Virtool:Win32/Obfuscator.xz
Résolu/Fermé
Nodri
Messages postés
7
Date d'inscription
vendredi 13 février 2015
Statut
Membre
Dernière intervention
13 février 2015
-
Modifié par Nodri le 13/02/2015 à 00:58
fabul Messages postés 37700 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 24 avril 2024 - 13 févr. 2015 à 06:31
fabul Messages postés 37700 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 24 avril 2024 - 13 févr. 2015 à 06:31
7 réponses
fabul
Messages postés
37700
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
24 avril 2024
5 172
Modifié par fabul le 13/02/2015 à 04:44
Modifié par fabul le 13/02/2015 à 04:44
Salut,
Fais un nettoyage avec AdwCleaner
Fais un nettoyage avec Malwarebytes, A l'installation, décoche l'essai de la version premium.
Installe RegRun Reanimator
Clic sur "Fix problems".
Clic sur "Scan windows startup...".
Coche la case "Use deep level scanning once (For advanced users)".
Clic sur "Make scan now".
Clic sur "Fix problems".
Supprime tout ce qui est marqué "Unwanted Software Files"
Clic sur "Reboot" a la fin.
Refait une autre analyse identique,
Clic-droit dans le milieu de la fenêtre et choisit "Save to file" pour copier le résultat dans un fichier texte.
Nomme le 1 (tout court), le .txt sera généré automatiquement.
Clic sur la flèche verte pour passer a l'item suivant, fait comme pour le premier et nomme le 2, et ainsi de suite avec les autres.
A la fin, clic sur "Exit".
Poste les résultats contenus dans les fichiers texte dans ton prochain message.
Met un espace d'une ligne entre chaque item détecté pour que ça soit lisible.
Fais un nettoyage avec AdwCleaner
Fais un nettoyage avec Malwarebytes, A l'installation, décoche l'essai de la version premium.
Installe RegRun Reanimator
Clic sur "Fix problems".
Clic sur "Scan windows startup...".
Coche la case "Use deep level scanning once (For advanced users)".
Clic sur "Make scan now".
Clic sur "Fix problems".
Supprime tout ce qui est marqué "Unwanted Software Files"
Clic sur "Reboot" a la fin.
Refait une autre analyse identique,
Clic-droit dans le milieu de la fenêtre et choisit "Save to file" pour copier le résultat dans un fichier texte.
Nomme le 1 (tout court), le .txt sera généré automatiquement.
Clic sur la flèche verte pour passer a l'item suivant, fait comme pour le premier et nomme le 2, et ainsi de suite avec les autres.
A la fin, clic sur "Exit".
Poste les résultats contenus dans les fichiers texte dans ton prochain message.
Met un espace d'une ligne entre chaque item détecté pour que ça soit lisible.
fabul
Messages postés
37700
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
24 avril 2024
5 172
13 févr. 2015 à 05:14
13 févr. 2015 à 05:14
Donc tout semble OK , résolu ?
Je te recommande d'analyser de temps en temps avec RegRun Reanimator et les autres.
Si tu désinstalle RegRun Reanimator, juste avant, clic sur Uninstall Partizan (dans le programme)
Et tu peux cliquer sur ce fichier .reg qui remettra la clé Bootexecute par défaut:
https://www.cjoint.com/c/DIwp0hjRA6Y
Ce n'est pas très grave si tu ne le fait pas, si tu oublie...
Je te recommande d'analyser de temps en temps avec RegRun Reanimator et les autres.
