Virus cidox.b et Win64/Sathurbot.A
Résolu/Fermé
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
-
Modifié par Malekal_morte- le 4/01/2015 à 15:43
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 janv. 2015 à 16:11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 12 janv. 2015 à 16:11
A voir également:
- Virus cidox.b et Win64/Sathurbot.A
- Svchost.exe virus - Guide
- Operagxsetup virus ✓ - Forum Virus
- Produkey virus ✓ - Forum Windows 10
- Vérificateur de lien virus - Guide
- Lien virus à envoyer - Forum Virus
20 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
Modifié par Malekal_morte- le 4/01/2015 à 15:42
Modifié par Malekal_morte- le 4/01/2015 à 15:42
Salut,
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
4 janv. 2015 à 21:33
4 janv. 2015 à 21:33
Voici le lien du rapport:
https://pjjoint.malekal.com/files.php?id=20150104_r14c8m7w8b12
Merci encore
https://pjjoint.malekal.com/files.php?id=20150104_r14c8m7w8b12
Merci encore
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
5 janv. 2015 à 00:00
5 janv. 2015 à 00:00
bien :
20:31:30.0206 0x0ff8 \Device\Harddisk0\DR0\Partition1 - copied to quarantine
20:31:30.0264 0x0ff8 \Device\Harddisk0\DR0\Partition1 ( Rootkit.Boot.Cidox.b ) - will be cured on reboot
20:31:30.0315 0x0ff8 \Device\Harddisk0\DR0\Partition1 - ok
20:31:30.0315 0x0ff8 \Device\Harddisk0\DR0\Partition1 ( Rootkit.Boot.Cidox.b ) - User select action: Cure
histoire de voir :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
20:31:30.0206 0x0ff8 \Device\Harddisk0\DR0\Partition1 - copied to quarantine
20:31:30.0264 0x0ff8 \Device\Harddisk0\DR0\Partition1 ( Rootkit.Boot.Cidox.b ) - will be cured on reboot
20:31:30.0315 0x0ff8 \Device\Harddisk0\DR0\Partition1 - ok
20:31:30.0315 0x0ff8 \Device\Harddisk0\DR0\Partition1 ( Rootkit.Boot.Cidox.b ) - User select action: Cure
histoire de voir :
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
5 janv. 2015 à 10:57
5 janv. 2015 à 10:57
Voici les 3 rapports que tu m'as demandé:
FRST https://pjjoint.malekal.com/files.php?id=FRST_20150105_y8t15c6p7b14
Addition:https://pjjoint.malekal.com/files.php?id=20150105_y13y9d10l14c14
shortcut: https://pjjoint.malekal.com/files.php?id=20150105_y15u15h9v7w8
J ai l 'impression que c'est mieux depuis le tdsskiller
Merci
FRST https://pjjoint.malekal.com/files.php?id=FRST_20150105_y8t15c6p7b14
Addition:https://pjjoint.malekal.com/files.php?id=20150105_y13y9d10l14c14
shortcut: https://pjjoint.malekal.com/files.php?id=20150105_y15u15h9v7w8
J ai l 'impression que c'est mieux depuis le tdsskiller
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
5 janv. 2015 à 11:06
5 janv. 2015 à 11:06
oui TDSSKiller a supprimé Cidox.
Change tes mots de passe WEB.
ils ont dû être volés.
Quelques adwares :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
R2 rtpMIDIService; C:\Program Files (x86)\Tobias Erichsen\rtpMIDI\rtpMIDISvc.exe [1142272 2012-08-24] (Tobias Erichsen) [File not signed]
2014-12-16 10:39 - 2014-12-16 14:35 - 00000000 ____D () C:\Program Files (x86)\d16b9cc8-75c8-412d-af85-a0febd739181
2014-12-16 10:38 - 2014-12-16 10:38 - 00003194 _____ () C:\Windows\System32\Tasks\Run_Bobby_Browser
2014-12-30 18:17 - 2013-10-11 14:19 - 00000000 ____D () C:\Program Files (x86)\coolpaie
2014-12-30 18:15 - 2014-09-23 14:52 - 00000032 _____ () C:\Users\STUDIO Andrew\AppData\Roaming\msregsvv.dll
2014-12-23 14:29 - 2014-01-04 00:02 - 00000000 ___HD () C:\Users\STUDIO Andrew\AppData\Local\AZL8iIat2Ji
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Change tes mots de passe WEB.
ils ont dû être volés.
