Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Problème étrange : mon PC est probablement infecté

lyrco

Par lyrco
dans Analyses et éradication malwares

 Partager

Messages recommandés

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

Si tu l'as colle sur Killbox avec ceci : Clique sur le menu "File" -> "Past from clip board"

Ca a donné quoi avec KillBox, pas de message d'erreur ?

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

OK regarde si les fichiers dans le cadre sont encore à leur emplacement.

Si c'est le cas je te donnerai une autre manip pour les supprimer.

lyrco Junior Member

lyrco

Posté(e)
  • Auteur
Posté(e)

Désolé mais je suis un peu perdu, tu parles de quels fichiers ,ceux du cadre

REGEDIT4

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkhfg]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gfhkj

 

ou autre chose ?

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

non ce sont des clefs du registre,

 

je parle de celà :

C:\WINDOWS\System32\gfhkj.ini2

C:\WINDOWS\System32\idroftjb.exe

C:\WINDOWS\System32\gfhkj.bak2

C:\WINDOWS\System32\jieywsad.exe

etc...

lyrco Junior Member

lyrco

Posté(e)
  • Auteur
Posté(e)

ok seul les fichiers .exe ont disparu,il me reste ceux là

 

C:\WINDOWS\System32\gfhkj.ini2

C:\WINDOWS\System32\gfhkj.bak2

C:\WINDOWS\System32\mcrh.tmp

C:\WINDOWS\System32\gfhkj.ini

C:\WINDOWS\System32\gfhkj.tmp

C:\WINDOWS\System32\gfhkj.bak1

C:\WINDOWS\System32\jkhfg.dll

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e)

Sélectionne cette liste dans le cadre :

 

registry keys to delete:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gfhkj

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkhfg

 

Files to Delete:

C:\WINDOWS\System32\gfhkj.ini2

C:\WINDOWS\System32\gfhkj.bak2

C:\WINDOWS\System32\mcrh.tmp

C:\WINDOWS\System32\gfhkj.ini

C:\WINDOWS\System32\gfhkj.tmp

C:\WINDOWS\System32\gfhkj.bak1

C:\WINDOWS\System32\jkhfg.dll

--> Clic droit copier

 

- Ouvre le Bloc-Note et clic sur le menu Edition/Coller afin de coller le contenu qui est dans le cadre ci-dessus

Important : Tu dois avoir le contenu du cadre ci-dessous dans le bloc-note, vérifié qu'il n'y a pas de lignes manquantes au début ou à la fin.

- Enregistre le fichier sur ton bureau sous le nom remove.txt

 

- Télécharge The Avenger

- Dézip le contenu de l'archive sur ton bureau et double-clic sur avenger.exe

- Clique sur "Ok"

- Sélectionne "Load Script from File" et clique sur l'icône en forme de dossier.

- Sélectionne le fichier remove.txt qui est sur ton bureau

- Clique sur le feu vert pour lancer le script

- Clique sur "Oui"

- Accepte de redémarrer ton pc.

 

Quand le PC a redémarre ouvre le fichier C:\avenger.txt.

Vérifie que les fichiers dans C:\WINDOWS\System32\ ne sont plus présents.

Malekal_morte Godlike Member

Malekal_morte

Posté(e)
Posté(e) (modifié)

Mets le rapport de The Avenger stp.

OK dernière ligne droite :

 

 

Ouvre internet explorer --> Outils --> Options internet --> onglet "sécurité" --> Valide "niveau par défaut".

 

Sur Internet explorer --> Outils --> Options internet --> onglet "avancé" --> valide "Paramètres par défaut".

 

- Fais un Scan en ligne sur Kaspersky en utilisant Internet Explorer et pas firefox!. Si tu es perdu, tu peux suivre cette aide pour les scans en ligne

- Scan la zone critique

- Copie/colle le rapport du scan ici

 

Si le scan avec Kaspersky ne fonctionne pas, fais ceci :

 

- Fais un scan avec panda en désactivant ton antivirus pendant le scan!

(Si tu es perdu, tu peux suivre cette aide pour les scans en ligne)

- Copie/colle le rapport panda ici

Modifié par Malekal_morte
lyrco Junior Member

lyrco

Posté(e)
  • Auteur
Posté(e)

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\ffuetvyl

 

*******************

 

Script file located at: \??\C:\WINDOWS\system32\ccgxjmxf.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

File C:\WINDOWS\System32\gfhkj.ini2 deleted successfully.

File C:\WINDOWS\System32\gfhkj.bak2 deleted successfully.

File C:\WINDOWS\System32\mcrh.tmp deleted successfully.

OK

 

File C:\WINDOWS\System32\gfhkj.ini deleted successfully.

File C:\WINDOWS\System32\gfhkj.tmp deleted successfully.

File C:\WINDOWS\System32\gfhkj.bak1 deleted successfully.

File C:\WINDOWS\System32\jkhfg.dll deleted successfully.

 

 

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gfhkj not found!

Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gfhkj failed!

Status: 0xc0000034

 

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkhfg deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

 

Incident Status Location

 

Potentially unwanted tool:Application/Processor Not disinfected C:\WINDOWS\system32\Process.exe

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...