Sujet Précédent Sujet Suivant

Trojan.Sathurbot / Trojan.FakeMS : Explorer.exe infecté backdoor

Résolu/Fermé
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016 - 11 avril 2015 à 17:56
 mnoir - 30 avril 2015 à 10:57
Bonjour,

Mon antivirus vient de me détecter le virus Backdoor.A.3768 sur le fichier :
C:\windows\Explorer.exe
L'antivirus ne me laisse que peu de choix : ignorer/supprimer/quarantaine
Je suis allé voir dans ce dossier, et je n'ai qu'un seul fichier explorer.exe (il ne s'agirait donc pas d'un doublon).
Je suis réticent à l'idée de supprimer ou de mettre en quarantaine ce fichier car j'ai bien peur que Windows ne fonctionnera plus. En plus c'est un Windows pré-installé, je n'avais pas effectué de copie pour faire une récupération du système, et je vois qu'il n'est pas possible de télécharger une copie sur le site de Microsoft car c'est un système pré-installé.

Auriez-vous une idée de ce qu'il serait possible de faire dans ce cas?

Merci beaucoup!



11 réponses

Réponse 1 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
11 avril 2015 à 17:57
Salut,

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

0
Réponse 2 / 11
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
11 avril 2015 à 20:39
Merci beaucoup pour la réponse, voici donc les trois rapports:

FRST
https://pjjoint.malekal.com/files.php?id=FRST_20150411_13c9s5c13b14

Addition
https://pjjoint.malekal.com/files.php?id=20150411_h6m11o12j9k14

Shortcut
https://pjjoint.malekal.com/files.php?id=20150411_r10v10d7v8l5

Merci encore !
0
Réponse 3 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 11/04/2015 à 20:46
L'ordinateur est infecté, probablement un zbot ou citadelle.
Ou un stealer qui s'en apparente.


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Ohdsics] => regsvr32.exe
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [raba] => C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [301568 2015-04-09] (Hex-RAYS SA)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [kix] => C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [302592 2015-04-11] (Hex-RAYS SA)
2015-04-10 11:01 - 2015-04-10 11:01 - 00000000 ____D () C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T
C:\Users\Alina\AppData\Roaming\ludaw
C:\Users\Alina\AppData\Roaming\wavi

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Supprime les PUM.DNS avec RogueKiller en suivant ce tutorial : https://forum.malekal.com/viewtopic.php?t=48312&start=
Donne le rapport de suppression de RogueKiller.

Réinitialise Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
Si tu as speedial en démarrage.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Réponse 4 / 11
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
11 avril 2015 à 21:51
Voici ce le fichier texte de FRST après avoir appuyé sur "fix" :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 11-04-2015
Ran by Alina at 2015-04-11 20:54:04 Run:1
Running from C:\Users\Alina\Desktop
Loaded Profiles: Alina (Available profiles: Alina)
Boot Mode: Normal

==============================================

Content of fixlist:

HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Ohdsics] => regsvr32.exe
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [raba] => C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [301568 2015-04-09] (Hex-RAYS SA)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [kix] => C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [302592 2015-04-11] (Hex-RAYS SA)
2015-04-10 11:01 - 2015-04-10 11:01 - 00000000 ____D () C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T
C:\Users\Alina\AppData\Roaming\ludaw
C:\Users\Alina\AppData\Roaming\wavi


HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Ohdsics => value deleted successfully.
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\raba => value deleted successfully.
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\kix => value deleted successfully.
C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T => Moved successfully.
C:\Users\Alina\AppData\Roaming\ludaw => Moved successfully.
C:\Users\Alina\AppData\Roaming\wavi => Moved successfully.

End of Fixlog 20:54:12

Et voici ce que j'ai obtenu en rapport avec RogueKiller:

Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Started in : Normal mode
User : Alina [Administrator]
Started from : C:\Users\Alina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD0M7G7P\RogueKiller.exe
Mode : Delete -- Date : 04/11/2015 21:45:11

¤¤¤ Processes : 3 ¤¤¤
[Suspicious.Path|Proc.Injected] naqab.exe(3272) -- C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe[-] -> Killed [TermProc]
[Suspicious.Path|Proc.Injected] vemeruz.exe(3280) -- C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe[-] -> Killed [TermProc]
[Suspicious.Path] explorer.exe(1280) -- C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll[-] -> Unloaded

¤¤¤ Registry : 20 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0WinSecurityProvider | (default) : {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} -> Deleted
[Suspicious.Path] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run | raba : C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [-] -> Deleted
[Suspicious.Path] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run | kix : C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [-] -> Deleted
[PUM.HomePage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page : http://speedial.com/... -> Not selected
[PUM.HomePage] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Internet Explorer\Main | Start Page : http://speedial.com/... -> Not selected
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.StartMenu] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0 -> Not selected
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Not selected
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Not selected

¤¤¤ Tasks : 0 ¤¤¤

¤¤¤ Files : 0 ¤¤¤

¤¤¤ Hosts File : 0 ¤¤¤

¤¤¤ Antirootkit : 2 (Driver: Loaded) ¤¤¤
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
11 avril 2015 à 21:54
ok voici la suite :

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.

0
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
12 avril 2015 à 14:00
Bonjour, voici le rapport du scan avec nod32 :

https://pjjoint.malekal.com/files.php?id=20150412_k5o7n10u11h12

Aussi, je m'aperçois que le dossier "mes documents" s'ouvre tout seul de manière intempestive.

Merci encore pour votre aide !
0
Réponse 6 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
12 avril 2015 à 14:19
ok, voici la suite :


Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.



