Trojan.Sathurbot / Trojan.FakeMS : Explorer.exe infecté backdoor
Résolu
mnoir
Messages postés
25
Statut
Membre
-
mnoir -
mnoir -
Bonjour,
Mon antivirus vient de me détecter le virus Backdoor.A.3768 sur le fichier :
C:\windows\Explorer.exe
L'antivirus ne me laisse que peu de choix : ignorer/supprimer/quarantaine
Je suis allé voir dans ce dossier, et je n'ai qu'un seul fichier explorer.exe (il ne s'agirait donc pas d'un doublon).
Je suis réticent à l'idée de supprimer ou de mettre en quarantaine ce fichier car j'ai bien peur que Windows ne fonctionnera plus. En plus c'est un Windows pré-installé, je n'avais pas effectué de copie pour faire une récupération du système, et je vois qu'il n'est pas possible de télécharger une copie sur le site de Microsoft car c'est un système pré-installé.
Auriez-vous une idée de ce qu'il serait possible de faire dans ce cas?
Merci beaucoup!
Mon antivirus vient de me détecter le virus Backdoor.A.3768 sur le fichier :
C:\windows\Explorer.exe
L'antivirus ne me laisse que peu de choix : ignorer/supprimer/quarantaine
Je suis allé voir dans ce dossier, et je n'ai qu'un seul fichier explorer.exe (il ne s'agirait donc pas d'un doublon).
Je suis réticent à l'idée de supprimer ou de mettre en quarantaine ce fichier car j'ai bien peur que Windows ne fonctionnera plus. En plus c'est un Windows pré-installé, je n'avais pas effectué de copie pour faire une récupération du système, et je vois qu'il n'est pas possible de télécharger une copie sur le site de Microsoft car c'est un système pré-installé.
Auriez-vous une idée de ce qu'il serait possible de faire dans ce cas?
Merci beaucoup!
11 réponses
Salut,
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Merci beaucoup pour la réponse, voici donc les trois rapports:
FRST
https://pjjoint.malekal.com/files.php?id=FRST_20150411_13c9s5c13b14
Addition
https://pjjoint.malekal.com/files.php?id=20150411_h6m11o12j9k14
Shortcut
https://pjjoint.malekal.com/files.php?id=20150411_r10v10d7v8l5
Merci encore !
FRST
https://pjjoint.malekal.com/files.php?id=FRST_20150411_13c9s5c13b14
Addition
https://pjjoint.malekal.com/files.php?id=20150411_h6m11o12j9k14
Shortcut
https://pjjoint.malekal.com/files.php?id=20150411_r10v10d7v8l5
Merci encore !
L'ordinateur est infecté, probablement un zbot ou citadelle.
Ou un stealer qui s'en apparente.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Ohdsics] => regsvr32.exe
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [raba] => C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [301568 2015-04-09] (Hex-RAYS SA)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [kix] => C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [302592 2015-04-11] (Hex-RAYS SA)
2015-04-10 11:01 - 2015-04-10 11:01 - 00000000 ____D () C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T
C:\Users\Alina\AppData\Roaming\ludaw
C:\Users\Alina\AppData\Roaming\wavi
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Supprime les PUM.DNS avec RogueKiller en suivant ce tutorial : https://forum.malekal.com/viewtopic.php?t=48312&start=
Donne le rapport de suppression de RogueKiller.
Réinitialise Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
Si tu as speedial en démarrage.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Ou un stealer qui s'en apparente.
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Ohdsics] => regsvr32.exe
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [raba] => C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [301568 2015-04-09] (Hex-RAYS SA)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [kix] => C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [302592 2015-04-11] (Hex-RAYS SA)
2015-04-10 11:01 - 2015-04-10 11:01 - 00000000 ____D () C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T
C:\Users\Alina\AppData\Roaming\ludaw
C:\Users\Alina\AppData\Roaming\wavi
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Supprime les PUM.DNS avec RogueKiller en suivant ce tutorial : https://forum.malekal.com/viewtopic.php?t=48312&start=
Donne le rapport de suppression de RogueKiller.
