Un Problème avec : "Backdoor:Win32/fynloski.A"Résolu/Fermé

Question

Bonjour, 

Étant un flemmard endurci, je n'ai jamais vraiment eu la motivation pour me débarrasser de ce virus. Cependant, j'ai constaté une baisse des performances de mon pc, notamment au niveau des FPS ( ou IPS ) de certains jeux ( oui la ça me motive beaucoup plus! )
je chercher donc a nettoyer un max mon pc pour trouver d'ou viens ce problème.

Je l'ai donc détecté avec MSE ( Microsoft Security Essential ) Et l'ai supprimé... Une bonne quarantaine de fois...

En effet, il revient tous les jours.
J'ai regardé l'historique de mon Anti-virus, dans éléments détectés, j'ai ceci :

Trojan:MSIL/Abtitu.gen/A

j'aimerai donc de l'aide Pour me débarrasser de cette petite horreur!

concernant mas config, bien que je ne pense pas qu'elle soit utile,  Je possède un asus notebook K72JT, tournant sur Windows 7

je suis prêt a fournir tout renseignement complémentaire utile a la dératisation du virus
Merci de votre aide :)

Utilisateur anonyme · Answer

Salut,

- Télécharge OTL sur ton bureau.

- Fais un double clic sur l'icône pour le lancer. 

Vérifie que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

- Quand la fenêtre apparaît, coche la case "Tous les utilisateurs"

- Sous Processus, Modules, Services, Pilotes, Registre: standard, Registre: approfondi coche "Tous".

- Coche également les cases "Recherche Lop" et "Recherche Purity".

- Dans la partie Personnalisation, colle ceci :


         HKCU\Software
        HKCU\Software\AppDataLow /s
        HKLM\Software
        HKCU\Software\Microsoft\Command Processor /s
        HKLM\Software\Microsoft\Command Processor /s
        HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
        HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
        %Homedrive%\*
        %Homedrive%\*.
        %Homedrive%\Recycler\*.exe /s
        %Homedrive%\Recycler\*.scr /s
        %Homedrive%\Recycler\*.pif /s
        %Homedrive%\Recycler\*.vb* /s
        %Homedrive%\$Recycle.bin\*.exe /s
        %Homedrive%\$Recycle.bin\*.scr /s
        %Homedrive%\$Recycle.bin\*.pif /s
        %Homedrive%\$Recycle.bin\*.vb* /s
        %Userprofile%\*
        %Userprofile%\*.
        %Allusersprofile%\*
        %Allusersprofile%\*.
        %LocalAppData%\*
        %LocalAppData%\*.
        %Userprofile%\Local Settings\*
        %Userprofile%\Local Settings\*.
        %Userprofile%\Local Settings\Application Data\*
        %Userprofile%\Local Settings\Application Data\*.
        %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
        %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
        %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
        %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
        %programFiles%\*
        %programFiles%\*.
        %programfiles%\Google\Desktop\*.
        %ProgramFiles%\Common Files\*.
        %ProgramFiles(X86)%\Common Files\*.
        %Systemroot%\Installer\*.
        %Systemroot%\Temp\*.exe /s
        %systemroot%\system32\*.dll /lockedfiles
        %systemroot%\system32\*.exe /lockedfiles
        %systemroot%\system32\*.in*
        %systemroot%\PSS\* /s
        %systemroot%\Tasks\*
        %systemroot%\Tasks\*.
        %systemroot%\system32\Tasks\*
        %systemroot%\system32\Tasks\*.
        %systemroot%\syswow64\Tasks\*
        %systemroot%\syswow64\Tasks\*.
        %systemroot%\system32\drivers\*.sy* /lockedfiles
        %systemroot%\system32\config\*.exe /s
        %Systemroot%\ServiceProfiles\*.exe /s
        %systemroot%\system32\*.sys
        dir %Homedrive%\* /S /A:L /C
        msconfig
        activex
        /md5start
        explorer.exe
        winlogon.exe
        wininit.exe
        volsnap.sys
        atapi.sys
        ndis.sys
        cdrom.sys
        i8042prt.sys
        iastor.sys
        tdx.sys
        netbt.sys
        afd.sys
        /md5stop
        netsvcs
        safebootminimal
        safebootnetwork
        CREATERESTOREPOINT



- Clique sur le bouton Analyse. L'analyse ne va pas durer longtemps.

- Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. >OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.

- Héberge les rapports OTL.Txt et Extras.Txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

Tak0LeP0ulpe · Answer

Merci pour cette réponse si rapide!

voici les deux liens :

OTL: https://www.cjoint.com/?DHdtmTkKVWl

Extras : https://www.cjoint.com/?DHdto3pRYI2

Utilisateur anonyme · Answer

Re,

Tu as passer ADWCleaner, peux tu me poster les deux rapports :

- C:\AdwCleaner\AdwCleaner[R0].txt
- C:\AdwCleaner\AdwCleaner[S0].txt

 - Lance OTL Clique sur l'icône présent sur ton bureau

Note: Sous Vista, Seven, 8 clique droit ""Exécuter en tant qu'Administrateur"

- Vérifie que la case "Rapport minimal" soit bien cochée

- Important :Copie-colle correctement le script dans la fenêtre personnalisation :

https://textup.fr/100767iH

- Clique ensuite sur Correction laisse l'outil travailler.

un fichier "LOG" doit s'ouvrir avec le bloc-notes.

Autrement Il est sauvegardé dans le dossier C:\_OTL\

- Héberge le rapport xxxx2014_xxxxxx.log présent sur ton bureau au redémarrage de ton PC sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?
 
++

Tak0LeP0ulpe · Answer

Re,

Je ne comprends pas bien la partie sur AdwCleaner, mais je suis sur de n'avoir aucun fichier aux emplacements indiqués.

Sinon, voici le rapport :   https://www.cjoint.com/?DHdt4h7DAUH

Utilisateur anonyme · Answer

Re,

 Ok, 

&#x25B6; Télécharge AdwCleaner (d'Xplode) sur ton bureau.

&#x25B6;  Lance-le en cliquant sur l'icône "adwcleaner_3.302.exe" présent sur ton  bureau,

Note: Pour les utilisateurs de Vista/Seven/8, clique droit sur l'icône et "Exécuter en tant qu'administrateur",

&#x25B6; Clique sur le bouton "Scanner"

&#x25B6; Une fois le scan fini, choisis l'option "Nettoyer".

&#x25B6; Héberge le rapport AdwCleaner[S0].txt présent sur ton bureau au redémarrage de ton PC sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Note: Un double du rapport ce trouve => C:\AdwCleaner\AdwCleaner[S0].txt

Aide : Comment utiliser Cjoint ?

Tutoriel ADWCleaner

Tak0LeP0ulpe · Answer

Re,

Déjà, merci pour ce programme, dans le rapport, j'ai reconnu un bon nombre de software/spyware/etc que j'avais cru supprimer via le panneau de configuration.   ( que de naïveté...)

Voici le rapport de Adwcleaner :  https://www.cjoint.com/?DHduBfOTZaR

Utilisateur anonyme · Answer

Re,

- Télécharge Malwarebytes Anti-malware en cliquant sur "Version gratuite à télécharger".

- Enregistre-le sur ton bureau.

- Double-clique sur le fichier téléchargé pour lancer le processus d'installation (Si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte)

- Une fois le logiciel installé et lancé, 

Lance "malwarebytes" 

- Va dans l'onglet "Paramètres", puis dans le menu de gauche clique sur "Détection et protection", dans la partie "Options de détections" coche la case "Recherche de Rootkits"

- Puis va dans l'onglet "Examen".

- Sélectionne "Examen Menaces" puis clique sur "Examinez maintenant".

