Trojan RAT

Fermé
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016 - Modifié par Malekal_morte- le 13/04/2016 à 17:40
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 16 avril 2016 à 16:29
Bien le bonjour,
J'ai un petit problème sur mon pc je n'arrive plus à lancer le gestionnaire de tache windows, j'ai donc pensé à un virus et j'ai remarqué que Malware que j'avais sur mon pc ne se lance plus.. j'ai donc essayé d'installer Avast mais sans aucun succès, le .exe ne s'ouvre pas.

Avez vous des solutions a par le formatage?
A voir également:

20 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
13 avril 2016 à 17:14
Salut,

Pour vérifier :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
13 avril 2016 à 17:30
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
13 avril 2016 à 17:39
J'ai encore une fois relancé pour essayé d'avoir le shortcut.txt mais impossible
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 13/04/2016 à 17:40
ouaip infecté,

fais ceci :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Windows\system32\clientmon.exe [X]
2015-03-04 16:42 - 2014-12-15 19:17 - 0726528 _____ () C:\Users\Doganay\AppData\Roaming\ankama.exe
2014-04-29 21:52 - 2014-04-29 21:52 - 0000318 _____ () C:\Users\Doganay\AppData\Roaming\aps.uninstall.scan.results
2016-03-05 14:20 - 2016-03-04 19:28 - 0008192 ____H (Application Service et Contrôleur) C:\Users\Doganay\AppData\Roaming\clientmon.exe
2016-03-05 14:20 - 2009-06-10 23:23 - 0000181 _____ () C:\Users\Doganay\AppData\Roaming\clientmon.exe.config
HKU\S-1-5-21-1504618730-851877760-3752267479-1000\...\Run: [Sys] => C:\ProgramData\743046\sysmon.exe [8192 2016-03-04] (Application Service et Contrôleur)
HKU\S-1-5-21-1504618730-851877760-3752267479-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Doganay\AppData\Roaming\clientmon.exe <==== ATTENTION
2013-12-02 20:01 - 2013-12-02 20:01 - 0000000 _____ () C:\Users\Doganay\AppData\Local\{32B435F5-3416-48B6-9CB6-EECF0DC41B86}
2016-03-01 21:35 - 2016-03-01 21:35 - 0000006 ____S () C:\ProgramData\8df696bab20a77a90df337b81d6c34520a11dc3f
C:\Users\Doganay\AppData\Roaming\clientmon.exe
C:\ProgramData\743046\
C:\Users\Doganay\AppData\Local\Temp\62438.exe
C:\Users\Doganay\AppData\Local\Temp\75311.exe
C:\Users\Doganay\AppData\Local\Temp\80518.exe
C:\Users\Doganay\AppData\Local\Temp\DGC5bMPGKINw.exe
C:\Users\Doganay\AppData\Local\Temp\xjNFfwkyJfSz.exe
C:\Users\Doganay\AppData\Local\Temp\ZEHOjMxC3Kxn.exe
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
13 avril 2016 à 17:56
Donne le rapport demandé.
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
13 avril 2016 à 17:57
Oui désolé j'avais mal lu.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
13 avril 2016 à 17:56
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:13-04-2016
Exécuté par Doganay (2016-04-13 17:47:44) Run:1
Exécuté depuis C:\Users\Doganay\Desktop
