Virus supprimé qui revient x fois (cmd.exe?)
Fermé
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
-
2 sept. 2011 à 20:46
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 oct. 2011 à 12:29
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 oct. 2011 à 12:29
A voir également:
- Virus supprimé qui revient x fois (cmd.exe?)
- Recuperer message whatsapp supprimé - Guide
- Cmd.exe - Guide
- Direct x runtime - Télécharger - Pilotes & Matériel
- Comment supprimer un mail qui revient sans cesse - Forum MacOS
- Pro foot x avis - Forum Consommation & Internet
19 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
2 sept. 2011 à 23:48
2 sept. 2011 à 23:48
On va essayer ceci:
- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
Ensuite tu choisis l'option 4 et tu postes le rapport
Smart
- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
Ensuite tu choisis l'option 4 et tu postes le rapport
Smart
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
7
2 sept. 2011 à 21:56
2 sept. 2011 à 21:56
Examen MBAM complet. Voici le rapport:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
02/09/2011 21:44:57
mbam-log-2011-09-02 (21-44-57).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|O:\|)
Elément(s) analysé(s): 368087
Temps écoulé: 1 heure(s), 9 minute(s), 22 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
c:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe (Trojan.Agent) -> 2588 -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AjcHrqrw (Trojan.Agent) -> Value: AjcHrqrw -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\clement\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\ajchrqrw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Nouveau rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201109/cijTyh5aBc.txt
J'ai l'impression que ma clé USB a causé la réapparition du virus, quelqu'un peut me dire la suite à faire avec USBFix et d'autres logiciels comme Spybot. Merci.
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
02/09/2011 21:44:57
mbam-log-2011-09-02 (21-44-57).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|O:\|)
Elément(s) analysé(s): 368087
Temps écoulé: 1 heure(s), 9 minute(s), 22 seconde(s)
Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
c:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe (Trojan.Agent) -> 2588 -> Unloaded process successfully.
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AjcHrqrw (Trojan.Agent) -> Value: AjcHrqrw -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\clement\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\ajchrqrw.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Nouveau rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201109/cijTyh5aBc.txt
J'ai l'impression que ma clé USB a causé la réapparition du virus, quelqu'un peut me dire la suite à faire avec USBFix et d'autres logiciels comme Spybot. Merci.
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
7
2 sept. 2011 à 23:59
2 sept. 2011 à 23:59
Salut, merci de m'aider:
Voilà ce que j'obtiens avec l'otion 2:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Suppression -- Date : 02/09/2011 23:57:28
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> NOT REMOVED, USE PROXYFIX
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Avec l'option 4 j'obtiens:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Proxy RAZ -- Date : 02/09/2011 23:57:58
Processus malicieux: 0
Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> DELETED
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Voilà ce que j'obtiens avec l'otion 2:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Suppression -- Date : 02/09/2011 23:57:28
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> NOT REMOVED, USE PROXYFIX
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Avec l'option 4 j'obtiens:
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Proxy RAZ -- Date : 02/09/2011 23:57:58
Processus malicieux: 0
Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> DELETED
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
3 sept. 2011 à 00:08
3 sept. 2011 à 00:08
Tu poster le rapport suivant: RKreport[1].txt qui doit se trouver sur ton bureau
Smart
Smart
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
7
3 sept. 2011 à 00:09
3 sept. 2011 à 00:09
RogueKiller V5.3.4 [30/08/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Recherche -- Date : 02/09/2011 23:57:17
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: clement [Droits d'admin]
Mode: Recherche -- Date : 02/09/2011 23:57:17
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://http=127.0.0.1:57838) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
Fichiers / Dossiers particuliers:
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
3 sept. 2011 à 00:20
3 sept. 2011 à 00:20
OK tu avais fait un mode recherche avant.
Tu vas désinstaller Spybot qui est dépassé et ne fait que ralentir ton PC.
Ensuite tu vas faire ceci pour voir si tu as une infection USB:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
Aide en images : "Nettoyage"
Puis tu fais ceci:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2A5D1C44-CD3F-4514-A15B-B0BF238447B2}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Cela fait deux rapports à poster
Smart
Tu vas désinstaller Spybot qui est dépassé et ne fait que ralentir ton PC.