Quelques adwares :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
R2 rtpMIDIService; C:\Program Files (x86)\Tobias Erichsen\rtpMIDI\rtpMIDISvc.exe [1142272 2012-08-24] (Tobias Erichsen) [File not signed]
2014-12-16 10:39 - 2014-12-16 14:35 - 00000000 ____D () C:\Program Files (x86)\d16b9cc8-75c8-412d-af85-a0febd739181
2014-12-16 10:38 - 2014-12-16 10:38 - 00003194 _____ () C:\Windows\System32\Tasks\Run_Bobby_Browser
2014-12-30 18:17 - 2013-10-11 14:19 - 00000000 ____D () C:\Program Files (x86)\coolpaie
2014-12-30 18:15 - 2014-09-23 14:52 - 00000032 _____ () C:\Users\STUDIO Andrew\AppData\Roaming\msregsvv.dll
2014-12-23 14:29 - 2014-01-04 00:02 - 00000000 ___HD () C:\Users\STUDIO Andrew\AppData\Local\AZL8iIat2Ji
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
6 janv. 2015 à 11:47
6 janv. 2015 à 11:47
bonjour,
J'ai suivi tes conseils mais aujourd hui
j ai des fichiers infecté du genre" tmpD114.tmp " détecté par et avira et avast dans :C:\ProgramData\Microsoft\Secure\Icons\temp
C'est un probleme récurant d'ailleurs c'est ainsi qu'avait débutée mon infection précédente
As tu des infos?
J'ai suivi tes conseils mais aujourd hui
j ai des fichiers infecté du genre" tmpD114.tmp " détecté par et avira et avast dans :C:\ProgramData\Microsoft\Secure\Icons\temp
C'est un probleme récurant d'ailleurs c'est ainsi qu'avait débutée mon infection précédente
As tu des infos?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
6 janv. 2015 à 13:22
6 janv. 2015 à 13:22
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport et donne le ici.
Enregistre le rapport et donne le ici.
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
6 janv. 2015 à 18:41
6 janv. 2015 à 18:41
RE BONJOUR Voici le rapport il m'a trouvé 11 malware:
https://pjjoint.malekal.com/files.php?id=20150106_k6s6b7w6c12
https://pjjoint.malekal.com/files.php?id=20150106_k6s6b7w6c12
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
6 janv. 2015 à 22:45
6 janv. 2015 à 22:45
ok tu avais aussi Win64/Sathurbot.A
ca donne quoi l'ordinateur là ?
ca donne quoi l'ordinateur là ?
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
7 janv. 2015 à 11:50
7 janv. 2015 à 11:50
Bonjour
ça me semble beaucoup mieux,apparemment Win64/Sathurbot.A avait infecté IconsCacheHelper.dll Je crois bien que les premiers message d'alerte d'avast me renvoyait aux repertoire parent contenant cette dll. L'antivirus en ligne que tu m'as conseillé, c'est trés efficace .
Merci
ça me semble beaucoup mieux,apparemment Win64/Sathurbot.A avait infecté IconsCacheHelper.dll Je crois bien que les premiers message d'alerte d'avast me renvoyait aux repertoire parent contenant cette dll. L'antivirus en ligne que tu m'as conseillé, c'est trés efficace .
Merci
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
7 janv. 2015 à 15:24
7 janv. 2015 à 15:24
re bonjour en redemarrant mon pc j'ai ça qui s'affiche?