Réinitialise Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
Si tu as speedial en démarrage.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Voici ce le fichier texte de FRST après avoir appuyé sur "fix" :
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 11-04-2015
Ran by Alina at 2015-04-11 20:54:04 Run:1
Running from C:\Users\Alina\Desktop
Loaded Profiles: Alina (Available profiles: Alina)
Boot Mode: Normal
==============================================
Content of fixlist:
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Ohdsics] => regsvr32.exe
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [raba] => C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [301568 2015-04-09] (Hex-RAYS SA)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [kix] => C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [302592 2015-04-11] (Hex-RAYS SA)
2015-04-10 11:01 - 2015-04-10 11:01 - 00000000 ____D () C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T
C:\Users\Alina\AppData\Roaming\ludaw
C:\Users\Alina\AppData\Roaming\wavi
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Ohdsics => value deleted successfully.
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\raba => value deleted successfully.
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\kix => value deleted successfully.
C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T => Moved successfully.
C:\Users\Alina\AppData\Roaming\ludaw => Moved successfully.
C:\Users\Alina\AppData\Roaming\wavi => Moved successfully.
Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Started in : Normal mode
User : Alina [Administrator]
Started from : C:\Users\Alina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD0M7G7P\RogueKiller.exe
Mode : Delete -- Date : 04/11/2015 21:45:11
¤¤¤ Processes : 3 ¤¤¤
[Suspicious.Path|Proc.Injected] naqab.exe(3272) -- C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe[-] -> Killed [TermProc]
[Suspicious.Path|Proc.Injected] vemeruz.exe(3280) -- C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe[-] -> Killed [TermProc]
[Suspicious.Path] explorer.exe(1280) -- C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll[-] -> Unloaded
¤¤¤ Registry : 20 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0WinSecurityProvider | (default) : {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} -> Deleted
[Suspicious.Path] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run | raba : C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [-] -> Deleted
[Suspicious.Path] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run | kix : C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [-] -> Deleted
[PUM.HomePage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page : http://speedial.com/... -> Not selected
[PUM.HomePage] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Internet Explorer\Main | Start Page : http://speedial.com/... -> Not selected
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.StartMenu] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0 -> Not selected
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Not selected
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Not selected
¤¤¤ Tasks : 0 ¤¤¤
¤¤¤ Files : 0 ¤¤¤
¤¤¤ Hosts File : 0 ¤¤¤
¤¤¤ Antirootkit : 2 (Driver: Loaded) ¤¤¤
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 11-04-2015
Ran by Alina at 2015-04-11 20:54:04 Run:1
Running from C:\Users\Alina\Desktop
Loaded Profiles: Alina (Available profiles: Alina)
Boot Mode: Normal
==============================================
Content of fixlist:
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Ohdsics] => regsvr32.exe
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [raba] => C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [301568 2015-04-09] (Hex-RAYS SA)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [kix] => C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [302592 2015-04-11] (Hex-RAYS SA)
2015-04-10 11:01 - 2015-04-10 11:01 - 00000000 ____D () C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T
C:\Users\Alina\AppData\Roaming\ludaw
C:\Users\Alina\AppData\Roaming\wavi
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Ohdsics => value deleted successfully.
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\raba => value deleted successfully.
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\kix => value deleted successfully.
C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T => Moved successfully.
C:\Users\Alina\AppData\Roaming\ludaw => Moved successfully.
C:\Users\Alina\AppData\Roaming\wavi => Moved successfully.
