[Résolu] Processname.exe

[bluesland]

Bonjour,

 

Après avoir effectuer une recherche sur ce sujet, il n'est, à priori, pas déjà présent.

 

J'ai donc "processname.exe" en permanence en mémoire.

Si je le kill : blue screen.

Il n'a pas l'air de prendre de process excessif mais j'ai constaté, pour l'instant, une anomalie de fonctionnement.

Disparition de la possibilité de mettre des accents circonflexes sur les voyelles, ou tréma sur le i.

Peut-etre est-ce sans rapport, mais j'ai constaté le début du problème avec l'apparition de processname.exe.

Kasper et Malwarebytes parviennent à le déloger mais ce n'est que provisoire.

 

Je soumets ce petit problème à votre sagacité.

 

Cordialement

Modifié le 11 décembre 2011 par bluesland

[pear]

Bonsoir,

 

Possible infection.

La plupart des keyloggers ne gèrent pas les dead-keys correctement, ce qui provoque un bug du clavier les rendant inutilisables (ainsi ,à la place de ê vous auriez ^^ ou ^e).

 

Essayez ceci:

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux

Copier/Coller le contenu dans la réponse

 

 

Relancez Rogue Killer

Nettoyage du registre Passer en Mode 2

 

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[bluesland]

Merci pour la réponse rapide mais l'exécution de Roquekiller soit en natif soit sous la forme de Winlogon provoque un Blue Screen

 

Le prog n'a pas le temps d'afficher le menu.

L'affichage se "brouille" puis le BS arrive.

 

Cordialement

Modifié le 11 décembre 2011 par bluesland

[pear]

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquez sur le tounevis et choisissez Tous

En cas de blocage, sur O80 par exemple, cliquez sur le tournevis pour le décocher

 

Clic sur la Loupe pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[bluesland]

Bonjour,

 

"Module O56 in overflow (99), Please contact Nicolas Coolman"

 

J'ai donc décoché "Microsoft Windows Policies Explorer O56" puis relancé.

 

Et voici le résultat : ZhpDiag.txt

 

Cordialement

Modifié le 12 décembre 2011 par bluesland

[pear]

Bonjour,

 

Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux

Copier/Coller le contenu dans la réponse

 

 

Relancez Rogue Killer

Nettoyage du registre Passer en Mode 2

et ensuite en mode 4.

[bluesland]

Bonjour,

 

Après scan d'Adwcleaner AdwCleaner[R1].txt

Après le lancement de la suppresion : Blue Screen

Modifié le 13 décembre 2011 par bluesland

[pear]

Le lien ci joint ne fonctionne pas.

 

Le rapport n'est pas si lourd que vous ne pourriez pas le poster.

 

Faites la suite de la procédure: Mbam et Rogue Killer.

 

Pour le bsod:

 

Ecran bleu et reboot

Prérequis:

Poste de travail->Propriétés->Avancé->Paramères->Démarrage et Récupération

Vérifier qu' Image partielle est sélectionnée sinon il n'y aura pas de minidump

Et que Redémarrer automatiquement soit décoché, ce qui vous permetra de lire l'écran bleu

 

Retenez le numéro d'erreur Stop 0x00000000 et si possible le drivers en cause.

 

WhoCrashed est un petit outil qui va éclairer votre lanterne en analysant le dernier plantage de votre machine, afin de vous en donner les causes.

Pour cela, il suffit de l'exécuter et de lancer l'analyse.

 

Proposé gratuitement, compatible avec le système d'exploitation Windows ( 2000, XP, 2003, Vista et 2008 ) et en anglais uniquement, le logiciel ne garantit pas des résultats fiables à 100 % mais vous donnera au moins un début de réponse.

Présentation et commentaires

 

Télécharger Whocrashed

 

Installez le

Lancez le.

Une analyse apparait au bas de la fenêtre qui s'ouvre

[bluesland]

Je ne suis pas plus avancé.

