Supprimer Trojan.Ransom.ED et Trojan.Dorkbot
Résolu/Fermé
Benoit
-
Modifié par Malekal_morte- le 11/01/2014 à 18:46
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 janv. 2014 à 11:49
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 janv. 2014 à 11:49
A voir également:
- Supprimer Trojan.Ransom.ED et Trojan.Dorkbot
- Supprimer une page word - Guide
- Supprimer compte instagram - Guide
- Impossible de supprimer un fichier - Guide
- Supprimer pub youtube - Accueil - Streaming
- Supprimer edge - Guide
12 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
Modifié par Malekal_morte- le 11/01/2014 à 18:23
Modifié par Malekal_morte- le 11/01/2014 à 18:23
Salut,
Ca :
O4 - HKCU\..\Run: [bbtmp] "C:\ProgramData\bbtmp0\skskwbwqs.exe"
O4 - HKLM\..\Policies\Explorer\Run: [15721] c:\progra~3\msvagu.exe
c'est mal.
Pour voir :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Ca :
O4 - HKCU\..\Run: [bbtmp] "C:\ProgramData\bbtmp0\skskwbwqs.exe"
O4 - HKLM\..\Policies\Explorer\Run: [15721] c:\progra~3\msvagu.exe
c'est mal.
Pour voir :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Benoit2014
Messages postés
9
Date d'inscription
samedi 11 janvier 2014
Statut
Membre
Dernière intervention
11 janvier 2014
11 janv. 2014 à 18:38
11 janv. 2014 à 18:38
Me revoila j'en ai profité pour m'inscrire
J'ai lancé l'analyse mais il bloque au moment de l'analyse sur cet élément "OTL ne réponds pas"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current version \policies Explorer Run 15721\ 1755
J'ai lancé l'analyse mais il bloque au moment de l'analyse sur cet élément "OTL ne réponds pas"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current version \policies Explorer Run 15721\ 1755
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 janv. 2014 à 18:40
11 janv. 2014 à 18:40
Un scan Malwarebytes alors avant pour tout décrasser :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
Benoit2014
Messages postés
9
Date d'inscription
samedi 11 janvier 2014
Statut
Membre
Dernière intervention
11 janvier 2014
Modifié par Benoit2014 le 11/01/2014 à 18:46
Modifié par Benoit2014 le 11/01/2014 à 18:46
C'est le scan de 17h, j'en refais un autre, mais je vois déja 10 éléments infectés qui sont ecncore présents
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.01.11.04
Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Nom :: Nom-PC [administrateur]
11/01/2014 17:15:08
mbam-log-2014-01-11 (17-15-08).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 225038
Temps écoulé: 13 minute(s), 36 seconde(s)
Processus mémoire détecté(s): 1
C:\Users\Nom\AppData\Roaming\nightupdate\svchost.exe (Spyware.Passwords) -> 3040 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|UpdateSvchost (Spyware.Passwords) -> Données: C:\Users\Nom\AppData\Roaming\nightupdate\svchost.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: c:\users\Nom\msuqylx.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Agent) -> Données: c:\users\Nom\msuqylx.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 12
C:\Users\Nom\AppData\Roaming\nightupdate\svchost.exe (Spyware.Passwords) -> Suppression au redémarrage.
C:\ProgramData\Local Settings\Temp\msexbeh.com (Trojan.Ransom.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Roaming\verison.dll (Trojan.Ransom.ED) -> Suppression au redémarrage.
C:\Users\Nom\AppData\Roaming\Huina\radi.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HpM3Util.exe (Trojan.Ransom.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\0ab70b7c.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\0ab72534.exe (Spyware.Passwords) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\msi34008.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\msi57611.exe (Trojan.Dorkbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\pzxqacpv.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\vwmbuvtg.exe (Trojan.Dorkbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{3ECA05F3-94B6-4569-BB9A-BD159B4B5501}\syshost.exe (Trojan.Agent.ED) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.01.11.04
Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Nom :: Nom-PC [administrateur]
11/01/2014 17:15:08
mbam-log-2014-01-11 (17-15-08).txt
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 225038
Temps écoulé: 13 minute(s), 36 seconde(s)
Processus mémoire détecté(s): 1
C:\Users\Nom\AppData\Roaming\nightupdate\svchost.exe (Spyware.Passwords) -> 3040 -> Suppression au redémarrage.
