Virus icrstuhzezk.exe
Résolu
schpop
Messages postés
32
Date d'inscription
Statut
Membre
Dernière intervention
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
je suis sur une petite galère sur la désinfection d'un ordinateur, j'ai utilisé malwarebytes , spybot, adwcleaner, shotcut_module qui a nettoyé pas mal . En fait mon soucis vient d'une fenêtre pdf qui s'ouvre a chaque démarrage de l'ordinateur marquant " this page is intentionaly blank " , j'ai recherché avec msconfig et aucun programme n'est coché dans les programmes a démarrer , malgré tout ccleaner en détecte un se trouvant dans le dossier c: programData\appDatabin\icrstuhzezk.exe, dossier qui n'existe pas quand on ouvre l'explorateur, il est impossible de désactiver ou de supprimer ce fichier. j'ai utilisé unlocker pour le dégager mais celui ci reparait à chaque démarrage.
Je bloque la donc je me tourne vers vous pour un petit coup de main
je suis sur une petite galère sur la désinfection d'un ordinateur, j'ai utilisé malwarebytes , spybot, adwcleaner, shotcut_module qui a nettoyé pas mal . En fait mon soucis vient d'une fenêtre pdf qui s'ouvre a chaque démarrage de l'ordinateur marquant " this page is intentionaly blank " , j'ai recherché avec msconfig et aucun programme n'est coché dans les programmes a démarrer , malgré tout ccleaner en détecte un se trouvant dans le dossier c: programData\appDatabin\icrstuhzezk.exe, dossier qui n'existe pas quand on ouvre l'explorateur, il est impossible de désactiver ou de supprimer ce fichier. j'ai utilisé unlocker pour le dégager mais celui ci reparait à chaque démarrage.
Je bloque la donc je me tourne vers vous pour un petit coup de main
A voir également:
- Virus icrstuhzezk.exe
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
9 réponses
Salut,
Suis la procédure suivante : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc
Fournis les rapports AdwCleaner et OTL via le site pjjoint comme cela est demandé.
Suis la procédure suivante : https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc
Fournis les rapports AdwCleaner et OTL via le site pjjoint comme cela est demandé.
Tu as des infections type "RAT".
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\.DEFAULT..\Run: [appplication tool] \Windows\Explorer.exe ()
O4 - HKU\S-1-5-18..\Run: [appplication tool] \Windows\Explorer.exe ()
O4 - HKU\S-1-5-21-144669636-3265284533-873030446-1000..\Run: [appplication tool] \Windows\Explorer.exe ()
* poste le rapport ici
Redémarre l'ordinateur
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKU\.DEFAULT..\Run: [appplication tool] \Windows\Explorer.exe ()
O4 - HKU\S-1-5-18..\Run: [appplication tool] \Windows\Explorer.exe ()
O4 - HKU\S-1-5-21-144669636-3265284533-873030446-1000..\Run: [appplication tool] \Windows\Explorer.exe ()
* poste le rapport ici
Redémarre l'ordinateur
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
et au cas ou je met le rapport shortcut_module que j'ai utilisé hier
https://pjjoint.malekal.com/files.php?id=20140526_r8p10e8r14y7
https://pjjoint.malekal.com/files.php?id=20140526_r8p10e8r14y7
premier rapport OTL apres correction
https://pjjoint.malekal.com/files.php?id=20140526_c9y15z813z9
la page pdf ne s'ouvre plus au demarrage , genial ^^
https://pjjoint.malekal.com/files.php?id=20140526_c9y15z813z9
la page pdf ne s'ouvre plus au demarrage , genial ^^
ok refais un scan OTL avec le script, pour voir.
et ceci stp :
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
et ceci stp :
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
deuxieme rapport avec scan OTL
https://pjjoint.malekal.com/files.php?read=OTL_20140526_h13v1411q10e15
https://pjjoint.malekal.com/files.php?read=OTL_20140526_h13v1411q10e15
ok ça doit être bon :)
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.
Faire attention à ce que vous téléchargez - change tous tes mots de passe
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