Si tu désinstalle RegRun Reanimator, juste avant, clic sur Uninstall Partizan (dans le programme)
Et tu peux cliquer sur ce fichier .reg qui remettra la clé Bootexecute par défaut:
https://www.cjoint.com/c/DIwp0hjRA6Y
Ce n'est pas très grave si tu ne le fait pas, si tu oublie...
fabul
Messages postés
37700
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
24 avril 2024
5 172
13 févr. 2015 à 05:16
13 févr. 2015 à 05:16
Mais tu peux faire un nouveau ZHPDiag que je regarde.
fabul
Messages postés
37700
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
24 avril 2024
5 172
Modifié par fabul le 13/02/2015 à 06:31
Modifié par fabul le 13/02/2015 à 06:31
Lance ZHPFix et copie ce script, puis clic GO
Script ZHPFix
SysRestore
O42 - Logiciel: Google Update Helper - (.BonanzaDeals.) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} =>Adware.BonanzaDeals
O43 - CFD: 13/02/2015 - 01:24:31 - [] ----D C:\Users\Valentin\AppData\Local\Apps
O51 - MPSK:{684819a1-41c1-11e3-84ad-806e6f6e6963}\AutoRun\command. (...) -- E:\Run.exe (.not file.)
[MD5.9CD5109EF7367DF192989B4D26B0E344] [WIS][31/10/2013] (.BonanzaDeals - Google Update Helper.) -- C:\Windows\Installer\1b087.msi [40960] =>Adware.BonanzaDeals
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}] =>Adware.BonanzaDeals^
C:\Windows\Installer\1b087.msi =>Adware.BonanzaDeals^
O51 - MPSK:{4e84ae42-a133-11e3-bf47-902b343d84c8}\AutoRun\command. (...) -- G:\setup.exe (.not file.)
O2 - BHO: (no name) [64Bits] - {45d30484-7ded-43d9-957a-d2fd1f046511} Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{3C3B2AA4-E3CE-4ABD-A953-5AD9FA76C75C}] (...) -- G:\Setup.now.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{E7DCC7F0-E191-47EE-ACCD-5BCD6DF4551D}] (...) -- C:\Users\Valentin\AppData\Local\Temp\{401BFC01-275F-493C-BB01-470F6F260CFA}\setup.exe (.not file.) [0]
O44 - LFC:[MD5.01DF14B5CB7294137607BFFD82F4920B] - 09/02/2015 - 19:16:51 ---A- . (...) -- C:\Windows\DirectX.log [17627]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\MCConfigNsis\mcsetup.exe [6071992]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsbC37B.tmp\GetVersion.dll [6656]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsbC37B.tmp\NSISLangPlugin.dll [129360]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsbC37B.tmp\System.dll [11264]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsr5A6D.tmp\GetVersion.dll [6144]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsr5A6D.tmp\NSISdl.dll [14848]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsr5A6D.tmp\xml.dll [121344]
O61 - LFC: 13/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\34695c6d2b31fc244f5d19ac1c563b07_fce8395f8fd8a84b_e84d66d660f1516c_0_0.bin [16384]
O61 - LFC: 13/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\440ec2b251141faab5a5e914d6bdbb9e_fce8395f8fd8a84b_4b1488ef247c8fc4_0_0.bin [16384]
O61 - LFC: 13/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\440ec2b251141faab5a5e914d6bdbb9e_fce8395f8fd8a84b_4b1488ef247c8fc4_0_1.bin [1048576]
O61 - LFC: 13/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\440ec2b251141faab5a5e914d6bdbb9e_fce8395f8fd8a84b_4b1488ef247c8fc4_0_2.bin [16777216]