Profils chargés: Doganay (Profils disponibles: Doganay)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Windows\system32\clientmon.exe [X]
2015-03-04 16:42 - 2014-12-15 19:17 - 0726528 _____ () C:\Users\Doganay\AppData\Roaming\ankama.exe
2014-04-29 21:52 - 2014-04-29 21:52 - 0000318 _____ () C:\Users\Doganay\AppData\Roaming\aps.uninstall.scan.results
2016-03-05 14:20 - 2016-03-04 19:28 - 0008192 ____H (Application Service et Contrôleur) C:\Users\Doganay\AppData\Roaming\clientmon.exe
2016-03-05 14:20 - 2009-06-10 23:23 - 0000181 _____ () C:\Users\Doganay\AppData\Roaming\clientmon.exe.config
HKU\S-1-5-21-1504618730-851877760-3752267479-1000\...\Run: [Sys] => C:\ProgramData\743046\sysmon.exe [8192 2016-03-04] (Application Service et Contrôleur)
HKU\S-1-5-21-1504618730-851877760-3752267479-1000\...\Winlogon: [Shell] explorer.exe,C:\Users\Doganay\AppData\Roaming\clientmon.exe <==== ATTENTION
2013-12-02 20:01 - 2013-12-02 20:01 - 0000000 _____ () C:\Users\Doganay\AppData\Local\{32B435F5-3416-48B6-9CB6-EECF0DC41B86}
2016-03-01 21:35 - 2016-03-01 21:35 - 0000006 ____S () C:\ProgramData\8df696bab20a77a90df337b81d6c34520a11dc3f
C:\Users\Doganay\AppData\Roaming\clientmon.exe
C:\ProgramData\743046\
C:\Users\Doganay\AppData\Local\Temp\62438.exe
C:\Users\Doganay\AppData\Local\Temp\75311.exe
C:\Users\Doganay\AppData\Local\Temp\80518.exe
C:\Users\Doganay\AppData\Local\Temp\DGC5bMPGKINw.exe
C:\Users\Doganay\AppData\Local\Temp\xjNFfwkyJfSz.exe
C:\Users\Doganay\AppData\Local\Temp\ZEHOjMxC3Kxn.exe
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\Userinit => valeur restauré(es) avec succès
C:\Users\Doganay\AppData\Roaming\ankama.exe => déplacé(es) avec succès
C:\Users\Doganay\AppData\Roaming\aps.uninstall.scan.results => déplacé(es) avec succès
C:\Users\Doganay\AppData\Roaming\clientmon.exe => déplacé(es) avec succès
C:\Users\Doganay\AppData\Roaming\clientmon.exe.config => déplacé(es) avec succès
HKU\S-1-5-21-1504618730-851877760-3752267479-1000\Software\Microsoft\Windows\CurrentVersion\Run\\Sys => valeur supprimé(es) avec succès
HKU\S-1-5-21-1504618730-851877760-3752267479-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => valeur supprimé(es) avec succès
C:\Users\Doganay\AppData\Local\{32B435F5-3416-48B6-9CB6-EECF0DC41B86} => déplacé(es) avec succès
C:\ProgramData\8df696bab20a77a90df337b81d6c34520a11dc3f => déplacé(es) avec succès
"C:\Users\Doganay\AppData\Roaming\clientmon.exe" => non trouvé(e).
C:\ProgramData\743046 => déplacé(es) avec succès
C:\Users\Doganay\AppData\Local\Temp\62438.exe => déplacé(es) avec succès
C:\Users\Doganay\AppData\Local\Temp\75311.exe => déplacé(es) avec succès
C:\Users\Doganay\AppData\Local\Temp\80518.exe => déplacé(es) avec succès
C:\Users\Doganay\AppData\Local\Temp\DGC5bMPGKINw.exe => déplacé(es) avec succès
C:\Users\Doganay\AppData\Local\Temp\xjNFfwkyJfSz.exe => déplacé(es) avec succès
C:\Users\Doganay\AppData\Local\Temp\ZEHOjMxC3Kxn.exe => déplacé(es) avec succès


