM90 Messages postés 13 Statut Membre
       
      session actuelle
      Lieu : Amiens, S, FR (approximation)
      Type de périphérique : Chrome sur Windows 7

      IP: 93.16.31.56

      c'est ça que tu me demandes?
      0
    5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      non le truc qu'il t'a envoyé c'est par un lien de téléchargement, c'est ça que je voudrais :)
      0