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|UpdateSvchost (Spyware.Passwords) -> Données: C:\Users\Nom\AppData\Roaming\nightupdate\svchost.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (PUM.UserWLoad) -> Données: c:\users\Nom\msuqylx.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Agent) -> Données: c:\users\Nom\msuqylx.exe -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 12
C:\Users\Nom\AppData\Roaming\nightupdate\svchost.exe (Spyware.Passwords) -> Suppression au redémarrage.
C:\ProgramData\Local Settings\Temp\msexbeh.com (Trojan.Ransom.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Roaming\verison.dll (Trojan.Ransom.ED) -> Suppression au redémarrage.
C:\Users\Nom\AppData\Roaming\Huina\radi.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HpM3Util.exe (Trojan.Ransom.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\0ab70b7c.exe (Trojan.Inject) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\0ab72534.exe (Spyware.Passwords) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\msi34008.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\msi57611.exe (Trojan.Dorkbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\pzxqacpv.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Nom\AppData\Local\Temp\vwmbuvtg.exe (Trojan.Dorkbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{3ECA05F3-94B6-4569-BB9A-BD159B4B5501}\syshost.exe (Trojan.Agent.ED) -> Mis en quarantaine et supprimé avec succès.
(fin)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 janv. 2014 à 18:46
11 janv. 2014 à 18:46
vas y tente OTL :)
Benoit2014
Messages postés
9
Date d'inscription
samedi 11 janvier 2014
Statut
Membre
Dernière intervention
11 janvier 2014
11 janv. 2014 à 18:57
11 janv. 2014 à 18:57
il bloque sur cet élément, OTL freeze
je n'arrive plus a exécuter le gestionnaire il me manque un dll pcwum.dll
c'est de pire en pire cet ordi :(
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current version \policies Explorer Run 15721\ 1755
je n'arrive plus a exécuter le gestionnaire il me manque un dll pcwum.dll
c'est de pire en pire cet ordi :(
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current version \policies Explorer Run 15721\ 1755
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 janv. 2014 à 18:58
11 janv. 2014 à 18:58
Essaye en mode sans échec :
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Benoit2014
Messages postés
9
Date d'inscription
samedi 11 janvier 2014
Statut
Membre
Dernière intervention
11 janvier 2014
11 janv. 2014 à 19:05
11 janv. 2014 à 19:05
non, il m'est impossible d'exécuter cette commande au démarrage on dirait que le clavier est bloqué j'accède au bios, au boot setup mais pas au menu du mode sans échec
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 janv. 2014 à 19:30
11 janv. 2014 à 19:30
ok, tente OTL sans le script, directement en scan.
Benoit2014
Messages postés
9
Date d'inscription
samedi 11 janvier 2014
Statut
Membre
Dernière intervention
11 janvier 2014
11 janv. 2014 à 19:51
11 janv. 2014 à 19:51
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 janv. 2014 à 19:59
11 janv. 2014 à 19:59
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-662067973-3260534248-726205745-1000..\Run: [bbtmp] C:\ProgramData\bbtmp0\skskwbwqs.exe ()
[2013/12/30 18:45:07 | 000,000,000 | -HSD | C] -- C:\ProgramData\bbtmp0
[2013/12/30 18:44:51 | 000,000,000 | ---D | C] -- C:\Users\Maman\AppData\Roaming\nightupdate
[2013/12/30 18:44:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings
[2013/12/26 18:18:13 | 000,000,000 | ---D | C] -- C:\Users\Maman\AppData\Local\Oznics
[2013/12/31 13:25:25 | 000,000,000 | RH-- | M] () -- C:\ProgramData\msvagu.exe
:Commands
[reboot]
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-662067973-3260534248-726205745-1000..\Run: [bbtmp] C:\ProgramData\bbtmp0\skskwbwqs.exe ()
[2013/12/30 18:45:07 | 000,000,000 | -HSD | C] -- C:\ProgramData\bbtmp0