- Si une mise à jour est signalée clique sur Mettre à jour maintenant puis patiente durant l'examen

- Une fois l'examen terminé, veille à ce que l'action Quarantaine soit sélectionnée pour tous les éléments détectés.

- Clique sur "Appliquer les actions". S'il est demandé de redémarrer le PC, fais-le.

- Dans l'onglet Examen, clique sur Exporter le journal => Fichier texte (txt). Sinon, va dans l'onglet Historique puis Journaux de l'application.

- Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : 

- Comment utiliser Cjoint ?

- Tutoriel Malwarebyte

Tak0LeP0ulpe · Answer

Re,
 
Voici le rapport demandé : https://www.cjoint.com/?DHdv5ra2FjL


PS: désolé pour le temps d'attente, le scan s'est avéré plutôt long, et mon PC a planté au bout de 20 mn lors du premier essai.

Utilisateur anonyme · Answer

Re,

 - Télécharge ZHPDiag sur ton bureau

- Laisse-toi guider lors de l'installation.

- Ouvre ZHPDiag (icône parchemin)

- Clique sur Complet.

Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",

-  Héberge le rapport ZHPDiag.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

- Aide : Comment utiliser Cjoint ?

Tutoriel ZHPDiag

Tak0LeP0ulpe · Answer

Re,

Voici le rapport ZHPDiag: https://www.cjoint.com/?DHeaFh50vHM

Utilisateur anonyme · Answer

Re,

- Copie les lignes qui sont dans le lien ci-dessous:

https://textup.fr/100822Ot

- Ouvre ZHPfix, (icône seringue)

Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",

- Clique sur Importer, puis colle les lignes dans la partie prévue pour,

- Clique sur Go.

- Clique sur Oui pour confirmer le nettoyage des données et celui de la corbeille.

- Héberge le rapport ZHPFix.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?


P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clique sur Nouvelle tâche puis tape explorer.exe. Le bureau devrait normalement réapparaître.

/!\ Attention, ta corbeille va être vidée. Vérifie qu'il n'y ait aucun fichier supprimé par mégarde à l'intérieur. /!\

Tak0LeP0ulpe · Answer

Re,

Voici le rapport demandé: https://www.cjoint.com/?DHeaQWY9r77

Encore merci de prendre sur ton temps pour m'aider

Utilisateur anonyme · Answer

Re,

Redémarre ton PC et dis moi comment va le PC ?

+

Tak0LeP0ulpe · Answer

Re,

Malheureusement, MSE détecte toujours "Backdoor:Win32/fynloski.A"

Utilisateur anonyme · Answer

Re,

Conserve le pour après :)

 - Télécharge DelFix sur ton bureau.

- Lance le,

Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",

- Coche la case "désinstaller les outils ....".

- Patiente pendant le scan jusqu'à l'ouverture du rapport.

- Héberge le rapport DelFixSuppr.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

Note : Le rapport se trouve également sous C:\DelFixSuppr.txt
 
Puis redémarre et dis moi si là encore MSE te détecte encore machin truc j'suisméchant et pas beau :)
Ce ne sont pas les mauvaises herbes qui étouffent le bon grain, c'est la négligence du cultivateur.

Tak0LeP0ulpe · Answer

Re,

Les outils ont bien été désinstallés : [https://www.cjoint.com/?DHebaZzdO0a

Je redémarre mon PC ( je viens de voir cette partie du message )

Tak0LeP0ulpe · Answer

Re,

Je ne sais pas comment fonctionnent les notifications sur ce fofo, double post il y aura :p

Avant de redémarrer mon PC, j'avais supprimé le backdoor via MSE.
Les analyses suivantes n'avaient donc rien détecté.

Au redémarrage du PC, je relance une analyse et oh, surprise, Le vilain espion est de retour :(

Utilisateur anonyme · Answer

Re,

Réinitialise tes navigateurs 

- Télécharge la version FRST de Farbar, compatible avec ton système et enregistre le fichier sur ton Bureau

- Pour un système en 32 bits -> FRST

- Pour un système en 64 bits -> FRST64

Info: Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?