0
Réponse 7 / 11
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
12 avril 2015 à 16:26
Je viens de finir le scanner, par contre l'interface ne me propose pas de tout mettre en quarantaine comme sur le tutoriel https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Mais plutôt il n'y a qu'un gros bouton bleu en bas "Supprimer la sélection", je ne vois nul part la possibilité de mettre en quarante.
Peut-être que je devrais tout simplement appuyer sur "supprimer la sélection" ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
12 avril 2015 à 16:27
c'est bon "supprimer la selection" =)
assure toi que tout est coché.
0
Réponse 8 / 11
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
12 avril 2015 à 16:44
Alors voici le rapport :

http://pjjoint.malekal.com
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
12 avril 2015 à 18:38
Le lien n'est pas bon.
0
Réponse 9 / 11
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
12 avril 2015 à 22:26
Effectivement je m'étais trompé, et je n'avais pas vu votre réponse!

Voici le lien :
https://pjjoint.malekal.com/files.php?id=20150412_u12p7f11b8x15
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
13 avril 2015 à 08:41
Si tu refais un scan Malwarebytes, ça revient ?
Tu peux vérifier ?
0
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
13 avril 2015 à 11:10
Il n'y a pas d'infections détectées lorsque je fais un scan Malwarebytes, en revanche j'ai toujours la fenêtre "mes documents" qui s'ouvre toute seule, et encore un message que je reçois "RegSvr332 ; To register a module, you must provide a binary name etc."
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
13 avril 2015 à 11:20
ok, refais une analyse FRST et donne les rapports via pjjoint.
il doit juste rester la clef Run RegSrv
On va la virer, après cela, ça doit être bon.
0
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
13 avril 2015 à 11:36
Voici les 3 rapports :
Shortcut
https://pjjoint.malekal.com/files.php?id=20150413_b9f6r7o713

FRST
https://pjjoint.malekal.com/files.php?id=20150413_j5l11o7y14t11
Addition

https://pjjoint.malekal.com/files.php?id=20150413_l14h14u7o10s12
0
Réponse 10 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
13 avril 2015 à 12:21
Désinstalle Spybot,


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Uzjkmedia] => C:\Windows\System32\regsvr32.exe [116648 2014-03-30] (Google Inc.)

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
0
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
13 avril 2015 à 12:35
Voila le message

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 12-04-2015
Ran by Alina at 2015-04-13 12:33:19 Run:2
Running from C:\Users\Alina\Desktop
Loaded Profiles: Alina (Available profiles: Alina)
Boot Mode: Normal

==============================================

Content of fixlist:

HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Uzjkmedia] => C:\Windows\System32\regsvr32.exe [116648 2014-03-30] (Google Inc.)


HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Uzjkmedia => value deleted successfully.

End of Fixlog 12:33:19

0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
13 avril 2015 à 12:37
ça donne quoi au démarrage ?
0
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
13 avril 2015 à 12:42
Je ne recois plus le message "RegSvr332 ; To register a module, you must provide a binary name etc."

Par contre j'ai encore le soucis du dossier 'my documents' qui s'ouvre tout seul toutes les 10 secondes
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
Modifié par Malekal_morte- le 13/04/2015 à 12:46
C'est une tâche planifiée qui en est la cause, par contre, je sais pas trop laquelle.
Y en a pas vraiment d'anormal;

Essaye de faire un fixlist.txt avec ces lignes, t'embêtes pas à donner le rapport.
Redémarre l'ordinateur et vois si ça change qq chose.

Task: {0A79E485-AC8B-491E-87B3-FD3F9A771A55} - System32\Tasks\{03046475-ECFC-4998-A447-72C728AA91E8} => pcalua.exe -a C:\Users\Alina\Downloads\9900fvst8270a_xpen\SetupSG.exe -d C:\Users\Alina\Downloads\9900fvst8270a_xpen
Task: {2AF5356D-3414-4B75-AF23-3044342EE591} - System32\Tasks\{DFF3CDDA-2770-478C-AE45-4EC010702DA6} => pcalua.exe -a C:\Users\Alina\Desktop\MATHIEU\LACIE\LaCie.exe -d C:\Users\Alina\Desktop\MATHIEU\LACIE
Task: {32905B43-C2DC-45A3-81F3-EAACD51D8D35} - System32\Tasks\{6EB885D0-7C77-467F-B210-C207307E2ABD} => pcalua.exe -a C:\Users\Alina\Downloads\cstbwin4136en.exe -d C:\Users\Alina\Downloads
Task: {E7C5D3AF-06E9-4352-B374-C756DA36C818} - System32\Tasks\{60CFEB8A-C915-4319-95C8-8AADE5842F45} => pcalua.exe -a C:\Users\Alina\Downloads\Win7Vista_151717.exe -d "C:\Program Files\Mozilla Firefox"
0
mnoir Messages postés 24 Date d'inscription samedi 9 février 2013 Statut Membre Dernière intervention 25 juin 2016
13 avril 2015 à 12:56
Il y a toujours le dossier qui s'ouvre tout seul, meme apres un redemarrage
0
Réponse 11 / 11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
16 avril 2015 à 08:48
mouais ..... bref =)

En gratuit Avast! en activant les LPIs : https://www.malekal.com/tutoriel-antivirus-avast/

Sinon en payant : NOD32, Kaspersky ou BitDefender.

~~


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

0
mnoir
30 avril 2015 à 10:57
Merci beaucoup, mon ordinateur fonctionne correctement maintenant, merci mille fois !
0

Discussions similaires

Trojan.FakeMS
emmy12 -
Malekal_morte- -

54 réponses
Trojan.FAKEMS.ED détecté par Malaware
northstorm -
Malekal_morte- -

7 réponses