[2013/12/30 18:44:51 | 000,000,000 | ---D | C] -- C:\Users\Maman\AppData\Roaming\nightupdate
[2013/12/30 18:44:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Local Settings
[2013/12/26 18:18:13 | 000,000,000 | ---D | C] -- C:\Users\Maman\AppData\Local\Oznics
[2013/12/31 13:25:25 | 000,000,000 | RH-- | M] () -- C:\ProgramData\msvagu.exe
:Commands
[reboot]
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
Benoit2014
Messages postés
9
Date d'inscription
samedi 11 janvier 2014
Statut
Membre
Dernière intervention
11 janvier 2014
11 janv. 2014 à 20:08
11 janv. 2014 à 20:08
Je n'ai pas fait la correction j'ai essayé de lancer avec le script et cela a marché
OTL https://pjjoint.malekal.com/files.php?id=20140111_m9h10v14b5w13
EXTRA https://pjjoint.malekal.com/files.php?id=20140111_j7v11t9s5k11
je ne sais pas si cela est utile, sinon je vais suivre ton dernier message, j'attends ta confirmation avant de corriger
OTL https://pjjoint.malekal.com/files.php?id=20140111_m9h10v14b5w13
EXTRA https://pjjoint.malekal.com/files.php?id=20140111_j7v11t9s5k11
je ne sais pas si cela est utile, sinon je vais suivre ton dernier message, j'attends ta confirmation avant de corriger
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
11 janv. 2014 à 20:13
11 janv. 2014 à 20:13
fais la correction.
Benoit2014
Messages postés
9
Date d'inscription
samedi 11 janvier 2014
Statut
Membre
Dernière intervention
11 janvier 2014
Modifié par Benoit2014 le 11/01/2014 à 20:25
Modifié par Benoit2014 le 11/01/2014 à 20:25
jai effectué la correction , ca a reboot
j'ai envoyé les fichiers moved files sur upload
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-662067973-3260534248-726205745-1000\Software\Microsoft\Windows\CurrentVersion\Run\\bbtmp deleted successfully.
C:\ProgramData\bbtmp0\skskwbwqs.exe moved successfully.
C:\ProgramData\bbtmp0 folder moved successfully.
C:\Users\Nom\AppData\Roaming\nightupdate folder moved successfully.
C:\ProgramData\Local Settings\Temp folder moved successfully.
C:\ProgramData\Local Settings folder moved successfully.
C:\Users\Nom\AppData\Local\Oznics folder moved successfully.
C:\ProgramData\msvagu.exe moved successfully.
========== COMMANDS ==========
OTL by OldTimer - Version 3.2.69.0 log created on 01112014_201412
j'ai envoyé les fichiers moved files sur upload
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-662067973-3260534248-726205745-1000\Software\Microsoft\Windows\CurrentVersion\Run\\bbtmp deleted successfully.
C:\ProgramData\bbtmp0\skskwbwqs.exe moved successfully.
C:\ProgramData\bbtmp0 folder moved successfully.
C:\Users\Nom\AppData\Roaming\nightupdate folder moved successfully.
C:\ProgramData\Local Settings\Temp folder moved successfully.
C:\ProgramData\Local Settings folder moved successfully.
C:\Users\Nom\AppData\Local\Oznics folder moved successfully.
C:\ProgramData\msvagu.exe moved successfully.
========== COMMANDS ==========
OTL by OldTimer - Version 3.2.69.0 log created on 01112014_201412
Benoit2014
Messages postés
9
Date d'inscription
samedi 11 janvier 2014
Statut
Membre
Dernière intervention
11 janvier 2014
Modifié par Benoit2014 le 11/01/2014 à 20:46
Modifié par Benoit2014 le 11/01/2014 à 20:46
j'ai fais un coup d'USB fix car je pense que ca vient de là voici ce qu'il me dit
############################## | UsbFix V 7.160 | [Recherche]
Utilisateur: Nom (Administrateur) # Nom-PC
Mis à jour le 11/01/2014 par El Desaparecido - Team SosVirus
Lancé à 20:42:01 | 11/01/2014
Site Web : https://www.usbfix.net/
Changelog : https://www.usb-antivirus.com/fr/maj/
Support : https://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : https://www.usb-antivirus.com/fr/contact/
PC: Gigabyte Technology Co., Ltd. (P35-DS3R)
CPU: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
RAM -> [Total : 2046 Mo| Free : 1330 Mo]
Bios: Award Software International, Inc.
