ESET Smart Security détecte un virus dans la mémoire vive

Résolu/Fermé
GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 - 4 mars 2014 à 17:18
GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 - 6 mars 2014 à 23:11
Bonjour,

Pour ne pas vous embrouiller je poste le résultat de l'analyse de mon antivirus
Il me dit toujours qu'il y'a infection mais j'arrive pas à le supprimer.
J'y comprend rien!!

Aidez moi à dégager cet ordure de mon Pc
Je taffe sur mon Pc et s'il me laisse je suis foutu

Merci!

--------------------------------------

Journal de l'analyse
Version de la base des signatures de virus : 9498 (20140304)
Date : 04/03/2014 Heure : 16:07:41
Disques, dossiers et fichiers analysés : Mémoire vive;C:\Secteur d'amorçage;C:\
Mémoire vive = C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe - une variante de Win32/BitCoinMiner.AX application potentiellement dangereuse - sélection d'action reportée à la fin de l'analyse
C:\hiberfil.sys - erreur à l'ouverture [4]
C:\pagefile.sys - erreur à l'ouverture [4]
C:\Program Files (x86)\Adobe\Adobe Flash CS6\Common\Configuration\CodeModel\org.apache.felix.framework-1.8.1.jar = ZIP = org/apache/felix/framework/BundleProtectionDomain.class - est OK
C:\ProgramData\Microsoft.com - une variante de MSIL/Injector.CVM cheval de troie - nettoyé par suppression - mis en quarantaine [1]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\MSS.log - erreur à l'ouverture [4]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\tmp.edb - erreur à l'ouverture [4]
C:\ProgramData\Microsoft\Search\Data\Applications\Windows\Windows.edb - erreur à l'ouverture [4]
C:\ProgramData\Microsoft\Windows Defender\IMpService925A3ACA-C353-458A-AC8D-A7E5EB378092.lock - erreur à l'ouverture [4]
C:\ProgramData\Windows Services\wservice.exe - erreur à l'ouverture [4]
C:\System Volume Information\Syscache.hve - erreur à l'ouverture [4]
C:\System Volume Information\Syscache.hve.LOG1 - erreur à l'ouverture [4]
C:\System Volume Information\Syscache.hve.LOG2 - erreur à l'ouverture [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\MSS.log - erreur à l'ouverture [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\tmp.edb - erreur à l'ouverture [4]
C:\Users\All Users\Microsoft\Search\Data\Applications\Windows\Windows.edb - erreur à l'ouverture [4]
C:\Users\All Users\Microsoft\Windows Defender\IMpService925A3ACA-C353-458A-AC8D-A7E5EB378092.lock - erreur à l'ouverture [4]
C:\Users\All Users\Windows Services\wservice.exe - erreur à l'ouverture [4]
C:\Users\ProBook\NTUSER.DAT - erreur à l'ouverture [4]
C:\Users\ProBook\ntuser.dat.LOG1 - erreur à l'ouverture [4]
C:\Users\ProBook\ntuser.dat.LOG2 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\FindChangeData - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\FindChangeDataTmp - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\FontMaskCache - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\InDesign ClipboardScrap1 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\InDesign ClipboardScrap5 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\InDesign DragDropScrap - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\InDesign SavedData - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\InDesign Recovery\DBSharingShi22442171799 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\InDesign Recovery\DBTmp40001112848 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Adobe\InDesign\Version 8.0\fr_FR\Caches\InDesign Recovery\DBTmp40001217104 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Google\Chrome\User Data\Default\Current Session - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Google\Chrome\User Data\Default\Current Tabs - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000672 = GZIP = f_000672 - archive endommagée
C:\Users\ProBook\AppData\Local\Microsoft\Windows\UsrClass.dat - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Microsoft\Windows\WebCacheLock.dat - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Microsoft\Windows\WebCache\V01.log - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.tmp - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp22442006094 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp22442020322 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp22442020337 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp22442132580 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp22442175605 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp22442175808 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp22442185823 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp22449605761 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp54362171908 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Local\Temp\DBTmp54362172641 - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Adobe\InDesign\Version 8.0\fr_FR\InDesign Defaults - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Rainmeter.lnk - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Skype\amacool2\bistats.lock - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Skype\amacool2\keyval.lock - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Skype\amacool2\main.lock - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Skype\amacool2\msn.lock - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Skype\amacool2\statistics.lock - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Skype\DataRv\offline-storage.data - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Skype\shared_dynco\dc.lock - erreur à l'ouverture [4]
C:\Users\ProBook\AppData\Roaming\Skype\shared_httpfe\queue.lock - erreur à l'ouverture [4]
C:\Users\ProBook\Desktop\~new catalogue idet~id-n)1.idlk - erreur à l'ouverture [4]
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT - erreur à l'ouverture [4]
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1 - erreur à l'ouverture [4]
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG2 - erreur à l'ouverture [4]
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - erreur à l'ouverture [4]
C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat - erreur à l'ouverture [4]
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT - erreur à l'ouverture [4]
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1 - erreur à l'ouverture [4]
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG2 - erreur à l'ouverture [4]
C:\Windows\System32\log.txt - erreur à l'ouverture [4]
C:\Windows\System32\catroot2\edb.log - erreur à l'ouverture [4]
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb - erreur à l'ouverture [4]
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - erreur à l'ouverture [4]
C:\Windows\SysWOW64\log.txt - erreur à l'ouverture [4]
Nombre d'objets analysés : 205454
Nombre de menaces détectées : 2
Nombre d'objets nettoyés : 1
Heure d'achèvement : 16:12:38 Temps d'analyse total : 297 sec. (00:04:57)