Ensuite tu vas faire ceci pour voir si tu as une infection USB:
- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
- Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
/!\UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
Aide en images : "Nettoyage"
Puis tu fais ceci:
- Ferme toutes tes applications en cours
- Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2A5D1C44-CD3F-4514-A15B-B0BF238447B2}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse
Cela fait deux rapports à poster
Smart
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
7
3 sept. 2011 à 00:35
3 sept. 2011 à 00:35
Rapport USBFix
############################## | UsbFix 7.036 | [Suppression]
Utilisateur: clement (Administrateur) # PC-DE-CLEMENT [Packard Bell imedia S1710]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 00:23:29 | 03/09/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
CPU 2: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19120
Pare-feu Windows: Activé
RAM -> 3070 Mo
C:\ (%systemdrive%) -> Disque fixe # 142 Go (24 Go libre(s) - 17%) [OS] # NTFS
D:\ -> Disque fixe # 142 Go (20 Go libre(s) - 14%) [DATA] # NTFS
E:\ -> CD-ROM
J:\ -> CD-ROM
O:\ -> Disque amovible # 15 Go (4 Go libre(s) - 27%) [CORSAIR] # FAT32
################## | Éléments infectieux |
Supprimé! C:\Users\clement\Documents.lnk
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3134296232-2412903082-1817574899-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3134296232-2412903082-1817574899-1000
################## | Registre |
Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{978dcc67-d15b-11e0-a37d-00251134cfbe}
################## | Listing |
[03/09/2011 - 00:26:01 | SHD ] C:\$Recycle.Bin
[14/02/2010 - 13:00:35 | D ] C:\1ef17fcc22c3b5c12a36e9bd2b707d
[17/08/2009 - 12:37:58 | D ] C:\ACER
[02/09/2011 - 23:06:48 | RASHD ] C:\Autorun.inf
[22/07/2010 - 18:14:35 | D ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[28/04/2009 - 13:17:02 | N | 8192] C:\BOOTSECT.BAK
[10/08/2011 - 12:15:54 | D ] C:\Config.Msi
[01/02/2011 - 19:17:31 | N | 2308] C:\DelFixSuppr.txt
[02/11/2006 - 17:42:17 | SHD ] C:\Documents and Settings
[02/09/2011 - 22:26:56 | D ] C:\Downloads
[06/04/2011 - 23:18:08 | D ] C:\Matisoft
[30/04/2011 - 00:01:44 | D ] C:\MP4ToMP3Converter
[01/01/2010 - 18:28:23 | RHD ] C:\MSOCache
[02/09/2011 - 20:06:10 | D ] C:\MyMp3Pro
[02/09/2011 - 21:46:47 | ASH | 3534168064] C:\pagefile.sys
[21/01/2008 - 05:04:13 | D ] C:\PerfLogs
[02/09/2011 - 21:55:50 | N | 512] C:\PhysicalDisk0_MBR.bin
[01/09/2011 - 18:32:07 | N | 512] C:\PhysicalMBR.bin
[10/09/2010 - 22:14:29 | D ] C:\Poker
[07/08/2011 - 19:03:18 | D ] C:\Program Files
[10/08/2011 - 18:29:58 | D ] C:\Program Files (x86)
[11/03/2011 - 18:49:22 | HD ] C:\ProgramData
[28/04/2009 - 05:06:13 | N | 1926] C:\RHDSetup.log
[22/07/2010 - 02:59:20 | D ] C:\sysmon
[02/09/2011 - 13:48:00 | SHD ] C:\System Volume Information
[26/12/2010 - 20:37:23 | D ] C:\Temp
[03/09/2011 - 00:26:01 | D ] C:\UsbFix
[03/09/2011 - 00:23:34 | A | 2720] C:\UsbFix.txt
[19/09/2009 - 21:40:01 | D ] C:\Users
[24/07/2011 - 22:48:50 | D ] C:\Windows
[02/09/2011 - 21:55:44 | D ] C:\ZHP
[01/02/2011 - 02:30:42 | N | 93369] C:\ZHPDiag.Txt
[01/02/2011 - 01:54:43 | N | 92547] C:\ZHPDiag01.02.11.Txt
[01/02/2011 - 04:52:09 | N | 92033] C:\ZHPDiag1.Txt
[01/02/2011 - 18:59:10 | N | 92277] C:\ZHPDiag14.txt
[01/02/2011 - 19:07:53 | N | 91616] C:\ZHPDiag2.txt
[01/02/2011 - 18:54:18 | N | 92444] C:\ZHPDiagga
[03/09/2011 - 00:26:01 | SHD ] D:\$RECYCLE.BIN
[02/09/2011 - 23:06:52 | RASHD ] O:\Autorun.inf
[02/09/2011 - 18:44:34 | D ] O:\Fukato
[01/09/2011 - 02:25:20 | D ] O:\FOUND.001
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
O:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CLEMENT.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
Rapport ZHPFix
Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011
Fichier d'export Registre :
Run by clement at 03/09/2011 00:29:19