Boot: Normal boot
OS: Microsoft Windows 7 Professionnel (6.1.7600 64-Bit)
WB: Windows Internet Explorer : 9.0.8112.16421
WB: Google Chrome : 31.0.1650.63
WB: Mozilla Firefox : 26.0
SC: Security Center Service [Enabled]
WU: Windows Update Service [(!) Disabled]
AS: Windows Defender [Enabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
AS: Malwarebytes' Anti-Malware : 1.75.0001
FW: Windows FireWall Service [(!) Disabled]
C:\ (%systemdrive%) -> Disque fixe # 466 Go (417 Go libre(s) - 90%) [] # NTFS
D:\ -> CD-ROM
################## | Processus Actif |
C:\Windows\system32\csrss.exe (ID: 412 |ParentID: 404)
C:\Windows\system32\wininit.exe (ID: 472 |ParentID: 404)
C:\Windows\system32\csrss.exe (ID: 500 |ParentID: 464)
C:\Windows\system32\services.exe (ID: 524 |ParentID: 472)
C:\Windows\system32\lsass.exe (ID: 540 |ParentID: 472)
C:\Windows\system32\lsm.exe (ID: 548 |ParentID: 472)
C:\Windows\system32\winlogon.exe (ID: 656 |ParentID: 464)
C:\Windows\system32\svchost.exe (ID: 716 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 796 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 1016 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 304 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 388 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1044 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1144 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1348 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1572 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1700 |ParentID: 524)
C:\Windows\system32\Dwm.exe (ID: 392 |ParentID: 304)
C:\Windows\system32\svchost.exe (ID: 2292 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 4052 |ParentID: 524)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 3344 |ParentID: 716)
C:\Windows\Explorer.exe (ID: 2480 |ParentID: 2392)
C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe (ID: 3424 |ParentID: 524)
C:\Program Files\ma-config.com\MaConfigAgent.exe (ID: 2208 |ParentID: 524)
C:\Windows\system32\SearchIndexer.exe (ID: 2496 |ParentID: 524)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 3892 |ParentID: 524)
C:\Windows\System32\spoolsv.exe (ID: 2220 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 2092 |ParentID: 524)
################## | Regedit Run |
04 - HKLM\..\Run : [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
04 - HKLM\..\Run : [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
04 - HKLM\..\Run : [HostManager] C:\Program Files (x86)\Common Files\AOL\1350137929\ee\AOLSoftware.exe
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\RunOnce : []
04 - HKLM\..\Policies\Explorer\run : [15721] c:\progra~3\msvagu.exe
04 - HKLM64\..\Run : [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
04 - HKLM64\..\Policies\Explorer\run : [15721] c:\progra~3\msvagu.exe
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
################## | Recherche générique |
################## | Registre |
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|EnableLUA -> 0
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyGames -> 0
################## | Vaccin |
################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |
############################## | UsbFix V 7.160 | [Recherche]
Utilisateur: Nom (Administrateur) # Nom-PC
Mis à jour le 11/01/2014 par El Desaparecido - Team SosVirus
Lancé à 20:42:01 | 11/01/2014
Site Web : https://www.usbfix.net/
Changelog : https://www.usb-antivirus.com/fr/maj/
Support : https://www.sosvirus.net/
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : https://www.usb-antivirus.com/fr/contact/
PC: Gigabyte Technology Co., Ltd. (P35-DS3R)
CPU: Intel(R) Core(TM)2 Duo CPU E6750 @ 2.66GHz
RAM -> [Total : 2046 Mo| Free : 1330 Mo]
Bios: Award Software International, Inc.
