virus II Résolu/Fermé

Question

Bonjour, c'est encore moi, je panique ...!
je me bat avec une saloperie et je n'y arrive pas. Je les ai repéré, ils s appellent :

ucemy.exe ;  afciqy.exe ; aruqzu.exe.

aidez-moi merci

Phil

Utilisateur anonyme · Answer

Bonsoir

Télécharge Malwaresbytes anti malware ici  
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

A la fin de l'installation : 									Décoches « activer l'esssai gratuit de malwarebytes PRO »

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista ;Seven ou Windows 8   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Rapide"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+

phil013 · Answer

merci, c'est en train de scanner
@++

Utilisateur anonyme · Answer

Bonjour

Peux tu me mettre ces 2 rapports;merci

@+

Utilisateur anonyme · Answer

Re

Vide la quarantaine de Malwaresbytes

Tiens moi au courant;merci

@+

phil013 · Answer

Bonjour à tous:

depuis l'installation de "Malwarebytes Anti-Malware" J'ai un message qui apparait toutes les 30/40 seconde avec ce texte :
---------------------------------------------
Malwarebytes Anti-Malware
Blocage réussi de l'accès à un site web potentiellement malveillant 89.250.146.12

Type sortant
Port 54524, processus : coreserviceshell.exe
----------------------------------------------
Sachant que l'adresse IP et le n° de port changent à chaque fois ?
Trendmicro anti-virus et Malwarebytes Anti-Malware ne trouvent rien

merci pour votre aide.
Phil013

Utilisateur anonyme · Answer

Bonjour

Tu utiles la version Pro mais en essai .

Voici le coupable: http://whois.domaintools.com/89.250.146.12

Et d'ailleurs;tu m'avais laissé tomber (dernière réponse le 11/01)

On avait pas fini !!!

@+
 
           --------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.

phil013 · Answer

non, c'est une licence pro complètement en règle ...!

Je ne t'avais pas laissé tomber, 
que dois-je faire ?

merci

Utilisateur anonyme · Answer

Re

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

 
Dans la fenêtre ZHPDiag qui vient de s'ouvrir,  clique sur "Configurer"

Clique sur  la loupe  en bas à gauche avec le signe plus   pour lancer l'analyse.


Laisse l'outil travailler, il peut être assez long. 

Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau 

Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

Utilisateur anonyme · Answer

Re

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 

Script ZHPFix
M3 - MFPP: Plugins - [philippe] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\babylon.xml  
[HKCU\Software\BI]     
[HKCU\Software\ParetoLogic]  
[HKLM\Software\Wow6432Node\Babylon]  
[HKLM\Software\Wow6432Node\ParetoLogic]  
O43 - CFD: 01/03/2013 - 17:54:10 - [0] ----D C:\ProgramData\Babylon  
O43 - CFD: 24/07/2013 - 09:58:22 - [0] ----D C:\ProgramData\ParetoLogic  
O43 - CFD: 24/07/2013 - 09:53:21 - [0] ----D C:\Users\philippe\AppData\Roaming\ParetoLogic  
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.BabylonToolbar_i.newTab", true);  
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.BabylonToolbar_i.newTabUrl", "http://www.delta-search.com/?affID=119816&babsrc=NT_ss&mntrId=6003758700000000[...]  
[HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]    
[HKLM\Software\Wow6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]    
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]    
[HKLM\Software\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]    
[HKLM\Software\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]    
[HKLM\Software\Wow6432Node\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]    
[HKLM\Software\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}]    
[HKLM\Software\Wow6432Node\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}]    
[HKLM\Software\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]    
[HKLM\Software\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]    
[HKLM\Software\Wow6432Node\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]    
[HKLM\Software\Classes\AppID\escort.dll]    
[HKLM\Software\Classes\AppID\escortapp.dll]    
[HKLM\Software\Classes\AppID\escorteng.dll]    
[HKLM\Software\Classes\AppID\esrv.EXE]    
[HKLM\Software\Wow6432Node\Microsoft\Tracing\MyBabylontb_RASAPI32]    
[HKLM\Software\Wow6432Node\Microsoft\Tracing\MyBabylontb_RASMANCS]    
[HKLM\Software\Classes\Prod.cap]    
[HKCU\Software\ParetoLogic]    
[HKLM\Software\Wow6432Node\ParetoLogic]    
[HKCU\Software\BI]    
[HKLM\Software\Classes\AppID\escorTlbr.DLL]    
[HKLM\Software\Wow6432Node\Classes\AppID\escort.DLL]    
[HKLM\Software\Wow6432Node\Classes\AppID\escortApp.DLL]    
[HKLM\Software\Wow6432Node\Classes\AppID\escortEng.DLL]    
[HKLM\Software\Wow6432Node\Classes\AppID\escorTlbr.DLL]    
C:\ProgramData\Babylon    
C:\ProgramData\ParetoLogic    
C:\Users\philippe\AppData\Roaming\ParetoLogic    
[HKLM\Software\Wow6432Node\Babylon]    
O4 - GS\Desktop [Public]: Encore plus de jeux.lnk - Clé orpheline 
O4 - GS\Program [Public]: Encore plus de jeux.lnk - Clé orpheline 
O4 - GS\Desktop [philippe]: objets caches.lnk . (...)  -- S:\Commun\objets caches.xls  (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{4437414A-9877-4559-B1A0-D20FF8A3B2BF}] (...) -- D:	elechargement\7in1_floppy_driver-wxp-x86-107\Setup.exe (.not file.)   [0] 
O43 - CFD: 10/10/2013 - 15:44:34 - [0] ----D C:\ProgramData\Connect 2 Play 
O43 - CFD: 15/11/2013 - 16:50:18 - [0] ----D C:\Users\philippe\AppData\Local\FunnyMiners 
O51 - MPSK:{59f3e347-121f-11e3-9bf9-f46d048fba7d}\AutoRun\command. (...) -- K:\Password.exe (.not file.) 
O51 - MPSK:{9a1f1587-826b-11e2-8540-0026831383bc}\AutoRun\command. (...) -- K:\Password.exe (.not file.) 
M3 - MFPP: Plugins - [philippe] -- C:\Users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\qpzglb70.default\searchplugins\delta.xml  
M2 - MFEP: prefs.js [philippe - qpzglb70.default\ffxtlbr@delta.com] [] Delta Toolbar v1.5.0 (..)  
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.admin", false); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.aflt", "babsst"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.autoRvrt", "false"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.dfltLng", "en"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.excTlbr", false); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.id", "60037587000000000000000a78b02535"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.instlDay", "15765"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.instlRef", "sst"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.newTab", false); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.prdct", "delta"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.prtnrId", "delta"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.rvrt", "false"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.smplGrp", "none"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.tlbrId", "base"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.tlbrSrchUrl", ""); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.vrsn", "1.8.10.0"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.vrsnTs", "1.8.10.017:54:25"); 
O69 - SBI: prefs.js [philippe - qpzglb70.default] user_pref("extensions.delta.vrsni", "1.8.10.0"); 
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Delta Search) - http://www.delta-search.com  
[HKLM\Software\Classes\AppID\{39CB8175-E224-4446-8746-00566302DF8D}]    
[HKLM\Software\Wow6432Node\Classes\AppID\{39CB8175-E224-4446-8746-00566302DF8D}]    
[HKLM\Software\Classes\.bdc]    
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\heoldelcflnigdllmlopiefhkkobendj]    
[HKLM\Software\Wow6432Node\Microsoft\Tracing\apnstub_RASAPI32]    
[HKLM\Software\Wow6432Node\Microsoft\Tracing\apnstub_RASMANCS]    
C:\Users\philippe\AppData\Roaming\Mozilla\Firefox\Profiles\qpzglb70.default\extensions\ffxtlbr@delta.com    
[MD5.00000000000000000000000000000000] [APT] [{2EFD7FA7-FF93-40E5-88F2-7745BACD95A0}] (...) -- J:\Setup.exe (.not file.)   [0]     
 [MD5.00000000000000000000000000000000] [APT] [{4437414A-9877-4559-B1A0-D20FF8A3B2BF}] (...) -- D:	elechargement\7in1_floppy_driver-wxp-x86-107\Setup.exe (.not file.)   [0]     
 [MD5.00000000000000000000000000000000] [APT] [{5ADC0E65-C848-4D91-BF02-9E2B79470DB1}] (...) -- J:\start.exe (.not file.)   [0] 

