Trojan dossierXXX.zip par mail
Résolu/Fermé
fabfab3
Messages postés
7
Date d'inscription
jeudi 13 février 2014
Statut
Membre
Dernière intervention
14 février 2014
-
13 févr. 2014 à 15:13
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 févr. 2014 à 14:03
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 févr. 2014 à 14:03
A voir également:
- Trojan dossierXXX.zip par mail
- Yahoo mail - Accueil - Mail
- Publipostage mail - Accueil - Word
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Windows live mail - Télécharger - Mail
- Boîte mail française gratuite - Guide
11 réponses
Marou81
Messages postés
4175
Date d'inscription
mercredi 13 janvier 2010
Statut
Membre
Dernière intervention
18 mars 2014
198
13 févr. 2014 à 15:17
13 févr. 2014 à 15:17
Bonsoir,
Il y a plus simple.
Il faudrait que tu fasses analyser un fichier :
▶ Rends toi sur VirusTotal.com
▶ Clique sur "Choose file", navigue jusqu'au fichier suivant et valide :
▶ Clique sur "Scan it". Si le site t'indique que le fichier a déjà été analysé (File already analysed), choisis "Reanalyse".
▶ Lorsque l'analyse sera terminée, tu verras apparaitre le taux de détection (Detection Ratio). A ce moment là, copie le lien de la page (dans la barre d'adresse) et colle le dans ta prochaine réponse sur le forum.
Si tu ne trouves pas le fichier, fais ceci :
▶ Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
▶ Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
▶ Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
A+
Il y a plus simple.
Il faudrait que tu fasses analyser un fichier :
▶ Rends toi sur VirusTotal.com
▶ Clique sur "Choose file", navigue jusqu'au fichier suivant et valide :
▶ Clique sur "Scan it". Si le site t'indique que le fichier a déjà été analysé (File already analysed), choisis "Reanalyse".
▶ Lorsque l'analyse sera terminée, tu verras apparaitre le taux de détection (Detection Ratio). A ce moment là, copie le lien de la page (dans la barre d'adresse) et colle le dans ta prochaine réponse sur le forum.
Si tu ne trouves pas le fichier, fais ceci :
▶ Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
▶ Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
▶ Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
A+
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
13 févr. 2014 à 15:20
13 févr. 2014 à 15:20
Salut,
Si c'est ça : https://twitter.com/malekal_morte/status/433954347366363136
et qu'il était dans un fichier dossierXXXX.zip
Alors c'est un zbot :)
Si c'est ça : https://twitter.com/malekal_morte/status/433954347366363136
et qu'il était dans un fichier dossierXXXX.zip
Alors c'est un zbot :)
fabfab3
Messages postés
7
Date d'inscription
jeudi 13 février 2014
Statut
Membre
Dernière intervention
14 février 2014
13 févr. 2014 à 15:29
13 févr. 2014 à 15:29
Salut,
Merci pour vos réponses (ultra) rapides!
Oui, Malekal_morte- c'est exactement ça!
As-tu plus de précisions à me donner? de quoi s'agit-il? Quels sont les risques et comment s'en débarrasser?
Merci beaucoup!
Fab
Merci pour vos réponses (ultra) rapides!
Oui, Malekal_morte- c'est exactement ça!
As-tu plus de précisions à me donner? de quoi s'agit-il? Quels sont les risques et comment s'en débarrasser?
Merci beaucoup!
Fab
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
13 févr. 2014 à 17:51
13 févr. 2014 à 17:51
c'est un trojan Zbot, donc ça vole les mots de passe etc, c'est aussi un bancaire, il peux tenter de voler tes accès à ton site de banque.
~~
pour voir fais ça :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
~~
pour voir fais ça :
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
fabfab3
Messages postés
7
Date d'inscription
jeudi 13 février 2014
Statut
Membre
Dernière intervention
14 février 2014
14 févr. 2014 à 10:30
14 févr. 2014 à 10:30
Merci pour ton aide,
J'ai suivi ta procédure:
Voici les liens vers les fichiers OTL:
https://pjjoint.malekal.com/files.php?id=20140214_y10g11e15g12m7
https://pjjoint.malekal.com/files.php?id=20140214_e9l12w14e10n8
Qu'est-ce que ça donne?