EmptyPrefetch
EmptyCLSID
EmptyFlash
EmptyTemp
Ce qui reste d'inconnu pour ZHP, c'est a peu près ce qui suit, a toi de voir si il y a du ménage a faire la dedans:
O42 - Logiciel: 3DPower B11.1121.1 - (.GIGABYTE.) [HKLM][64Bits] -- {53B0AB03-FC82-46C8-885B-F0A529FAFFAC}
O42 - Logiciel: Evolve [Closed Beta] - (.Turtle Rock Studios.) [HKLM][64Bits] -- Steam App 203190
O42 - Logiciel: Gothic 3 - (.JoWooD.) [HKLM][64Bits] -- {13F59927-CFBE-44D1-8417-7203AD4F1795}
O42 - Logiciel: Gothic 3 Forsaken Gods Enhanced Edition - (.Nordic Games GmbH.) [HKLM][64Bits] -- {6890095D-D7FE-465A-9B1D-BE605B1F5FD9}_is1
O42 - Logiciel: Lords Of The Fallen - (.CI Games.) [HKLM][64Bits] -- Steam App 265300
O42 - Logiciel: Minion - (.ZAM Network LLC.) [HKCU][64Bits] -- {Minion}}_is1
[HKCU\Software\Piranha Bytes]
O43 - CFD: 12/02/2015 - 19:40:53 - [] ----D C:\Program Files (x86)\Find My Bookmarks
O43 - CFD: 13/02/2015 - 05:02:30 - [] ----D C:\ProgramData\{1765a3c5-e77d-b332-1765-5a3c5e778f17}
O43 - CFD: 13/02/2015 - 01:34:09 - [] ----D C:\ProgramData\{f1f4e1aa-8aef-2770-f1f4-4e1aa8ae86aa}
O43 - CFD: 09/02/2015 - 19:15:20 - [] ----D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic 3 Forsaken Gods Enhanced Edition
O43 - CFD: 08/02/2015 - 00:35:22 - [] ----D C:\Users\Valentin\AppData\Roaming\com.zam.minion.Minion
O43 - CFD: 13/02/2015 - 01:24:31 - [] ----D C:\Users\Valentin\AppData\Local\CDWLauncher
O43 - CFD: 13/02/2015 - 01:24:31 - [] ----D C:\Users\Valentin\AppData\Local\Dark_Souls_Fix_GUI_2
O43 - CFD: 13/02/2015 - 01:24:31 - [] ----D C:\Users\Valentin\AppData\Local\Minion
O43 - CFD: 13/02/2015 - 01:24:32 - [] ----D C:\Users\Valentin\AppData\Local\RzStats
O43 - CFD: 08/02/2015 - 00:35:16 - [] ----D C:\Users\Valentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZAM Network LLC
O44 - LFC:[MD5.AA7079AD52B8BFBAE94167D54C32F84F] - 13/02/2015 - 01:57:23 ---A- . (.Microsoft Corporation - Microsoft Performance PowerTracker.) -- C:\Windows\System32\powertracker.dll [29696]
O58 - SDL:22/11/2010 - 15:22:38 ---A- . (.Sagatek Co. Ltd. - Developed and Built for World of Warcraft: Cataclysm MMO Gaming.) -- C:\Windows\System32\Drivers\MO3v2Driver.sys [23040]
O61 - LFC: 08/02/2015 - 06:06:29 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Minion\unins000.exe [1516745]
Mais vu que RegRun Reanimator n'a rien détecté d'actif, il ne devrait en principe pas avoir de malwares.
Script ZHPFix
SysRestore
O42 - Logiciel: Google Update Helper - (.BonanzaDeals.) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} =>Adware.BonanzaDeals
O43 - CFD: 13/02/2015 - 01:24:31 - [] ----D C:\Users\Valentin\AppData\Local\Apps
O51 - MPSK:{684819a1-41c1-11e3-84ad-806e6f6e6963}\AutoRun\command. (...) -- E:\Run.exe (.not file.)
[MD5.9CD5109EF7367DF192989B4D26B0E344] [WIS][31/10/2013] (.BonanzaDeals - Google Update Helper.) -- C:\Windows\Installer\1b087.msi [40960] =>Adware.BonanzaDeals
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}] =>Adware.BonanzaDeals^
C:\Windows\Installer\1b087.msi =>Adware.BonanzaDeals^
O51 - MPSK:{4e84ae42-a133-11e3-bf47-902b343d84c8}\AutoRun\command. (...) -- G:\setup.exe (.not file.)