Le système a dû redémarrer.

Fin de Fixlog 17:47:55

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
13 avril 2016 à 17:57
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/

~~

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

Réinitialise bien tes navigateurs comme indiqué dans mon message précédent puis :

0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
13 avril 2016 à 18:11
Je suis actuellement entrain de faire l'analyse avec l'antivirus en ligne, mais je n'ai pas compris "Réinitialise bien tes navigateurs comme indiqué dans mon message précédent puis : " comment ça les réinitialiser ? les réinstaller ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
13 avril 2016 à 18:12
erreur de ma part, dans le copier/coller, n'en tiens pas compte.
Pas compris, tu n'as pas envoyé la quarantaine à priori.
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
13 avril 2016 à 18:18
Oui j'ai essayé de l'envoyé mais une fois avoir choisis le ficier et après avoir appuyé sur envoyé, rien ne se passe, la page charge en continue
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
13 avril 2016 à 20:12
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
14 avril 2016 à 09:25
MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche.
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

~~

Refais un scan FRST et donne les rapports via pjjoint.

0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 15:05
Plusieurs problème dans l'installation :
"Erreur interne : Expression error 'Runtime Error (at 129:109): External exception E06D7363" Ce message est apparût plusieurs fois de suite.
Et comme je m'y attendais, impossible de lancer le logiciel, même en tant que administrateur, pour le désinstallé avec leur desintalleur pareil impossible de le lancer
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 15:44
ok refais un scan FRST pour voir.
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 15:59
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 14/04/2016 à 16:25
Désinstalle Ad-Aware Antivirus et Web Companion, sert à rien..


C'est mieux mais toujours pas ça.
Ton souci est là :

TeamSpeak 3 Client (HKLM-x32\...\TeamSpeak 3 Client) (Version: 3.0.16 - TeamSpeak Systems GmbH)

car ça ressemble beaucoup à ça : https://www.malekal.com/nanocore-backdoor-noancooe-campagne/
Tant que tu vas utiliser cette version non à jour et vulnérable de TeamSpeak, tu vas te faire réinfecter durant son utilisation.
Désinstalle le et mets la dernière version.


~~

Touche Windows + R
Copie/colle ça : C:\Users\Doganay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup
Zip les deux fichiers (msdos et setup), mets le zip sur ton bureau et envoye le sur http://upload.malekal.com ou par mail à spamhere-@wanadoo.Fr



Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


Startup: C:\Users\Doganay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\msdos.pif [2016-04-13] ()
Startup: C:\Users\Doganay\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\setup.bat [2016-04-13] ()
Winsock: Catalog9 01 C:\Windows\SysWOW64\LavasoftTcpService.dll [345360 2016-04-14] (Lavasoft Limited)
Winsock: Catalog9 02 C:\Windows\SysWOW64\LavasoftTcpService.dll [345360 2016-04-14] (Lavasoft Limited)
Winsock: Catalog9 03 C:\Windows\SysWOW64\LavasoftTcpService.dll [345360 2016-04-14] (Lavasoft Limited)
Winsock: Catalog9 04 C:\Windows\SysWOW64\LavasoftTcpService.dll [345360 2016-04-14] (Lavasoft Limited)
Winsock: Catalog9 15 C:\Windows\SysWOW64\LavasoftTcpService.dll [345360 2016-04-14] (Lavasoft Limited)
Winsock: Catalog9-x64 01 C:\Windows\system32\LavasoftTcpService64.dll [425744 2016-04-14] (Lavasoft Limited)
Winsock: Catalog9-x64 02 C:\Windows\system32\LavasoftTcpService64.dll [425744 2016-04-14] (Lavasoft Limited)
Winsock: Catalog9-x64 03 C:\Windows\system32\LavasoftTcpService64.dll [425744 2016-04-14] (Lavasoft Limited)
Winsock: Catalog9-x64 04 C:\Windows\system32\LavasoftTcpService64.dll [425744 2016-04-14] (Lavasoft Limited)
Winsock: Catalog9-x64 15 C:\Windows\system32\LavasoftTcpService64.dll [425744 2016-04-14] (Lavasoft Limited)
R2 LavasoftAdAwareService11; C:\Program Files\Lavasoft\Ad-Aware Antivirus\Ad-Aware Antivirus\11.10.767.8917\AdAwareService.exe [712432 2016-01-28] ()
R2 LavasoftTcpService; C:\Program Files (x86)\Lavasoft\Web Companion\TcpService\2.3.4.7\LavasoftTcpService.exe [2751760 2016-04-14] (Lavasoft Limited)
R2 WCAssistantService; C:\Program Files (x86)\Lavasoft\Web Companion\Application\Lavasoft.WCAssistant.WinService.exe [17168 2016-04-14] ()
2016-04-14 01:02 - 2016-04-14 14:22 - 00002936 _____ C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini
2016-04-14 01:02 - 2016-04-14 14:22 - 00002936 _____ C:\Windows\system32\LavasoftTcpServiceOff.ini
2016-04-14 01:02 - 2016-04-14 01:19 - 00000000 ____D C:\Users\Doganay\AppData\Roaming\Lavasoft
2016-04-14 01:02 - 2016-04-14 01:02 - 00000000 ____D C:\Users\Doganay\AppData\Roaming\LavasoftStatistics
2016-04-14 01:02 - 2016-04-14 01:02 - 00000000 ____D C:\Users\Doganay\AppData\Local\Lavasoft
2016-04-14 01:02 - 2016-04-14 01:01 - 00425744 _____ (Lavasoft Limited) C:\Windows\system32\LavasoftTcpService64.dll
2016-04-14 01:01 - 2016-04-14 14:30 - 00002290 _____ C:\Users\Public\Desktop\Ad-Aware Antivirus.lnk
2016-04-14 01:01 - 2016-04-14 01:02 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft
2016-04-14 01:01 - 2016-04-14 01:01 - 00345360 _____ (Lavasoft Limited) C:\Windows\SysWOW64\LavasoftTcpService.dll
2016-04-14 01:01 - 2016-04-14 01:01 - 00000000 ____D C:\Program Files (x86)\Lavasoft
cmd: netsh winsock reset