Merci!
J'ai suivi ta procédure:
Voici les liens vers les fichiers OTL:
https://pjjoint.malekal.com/files.php?id=20140214_y10g11e15g12m7
https://pjjoint.malekal.com/files.php?id=20140214_e9l12w14e10n8
Qu'est-ce que ça donne?
Merci!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 14/02/2014 à 11:35
Modifié par Malekal_morte- le 14/02/2014 à 11:35
Tu n'as pas l'air d'être infecté.
Si tu as Firefox : Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Supprime :
Delta Toolbar
(Searchqu Toolbar
~~
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
IE - HKU\S-1-5-21-1801674531-220523388-2147351481-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_def&mntrId=4AFA00E081B332B9&affID=121115&tsp=4973
O2 - BHO: (BandooIEPlugin Class) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Fun4IM\Plugins\IE\ieplugin.dll File not found
[2011.02.17 11:06:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ecue
[2013.08.13 08:59:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon
[2010.12.22 14:20:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Bandoo
[2013.08.13 11:00:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\BrowserDefende
[2010.12.22 14:34:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Fabien\Application Data\searchqutb
[2010.12.22 14:20:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Fun4IM
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Supp.lnk = C:\WINDOWS\system\Supp.BAT ()
* poste le rapport ici
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Si tu as Firefox : Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Supprime :
Delta Toolbar
(Searchqu Toolbar
~~
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
IE - HKU\S-1-5-21-1801674531-220523388-2147351481-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_def&mntrId=4AFA00E081B332B9&affID=121115&tsp=4973
O2 - BHO: (BandooIEPlugin Class) - {EB5CEE80-030A-4ED8-8E20-454E9C68380F} - C:\Program Files\Fun4IM\Plugins\IE\ieplugin.dll File not found
[2011.02.17 11:06:48 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ecue
[2013.08.13 08:59:01 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon
[2010.12.22 14:20:33 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Bandoo
[2013.08.13 11:00:43 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\BrowserDefende
[2010.12.22 14:34:26 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Fabien\Application Data\searchqutb
[2010.12.22 14:20:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Fun4IM
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Supp.lnk = C:\WINDOWS\system\Supp.BAT ()
* poste le rapport ici
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
fabfab3
Messages postés
7
Date d'inscription
jeudi 13 février 2014
Statut
Membre
Dernière intervention
14 février 2014
14 févr. 2014 à 11:40
14 févr. 2014 à 11:40
Pffui bon, je respire à nouveau! (je n'avais plus beaucoup d'air depuis hier! ;-) )
J'avais déjà mis à jour et passé un coup de malwarebytes ce matin, il m'a supprimé quelques trucs, peut-être que c'était ça!
En tous cas merci beaucoup! ça fait bien plaisir d'avoir des gens qui aident car on se sent vite très seul derrière son ordinateur lorsque ce genre de choses arrive...
Fab
J'avais déjà mis à jour et passé un coup de malwarebytes ce matin, il m'a supprimé quelques trucs, peut-être que c'était ça!
En tous cas merci beaucoup! ça fait bien plaisir d'avoir des gens qui aident car on se sent vite très seul derrière son ordinateur lorsque ce genre de choses arrive...
Fab
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
Modifié par Malekal_morte- le 14/02/2014 à 11:47
Modifié par Malekal_morte- le 14/02/2014 à 11:47
y avait Zbot ou backdoor.bot dans les suppressions de Malwarebytes?
Depuis l'onglet Logs/Rapports tu dois pouvoir redonner le rapport.