DE plus j'ai des processus bizarre ,sans description
de plus j'ai des processus en cours sans nom utilisateur et description et mon ordi rame ça craint
DE plus j'ai des processus bizarre ,sans description
de plus j'ai des processus en cours sans nom utilisateur et description et mon ordi rame ça craint
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
7 janv. 2015 à 15:25
7 janv. 2015 à 15:25
Refais une analyse FRST, c'est juste les points de chargement qui restent.
Donne les rapports via pjjoint.
Donne les rapports via pjjoint.
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
7 janv. 2015 à 16:35
7 janv. 2015 à 16:35
voici les rapports:
https://pjjoint.malekal.com/files.php?id=20150107_n9g10o5g9q13
https://pjjoint.malekal.com/files.php?id=FRST_20150107_y8z15r8w9q9
https://pjjoint.malekal.com/files.php?id=20150107_t6h9c13u8s9
j'ai vu qu il restait des fichiers avast alors que je l'ai déinstaller ,a présent j'ai avira
https://pjjoint.malekal.com/files.php?id=20150107_n9g10o5g9q13
https://pjjoint.malekal.com/files.php?id=FRST_20150107_y8z15r8w9q9
https://pjjoint.malekal.com/files.php?id=20150107_t6h9c13u8s9
j'ai vu qu il restait des fichiers avast alors que je l'ai déinstaller ,a présent j'ai avira
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
7 janv. 2015 à 16:59
7 janv. 2015 à 16:59
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
2014-12-15 20:07 - 2014-12-15 20:07 - 00003612 _____ () C:\Windows\System32\Tasks\YTDownloader
2014-12-15 20:03 - 2014-12-16 14:35 - 00000000 ____D () C:\Program Files (x86)\aecdeca2-c425-497c-a276-180c94054e06
2015-01-05 12:24 - 2015-01-05 12:24 - 00000000 ____D () C:\Program Files (x86)\coolpaie
C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll
MSCONFIG\startupreg: Imjjsoft => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\AclObjCres.dll"
C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft
2015-01-07 15:42 - 2014-11-26 12:09 - 00000000 ____D () C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft
2015-01-07 15:42 - 2014-11-26 12:09 - 00000000 ____D () C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
2014-12-15 20:07 - 2014-12-15 20:07 - 00003612 _____ () C:\Windows\System32\Tasks\YTDownloader
2014-12-15 20:03 - 2014-12-16 14:35 - 00000000 ____D () C:\Program Files (x86)\aecdeca2-c425-497c-a276-180c94054e06
2015-01-05 12:24 - 2015-01-05 12:24 - 00000000 ____D () C:\Program Files (x86)\coolpaie
C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll
MSCONFIG\startupreg: Imjjsoft => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\AclObjCres.dll"
C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft
2015-01-07 15:42 - 2014-11-26 12:09 - 00000000 ____D () C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft
2015-01-07 15:42 - 2014-11-26 12:09 - 00000000 ____D () C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
7 janv. 2015 à 18:57
7 janv. 2015 à 18:57
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 07-01-2015
Ran by STUDIO Andrew at 2015-01-07 18:51:26 Run:1
Running from C:\Users\STUDIO Andrew\Desktop
Loaded Profile: STUDIO Andrew (Available profiles: STUDIO Andrew)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
2014-12-15 20:07 - 2014-12-15 20:07 - 00003612 _____ () C:\Windows\System32\Tasks\YTDownloader
2014-12-15 20:03 - 2014-12-16 14:35 - 00000000 ____D () C:\Program Files (x86)\aecdeca2-c425-497c-a276-180c94054e06
2015-01-05 12:24 - 2015-01-05 12:24 - 00000000 ____D () C:\Program Files (x86)\coolpaie
C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll
MSCONFIG\startupreg: Imjjsoft => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\AclObjCres.dll"
C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft
2015-01-07 15:42 - 2014-11-26 12:09 - 00000000 ____D () C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft
2015-01-07 15:42 - 2014-11-26 12:09 - 00000000 ____D () C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft
*****************
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\1SecureIconsProvider" => Key deleted successfully.
