A voir également:
- Supprimer Trojan.Dorkbot
- Supprimer Trojan.Dorkbot ✓ - Forum - Virus / Sécurité
- Supprimer Trojan.Ransom.ED et Trojan.Dorkbot ✓ - Forum - Virus / Sécurité
- Supprimer trojan - Forum - Virus / Sécurité
- Supprimer trojan windows 10 - Forum - Virus / Sécurité
- Trojan impossible à supprimer! ✓ - Forum - Virus / Sécurité
8 réponses
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Salut,
oui,
Coche tout et fais supprimer selection.
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
oui,
Coche tout et fais supprimer selection.
puis:
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Skeulzz
Euh, après avoir redémarré après avoir supprimer avec malawarbytes, cela me met une erreur qui me dit :
RegSvr32
Echec du chargement du module
"C:/users/alex/appdaa/local/iqdsoft/twain_32.dll'
Vérifiez que le fichier binaire est stocké à l'emplacement désigné par le chemin d'accès spécifié ou déboguez-le pour rechercher d'éeventuels problèmes de fichier .DLL binaires ou dépendants.
Le module spécifé est introuvable.
C'était bien un virus .. ?
RegSvr32
Echec du chargement du module
"C:/users/alex/appdaa/local/iqdsoft/twain_32.dll'
Vérifiez que le fichier binaire est stocké à l'emplacement désigné par le chemin d'accès spécifié ou déboguez-le pour rechercher d'éeventuels problèmes de fichier .DLL binaires ou dépendants.
Le module spécifé est introuvable.
C'était bien un virus .. ?
Skeulzz
Voilà : Extras :
http://pjjoint.malekal.com/files.php?id=20140116_f13l5d13n6u12
Otl :
http://pjjoint.malekal.com/files.php?id=20140116_q10g15j12u15w12
http://pjjoint.malekal.com/files.php?id=20140116_f13l5d13n6u12
Otl :
http://pjjoint.malekal.com/files.php?id=20140116_q10g15j12u15w12
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-3971021578-607728411-3101485768-1001..\Run: [IQDsoft] C:\Windows\SysWow64\regsvr32.exe (Microsoft Corporation)
[2014/01/16 11:09:59 | 000,000,000 | ---D | C] -- C:\Users\alex\AppData\Local\IQDsoft
* poste le rapport ici
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\S-1-5-21-3971021578-607728411-3101485768-1001..\Run: [IQDsoft] C:\Windows\SysWow64\regsvr32.exe (Microsoft Corporation)
[2014/01/16 11:09:59 | 000,000,000 | ---D | C] -- C:\Users\alex\AppData\Local\IQDsoft
* poste le rapport ici
Skeulzz
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3971021578-607728411-3101485768-1001\Software\Microsoft\Windows\CurrentVersion\Run\\IQDsoft deleted successfully.
File move failed. C:\Windows\SysWOW64\regsvr32.exe scheduled to be moved on reboot.
C:\Users\alex\AppData\Local\IQDsoft folder moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 01162014_210657
Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\regsvr32.exe scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Juste avant le rapport (après redémarrage du pc), un écran bleu est apparu et m'a dit si je voulais exécuter Otl.exe, j'ai don exécuter ^^
Registry value HKEY_USERS\S-1-5-21-3971021578-607728411-3101485768-1001\Software\Microsoft\Windows\CurrentVersion\Run\\IQDsoft deleted successfully.
File move failed. C:\Windows\SysWOW64\regsvr32.exe scheduled to be moved on reboot.
C:\Users\alex\AppData\Local\IQDsoft folder moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 01162014_210657
Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\regsvr32.exe scheduled to be moved on reboot.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Juste avant le rapport (après redémarrage du pc), un écran bleu est apparu et m'a dit si je voulais exécuter Otl.exe, j'ai don exécuter ^^
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Fais un scan Malwarebytes ces prochains jours.
Change tes mots de passe, ils ont été volés.
Change tes mots de passe, ils ont été volés.
Skeulzz
Euh tu m'inquiètes énormément :o
Comment ont t-il été volés, et comment cela c'est fait ????
Comment ont t-il été volés, et comment cela c'est fait ????
Malekal_morte-
- Messages postés
- 180267
- Date d'inscription
- mercredi 17 mai 2006
- Statut
- Modérateur, Contributeur sécurité
- Dernière intervention
- 15 décembre 2020
Possible par un exploit depuis une malvertising : https://www.malekal.com/malvertising-on-clicksor-via-rapid8-com/
https://www.malekal.com/directrev-malvertising-lead-to-zbot/
ou un téléchargement malheureux.
~~
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
https://www.malekal.com/directrev-malvertising-lead-to-zbot/
ou un téléchargement malheureux.
~~
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