Depuis l'onglet Logs/Rapports tu dois pouvoir redonner le rapport.
fabfab3
Messages postés
7
Date d'inscription
jeudi 13 février 2014
Statut
Membre
Dernière intervention
14 février 2014
14 févr. 2014 à 11:53
14 févr. 2014 à 11:53
Alors j'ai fait 2 scans hier:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.08.12.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Fabien :: PC-FABIEN [administrateur]
13.02.2014 14:47:23
mbam-log-2014-02-13 (14-47-23).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 433757
Temps écoulé: 1 heure(s), 37 minute(s), 26 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Uhca (Trojan.Agent.RV) -> Données: "C:\Documents and Settings\Fabien\Application Data\Jube\uhca.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Documents and Settings\Fabien\Application Data\Jube\uhca.exe (Trojan.Agent.RV) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\eMule\Incoming\adobe garamond font pack (type1).rar (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
C:\RECYCLER\S-1-5-21-1801674531-220523388-2147351481-1003\Dc2.exe (PUP.Optional.InstallBrain) -> Mis en quarantaine et supprimé avec succès.
(fin)
________________________________________________________
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.02.13.06
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Fabien :: PC-FABIEN [administrateur]
13.02.2014 16:39:39
mbam-log-2014-02-13 (16-39-39).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 430628
Temps écoulé: 1 heure(s), 31 minute(s), 6 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 11
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKCR\Typelib\{4599D05A-D545-4069-BB42-5895B4EAE05B} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{1231839B-064E-4788-B865-465A1B5266FD} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings (PUP.Optional.BProtector.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\DATAMNGR (PUP.Optional.Searchqu.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Delta\delta\Instl (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|bProtector Start Page (PUP.BProtector) -> Données: http://www1.delta-search.com/?babsrc=HP_def&mntrId=4AFA00E081B332B9&affID=121115&tsp=4973 -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Données: {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\DataMngr|Folder (PUP.Optional.Searchqu.A) -> Données: C:\Program Files\Windows Searchqu Toolbar -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs|bProtectTabs (PUP.Optional.BrowserProtect.A) -> Données: http://www1.delta-search.com/?babsrc=NT_def&mntrId=4AFA00E081B332B9&affID=121115&tsp=4973 -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Documents and Settings\Fabien\Application Data\Mozilla\Extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433} (PUP.Optional.Searchqu.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Fabien\Local Settings\Application Data\Google\Chrome\User Data\Default\bProtector Web Data (PUP.Optional.BProtector.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Fabien\Local Settings\Application Data\Google\Chrome\User Data\Default\bprotectorpreferences (PUP.Optional.BProtector.A) -> Mis en quarantaine et supprimé avec succès.
(fin)
----------------------------------------------------------------------
et ce matin:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.02.14.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Fabien :: PC-FABIEN [administrateur]
14.02.2014 08:37:39
mbam-log-2014-02-14 (08-37-39).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 383871
Temps écoulé: 1 heure(s), 16 minute(s), 6 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2013.08.12.07
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Fabien :: PC-FABIEN [administrateur]
13.02.2014 14:47:23
mbam-log-2014-02-13 (14-47-23).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 433757
Temps écoulé: 1 heure(s), 37 minute(s), 26 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Uhca (Trojan.Agent.RV) -> Données: "C:\Documents and Settings\Fabien\Application Data\Jube\uhca.exe" -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Documents and Settings\Fabien\Application Data\Jube\uhca.exe (Trojan.Agent.RV) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\eMule\Incoming\adobe garamond font pack (type1).rar (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
C:\RECYCLER\S-1-5-21-1801674531-220523388-2147351481-1003\Dc2.exe (PUP.Optional.InstallBrain) -> Mis en quarantaine et supprimé avec succès.