"HKCR\CLSID\{FC9D8189-520A-4417-AED7-9EAC810C6FBA}" => Key deleted successfully.
C:\Windows\System32\Tasks\YTDownloader => Moved successfully.
C:\Program Files (x86)\aecdeca2-c425-497c-a276-180c94054e06 => Moved successfully.
C:\Program Files (x86)\coolpaie => Moved successfully.
"C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll " => File/Directory not found.
MSCONFIG\startupreg: Imjjsoft => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\AclObjCres.dll" => Error: No automatic fix found for this entry.
C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft => Moved successfully.
"C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft" => File/Directory not found.
C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft => Moved successfully.
==== End of Fixlog 18:51:26 ====
Ran by STUDIO Andrew at 2015-01-07 18:51:26 Run:1
Running from C:\Users\STUDIO Andrew\Desktop
Loaded Profile: STUDIO Andrew (Available profiles: STUDIO Andrew)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
ShellIconOverlayIdentifiers: [1SecureIconsProvider] -> {FC9D8189-520A-4417-AED7-9EAC810C6FBA} => C:\ProgramData\Microsoft\Secure\Icons\SecureIconsProvider.dll ()
2014-12-15 20:07 - 2014-12-15 20:07 - 00003612 _____ () C:\Windows\System32\Tasks\YTDownloader
2014-12-15 20:03 - 2014-12-16 14:35 - 00000000 ____D () C:\Program Files (x86)\aecdeca2-c425-497c-a276-180c94054e06
2015-01-05 12:24 - 2015-01-05 12:24 - 00000000 ____D () C:\Program Files (x86)\coolpaie
C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll
MSCONFIG\startupreg: Imjjsoft => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\AclObjCres.dll"
C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft
2015-01-07 15:42 - 2014-11-26 12:09 - 00000000 ____D () C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft
2015-01-07 15:42 - 2014-11-26 12:09 - 00000000 ____D () C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft
*****************
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\1SecureIconsProvider" => Key deleted successfully.
"HKCR\CLSID\{FC9D8189-520A-4417-AED7-9EAC810C6FBA}" => Key deleted successfully.
C:\Windows\System32\Tasks\YTDownloader => Moved successfully.
C:\Program Files (x86)\aecdeca2-c425-497c-a276-180c94054e06 => Moved successfully.
C:\Program Files (x86)\coolpaie => Moved successfully.
"C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll " => File/Directory not found.
MSCONFIG\startupreg: Imjjsoft => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\AclObjCres.dll" => Error: No automatic fix found for this entry.
C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft => Moved successfully.
"C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft" => File/Directory not found.
C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft => Moved successfully.
==== End of Fixlog 18:51:26 ====
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
Modifié par andrew27240 le 7/01/2015 à 19:00
Modifié par andrew27240 le 7/01/2015 à 19:00
toujours un soucis avec cette affichage
il y a un log que tu as moved mais c'est un logiciel de compta "Coolpaie"
je m'en sert régulierement il provient d'un site sure
Merci
il y a un log que tu as moved mais c'est un logiciel de compta "Coolpaie"
je m'en sert régulierement il provient d'un site sure
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
Modifié par Malekal_morte- le 7/01/2015 à 19:17
Modifié par Malekal_morte- le 7/01/2015 à 19:17
ha désolé,
Tu peux recopier le dossier CoolPaie, il doit être dans C:\FRST\Quarantaine - tu peux le remettre dans C:\Program Files (x86)\
~~
Questions :
Le dossier C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\ existe ?
Les popups c'est au démarrage de la session ou de temps en temps durant l'utilisation de l'ordinateur ?
Dans msconfig / onglet démarrage
tu as encore ces références :
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [YgsqPack] => C:\Windows\SysWOW64\regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft\ncbqolrhjid.dll"
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [Imjjsoft] => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\cpuz.dll" <===== ATTENTION
Tu peux recopier le dossier CoolPaie, il doit être dans C:\FRST\Quarantaine - tu peux le remettre dans C:\Program Files (x86)\
~~
Questions :
Le dossier C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\ existe ?
