[Résolu] Virus Stolen.data détécté

[_re4baby-]

Bonsoir à tous voilà j'ai eu un soucis aujourd'hui un peu fâcheux c'est que mon malwarebytes a dectecté plusieurs virus en début d'après midi nommé data.stolen et un autre qui s’appelait malware.trace .j'ai fait un nettoyage pensant que ça suffirait mais c'est pas le cas. De plus à chaque redémarrage l'installeur de fraps se relance et je ne peut rien faire pour l'en empêcher.

Je suis tout ouie je peut ne pas vous donner plus d'information à part peu être un rapport malwarebytes...

j'ai déjà changé mes mot de passe mais je vais le refaire quand ils seront définitivement supprimer vu qu'ils reviennent après chaque redémarrage.

 

[Eldarium]

Salut,

Un ptit coup de Rogue Killer ferait pas de mal.

T'as quoi comme antivirus résident ?

 

[_re4baby-]

j'ai microsft security essential lui ne détecte rien et je ne connais pas rogue killer instruis moi

 

[Eldarium]

Disons que c'est une sorte de complément à Malwarebytes en terme de scan.

Tu as vérifié si tu n'avais rien de suspect qui se lançait au démarrage (MSCONFIG) ?

Tu peux lancer un petit coup de scan en ligne aussi par la même occaz : http://www.eset.com/fr/home/products/online-scanner/

 

[_re4baby-]

oui j'ai verifier et voici le rapport de rogue:
RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees :

Vous devez être connecté pour voir les liens.

Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Florian [Droits d'admin]
Mode : Recherche -- Date : 18/04/2013 21:40:11
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Fraps 3.5.99 Build 15618 - Registered.exe (C:\Users\Florian\Desktop\Fraps 3.5.99 Build 15618 - Registered.exe) [x] -> TROUVÉ
[RUN][BLACKLISTDLL] HKLM\[...]\Run : Cmaudio8788 (C:\Windows\syswow64\RunDll32.exe C:\Windows\Syswow64\cmicnfgp.dll,CMICtrlWnd) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1476567343-3427377971-3843951491-1000[...]\Run : Fraps 3.5.99 Build 15618 - Registered.exe (C:\Users\Florian\Desktop\Fraps 3.5.99 Build 15618 - Registered.exe) [x] -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts


127.0.0.1 lm.licenses.adobe.com


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HD103UJ ATA Device +++++
--- User ---
[MBR] b95dffe72ac6b9c2b0129777eb411ecd
[BSP] 210bb25967b4d40d9c3caa11b962a346 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953766 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Generic USB SD Reader USB Device +++++
--- User ---
[MBR] 443febbf2b770631bfa63bc73ee3bf3b
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8192 | Size: 15267 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_18042013_214011.txt >>
RKreport[1]_S_18042013_214011.txt


il y en un processus que j'ai repéré qui s’appelle microsoftf.exe et qui tourne et je trouve aucune infos sur le web

 

[Eldarium]

Microsoftf.exe ou Microsoft.exe ?

Comme je l'ai dis plus haut essaye aussi ça, ça coûte rien : http://www.eset.com/fr/home/products/online-scanner/

 

[_re4baby-]

Je suis en train de lancer un scan

et oui bien microsoftf.exe

 

[Eldarium]

Ce processus tu le trouves dans MSCONFIG ou dans le Gestionnaire de Processus ?

 

[_re4baby-]

dans le gestionnaire de processus

 

[Eldarium]

Et si tu fais un clic droit/propriétés, il va pointer où ?

 

[_re4baby-]

C:\Windows\SysWOW64\MSDCSC
j'ai aps plus d'infos

 

[Eldarium]

Jconnais pas non plus :/

Le scan Eset a donné quoi ?

 

[_re4baby-]

rien il tourne toujours

 

[_re4baby-]

j'ai trouvé des infos sur ce fameux processus

Is the file MICROSOFTF.EXE located on your computer? Then your computer is infected.
We do suggest you should remove MICROSOFTF.EXE from your computer as soon as possible.
MICROSOFTF.EXE is Trojan/Backdoor.
Kill the process MICROSOFTF.EXE and remove MICROSOFTF.EXE from the Windows startup.


je l'ai aussi trouvé dans msconfig je l'ai décoché je reboot et je te dis ce qu'il en ai.

 

[Eldarium]

Wé donc déjà, à supprimer dans MSCONFIG apparemment et de fermer ce processus.

Va voir dans le répertoire que tu m'as indiqué tout à l'heure si t'aurais pas un fichier qui s'appelle comme ça.

 

[_re4baby-]

justement si je l'ai enlevé je redémarre et je relance le scan mbam

 

[Eldarium]

D'ac.

 

[_re4baby-]

j'ai effectué un examen éclair et à première vu il n'a rien détecte dans le registre enfin !

plus qu'a rechanger à nouveau tout mes mot de passe et à faire une dernière vérification en scan complet.

merci beaucoup pour ton aide

 

[Eldarium]

De rien, on est là pour ça.

Fais nous un ptit retour comme ça je clôturerai quand tu seras sûr d'avoir un système clean.

 

[_re4baby-]

¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ


Dand rogue il me montre toujours 4 clé mais je sais pas à quoi elles correspondent