End of Fixlog 20:54:12
Et voici ce que j'ai obtenu en rapport avec RogueKiller:Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Started in : Normal mode
User : Alina [Administrator]
Started from : C:\Users\Alina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD0M7G7P\RogueKiller.exe
Mode : Delete -- Date : 04/11/2015 21:45:11
¤¤¤ Processes : 3 ¤¤¤
[Suspicious.Path|Proc.Injected] naqab.exe(3272) -- C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe[-] -> Killed [TermProc]
[Suspicious.Path|Proc.Injected] vemeruz.exe(3280) -- C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe[-] -> Killed [TermProc]
[Suspicious.Path] explorer.exe(1280) -- C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll[-] -> Unloaded
¤¤¤ Registry : 20 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0WinSecurityProvider | (default) : {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} -> Deleted
[Suspicious.Path] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run | raba : C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [-] -> Deleted
[Suspicious.Path] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run | kix : C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [-] -> Deleted
[PUM.HomePage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page : http://speedial.com/... -> Not selected
[PUM.HomePage] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Internet Explorer\Main | Start Page : http://speedial.com/... -> Not selected
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.StartMenu] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0 -> Not selected
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Not selected
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Not selected
¤¤¤ Tasks : 0 ¤¤¤
¤¤¤ Files : 0 ¤¤¤
¤¤¤ Hosts File : 0 ¤¤¤
¤¤¤ Antirootkit : 2 (Driver: Loaded) ¤¤¤
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok voici la suite :
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
Bonjour, voici le rapport du scan avec nod32 :
https://pjjoint.malekal.com/files.php?id=20150412_k5o7n10u11h12
Aussi, je m'aperçois que le dossier "mes documents" s'ouvre tout seul de manière intempestive.
Merci encore pour votre aide !
https://pjjoint.malekal.com/files.php?id=20150412_k5o7n10u11h12
Aussi, je m'aperçois que le dossier "mes documents" s'ouvre tout seul de manière intempestive.
Merci encore pour votre aide !
ok, voici la suite :
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.
A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.
A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.
Je viens de finir le scanner, par contre l'interface ne me propose pas de tout mettre en quarantaine comme sur le tutoriel https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mais plutôt il n'y a qu'un gros bouton bleu en bas "Supprimer la sélection", je ne vois nul part la possibilité de mettre en quarante.
Peut-être que je devrais tout simplement appuyer sur "supprimer la sélection" ?
Mais plutôt il n'y a qu'un gros bouton bleu en bas "Supprimer la sélection", je ne vois nul part la possibilité de mettre en quarante.
Peut-être que je devrais tout simplement appuyer sur "supprimer la sélection" ?
Effectivement je m'étais trompé, et je n'avais pas vu votre réponse!
Voici le lien :
https://pjjoint.malekal.com/files.php?id=20150412_u12p7f11b8x15
Voici le lien :
https://pjjoint.malekal.com/files.php?id=20150412_u12p7f11b8x15
Voici les 3 rapports :
Shortcut
https://pjjoint.malekal.com/files.php?id=20150413_b9f6r7o713
FRST
https://pjjoint.malekal.com/files.php?id=20150413_j5l11o7y14t11
Addition
https://pjjoint.malekal.com/files.php?id=20150413_l14h14u7o10s12
Shortcut
https://pjjoint.malekal.com/files.php?id=20150413_b9f6r7o713
FRST
https://pjjoint.malekal.com/files.php?id=20150413_j5l11o7y14t11
Addition
https://pjjoint.malekal.com/files.php?id=20150413_l14h14u7o10s12
Désinstalle Spybot,
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Uzjkmedia] => C:\Windows\System32\regsvr32.exe [116648 2014-03-30] (Google Inc.)
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Uzjkmedia] => C:\Windows\System32\regsvr32.exe [116648 2014-03-30] (Google Inc.)
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Voila le message
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 12-04-2015
Ran by Alina at 2015-04-13 12:33:19 Run:2
Running from C:\Users\Alina\Desktop
Loaded Profiles: Alina (Available profiles: Alina)
Boot Mode: Normal
==============================================
Content of fixlist:
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Uzjkmedia] => C:\Windows\System32\regsvr32.exe [116648 2014-03-30] (Google Inc.)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Uzjkmedia => value deleted successfully.