Crash après mbam.

 

5 fois le meme dump.

 

Que fais-je maintenant ?

 

Cordialement

 

On Fri 02/12/2011 20:40:09 GMT your computer crashed

crash dump file: C:\Windows\Minidump\120211-46020-01.dmp

This was probably caused by the following module: ntoskrnl.exe (nt+0x7CC40)

Bugcheck code: 0xF4 (0x3, 0xFFFFFA80093B6B30, 0xFFFFFA80093B6E10, 0xFFFFF80002FD98B0)

Error: CRITICAL_OBJECT_TERMINATION

file path: C:\Windows\system32\ntoskrnl.exe

product: Microsoft® Windows® Operating System

company: Microsoft Corporation

description: NT Kernel & System

Bug check description: This indicates that a process or thread crucial to system operation has unexpectedly exited or been terminated.

This appears to be a typical software driver bug and is not likely to be caused by a hardware problem.

The crash took place in the Windows kernel. Possibly this problem is caused by another driver which cannot be identified at this time.

------------------------------------------------------------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

 

Version de la base de données: 8370

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

14/12/2011 21:00:31

mbam-log-2011-12-14 (21-00-22).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 202058

Temps écoulé: 6 minute(s), 52 seconde(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

c:\Users\Will\AppData\Roaming\processname.exe (Trojan.Agent) -> 4468 -> No action taken.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> No action taken.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender (Trojan.Agent.Gen) -> Value: Windows Defender -> No action taken.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Users\Will\AppData\Roaming\processname.exe (Trojan.Agent) -> No action taken.

c:\Users\Will\AppData\Roaming\KMS.exe (Trojan.Agent.Gen) -> No action taken.

c:\Users\Will\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

 

-----------------------------------------------------------------------------------------------------

 

# AdwCleaner v1.402 - Rapport créé le 13/12/2011 à 19:22:28

# Mis à jour le 11/12/11 à 19h par Xplode

# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)

# Nom d'utilisateur : Will - CONAKRY (Administrateur)

# Exécuté depuis : E:\IDM\adwcleaner.exe

# Option [Recherche]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Présent : C:\ProgramData\~0

Dossier Présent : C:\ProgramData\Babylon

Dossier Présent : C:\Users\Will\AppData\Roaming\Babylon

Dossier Présent : C:\Users\Will\AppData\Local\Babylon

 

***** [Registre] *****

 

Clé Présente : HKLM\SOFTWARE\Babylon

Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}

Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212

 

***** [Registre (x64)] *****

 

Clé Présente : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL

Clé Présente : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}

Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212

Clé Présente : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v8.0.1 (fr)

 

Profil : fiif5u50.default

Fichier : C:\Users\Will\AppData\Roaming\Mozilla\Firefox\Profiles\fiif5u50.default\prefs.js

 

Présente : user_pref("capability.policy.maonoscript.sites", "01net.com 1001avatars.net 11send.com 123.st 123rf.[...]

 

-\\ Google Chrome v0.0.0.0

 

Fichier : C:\Users\Will\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[R1].txt - [2133 octets] - [13/12/2011 19:22:28]

 

########## EOF - C:\AdwCleaner[R1].txt - [2261 octets] ##########

Modifié le 14 décembre 2011 par bluesland

[pear]

Bonjour,

 

Le nettoyage n'a pas été fait!

 

Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

Le Bsod(traductiob Google):

Cela indique qu'un processus ou un thread crucial pour le fonctionnement du système a quitté inopinément ou a été résilié.

Cela semble être un bug logiciel typique conducteur et n'est pas susceptible d'être causé par un problème matériel.

Le crash a eu lieu dans le noyau Windows. Peut-être ce problème est causé par un autre conducteur qui ne peuvent pas être identifiés à cette époque.

 

Réparer Win7

 

tentez d'abord une restauration à une date antérieure

et sinon la réparation du démarrage.