Boot: Normal boot
OS: Microsoft Windows 7 Professionnel (6.1.7600 64-Bit)
WB: Windows Internet Explorer : 9.0.8112.16421
WB: Google Chrome : 31.0.1650.63
WB: Mozilla Firefox : 26.0
SC: Security Center Service [Enabled]
WU: Windows Update Service [(!) Disabled]
AS: Windows Defender [Enabled | Updated]
AS: Windows Defender : 6.1.7600.16385 (win7_rtm.090713-1255)
AS: Malwarebytes' Anti-Malware : 1.75.0001
FW: Windows FireWall Service [(!) Disabled]
C:\ (%systemdrive%) -> Disque fixe # 466 Go (417 Go libre(s) - 90%) [] # NTFS
D:\ -> CD-ROM
################## | Processus Actif |
C:\Windows\system32\csrss.exe (ID: 412 |ParentID: 404)
C:\Windows\system32\wininit.exe (ID: 472 |ParentID: 404)
C:\Windows\system32\csrss.exe (ID: 500 |ParentID: 464)
C:\Windows\system32\services.exe (ID: 524 |ParentID: 472)
C:\Windows\system32\lsass.exe (ID: 540 |ParentID: 472)
C:\Windows\system32\lsm.exe (ID: 548 |ParentID: 472)
C:\Windows\system32\winlogon.exe (ID: 656 |ParentID: 464)
C:\Windows\system32\svchost.exe (ID: 716 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 796 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 1016 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 304 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 388 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1044 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1144 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1348 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1572 |ParentID: 524)
C:\Windows\system32\svchost.exe (ID: 1700 |ParentID: 524)
C:\Windows\system32\Dwm.exe (ID: 392 |ParentID: 304)
C:\Windows\system32\svchost.exe (ID: 2292 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 4052 |ParentID: 524)
C:\Windows\system32\wbem\wmiprvse.exe (ID: 3344 |ParentID: 716)
C:\Windows\Explorer.exe (ID: 2480 |ParentID: 2392)
C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe (ID: 3424 |ParentID: 524)
C:\Program Files\ma-config.com\MaConfigAgent.exe (ID: 2208 |ParentID: 524)
C:\Windows\system32\SearchIndexer.exe (ID: 2496 |ParentID: 524)
C:\Program Files\Windows Media Player\wmpnetwk.exe (ID: 3892 |ParentID: 524)
C:\Windows\System32\spoolsv.exe (ID: 2220 |ParentID: 524)
C:\Windows\System32\svchost.exe (ID: 2092 |ParentID: 524)
################## | Regedit Run |
04 - HKLM\..\Run : [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
04 - HKLM\..\Run : [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
04 - HKLM\..\Run : [HostManager] C:\Program Files (x86)\Common Files\AOL\1350137929\ee\AOLSoftware.exe
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - HKLM\..\RunOnce : []
04 - HKLM\..\Policies\Explorer\run : [15721] c:\progra~3\msvagu.exe
04 - HKLM64\..\Run : [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s
04 - HKLM64\..\Policies\Explorer\run : [15721] c:\progra~3\msvagu.exe
04 - HKU\S-1-5-19\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
################## | Recherche générique |
################## | Registre |
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|EnableLUA -> 0
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyGames -> 0
################## | Vaccin |
################## | E.O.F | https://www.usbfix.net/ - https://www.sosvirus.net/ |
H.A.W.X
Messages postés
1037
Date d'inscription
mardi 26 février 2013
Statut
Membre
Dernière intervention
3 mai 2015
72
11 janv. 2014 à 22:40
11 janv. 2014 à 22:40
Bonsoir,
Benoit, nous continuons la désinfection sur SOSVirus.
Le sujet peut être fermé.
Benoit, nous continuons la désinfection sur SOSVirus.
Le sujet peut être fermé.
Benoit2014
Messages postés
9
Date d'inscription
samedi 11 janvier 2014
Statut
Membre
Dernière intervention
11 janvier 2014
Modifié par Benoit2014 le 11/01/2014 à 23:44
Modifié par Benoit2014 le 11/01/2014 à 23:44
Merci beaucoup Malekal pour ton aide, c'était un privilège de t'avoir comme coach pour faire tout ça. J'ai complété par un RogueKILLer et mes probèmes ont disparu.
Encore merci de ton temps et ton aide précieuse.
le sujet peut passer en résolu.
Encore merci de ton temps et ton aide précieuse.
le sujet peut passer en résolu.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 659
12 janv. 2014 à 11:49
12 janv. 2014 à 11:49
Refais un scan Malwarebytes et donne le rapport, on sait jamais :)
Par contre, je pense qu'il va falloir que tu changes tous tes mots de passe.
Par contre, je pense qu'il va falloir que tu changes tous tes mots de passe.