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 12-04-2015
Ran by Alina at 2015-04-13 12:33:19 Run:2
Running from C:\Users\Alina\Desktop
Loaded Profiles: Alina (Available profiles: Alina)
Boot Mode: Normal
==============================================
Content of fixlist:
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Uzjkmedia] => C:\Windows\System32\regsvr32.exe [116648 2014-03-30] (Google Inc.)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Uzjkmedia => value deleted successfully.
End of Fixlog 12:33:19
C'est une tâche planifiée qui en est la cause, par contre, je sais pas trop laquelle.
Y en a pas vraiment d'anormal;
Essaye de faire un fixlist.txt avec ces lignes, t'embêtes pas à donner le rapport.
Redémarre l'ordinateur et vois si ça change qq chose.
Task: {0A79E485-AC8B-491E-87B3-FD3F9A771A55} - System32\Tasks\{03046475-ECFC-4998-A447-72C728AA91E8} => pcalua.exe -a C:\Users\Alina\Downloads\9900fvst8270a_xpen\SetupSG.exe -d C:\Users\Alina\Downloads\9900fvst8270a_xpen
Task: {2AF5356D-3414-4B75-AF23-3044342EE591} - System32\Tasks\{DFF3CDDA-2770-478C-AE45-4EC010702DA6} => pcalua.exe -a C:\Users\Alina\Desktop\MATHIEU\LACIE\LaCie.exe -d C:\Users\Alina\Desktop\MATHIEU\LACIE
Task: {32905B43-C2DC-45A3-81F3-EAACD51D8D35} - System32\Tasks\{6EB885D0-7C77-467F-B210-C207307E2ABD} => pcalua.exe -a C:\Users\Alina\Downloads\cstbwin4136en.exe -d C:\Users\Alina\Downloads
Task: {E7C5D3AF-06E9-4352-B374-C756DA36C818} - System32\Tasks\{60CFEB8A-C915-4319-95C8-8AADE5842F45} => pcalua.exe -a C:\Users\Alina\Downloads\Win7Vista_151717.exe -d "C:\Program Files\Mozilla Firefox"
Y en a pas vraiment d'anormal;
Essaye de faire un fixlist.txt avec ces lignes, t'embêtes pas à donner le rapport.
Redémarre l'ordinateur et vois si ça change qq chose.
Task: {0A79E485-AC8B-491E-87B3-FD3F9A771A55} - System32\Tasks\{03046475-ECFC-4998-A447-72C728AA91E8} => pcalua.exe -a C:\Users\Alina\Downloads\9900fvst8270a_xpen\SetupSG.exe -d C:\Users\Alina\Downloads\9900fvst8270a_xpen
Task: {2AF5356D-3414-4B75-AF23-3044342EE591} - System32\Tasks\{DFF3CDDA-2770-478C-AE45-4EC010702DA6} => pcalua.exe -a C:\Users\Alina\Desktop\MATHIEU\LACIE\LaCie.exe -d C:\Users\Alina\Desktop\MATHIEU\LACIE
Task: {32905B43-C2DC-45A3-81F3-EAACD51D8D35} - System32\Tasks\{6EB885D0-7C77-467F-B210-C207307E2ABD} => pcalua.exe -a C:\Users\Alina\Downloads\cstbwin4136en.exe -d C:\Users\Alina\Downloads
Task: {E7C5D3AF-06E9-4352-B374-C756DA36C818} - System32\Tasks\{60CFEB8A-C915-4319-95C8-8AADE5842F45} => pcalua.exe -a C:\Users\Alina\Downloads\Win7Vista_151717.exe -d "C:\Program Files\Mozilla Firefox"
mouais ..... bref =)
En gratuit Avast! en activant les LPIs : https://www.malekal.com/tutoriel-antivirus-avast/
Sinon en payant : NOD32, Kaspersky ou BitDefender.
~~
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
En gratuit Avast! en activant les LPIs : https://www.malekal.com/tutoriel-antivirus-avast/
Sinon en payant : NOD32, Kaspersky ou BitDefender.
~~
Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Passe le mot à tes amis !
~~
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
