A voir également:
- Virus Win32/CoinMiner, Win32/Ainslot.A HELP !
- Win32 pup gen ✓ - Forum Linux / Unix
- Win32:bogent - Forum Virus
- Trojan win32 - Forum Virus
- Win32:malware-gen ✓ - Forum Virus
- Win32/offercore ✓ - Forum Virus
19 réponses
Salut,
Pour le trojan:MSIL/Starter il m'indique C:\Users\Nathan\AppData\Roaming\SystemProcess.exe
Pour le Program:win32/CoinMiner il m'indique C:\Users\Nathan\AppData\Roaming\System\UFA\avgessx.exe
pour le Worm:Win32/ainslot.A il m'indique Process:pid:4208
Pour le trojan:MSIL/Starter il m'indique C:\Users\Nathan\AppData\Roaming\SystemProcess.exe
Pour le Program:win32/CoinMiner il m'indique C:\Users\Nathan\AppData\Roaming\System\UFA\avgessx.exe
pour le Worm:Win32/ainslot.A il m'indique Process:pid:4208
Utilisateur anonyme
15 avril 2012 à 14:24
15 avril 2012 à 14:24
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
http://forums-fec.be/gen-hackman/Pre_Scan.exe
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Voici le lien pour le rapport
http://pjjoint.malekal.com/files.php?id=20120415_p10e11x12v8d5
PS: après que pre_scan est redémarré l'ordinateur l'antivirus n'a plus détecter les irus même aprés un scan rapide !!
serait-ils partit ou simplement cacher a un endroit qu'i ne trouve pas
merci
http://pjjoint.malekal.com/files.php?id=20120415_p10e11x12v8d5
PS: après que pre_scan est redémarré l'ordinateur l'antivirus n'a plus détecter les irus même aprés un scan rapide !!
serait-ils partit ou simplement cacher a un endroit qu'i ne trouve pas
merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
15 avril 2012 à 18:43
15 avril 2012 à 18:43
Mozilla Firefox à mettre à jour
desinstalle adobe reader 9
desinstalle spybot il sert à rien
=====
ne telecharge plus sur 01net ils repackent les installeurs avec des toolbars pourries
=====
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
[HKU\S-1-5-21-1320326952-3801798142-2002731583-1001\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
txt::
C:\Windows\System32\Tasks\{17640536-BBDA-430B-BA03-C26FBF4E0BCD}
C:\Windows\System32\Tasks\{57D74609-6929-4B6B-BB8F-9C9DA92639BC}
C:\Windows\System32\Tasks\{8AE13175-5555-4937-93A2-89D13E0F7A62}
C:\Windows\System32\Tasks\{D9814212-6444-457A-A25F-4469C57C5B69}
file::
C:\Users\Nathan\AppData\Local\temporary internet files\Content.IE5\LCC96F6Z\system[1].exe
folder::
C:\Program Files (x86)\Spybot - Search & Destroy
C:\Users\Nathan\AppData\Roaming\Babylon
C:\ProgramData\Babylon
MBR::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
===================
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
clique sur suppression et poste son rapport.
desinstalle adobe reader 9
desinstalle spybot il sert à rien
=====
ne telecharge plus sur 01net ils repackent les installeurs avec des toolbars pourries
=====
Relance Pre_scan puis choisis l'option "Script"
une page vierge va s'ouvrir
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
[HKU\S-1-5-21-1320326952-3801798142-2002731583-1001\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
txt::
C:\Windows\System32\Tasks\{17640536-BBDA-430B-BA03-C26FBF4E0BCD}
C:\Windows\System32\Tasks\{57D74609-6929-4B6B-BB8F-9C9DA92639BC}
C:\Windows\System32\Tasks\{8AE13175-5555-4937-93A2-89D13E0F7A62}
C:\Windows\System32\Tasks\{D9814212-6444-457A-A25F-4469C57C5B69}
file::
C:\Users\Nathan\AppData\Local\temporary internet files\Content.IE5\LCC96F6Z\system[1].exe
folder::
C:\Program Files (x86)\Spybot - Search & Destroy
C:\Users\Nathan\AppData\Roaming\Babylon
C:\ProgramData\Babylon
MBR::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
===================
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
clique sur suppression et poste son rapport.