Notes :
[1] L'objet a été supprimé car il ne contenait que le corps du virus.
[4] L'objet ne peut pas être ouvert. Il est peut-être utilisé par une autre application ou le système d'exploitation.

4 réponses

GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 8
4 mars 2014 à 17:20
Au fait j'avais oublié de préciser que cette analyse concerne juste le disque dur et la mémoire vive.

Au plaisir de vous lire

Merci
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
Modifié par Malekal_morte- le 4/03/2014 à 17:30
Salut,

Tu as une infection qui a installé un client bitcoin :

Mémoire vive = C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe - une variante de Win32/BitCoinMiner.AX application potentiellement dangereuse C:\ProgramData\Microsoft.com - une variante de MSIL/Injector.CVM cheval de troie - nettoyé par suppression - mis en quarantaine [1]


Fais un :

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.


puis:

Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 8
4 mars 2014 à 17:37
D'accord merci je vais essayer de suivre tes recommandations
0
GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 8
4 mars 2014 à 17:48
Mais Malekal j'ai vu dans vos lien Avast !

j'ai pas Avast mais ESET SMART SECURITY 7 ?

Ou bien c'est pas grave ?
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
4 mars 2014 à 17:49
c'est au cas où, n'en tiens pas compte si tu n'as pas Avast!.
0
GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 8
4 mars 2014 à 18:06
ok merci je te tiens au courant
0
GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 8
4 mars 2014 à 18:26
Malekal à la fin du scan sur Malwarebytes' Anti-Malware j'ai sélectionné les trucs à supprimé mais après suppression le bloc noté c'est ouvert avec une erreur du coup il y'avait rien dedans ensuite le logiciel a demandé de redémarrer le Pc ce que j'ai fait.

Je vais ou pour cherche le rapport ? ou bien je peux télécharger OTL directement

Merci
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
5 mars 2014 à 23:35
Tu as fait le scan sans le script qui a été donné.



Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2014/02/15 17:08:54 | 000,000,000 | -H-D | C] -- C:\ProgramData\RWBYTE
[2014/02/13 19:38:59 | 000,000,000 | ---D | C] -- C:\Users\ProBook\AppData\Local\SearchProtect
[2014/02/13 16:15:39 | 000,000,000 | ---D | C] -- C:\ProgramData\bca18d7bf80f3ae
[2014/02/13 16:15:38 | 000,000,000 | ---D | C] -- C:\Users\ProBook\AppData\Local\Torch
[2014/02/10 23:43:05 | 000,000,000 | ---D | C] -- C:\Users\ProBook\AppData\Local\iLivid
[2014/02/10 21:15:38 | 000,000,000 | ---D | C] -- C:\Users\ProBook\AppData\Roaming\Babylon

* poste le rapport ici

A priori reste plus rien.

Change tous tes mots de passe, ils ont été volés.
0
Salut Malekal excuses moi de la réponse tardive

Je vais faire ce que tu me demandes, ensuite je reviens vers toi

à +

"Backdoor.Agent.MSC" le source de mon malheur .
0
voici le rapport OTL désolé je suis bête j'avais oublié de coller le script


========== OTL ==========
C:\ProgramData\RWBYTE\Plexus folder moved successfully.
C:\ProgramData\RWBYTE folder moved successfully.
C:\Users\ProBook\AppData\Local\SearchProtect\UI\rep folder moved successfully.
C:\Users\ProBook\AppData\Local\SearchProtect\UI folder moved successfully.
C:\Users\ProBook\AppData\Local\SearchProtect\SearchProtect\rep folder moved successfully.
C:\Users\ProBook\AppData\Local\SearchProtect\SearchProtect\Logs folder moved successfully.
C:\Users\ProBook\AppData\Local\SearchProtect\SearchProtect folder moved successfully.
C:\Users\ProBook\AppData\Local\SearchProtect\Logs folder moved successfully.
C:\Users\ProBook\AppData\Local\SearchProtect folder moved successfully.
C:\ProgramData\bca18d7bf80f3ae folder moved successfully.
C:\Users\ProBook\AppData\Local\Torch\User Data\Default\Extensions\fkjffbbaonhkmmbeobihcedcefhlobgi\3.7 folder moved successfully.
C:\Users\ProBook\AppData\Local\Torch\User Data\Default\Extensions\fkjffbbaonhkmmbeobihcedcefhlobgi folder moved successfully.
C:\Users\ProBook\AppData\Local\Torch\User Data\Default\Extensions folder moved successfully.
C:\Users\ProBook\AppData\Local\Torch\User Data\Default folder moved successfully.
C:\Users\ProBook\AppData\Local\Torch\User Data folder moved successfully.
C:\Users\ProBook\AppData\Local\Torch folder moved successfully.
C:\Users\ProBook\AppData\Local\iLivid folder moved successfully.
C:\Users\ProBook\AppData\Roaming\Babylon folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 03052014_234938
0
GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 8
6 mars 2014 à 16:46
bonjour quelqu'un peut m'aider à résoudre ce problème ?

quand je scanne mon Pc avec l'antivirus il ne détecte rien mais il affiche " erreur à l'ouverture"

Tout à l'heure mon Pc à afficher un écran bleu puis à redémarrer.

Mais quand je scanne avec Malwarebytes il ne détecte que "Backdoor.Agent.MSC"
et j'arrive pas à le supprimer

Help SVP
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
6 mars 2014 à 20:11
C'est une clef dans le registre qui reste, c'est pas dramatique.



Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O20 - HKCU Winlogon: Shell - ("C:\ProgramData\Windows Services\wservice.exe") - File not found


* poste le rapport ici
0
GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 8
6 mars 2014 à 20:13
ok merci je le fais tout de suite
0
Malekal_morte- Messages postés 180242 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 577
6 mars 2014 à 23:08
c'est normal.

Change tous tes mots de passe, ils ont été volés.
0
GrafikVibz Messages postés 154 Date d'inscription dimanche 16 août 2009 Statut Membre Dernière intervention 30 décembre 2014 8
6 mars 2014 à 23:11
Ok je l'avais fait mais je vais le refaire.

je pense que j'ai piqué la phobie du téléchargement dans le web je ferai gaffe la prochaine fois.

Encore une fois merci Malekal t'es un pro et moi une bille lol

Nextime !!
0