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.
Veuillez appuyer sur une touche pour continuer la désinfection...
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 16:50
C:\Users\Doganay\AppData\Roaming\Microsoft\Windows\ a partir d'ici le dossier start menu n'existe pas
Teamspeak a etait mis a jours et ad aware supprimer.
J'attend de pouvoir accéder au fichier pour faire la correction FRST
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 16:58
Toute mes excuses les dossiers existe mais ils sont en français Startup\setup en français ca donne quoi ?
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 17:02
Fichier trouvé mais impossible de le convertir "Fichier introuvable ou lecture non autorisé"
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 18:07
tant pis fais la correction FRST.
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 18:51
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
14 avril 2016 à 19:02
ok pour Malwarebytes tente ça : https://forum.malekal.com/viewtopic.php?t=48557&start=

Avast! tu as quelle erreur ?
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 19:14
Aucune erreur pour avast juste le .exe ne s'ouvre pas
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 19:22
et Malwarebytes en suivant la procédure, tu parviens à l'installer ?
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
14 avril 2016 à 19:43
Pareil toujours le même message et j'ai ça aussi je te l'ai pas indiqué taleurs
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
14 avril 2016 à 22:55
Le fichier existe déjà, fait ignorer.
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
15 avril 2016 à 14:48
Oui oui c'est ce que j'ai fais mais ensuite le Malware ne s'ouvre pas
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
15 avril 2016 à 14:51
et si tu renomes mbam.exe en ploufplouf.exe ?
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
15 avril 2016 à 14:54
Non toujours pas.. Je pense reformater
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 15/04/2016 à 15:02
il restait ça, c'est pour cela que malwarebytes et avast ne se lance pas.
Tu n'as pas dû renommer l'exe comme il faut, car ça aurait dû fonctionner.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


IFEO\AvastSvc.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\AvastUI.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avcenter.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avconfig.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgcsrvx.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgidsagent.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgnt.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgrsx.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avguard.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgwdsvc.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avp.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avscan.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\bdagent.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\blindman.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\ccuac.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\ComboFix.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\egui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\hijackthis.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\instup.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\keyscrambler.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbam.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbamgui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbampt.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbamscheduler.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbamservice.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\MpCmdRun.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\MSASCui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\MsMpEng.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\msseces.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\rstrui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\SDFiles.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\SDMain.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\SDWinSec.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\spybotsd.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\Taskmgr.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\wireshark.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\zlclient.exe: [Debugger] C:\Windows\System32\svchost.exe


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.



Veuillez appuyer sur une touche pour continuer la désinfection...
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
15 avril 2016 à 15:11
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:13-04-2016
Exécuté par Doganay (2016-04-15 15:05:10) Run:3
Exécuté depuis C:\Users\Doganay\Desktop
Profils chargés: Doganay (Profils disponibles: Doganay)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

IFEO\AvastSvc.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\AvastUI.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avcenter.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avconfig.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgcsrvx.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgidsagent.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgnt.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgrsx.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avguard.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avgwdsvc.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avp.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\avscan.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\bdagent.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\blindman.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\ccuac.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\ComboFix.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\egui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\hijackthis.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\instup.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\keyscrambler.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbam.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbamgui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbampt.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbamscheduler.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\mbamservice.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\MpCmdRun.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\MSASCui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\MsMpEng.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\msseces.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\rstrui.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\SDFiles.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\SDMain.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\SDWinSec.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\spybotsd.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\Taskmgr.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\wireshark.exe: [Debugger] C:\Windows\System32\svchost.exe
IFEO\zlclient.exe: [Debugger] C:\Windows\System32\svchost.exe