Windows Vista Home Premium Edition, 64-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2A5D1C44-CD3F-4514-A15B-B0BF238447B2}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
========== Elément(s) de donnée du Registre ==========
SUPPRIME PhishingFilter Value: Enabled = 0
========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
End of the scan in 00mn 00s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 03/09/2011 00:29:19 [949]
############################## | UsbFix 7.036 | [Suppression]
Utilisateur: clement (Administrateur) # PC-DE-CLEMENT [Packard Bell imedia S1710]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 00:23:29 | 03/09/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org
CPU: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
CPU 2: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 8.0.6001.19120
Pare-feu Windows: Activé
RAM -> 3070 Mo
C:\ (%systemdrive%) -> Disque fixe # 142 Go (24 Go libre(s) - 17%) [OS] # NTFS
D:\ -> Disque fixe # 142 Go (20 Go libre(s) - 14%) [DATA] # NTFS
E:\ -> CD-ROM
J:\ -> CD-ROM
O:\ -> Disque amovible # 15 Go (4 Go libre(s) - 27%) [CORSAIR] # FAT32
################## | Éléments infectieux |
Supprimé! C:\Users\clement\Documents.lnk
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3134296232-2412903082-1817574899-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3134296232-2412903082-1817574899-1000
################## | Registre |
Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
################## | Mountpoints2 |
Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{978dcc67-d15b-11e0-a37d-00251134cfbe}
################## | Listing |
[03/09/2011 - 00:26:01 | SHD ] C:\$Recycle.Bin
[14/02/2010 - 13:00:35 | D ] C:\1ef17fcc22c3b5c12a36e9bd2b707d
[17/08/2009 - 12:37:58 | D ] C:\ACER
[02/09/2011 - 23:06:48 | RASHD ] C:\Autorun.inf
[22/07/2010 - 18:14:35 | D ] C:\Boot
[11/04/2009 - 08:36:36 | RASH | 333257] C:\bootmgr
[28/04/2009 - 13:17:02 | N | 8192] C:\BOOTSECT.BAK
[10/08/2011 - 12:15:54 | D ] C:\Config.Msi
[01/02/2011 - 19:17:31 | N | 2308] C:\DelFixSuppr.txt
[02/11/2006 - 17:42:17 | SHD ] C:\Documents and Settings
[02/09/2011 - 22:26:56 | D ] C:\Downloads
[06/04/2011 - 23:18:08 | D ] C:\Matisoft
[30/04/2011 - 00:01:44 | D ] C:\MP4ToMP3Converter
[01/01/2010 - 18:28:23 | RHD ] C:\MSOCache
[02/09/2011 - 20:06:10 | D ] C:\MyMp3Pro
[02/09/2011 - 21:46:47 | ASH | 3534168064] C:\pagefile.sys
[21/01/2008 - 05:04:13 | D ] C:\PerfLogs
[02/09/2011 - 21:55:50 | N | 512] C:\PhysicalDisk0_MBR.bin
[01/09/2011 - 18:32:07 | N | 512] C:\PhysicalMBR.bin
[10/09/2010 - 22:14:29 | D ] C:\Poker
[07/08/2011 - 19:03:18 | D ] C:\Program Files
[10/08/2011 - 18:29:58 | D ] C:\Program Files (x86)
[11/03/2011 - 18:49:22 | HD ] C:\ProgramData
[28/04/2009 - 05:06:13 | N | 1926] C:\RHDSetup.log
[22/07/2010 - 02:59:20 | D ] C:\sysmon
[02/09/2011 - 13:48:00 | SHD ] C:\System Volume Information
[26/12/2010 - 20:37:23 | D ] C:\Temp
[03/09/2011 - 00:26:01 | D ] C:\UsbFix
[03/09/2011 - 00:23:34 | A | 2720] C:\UsbFix.txt
[19/09/2009 - 21:40:01 | D ] C:\Users
[24/07/2011 - 22:48:50 | D ] C:\Windows
[02/09/2011 - 21:55:44 | D ] C:\ZHP
[01/02/2011 - 02:30:42 | N | 93369] C:\ZHPDiag.Txt
[01/02/2011 - 01:54:43 | N | 92547] C:\ZHPDiag01.02.11.Txt
[01/02/2011 - 04:52:09 | N | 92033] C:\ZHPDiag1.Txt
[01/02/2011 - 18:59:10 | N | 92277] C:\ZHPDiag14.txt
[01/02/2011 - 19:07:53 | N | 91616] C:\ZHPDiag2.txt
[01/02/2011 - 18:54:18 | N | 92444] C:\ZHPDiagga
[03/09/2011 - 00:26:01 | SHD ] D:\$RECYCLE.BIN
[02/09/2011 - 23:06:52 | RASHD ] O:\Autorun.inf
[02/09/2011 - 18:44:34 | D ] O:\Fukato
[01/09/2011 - 02:25:20 | D ] O:\FOUND.001
################## | Vaccin |
C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
O:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
################## | Upload |
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CLEMENT.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.