Voila le rapport de pre_san
http://pjjoint.malekal.com/files.php?read=20120415_i5j10s1413t11
et le rapport de adwcleaner
http://pjjoint.malekal.com/files.php?read=20120415_v9l10k1415d9
merci
http://pjjoint.malekal.com/files.php?read=20120415_i5j10s1413t11
et le rapport de adwcleaner
http://pjjoint.malekal.com/files.php?read=20120415_v9l10k1415d9
merci
Saut,
Apprés avoir fermer la page ou j'ai coller Mbr:: il m'a rapidement mis un message d'érreur qui me disait qu'il ne pouvais pas supprimer le dossier pre_scan ou un truc du genre, puis pre_scan c'est a fonctionner normalement je pense et il a laisser ce rapport
http://pjjoint.malekal.com/files.php?read=20120415_r5j11u11v7w13
merci
Apprés avoir fermer la page ou j'ai coller Mbr:: il m'a rapidement mis un message d'érreur qui me disait qu'il ne pouvais pas supprimer le dossier pre_scan ou un truc du genre, puis pre_scan c'est a fonctionner normalement je pense et il a laisser ce rapport
http://pjjoint.malekal.com/files.php?read=20120415_r5j11u11v7w13
merci
Utilisateur anonyme
15 avril 2012 à 20:23
15 avril 2012 à 20:23
ok ramnit l'a corrompu ne t'en sers plus
=================
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
heberge l'archive et donne le lien
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
=================
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
heberge l'archive et donne le lien
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
voila le rapport de DrWeb
http://pjjoint.malekal.com/files.php?id=20120416_1211u13j5c14
Il ne ma rien trouver a part un fichier qui été déja en mis en quarantaine avec pre_scan
Merci
http://pjjoint.malekal.com/files.php?id=20120416_1211u13j5c14
Il ne ma rien trouver a part un fichier qui été déja en mis en quarantaine avec pre_scan
Merci
Utilisateur anonyme
16 avril 2012 à 02:55
16 avril 2012 à 02:55
relance pre_scan , choisis Tools , puis tdsskiller
l'outil va automatiquement télécharger la derniere version depuis le site de Kaspersky
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
l'outil va automatiquement télécharger la derniere version depuis le site de Kaspersky
TDSSKiller va s'ouvrir , clique sur "Start Scan"
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
Utilisateur anonyme
16 avril 2012 à 22:35
16 avril 2012 à 22:35
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
Ok merci je vais lancer le scan de malwarebytes !
Juste une question, j'ai l'impression que mon ordinateur n'a plus les virus, mon antivirus ne détecte rien et il tourne correctement. Tous ces scan serait pas mesure de précaution et de conscience professionnel ( ne pas laisser un ordinateur plein de petit virus a quelqu'un qui ne sait pas trop quoi faire ;) )
Ou alors y aurait t'il vraiment un virus cacher qui attend pour attaquer ?
En tout cas merci beaucoup de l'aide apporter jusqu'à présent a moi et a tout les autres
Juste une question, j'ai l'impression que mon ordinateur n'a plus les virus, mon antivirus ne détecte rien et il tourne correctement. Tous ces scan serait pas mesure de précaution et de conscience professionnel ( ne pas laisser un ordinateur plein de petit virus a quelqu'un qui ne sait pas trop quoi faire ;) )
Ou alors y aurait t'il vraiment un virus cacher qui attend pour attaquer ?
En tout cas merci beaucoup de l'aide apporter jusqu'à présent a moi et a tout les autres
Utilisateur anonyme
16 avril 2012 à 23:20
16 avril 2012 à 23:20
malwarebytes , c'est pour finaliser les petits restes , ensuite on fera un grand menage
Salut voila le rapport de malwarebytes
http://pjjoint.malekal.com/files.php?read=20120417_f11q6u8m12h5
http://pjjoint.malekal.com/files.php?read=20120417_f11q6u8m12h5
Utilisateur anonyme
17 avril 2012 à 16:19
17 avril 2012 à 16:19
tu vois ce que je te disais pour 01Net ?
===============================
https://gen-hackman.kanak.fr/
===============================
https://gen-hackman.kanak.fr/