O2 - BHO: (no name) [64Bits] - {45d30484-7ded-43d9-957a-d2fd1f046511} Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{3C3B2AA4-E3CE-4ABD-A953-5AD9FA76C75C}] (...) -- G:\Setup.now.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{E7DCC7F0-E191-47EE-ACCD-5BCD6DF4551D}] (...) -- C:\Users\Valentin\AppData\Local\Temp\{401BFC01-275F-493C-BB01-470F6F260CFA}\setup.exe (.not file.) [0]
O44 - LFC:[MD5.01DF14B5CB7294137607BFFD82F4920B] - 09/02/2015 - 19:16:51 ---A- . (...) -- C:\Windows\DirectX.log [17627]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\MCConfigNsis\mcsetup.exe [6071992]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsbC37B.tmp\GetVersion.dll [6656]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsbC37B.tmp\NSISLangPlugin.dll [129360]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsbC37B.tmp\System.dll [11264]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsr5A6D.tmp\GetVersion.dll [6144]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsr5A6D.tmp\NSISdl.dll [14848]
O61 - LFC: 06/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\nsr5A6D.tmp\xml.dll [121344]
O61 - LFC: 13/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\34695c6d2b31fc244f5d19ac1c563b07_fce8395f8fd8a84b_e84d66d660f1516c_0_0.bin [16384]
O61 - LFC: 13/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\440ec2b251141faab5a5e914d6bdbb9e_fce8395f8fd8a84b_4b1488ef247c8fc4_0_0.bin [16384]
O61 - LFC: 13/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\440ec2b251141faab5a5e914d6bdbb9e_fce8395f8fd8a84b_4b1488ef247c8fc4_0_1.bin [1048576]
O61 - LFC: 13/02/2015 - 06:07:25 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Temp\NVIDIA Corporation\NV_Cache\440ec2b251141faab5a5e914d6bdbb9e_fce8395f8fd8a84b_4b1488ef247c8fc4_0_2.bin [16777216]
EmptyPrefetch
EmptyCLSID
EmptyFlash
EmptyTemp
Ce qui reste d'inconnu pour ZHP, c'est a peu près ce qui suit, a toi de voir si il y a du ménage a faire la dedans:
O42 - Logiciel: 3DPower B11.1121.1 - (.GIGABYTE.) [HKLM][64Bits] -- {53B0AB03-FC82-46C8-885B-F0A529FAFFAC}
O42 - Logiciel: Evolve [Closed Beta] - (.Turtle Rock Studios.) [HKLM][64Bits] -- Steam App 203190
O42 - Logiciel: Gothic 3 - (.JoWooD.) [HKLM][64Bits] -- {13F59927-CFBE-44D1-8417-7203AD4F1795}
O42 - Logiciel: Gothic 3 Forsaken Gods Enhanced Edition - (.Nordic Games GmbH.) [HKLM][64Bits] -- {6890095D-D7FE-465A-9B1D-BE605B1F5FD9}_is1
O42 - Logiciel: Lords Of The Fallen - (.CI Games.) [HKLM][64Bits] -- Steam App 265300
O42 - Logiciel: Minion - (.ZAM Network LLC.) [HKCU][64Bits] -- {Minion}}_is1
[HKCU\Software\Piranha Bytes]
O43 - CFD: 12/02/2015 - 19:40:53 - [] ----D C:\Program Files (x86)\Find My Bookmarks
O43 - CFD: 13/02/2015 - 05:02:30 - [] ----D C:\ProgramData\{1765a3c5-e77d-b332-1765-5a3c5e778f17}
O43 - CFD: 13/02/2015 - 01:34:09 - [] ----D C:\ProgramData\{f1f4e1aa-8aef-2770-f1f4-4e1aa8ae86aa}
O43 - CFD: 09/02/2015 - 19:15:20 - [] ----D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic 3 Forsaken Gods Enhanced Edition
O43 - CFD: 08/02/2015 - 00:35:22 - [] ----D C:\Users\Valentin\AppData\Roaming\com.zam.minion.Minion
O43 - CFD: 13/02/2015 - 01:24:31 - [] ----D C:\Users\Valentin\AppData\Local\CDWLauncher