"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\AvastSvc.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\AvastUI.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avcenter.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avconfig.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgcsrvx.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgidsagent.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgnt.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgrsx.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avguard.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avgwdsvc.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avp.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\avscan.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\bdagent.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\blindman.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\ccuac.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\ComboFix.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\egui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\hijackthis.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\instup.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\keyscrambler.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbam.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamgui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbampt.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamscheduler.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\mbamservice.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MpCmdRun.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MSASCui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\MsMpEng.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\msseces.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\rstrui.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\SDFiles.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\SDMain.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\SDWinSec.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\spybotsd.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\Taskmgr.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\wireshark.exe" => clé supprimé(es) avec succès
"HKLM\Software\microsoft\windows nt\currentversion\Image File Execution Options\zlclient.exe" => clé supprimé(es) avec succès

Fin de Fixlog 15:05:10

0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
15 avril 2016 à 15:11
Je l'ai pourtant bien renommé mais il ne veut toujours pas ce lancer..
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
15 avril 2016 à 15:37
Refais un scan FRST pour voir si certains sont revenus.
Sinon ça doit être un problème de droit sur le dossier Malwarebytes, on tentera de le supprimer.

Si on arrive à rien, tu pourras formater oui.
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
15 avril 2016 à 22:20
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 16/04/2016 à 10:57
Bon alors il n'y a plus de malware.
(t'as juste mail.ru sur Google Chrome).
TeamSpeak est à jour, ça c'est bien.

Ensuite c'est bien ce que je pensais, c'est le raccourci que tu as renommé :

2016-04-14 19:39 - 2016-04-14 19:39 - 00001104 _____ C:\Users\Public\Desktop\Ploufplouf.lnk

Ouvre mon ordinateur => Disque C => Program Files (x86) => Malwarebytes Anti-Malware
Là tu dois voir mbam.exe
clic droit copier dessus
et clic droit coller
ça va te créer un mbam copie.exe
celui là renomme le en ploufplouf et lance le pour voir.

Ca donne quoi ?

~~

Si pas mieux, désinstalle Malwarebytes Anti-Malware entièrement
Fais ce fix et tente de le réinstaller.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\Malwarebytes Anti-Malware
C:\Program Data\Malwarebytes Anti-Malware
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.


Veuillez appuyer sur une touche pour continuer la désinfection...
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
16 avril 2016 à 15:25
J'avais modifier le raccourcis mais également le mbam.exe, donc comme tu ma demandé de faire j'ai renommé le mbam copie et une fois que je le lance il y a marqué " Mbam a cessé de fonctionner. Je vais faire le fix
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
16 avril 2016 à 15:34
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:13-04-2016
Exécuté par Doganay (2016-04-16 15:28:58) Run:4
Exécuté depuis C:\Users\Doganay\Desktop
Profils chargés: Doganay (Profils disponibles: Doganay)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
C:\Program Files (x86)\Malwarebytes Anti-Malware
C:\Program Data\Malwarebytes Anti-Malware
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
"C:\Program Files (x86)\Malwarebytes Anti-Malware" => non trouvé(e).
"C:\Program Data\Malwarebytes Anti-Malware" => non trouvé(e).


Le système a dû redémarrer.

Fin de Fixlog 15:29:58

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
16 avril 2016 à 16:03
mouais ils étaient déjà supprimés.
Toujours pas mieux ?
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
Modifié par Balleablanc le 16/04/2016 à 16:09
Wow je viens de voir que je peut accéder à mon gestionnaire de tâches enfin ! Et je peux aussi installé Avast
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
16 avril 2016 à 16:11
cool =)
0
Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
16 avril 2016 à 16:16
Merci beaucoup pour ton aide ! Je peux désinstaller FRST ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Balleablanc Messages postés 26 Date d'inscription mercredi 13 avril 2016 Statut Membre Dernière intervention 16 avril 2016
16 avril 2016 à 16:17
oui, Malwarebytes fonctionne ?
0