ShortcutFix
EmptyPrefetch
FirewallRAZ
Emptytemp
EmptyCLSID

--------------------------------------------------------------------------------------------
Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7 ou 8, fais le par un clic-droit --> Exécuter en tant qu'administrateur) 

Cliquer sur le bouton  Importer. Le contenu du Presse-papier vient se coller dans la zone de saisie de ZHPFix

 NB (W8)   : Dans certains cas le script se colle automatiquement dans la zone de script et ne nécessite pas de cliquer sur le bouton "IMPORTER".
 
* Clique sur le bouton GO  pour lancer le nettoyage.

-> laisse travailler l'outil et ne touche à rien ... 
-> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 


Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 
Ce rapport est copié sur le bureau

( ce rapport est en outre sauvegardé dans ce dossier : 
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP\ZHPFix [R1].txt)


@+

phil013 · Answer

C'est fait.
Tu veux le fichier ZHPFix [R1] ?

Utilisateur anonyme · Answer

Re

je peux voir ce rapport ZHPfix,merci

phil013 · Answer

Le voici :

https://pjjoint.malekal.com/files.php?read=20140118_v8j15x11b12m8

Utilisateur anonyme · Answer

Re

l'adresse demandée:https://whois.net/default.aspx

Le fichier qui demande fait partie de Trend Micro Titanium v6.00 

Tu peux faire analyser ce fichier pour être sur.

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

 Clique sur " choose File", cherche un fichier à la fois :

coreserviceshell.exe (trouve l'emplacement exact de ce fichier)

Clique sur Scan It! 

Un rapport va s'élaborer ligne à ligne. 

 Attends la fin. Il doit comprendre la taille du fichier envoyé. 

 Sauvegarde le rapport en copiant le lien de Virus Total. (C'est mieux)

 Copie le lien du rapport dans ta réponse et fait le pour chaque fichier ; merci 

(!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser le fichier maintenant


@+

Utilisateur anonyme · Answer

Re

Voila pourquoi c'est bien d'avoir un pare feu mais si on ne sait pas ce qu'il doit bloquer ou autoriser,autant ne pas en mettre et laisser faire celui de Windows

Car cela peut entrainer un dysfonctionnement du programme qui a besoin de cet accès à Internet


Je te laisse tester cette soirée et demain pour la journée.

Tu me contactes demain soir et on verra la suite à donner



Bonne soirée

Utilisateur anonyme · Answer

Bonjour

On nettoie 

 Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

 Réactiver l'UAC
 Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
 Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras 
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt 



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

 
@+

Utilisateur anonyme · Answer

Re

Pour moi la désinfection est finie.
Le paramétrage de Malwaresbytes reste à ta charge 

Je te propose donc de mettre ce sujet en résolu

merci

@+

Utilisateur anonyme · Answer

Bonne soirée également

@+

Virus II

17 réponses

Discussions similaires

Newsletters