################## | E.O.F |
Rapport ZHPFix
Rapport de ZHPFix 1.12.3360 par Nicolas Coolman, Update du 29/08/2011
Fichier d'export Registre :
Run by clement at 03/09/2011 00:29:19
Windows Vista Home Premium Edition, 64-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2A5D1C44-CD3F-4514-A15B-B0BF238447B2}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
========== Elément(s) de donnée du Registre ==========
SUPPRIME PhishingFilter Value: Enabled = 0
========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
End of the scan in 00mn 00s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 03/09/2011 00:29:19 [949]
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
3 sept. 2011 à 00:42
3 sept. 2011 à 00:42
Redémarre le PC
Refais un scan complet avec MBAM et poste le rapport
Smart
Refais un scan complet avec MBAM et poste le rapport
Smart
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
7
3 sept. 2011 à 00:53
3 sept. 2011 à 00:53
Voici le rapport d'un examen rapide:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
03/09/2011 00:51:54
mbam-log-2011-09-03 (00-51-54).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 172807
Temps écoulé: 5 minute(s), 34 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
J'ai un scan complet en cours mais ça va sûrement durer 2 heures et je pense pas qu'il trouve plus. C'était le même scénario hier, le scan complet ne trouve rien, tout semble ok mais d'un coup le virus revient le lendemain.
Est-ce qu'un scan complet est nécessaire ?
Et est-ce que je peux utiliser ma clé USB sur mon autre ordi maintenant ?
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
03/09/2011 00:51:54
mbam-log-2011-09-03 (00-51-54).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 172807
Temps écoulé: 5 minute(s), 34 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
J'ai un scan complet en cours mais ça va sûrement durer 2 heures et je pense pas qu'il trouve plus. C'était le même scénario hier, le scan complet ne trouve rien, tout semble ok mais d'un coup le virus revient le lendemain.
Est-ce qu'un scan complet est nécessaire ?
Et est-ce que je peux utiliser ma clé USB sur mon autre ordi maintenant ?
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
7
3 sept. 2011 à 03:25
3 sept. 2011 à 03:25
Voilà le rapport de l'examen complet:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
03/09/2011 02:11:55
mbam-log-2011-09-03 (02-11-55).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 359645
Temps écoulé: 1 heure(s), 17 minute(s), 48 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Rien trouvé mais comme dit même scénario hier et d'un coup le rowctstdnnjmlirk.exe est réapparu
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7622
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19120
03/09/2011 02:11:55
mbam-log-2011-09-03 (02-11-55).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Elément(s) analysé(s): 359645
Temps écoulé: 1 heure(s), 17 minute(s), 48 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Rien trouvé mais comme dit même scénario hier et d'un coup le rowctstdnnjmlirk.exe est réapparu
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
3 sept. 2011 à 08:52
3 sept. 2011 à 08:52
On va faire autrement tu as surement un rootkit
* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt
Smart
* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt
Smart
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
3 sept. 2011 à 12:01
3 sept. 2011 à 12:01
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
3 sept. 2011 à 14:41
3 sept. 2011 à 14:41
J'y ai cru aussi Mak mais ce n'est pas Thorus qui a posté c'est un autre, Stef :)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
3 sept. 2011 à 17:32
3 sept. 2011 à 17:32
ha oui j'ai mal lu.
Y a rien sur les rapports de Thorus...
Y a rien sur les rapports de Thorus...