- Ferme toutes les applications, y compris ton navigateur

- Double-clique sur FRST.exe et clique sur Oui pour accepter le Disclaimer

/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> "Exécuter en tant qu'administrateur"

- Sur le menu principal, vérifie que la case "Addition.txt" soit cocher  puis clique sur "Scan" et patiente le temps de l'analyse

- Héberge les rapports FRST.txt et Addition.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

- Aide : Comment utiliser Cjoint ?

Note: Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs 

++

Tak0LeP0ulpe · Answer

Re,

J'n'ai pas envie de faire le patient réticent à prendre ses médicaments, mais la réinitialisation de mon navigateur est-elle vraiment nécessaire?
Je dois avouer que l'idée de perdre mes favoris ainsi que mes cookies ne me réjouit pas vraiment.

Utilisateur anonyme · Answer

Re,

Bne c'est cela ou tu auras toujours une alerte car je pense que cela vient de là ..

Mais bon tu es libre de ne pas faire cela. C'est uniquement une procédure à suivre.

@++

Tak0LeP0ulpe · Answer

Re,

Voilà, comme j'ai déjà réinitialisé firefox Il y a quelques mois, et que j'ai ce backdoor depuis plus longtemps, je me suis penché sur chrome, que je sais infecté de toutes sortes d'horreurs.

j'ai tenté de le désinstaller via le panneau de configuration, mais impossible.
Le lien donné pour réinitialiser son navigateur ne fonctionne pas chez moi, j'ai donc cherché sur google.

Selon ce que j'ai trouvé, il suffirai que j'aille dans paramètres > paramètres avancés, puis tout en bas, comme selon cette image

https://www.cjoint.com/?DHebZfqG6Lz

Cependant, lorsque je vais dans mes paramètres avancés, cette option n'est pas présente :

 https://www.cjoint.com/?DHeb6pomS9j

De plus, je vois un message m'informant que l'administrateur ( moi? ) a désactivé les mises à jours de chrome

Voilà, peut-être que je me fait des idées et que la réinitialisation n'est pas a cette place, mais après avoir cherché pendant 20mn, ce serait me poser de sérieuses question quand a mes capacités intellectuelles :p

Merci de m'avoir aidé jusque là, bien que le problème principal n'ai pas encore été résolu, mon PC est bien plus clean qu'avant.

Utilisateur anonyme · Answer

Re,

fais FRST s'il te plaît.

+

Tak0LeP0ulpe · Answer

Re,

Voici les deux rapports:

FRST : https://www.cjoint.com/?DHeczeduhmu 

ADDITION : 	https://www.cjoint.com/?DHeczGaDXHS

Utilisateur anonyme · Answer

Re,

Important: FRST.exe doit ce trouver sur le bureau à l'endroit où est le fichier "fixlist.txt"

- Télécharge le fichier ci-dessous sur ton bureau

https://fn23e8e3z2.1fichier.com/

- Lance FRST,Exécuter en tant qu'administrateur sous Windows : 7/8 et Vista

- Clic sur Fix

Note : Patiente le temps de la suppression

- Une fois le scan terminé, un rapport Fixlog.txt a été créé sur ton bureau.

- Héberge le rapport Fixlog.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

Tak0LeP0ulpe · Answer

Re,

Voici le Fixlog: https://www.cjoint.com/?DHecSRrxt3U

je tiens a préciser que le programme a reboot mon PC, et que malgré le fix, MSE détecte toujours le virus.

PS: Suite à des travaux, ma connexion coupe tous les jours  a 3h ( dans 10 mn), Je ne serais donc plus en mesure de répondre.
Bien sur, je répondrai dès que possible, mais ne te sens pas obligé de faire de même, ce virus est là depuis un paquet de temps, quelques heures ou jours de plus ne changerons pas grand chose.
J'ai quand même conscience que mettre une pause a un problème comme ça peut être frustrant, vu que tu m'a l'air plutôt passionné ( j'ai vu le site ), ou juste incroyablement gentil.
Merci pour tout, à bientôt.