Les popups c'est au démarrage de la session ou de temps en temps durant l'utilisation de l'ordinateur ?
Dans msconfig / onglet démarrage
tu as encore ces références :
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [YgsqPack] => C:\Windows\SysWOW64\regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft\ncbqolrhjid.dll"
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [Imjjsoft] => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\cpuz.dll" <===== ATTENTION
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
8 janv. 2015 à 11:06
8 janv. 2015 à 11:06
bonjour
je n'ai plus les pop up mais effectivement dans le démarrage j'ai les deux lignes
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [YgsqPack] => C:\Windows\SysWOW64\regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft\ncbqolrhjid.dll"
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [Imjjsoft] => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\cpuz.dll" <===== ATTENTION
dois je les supprimer?
je n'ai plus les pop up mais effectivement dans le démarrage j'ai les deux lignes
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [YgsqPack] => C:\Windows\SysWOW64\regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft\ncbqolrhjid.dll"
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [Imjjsoft] => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\cpuz.dll" <===== ATTENTION
dois je les supprimer?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
8 janv. 2015 à 11:10
8 janv. 2015 à 11:10
oui on peut le faire avec FRST.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [YgsqPack] => C:\Windows\SysWOW64\regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft\ncbqolrhjid.dll"
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [Imjjsoft] => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\cpuz.dll"
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [YgsqPack] => C:\Windows\SysWOW64\regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Idmtsoft\ncbqolrhjid.dll"
HKU\S-1-5-21-4106211024-1455553160-2379650104-1000\...\Run: [Imjjsoft] => regsvr32.exe "C:\Users\STUDIO Andrew\AppData\Local\Imjjsoft\cpuz.dll"
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
8 janv. 2015 à 13:20
8 janv. 2015 à 13:20
Bonjour c'est bon plus de popup ni de ligne dans msconf par ce matin encore une attaque dropper dans: C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll
ce repertoire appartient au microsoft secure que je n'utilise pas ne peux pas supprimer ce logiciel.
J'ai changé mes pass sur google et dropbox mais j'ai des pass assez complexe sur des sites administratif pour une asso que je gère crois tu qu'il faut que je les modifie aussi.
cordialement
ce repertoire appartient au microsoft secure que je n'utilise pas ne peux pas supprimer ce logiciel.
J'ai changé mes pass sur google et dropbox mais j'ai des pass assez complexe sur des sites administratif pour une asso que je gère crois tu qu'il faut que je les modifie aussi.
cordialement
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
8 janv. 2015 à 13:25
8 janv. 2015 à 13:25
Tous les mots de passe qui ont été utilisés sur l'ordinateur ou stockés ont été récupérés.
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
8 janv. 2015 à 14:20
8 janv. 2015 à 14:20
wouah excuse de paraître un peu boulet mais peux m'expliquer brièvement comment cela est possible?
Merci
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
8 janv. 2015 à 17:36
8 janv. 2015 à 17:36
Quoi donc ?
de voler les mots de passe ?
de voler les mots de passe ?
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
12 janv. 2015 à 13:05
12 janv. 2015 à 13:05
oui comment est ce possible ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
12 janv. 2015 à 13:25
12 janv. 2015 à 13:25
ils sont volés :
- soit quand tu les tapes (keylogger)
- soit quand le navigateur WEB les envoies sur le site
- soit s'ils sont stockés dans le navigateur WEB.
- soit quand tu les tapes (keylogger)
- soit quand le navigateur WEB les envoies sur le site
- soit s'ils sont stockés dans le navigateur WEB.
andrew27240
Messages postés
23
Date d'inscription
dimanche 4 janvier 2015
Statut
Membre
Dernière intervention
1 novembre 2017
12 janv. 2015 à 15:44
12 janv. 2015 à 15:44
Ok merci en tous cas plus de soucis avec le pc....pour l'instant
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 629
12 janv. 2015 à 16:11
12 janv. 2015 à 16:11
good :)