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 3/09/2011 à 18:24
Modifié par Smart91 le 3/09/2011 à 18:24
je sais qu'il y a rien. c'est pour cela que je tente un TDSSKiller peut-être un rootkit
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 3/09/2011 à 18:53
Modifié par Malekal_morte- le 3/09/2011 à 18:53
Oui mais non..... enfin je crois pas...
c:\Users\clement\AppData\Local\Temp\0.4008897201848656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0.4008897201848656.exe => possible exploit Java
https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/
Vu que sur son OTL, Java est pas dans les 30 derniers fichiers modifiés, y a de grande chance qu'il aie pas mis à jour, il retourne sur son site pourri, il réinfecte son PC.
Bref, si c'est ça, il a pas suivi les consignes données dans la procédure de fin.
C'pas s'étonner qu'il repourri son PC.
Par contre, ce qui est étonnant cest que les fichiers ont exactement les mm noms dans le mm répertoire comme si ça avait été restauré.
c:\Users\clement\AppData\Local\Temp\0.4008897201848656.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0.4008897201848656.exe => possible exploit Java
https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/
Vu que sur son OTL, Java est pas dans les 30 derniers fichiers modifiés, y a de grande chance qu'il aie pas mis à jour, il retourne sur son site pourri, il réinfecte son PC.
Bref, si c'est ça, il a pas suivi les consignes données dans la procédure de fin.
C'pas s'étonner qu'il repourri son PC.
Par contre, ce qui est étonnant cest que les fichiers ont exactement les mm noms dans le mm répertoire comme si ça avait été restauré.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
3 sept. 2011 à 19:13
3 sept. 2011 à 19:13
"Par contre, ce qui est étonnant cest que les fichiers ont exactement les mm noms dans le mm répertoire comme si ça avait été restauré"
Exact. Bon je te laisse continuer. C'est toi qui avait initialisé la désinfection
Exact. Bon je te laisse continuer. C'est toi qui avait initialisé la désinfection
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
7
3 sept. 2011 à 18:54
3 sept. 2011 à 18:54
Je le mets sur cijoint, il est long mais n'a rien trouvé de grave, un suspicious.
http://www.cijoint.fr/cjlink.php?file=cj201109/cijRr5EV21.txt
http://www.cijoint.fr/cjlink.php?file=cj201109/cijRr5EV21.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 3/09/2011 à 18:55
Modifié par Malekal_morte- le 3/09/2011 à 18:55
dis, stp, si ça revient tu peux envoyer les fichiers malicieux sur http://upload.malekal.com stp
j'aimerai bien voir ce que c'est.
Tu serais pas retourné sur un site qui aurait remis l'infection ?
T'aurais pas vu Java se lancer tout seul anormalement ?
j'aimerai bien voir ce que c'est.
Tu serais pas retourné sur un site qui aurait remis l'infection ?
T'aurais pas vu Java se lancer tout seul anormalement ?
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
7
3 sept. 2011 à 19:01
3 sept. 2011 à 19:01
Je surfais uniquement sur des sites de sport à ce moment, j'avais rien fait de suspect; le seul truc qui me vient à l'esprit c'est de brancher ma clé Usb qui était peut-être infectée.
Java Auto Updater se lance à chaque démarrage et me demande l'autotisation mais j'annule chaque fois.
Java Auto Updater se lance à chaque démarrage et me demande l'autotisation mais j'annule chaque fois.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 3/09/2011 à 19:05
Modifié par Malekal_morte- le 3/09/2011 à 19:05
Déjà mets à jour JAVA.
PRC - [2011/09/02 19:49:27 | 000,116,171 | --S- | M] () -- C:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe
C'est revenu hier à 19h49.
Tu pourrais, ce serait sympa, regarder le site que tu as consulté juste avant..
Donne l'adresse stp et n'y retourne pas sans avoir mis JAVA à jour.
Pour ta clef USB faudrait la checker oui.
PRC - [2011/09/02 19:49:27 | 000,116,171 | --S- | M] () -- C:\Users\clement\AppData\Local\rdkuhqig\ajchrqrw.exe
C'est revenu hier à 19h49.
Tu pourrais, ce serait sympa, regarder le site que tu as consulté juste avant..
Donne l'adresse stp et n'y retourne pas sans avoir mis JAVA à jour.
Pour ta clef USB faudrait la checker oui.