Utilisateur anonyme · Answer

Re,

- Télécharge TFC (de OldTimer) sur ton bureau.

- Lance TFC,  "Exécuter en tant qu'administrateur" sous Windows : 7/8 et Vista

- Clique sur Start

Note : Patiente le temps du scan, une fois terminer

- Clique sur Exit

- Redémarre ton PC normalement

+++

Tak0LeP0ulpe · Answer

Re,

C'est fait, aucun changement, à part que mon ordi met de moins en moins de temps à démarrer :)

Utilisateur anonyme · Answer

Re,

Bizarre, mais je l'aurais.

Repasse DelFix "suppression des outils de ..."

Puis fais ceci :

- Télécharge OTL sur ton bureau.

- Fais un double clic sur l'icône pour le lancer. 

Vérifie que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

- Quand la fenêtre apparaît, coche la case "Tous les utilisateurs"

- Sous Processus, Modules, Services, Pilotes, Registre: standard, Registre: approfondi coche "Tous".

- Coche également les cases "Recherche Lop" et "Recherche Purity".

- Dans la partie Personnalisation, colle ceci :


         HKCU\Software
        HKCU\Software\AppDataLow /s
        HKLM\Software
        HKCU\Software\Microsoft\Command Processor /s
        HKLM\Software\Microsoft\Command Processor /s
        HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
        HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
        %Homedrive%\*
        %Homedrive%\*.
        %Homedrive%\Recycler\*.exe /s
        %Homedrive%\Recycler\*.scr /s
        %Homedrive%\Recycler\*.pif /s
        %Homedrive%\Recycler\*.vb* /s
        %Homedrive%\$Recycle.bin\*.exe /s
        %Homedrive%\$Recycle.bin\*.scr /s
        %Homedrive%\$Recycle.bin\*.pif /s
        %Homedrive%\$Recycle.bin\*.vb* /s
        %Userprofile%\*
        %Userprofile%\*.
        %Allusersprofile%\*
        %Allusersprofile%\*.
        %LocalAppData%\*
        %LocalAppData%\*.
        %Userprofile%\Local Settings\*
        %Userprofile%\Local Settings\*.
        %Userprofile%\Local Settings\Application Data\*
        %Userprofile%\Local Settings\Application Data\*.
        %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
        %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
        %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
        %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
        %programFiles%\*
        %programFiles%\*.
        %programfiles%\Google\Desktop\*.
        %ProgramFiles%\Common Files\*.
        %ProgramFiles(X86)%\Common Files\*.
        %Systemroot%\Installer\*.
        %Systemroot%\Temp\*.exe /s
        %systemroot%\system32\*.dll /lockedfiles
        %systemroot%\system32\*.exe /lockedfiles
        %systemroot%\system32\*.in*
        %systemroot%\PSS\* /s
        %systemroot%\Tasks\*
        %systemroot%\Tasks\*.
        %systemroot%\system32\Tasks\*
        %systemroot%\system32\Tasks\*.
        %systemroot%\syswow64\Tasks\*
        %systemroot%\syswow64\Tasks\*.
        %systemroot%\system32\drivers\*.sy* /lockedfiles
        %systemroot%\system32\config\*.exe /s
        %Systemroot%\ServiceProfiles\*.exe /s
        %systemroot%\system32\*.sys
        dir %Homedrive%\* /S /A:L /C
        msconfig
        activex
        /md5start
        explorer.exe
        winlogon.exe
        wininit.exe
        volsnap.sys
        atapi.sys
        ndis.sys
        cdrom.sys
        i8042prt.sys
        iastor.sys
        tdx.sys
        netbt.sys
        afd.sys
        /md5stop
        netsvcs
        safebootminimal
        safebootnetwork
        CREATERESTOREPOINT



- Clique sur le bouton Analyse. L'analyse ne va pas durer longtemps.

- Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. >OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.

- Héberge les rapports OTL.Txt et Extras.Txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

+

Tak0LeP0ulpe · Answer

Re,

Voici les deux rapports : 

OTL : https://www.cjoint.com/?DHepPC7Ugg5

Extras : https://www.cjoint.com/?DHepQwsHT0A

Utilisateur anonyme · Answer

Re,

Il le signal dans quel fichier exactement ?

- Lance OTL Clique sur l'icône présent sur ton bureau

Note: Sous Vista, Seven, 8 clique droit ""Exécuter en tant qu'Administrateur"

- Vérifie que la case "Rapport minimal" soit bien cochée

- Important :Copie-colle correctement le script dans la fenêtre personnalisation :


:OTL 
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher
puplaypc.dll File not found
O4 - HKU\S-1-5-21-3843131833-873652021-3739467571-1000..\Run: [Syncables] C:\Program Files (x86)\syncables\syncables desktop\Syncables.exe File not found
O4 - HKU\S-1-5-21-3843131833-873652021-3739467571-1000..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: ConsentPromptBehaviorUser = 3


:Reg
[-HKEY_LOCAL_MACHINE\Software\McAfee.com]

:commands
[EMPTYFLASH]
[EMPTYTEMP]


- Clique ensuite sur Correction laisse l'outil travailler.

un fichier "LOG" doit s'ouvrir avec le bloc-notes.

Autrement Il est sauvegardé dans le dossier C:\_OTL\

- Héberge le rapport xxxx2014_xxxxxx.log présent sur ton bureau au redémarrage de ton PC sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

Tak0LeP0ulpe · Answer

Re,

Voici le rapport : https://www.cjoint.com/?DHeqjnsoDJr

j'ai également remarqué quelque chose de bizarre. Je ne sais pas vraiment à quoi cela correspond, mais dans l'historique de MSE, sous "éléments détectés", je constate qu'à chaque redémarrage de mon PC, il détecte ceci :

Trojan:MSIL/Abtitu.gen!A

Lorsque que je clique sur l'un d'entre eux, j'ai une description qui s'ouvre, avec notamment une colonne "Éléments"

Dans cette colonne, j'ai une adresse, qui n'est jamais exactement pareil, selon le moment auquel le trojan a été détecté ( a chaque reboot du PC) : 

file:C:\Users\Maëlig\AppData\Roaming\438257.exe

file:C:\Users\Maëlig\AppData\Roaming\225898.exe

file:C:\Users\Maëlig\AppData\Roaming\917228.exe

etc...

Voilà, j'me disais que c'était surement lié au fait que le virus refait son apparition après chaque reboot.

Utilisateur anonyme · Answer

Re,

- Télécharge USBFix (de El desaparecido) sur ton Bureau.

- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir 

- Une fois fait, cliquez sur OK

- Si tu es sous Vista ou Seven fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'. 

-Au menu principal, clique sur "Recherche" 

- Laisse travailler l'outil jusqu'au bout 

-A la fin, le rapport va s'afficher

- Une copie du rapport est déposée sur le bureau : UsbFix_Report.txt, le rapport est en outre sauvegardé sous : C:\UsbFix\Log\UbsFix [Scan 1] Nom du PC .txt

- Héberge le rapport UsbFix_Report.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

Tak0LeP0ulpe · Answer

Re,

je n'ai pas de clef usb a brancher, je l'ai perdue il y a quelques mois.
Mes seuls périphériques branchés ( usb ou non) sont mon  deuxième écran, ma souris, mon clavier et mon casque.

Voici tout de même le rapport : 	https://www.cjoint.com/?DHerLGNAwkT

Utilisateur anonyme · Answer

Re,

Pas de souci.

- Relance USBFix présent sur ton bureau,

Branche toutes tes sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista

- Choisis l'option Nettoyage

Laisse travailler l'outil, ton bureau ne sera pas accessible durant la phase de nettoyage, c'est normal.