O43 - CFD: 13/02/2015 - 01:24:31 - [] ----D C:\Users\Valentin\AppData\Local\Dark_Souls_Fix_GUI_2
O43 - CFD: 13/02/2015 - 01:24:31 - [] ----D C:\Users\Valentin\AppData\Local\Minion
O43 - CFD: 13/02/2015 - 01:24:32 - [] ----D C:\Users\Valentin\AppData\Local\RzStats
O43 - CFD: 08/02/2015 - 00:35:16 - [] ----D C:\Users\Valentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ZAM Network LLC
O44 - LFC:[MD5.AA7079AD52B8BFBAE94167D54C32F84F] - 13/02/2015 - 01:57:23 ---A- . (.Microsoft Corporation - Microsoft Performance PowerTracker.) -- C:\Windows\System32\powertracker.dll [29696]
O58 - SDL:22/11/2010 - 15:22:38 ---A- . (.Sagatek Co. Ltd. - Developed and Built for World of Warcraft: Cataclysm MMO Gaming.) -- C:\Windows\System32\Drivers\MO3v2Driver.sys [23040]
O61 - LFC: 08/02/2015 - 06:06:29 ---A- . (...) -- C:\Users\Valentin\AppData\Local\Minion\unins000.exe [1516745]
Mais vu que RegRun Reanimator n'a rien détecté d'actif, il ne devrait en principe pas avoir de malwares.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Nodri
Messages postés
7
Date d'inscription
vendredi 13 février 2015
Statut
Membre
Dernière intervention
13 février 2015
13 févr. 2015 à 02:25
13 févr. 2015 à 02:25
Je viens d'effectuer une restauration du système et tout les soucis visibles ont semble-t-il étaient supprimés (pop-up intempestifs, spam de pubs etc.)
Une âme charitable peut me dire si l'infection est totalement partie ?
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20150213_d9z7p6u10x15
Merci d'avance ;)
Une âme charitable peut me dire si l'infection est totalement partie ?
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20150213_d9z7p6u10x15
Merci d'avance ;)
Nodri
Messages postés
7
Date d'inscription
vendredi 13 février 2015
Statut
Membre
Dernière intervention
13 février 2015
13 févr. 2015 à 05:08
13 févr. 2015 à 05:08
Salut fabul et merci pour ta réponse !
Suite à l'analyse je n'ai obtenu que 1 item "suspicieux":
Item Name: ShadowPlay
Author:
Current Setting: C:\WINDOWS\SYSTEM32\NVSPCAP64.DLL
Type: Registry Run(x64)
Seulement je ne pense pas que ce logiciel soit malveillant, ce n'est qu'un simple outil de capture vidéo pour les jeux fait par Nvidia ^^
Suite à l'analyse je n'ai obtenu que 1 item "suspicieux":
Item Name: ShadowPlay
Author:
Current Setting: C:\WINDOWS\SYSTEM32\NVSPCAP64.DLL
Type: Registry Run(x64)
Seulement je ne pense pas que ce logiciel soit malveillant, ce n'est qu'un simple outil de capture vidéo pour les jeux fait par Nvidia ^^
Nodri
Messages postés
7
Date d'inscription
vendredi 13 février 2015
Statut
Membre
Dernière intervention
13 février 2015
13 févr. 2015 à 06:14
13 févr. 2015 à 06:14
Hop comme demandé voilà le nouveau ZHPDiag :
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20150213_l14x14e8u9g6
Mais je pense que mon souci est résolu, je te remercie beaucoup en tout cas fabul pour tes explications claires et détaillées !
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20150213_l14x14e8u9g6
Mais je pense que mon souci est résolu, je te remercie beaucoup en tout cas fabul pour tes explications claires et détaillées !