(fin)
________________________________________________________
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.02.13.06
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Fabien :: PC-FABIEN [administrateur]
13.02.2014 16:39:39
mbam-log-2014-02-13 (16-39-39).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 430628
Temps écoulé: 1 heure(s), 31 minute(s), 6 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 11
HKCR\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKCR\Typelib\{4599D05A-D545-4069-BB42-5895B4EAE05B} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{1231839B-064E-4788-B865-465A1B5266FD} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{348C2DF3-1191-4C3E-92A6-B3A89A9D9C85} (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\DataMngr (PUP.Optional.DataMngr.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\BabSolution\Updater (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings (PUP.Optional.BProtector.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\DATAMNGR (PUP.Optional.Searchqu.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Delta\delta\Instl (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde (PUP.Optional.Delta.A) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|bProtector Start Page (PUP.BProtector) -> Données: http://www1.delta-search.com/?babsrc=HP_def&mntrId=4AFA00E081B332B9&affID=121115&tsp=4973 -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes|bProtectorDefaultScope (PUP.BProtector) -> Données: {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\DataMngr|Folder (PUP.Optional.Searchqu.A) -> Données: C:\Program Files\Windows Searchqu Toolbar -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs|bProtectTabs (PUP.Optional.BrowserProtect.A) -> Données: http://www1.delta-search.com/?babsrc=NT_def&mntrId=4AFA00E081B332B9&affID=121115&tsp=4973 -> Mis en quarantaine et supprimé avec succès.
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 3
C:\Documents and Settings\Fabien\Application Data\Mozilla\Extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433} (PUP.Optional.Searchqu.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Fabien\Local Settings\Application Data\Google\Chrome\User Data\Default\bProtector Web Data (PUP.Optional.BProtector.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Fabien\Local Settings\Application Data\Google\Chrome\User Data\Default\bprotectorpreferences (PUP.Optional.BProtector.A) -> Mis en quarantaine et supprimé avec succès.
(fin)
----------------------------------------------------------------------
et ce matin:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org
Version de la base de données: v2014.02.14.03
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Fabien :: PC-FABIEN [administrateur]
14.02.2014 08:37:39
mbam-log-2014-02-14 (08-37-39).txt
Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 383871
Temps écoulé: 1 heure(s), 16 minute(s), 6 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
14 févr. 2014 à 12:06
14 févr. 2014 à 12:06
ok tu l'as bien choppe "Application Data\Jube\uhca.exe"
Fais la correction OTL : https://forums.commentcamarche.net/forum/affich-29698574-trojan-dossierxxx-zip-par-mail#6
puis change tous tes mots de passe : mail, facebook, jeux en ligne etc.
Ils ont été pompés.
Fais la correction OTL : https://forums.commentcamarche.net/forum/affich-29698574-trojan-dossierxxx-zip-par-mail#6
puis change tous tes mots de passe : mail, facebook, jeux en ligne etc.
Ils ont été pompés.
fabfab3
Messages postés
7
Date d'inscription
jeudi 13 février 2014
Statut
Membre
Dernière intervention
14 février 2014
14 févr. 2014 à 13:08
14 févr. 2014 à 13:08
super................. :-(
Bon j'ai fait la correction OTL.
Je ne sauvegarde jamais les mots de passe à nulle part (navigateur, boite mail ou autre) et dès que j'ai cliqué sur la pièce jointe du mail, je n'ai plus rien fait d'autre que panda antivirus et malwarebytes.
Est-ce qu'ils ont quand même pu prendre mes mots de passe?
Bon j'ai fait la correction OTL.
Je ne sauvegarde jamais les mots de passe à nulle part (navigateur, boite mail ou autre) et dès que j'ai cliqué sur la pièce jointe du mail, je n'ai plus rien fait d'autre que panda antivirus et malwarebytes.
Est-ce qu'ils ont quand même pu prendre mes mots de passe?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
14 févr. 2014 à 13:37
14 févr. 2014 à 13:37
par mail vu qu'ils sont surement transférés en clair, oui;
Prends pas de risque et change les.
Prends pas de risque et change les.
fabfab3
Messages postés
7
Date d'inscription
jeudi 13 février 2014
Statut
Membre
Dernière intervention
14 février 2014
14 févr. 2014 à 13:49
14 févr. 2014 à 13:49
Ok, je vais faire ça alors.
Merci beaucoup en tous cas!
Fab
Merci beaucoup en tous cas!
Fab
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 658
14 févr. 2014 à 14:03
14 févr. 2014 à 14:03
attention aux fchiers zip par mail :)