- À la fin du scan, un rapport va s'afficher UsbFix [Clean ...txt,

- Héberge le rapport UsbFix-Clean ...txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

Tak0LeP0ulpe · Answer

Re,

Voici le rapport : https://www.cjoint.com/?DHeseByzoZ9

Utilisateur anonyme · Answer

Re,

Relance OTL.
- sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:


:files 
C:\Users\Maëlig\AppData\Roaming\~*exe  

++

Tak0LeP0ulpe · Answer

Re,

De toute évidence, le programme ne trouve pas ce que tu recherches

File\Folder C:\Users\Maëlig\AppData\Roaming\~*exe not found.

J'ai quand même vérifié, l'adresse jusqu'à "Roaming" est bonne, mais je ne comprends pas les symboles après ^^

D'ailleurs, je ne sais pas si c'est normal, mais quand je rentre cette adresse via un dossier, je tombe sur ce site

http://www.file.com/Folder%20C:/Users/Ma%C3%ABlig/AppData/Roaming/~

Utilisateur anonyme · Answer

Re,

recommence en y mettant ceci :

:OTL
:files
C:\Users\Maëlig\AppData\Roaming\~*exe

Tak0LeP0ulpe · Answer

Re,

j'avais déjà essayé, enfin j'te met le rapport complet ce coup là : 

========== OTL ==========
========== FILES ==========
File\Folder C:\Users\Maëlig\AppData\Roaming\~*exe not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 08042014_183551

Utilisateur anonyme · Answer

Re,

Fais un scan avec ESET online

++

Tak0LeP0ulpe · Answer

Re,

Comme le scan prends du temps ( 30% actuellement ) j'ai continué à essayer de supprimer google chrome, mais rien n'y fait.
Que ce soit par la voix traditionnelle ou par CCleaner, tout ce que j'obtiens est un bref chargement d'une seconde, puis plus rien. 

je me demandais donc si tu connaissais un bon logiciel pour me débarrasser de ce navigateur plein de puces

[EDIT1] ESET a pour l'instant trouvé deux menaces :

Une variante de MSIL/Injector. AMB cheval de troie
Une variante de MSIL/packed.Confuser.G

[EDIT2]  au bout de 50 mn d'analyse, 31%, une nouvelle menace détectée

NSIS/Horax.ArchSMS.V, Une application

Tak0LeP0ulpe · Answer

Re,

Scan terminé, selon ESET ces trois menaces ont été éliminées.

Utilisateur anonyme · Answer

Re,

Pas de trace de ton méchant bouhhh !!

On va faire cela :

Désinstalle ESET via le panneau "Programme et fonctionnalités"

- Télécharge DelFix sur ton bureau.

- Lance le,

Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",

- Coche toutes les cases.

- Patiente pendant le scan jusqu'à l'ouverture du rapport.

- Héberge le rapport DelFixSuppr.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

Note : Le rapport se trouve également sous C:\DelFixSuppr.txt
 _________________________________________________________

- Télécharge TFC (de OldTimer) sur ton bureau.

- Lance TFC,  "Exécuter en tant qu'administrateur" sous Windows : 7/8 et Vista

- Clique sur Start

Note : Patiente le temps du scan, une fois terminer

- Clique sur Exit

- Redémarre ton PC normalement

Profite du redémarrage pour accéder au mode sans échec, tu tappotte la touche F8 ou F12 puis fais un "Examen Menaces" a l'aide de malwarebytes. puis tu redémarre en mode normal et me post le rapport si détection.

Tak0LeP0ulpe · Answer

Re,

Mbam n'a rien détecté. Mais,
j'ai lancé MSE en mode sans echec, pour voir si il trouvait quelque chose : rien
Je viens juste de le lancer maintenant, au redémarrage de l'ordi : rien
Ce qui est plutôt étonnant, car le virus est sensé revenir à chaque reboot.