Thorus12
Messages postés
127
Date d'inscription
mardi 20 juillet 2010
Statut
Membre
Dernière intervention
26 octobre 2016
7
3 sept. 2011 à 19:09
3 sept. 2011 à 19:09
J'ai plus l'historique, j'ai fait un nettoyage ccleaner mais je doute fort que ça vient d'un site (je les fréquente tous les jours). Pour la clé je pense que c'est bon maintenant, j'ai fait la démarche avec USBFix
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
3 sept. 2011 à 19:16
3 sept. 2011 à 19:16
arf ok pour l'historique :'(
deux trois sites que tu te souviens avoir visité avant ?
deux trois sites que tu te souviens avoir visité avant ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
3 sept. 2011 à 21:15
3 sept. 2011 à 21:15
regarde : https://forums.commentcamarche.net/forum/affich-23072801-probleme-virus-ramnit-e-win32
Fichier(s) infecté(s):
c:\users\joël\appdata\local\tgrulkiv\cmjhvkrn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Users\Joël\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\cmjhvkrn.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Joël\AppData\Local\Temp\trefxmqwvpyuslep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ca ressemble bigrement à ce que tu as.
Comme dit sur l'autre poste, Ramnit infecte les executables.
Tu devrais faire un scan Dr.Web en live CD.
Fichier(s) infecté(s):
c:\users\joël\appdata\local\tgrulkiv\cmjhvkrn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Qoobox\quarantine\C\Users\Joël\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\cmjhvkrn.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Joël\AppData\Local\Temp\trefxmqwvpyuslep.exe (Trojan.Agent) -> Quarantined and deleted successfully.
Ca ressemble bigrement à ce que tu as.
Comme dit sur l'autre poste, Ramnit infecte les executables.
Tu devrais faire un scan Dr.Web en live CD.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 3/09/2011 à 21:28
Modifié par Malekal_morte- le 3/09/2011 à 21:28
bon pas Dr.Web il dit qu'il détecte rien.
Vu le nom qu'il a mis dans le titre de son topic, c'est du Kaspersky.
Vu le nom qu'il a mis dans le titre de son topic, c'est du Kaspersky.
Je relance la discussion: même problème!
Lors du démarrage de mon PC, 2 pages internet s'ouvrent automatiquement ainsi que l'interpréteur de commandes qui demande l'autorisation de continuer. Hors quand je clique sur continuer, mon antivirus (avira) signale des virus. Je les supprime ou les mets en quarantaine mais rien n'y fait, ce problème revient à chaque démarrage!
En parcourant les forums, j'ai fait un scan de mon PC à l'aide de auslogics registry cleaner et m'a réparé les erreurs trouvées.
Merci de m'aider SVP!
Lors du démarrage de mon PC, 2 pages internet s'ouvrent automatiquement ainsi que l'interpréteur de commandes qui demande l'autorisation de continuer. Hors quand je clique sur continuer, mon antivirus (avira) signale des virus. Je les supprime ou les mets en quarantaine mais rien n'y fait, ce problème revient à chaque démarrage!
En parcourant les forums, j'ai fait un scan de mon PC à l'aide de auslogics registry cleaner et m'a réparé les erreurs trouvées.
Merci de m'aider SVP!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
13 oct. 2011 à 12:28
13 oct. 2011 à 12:28
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
13 oct. 2011 à 12:35
13 oct. 2011 à 12:35
Tu es certainement infectée par Ramnit.
Tu sois les recommandations de ces deux pages :
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
En gros escan ou Dr. Web et de préférence par CD Live.
Et si le système n'est pas désinfecté, tu formates.
Tu sois les recommandations de ces deux pages :
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit
https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/
En gros escan ou Dr. Web et de préférence par CD Live.
Et si le système n'est pas désinfecté, tu formates.
Je ne comprends pas ce que je dois faire!
désolée ma connaissance de l'informatique est très limitée...
merci de m'aider s'il vous plait car je m'arrache les cheveux là....
désolée ma connaissance de l'informatique est très limitée...
merci de m'aider s'il vous plait car je m'arrache les cheveux là....
Alors déjà quand je télécharge Dr Web, ça me met téléchargement fini mais il y a rien sur mon PC
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
Modifié par Malekal_morte- le 13/10/2011 à 12:53
Modifié par Malekal_morte- le 13/10/2011 à 12:53
télécharge le sur ton bureau
Merci!!
J'ai réalisé une analyse rapide avec DR web puis une analyse complète, il m'a trouvé plusieurs trojan (ramnit ) les a supprimés puis depuis tout fonctionne bien!
Merci
J'ai réalisé une analyse rapide avec DR web puis une analyse complète, il m'a trouvé plusieurs trojan (ramnit ) les a supprimés puis depuis tout fonctionne bien!
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 627
14 oct. 2011 à 12:29
14 oct. 2011 à 12:29
ok refais un scan histoire de :)