Peut être à-t-il disparu :)

Utilisateur anonyme · Answer

Re,

ben vi, très bien alors :)

 Ce qui est plutôt étonnant, car le virus est sensé revenir à chaque reboot.

Il va te manquer de ce fait si je comprend bien.

Voilà, la désinfection de ton PC étant terminée, je t'invite à installer les mises à jour ainsi que à prendre les addons pour ton navigateur si tu ne les as déjà pas, puis de lire certaines pages internet qui t'aideront à comprendre et de ce fait t'éviteront d'autres problèmes.

- N'oublies pas de mettre à jour java: 

- Mettre à jour la console java


- N'oublies pas de mettre à jour Adobe flash player pour Firefox et Internet explorer

=> Adobe Flash Player pour Firefox

=> Adobe Flash Player pour Internet Explorer


- N'oublies pas de mettre à jour adobe reader

=> Adobe reader


==> N'oubliez pas décochez l'offre proposé par adobe concernant Macfee !!! 

N'oublies pas aussi de maintenir Windows à jour via Windows update 
 
N'oublies pas de défragmenter de temps en temps ton disque dur: 

Avec par exemple Deffagler ou disk-defrag


Oublies les genres de nettoyeurs comme Tuneup ,Glary et autres nettoyeurs miracles ils ne te feront que ralentir ta machine et nettoyer plus blanc que blanc peut provoquer de graves dysfonctionnements 


- Internet Explorer:

- Sécurise tes navigateurs par exemple avec WOT et simple adblock pour Internet explorer 

=> Pour télécharger WOT pour "Internet Explorer"

=> Pour simple adblock

 => Pour AdBlockPlus

- Chrome:

=> Pour télécharger WOT pour "Chrome"

=> Pour télécharger Adblock pour "Chrome"


- Firefox:

=> Wot pour firefox

=> Adblock Plus firefox


- Fais attention à ce que tu télécharges où et comment 

Évités si possible de télécharger sur O1net, tom's guide, télécharger.com et Softonic et compagnie car ils repackent les logiciels avec des programmes potentiellement indésirables (PUP's)

=> A lire On entends beaucoup parler de PUP / LPI mais que signifie tout ça ? 

=> A lire Fausses mises à jours - Comment les éviter

=> A lire Logiciel Potentiellement Indésirable - Comment se protéger !

=> A lire Les toolbars ... un cauchemar !


- Sécurisation du PC des logiciels potentiellement indésirables , toolbars , etc... 

Lorsqu'on est sous Windows et qu'on adore installer tout un tas de softs étranges, il faut savoir rester vigilant. En effet, certains programmes d'install proposent durant l'installation des toolbars et autres adware qui seront difficiles par la suite à retirer de votre système. 

En général, on fait attention, et on décoche les cases qui vont bien, mais il suffit d'une fois, d'un petit coup de barre et on laisse passer la toolbar fatale. 

Mais pourquoi se prendre la tête alors qu'un petit soft peut faire le travail pour vous ? 

Télécharge : => unchecky un service qui tourne en tâche de fond sous Windows, qui détectera automatiquement les logiciels additionnels dans les programmes d'installation et qui décochera les cases qu'il faut pour éviter de se faire polluer.

Inscrit toi sur le forum pour mettre le sujet en résolu si tu ne l'a pas déjà fait ! 

N'oublies pas de mettre ton sujet en résolu => marquer un fil de discussion comme etant resolu 

Sois prudent et bon surf! ;) 

++

Tak0LeP0ulpe · Answer

Merci d'avoir pris sur ton temps pour m'aider, mon PC va se sentir seul avec toutes les puces que tu lui a enlevé!
Sans compter la grosse tique bien cachée :)
Dans tous les cas, je sais maintenant ou aller si mon ordi se fait attaquer ^^
Vraiment content d'avoir terminé, et merci pour toutes ces infos!

Un Problème avec : "Backdoor:Win32/fynloski.A"

46 réponses

Newsletters