Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Veucux.exe

 

LOGICIELS : lemarin, 1 utilisateur anonyme et 95 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Veucux.exe

Prévenir les modérateurs en cas d'abus 
Zeph'
zeph1
  1. Posté le 26/12/2012 à 11:43:02  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour,

 J'ai installé un virus hier qui s'était pris pour Windows Defender, et depuis je n'arrive pas à l'enlever complètement.

 J'ai d'abord eu des programmes "bizarres" qui se lançaient, et après le 1er redémarrage, j'ai eu mon windows de bloqué par une de ces pages : http://www.malekal.com/2011/12 [...] ie-nation/ (ce que j'ai corrigé avec RogueKiller).
 Je n'ai pas fais de restauration comme il y est dit, est-ce qu'il faut que je le fasse ?

 Des fichiers s'installaient dans un dossier caché cgi.bin, dans C:/User/../AppData/Local/Temp, et dans C:/User/../AppData/Roaming

 C'est dans ce dernier dossier que le fichier Veucux.exe revient toujours. Avira et MBAM ne le détectent pas, et j'ai installé Kaspersky Security Scan qui ne le détecte plus non plus.

 Voici le résultat de virus total: https://www.virustotal.com/fil [...] 356517532/

 MBAM avait détecté des choses hier, voici le rapport :

 En vous remerciant d'avance, et en espérant que quelqu'un ait une solution !

 EDIT MODERATION : pas de rapport avant qu'il soit demandé

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 27/12/2012 à 10:36:08  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Zeph'

 fais ceci

 Télécharges  sur le Bureau  Roguekiller ICI
 et pas ailleurs.


 http://up.sur-la-toile.com/4Z2Y


 • Quitte tous les programmes en cours.
 • Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
 
 • Sinon lance simplement RogueKiller.exe

 Après le préscan  cliques sur scan
 Le scan fini cliques sur rapport

 • Un rapport s'ouvrira (RKreport[1].txt qui se trouve également à côté de l'exécutable),
 Copies/colles ce rapport. ;)


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
(Publicité)
zeph1
  1. Posté le 27/12/2012 à 22:00:25  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Merci !

 Voici le rapport :

 RogueKiller V8.4.1 [Dec 24 2012] par Tigzy
 mail : tigzyRK<at>gmail<dot>com
 Remontees : http://www.sur-la-toile.com/di [...] ntees.html
 Site Web : http://www.sur-la-toile.com/RogueKiller/
 Blog : http://tigzyrk.blogspot.com/

 Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
 Demarrage : Mode normal
 Utilisateur : Alex [Droits d'admin]
 Mode : Recherche -- Date : 27/12/2012 21:54:12

 ¤¤¤ Processus malicieux : 0 ¤¤¤

 ¤¤¤ Entrees de registre : 0 ¤¤¤

 ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 ¤¤¤ Driver : [CHARGE] ¤¤¤
 SSDT[84] : NtCreateSection @ 0x82E7A06D -> HOOKED (Unknown @ 0x8E0E82AE)
 SSDT[299] : NtRequestWaitReplyPort @ 0x82E94A63 -> HOOKED (Unknown @ 0x8E0E82B8)
 SSDT[316] : NtSetContextThread @ 0x82F34745 -> HOOKED (Unknown @ 0x8E0E82B3)
 SSDT[347] : NtSetSecurityObject @ 0x82E58742 -> HOOKED (Unknown @ 0x8E0E82BD)
 SSDT[368] : NtSystemDebugControl @ 0x82EDC6BC -> HOOKED (Unknown @ 0x8E0E82C2)
 SSDT[370] : NtTerminateProcess @ 0x82EB1BFB -> HOOKED (Unknown @ 0x8E0E824F)
 S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8E0E82D6)
 S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8E0E82DB)

 ¤¤¤ Fichier HOSTS: ¤¤¤
 --> C:\Windows\system32\drivers\et​c\hosts



 ¤¤¤ MBR Verif: ¤¤¤

 +++++ PhysicalDrive0: TOSHIBA MK3265GSXF ATA Device +++++
 --- User ---
 [MBR] c7a681120ef3b544251d28e0c29fac​2a
 [BSP] cd5b6a9d859f06ec6e7f3de2f1fd97​03 : Windows 7/8 MBR Code
 Partition table:
 0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 200 Mo
 1 - [XXXXXX] UNKNOWN (0xaf) [VISIBLE] Offset (sectors): 409640 | Size: 170707 Mo
 2 - [XXXXXX] MACOSX-BT (0xab) [VISIBLE] Offset (sectors): 350019016 | Size: 619 Mo
 3 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 351289344 | Size: 133717 Mo
 User = LL1 ... OK!
 User = LL2 ... OK!

 +++++ PhysicalDrive1: Freecom Mobile Drive XXS USB Device +++++
 --- User ---
 [MBR] ad068cc59a75b8dac8ca5135d11281​8b
 [BSP] fa4092430891cabc057439e2b4645c​b5 : MBR Code unknown
 Partition table:
 0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 2048 | Size: 238470 Mo
 User = LL1 ... OK!
 Error reading LL2 MBR!

 Termine : << RKreport[26]_S_27122012_215412.txt >>
 RKreport[10]_S_26122012_172510.txt ; RKreport[11]_D_26122012_172518.txt ; RKreport[12]_S_26122012_182948.txt ; RKreport[13]_S_26122012_183149.txt ; RKreport[14]_S_26122012_183636.txt ;
 RKreport[15]_S_26122012_184124.txt ; RKreport[16]_S_26122012_184901.txt ; RKreport[17]_S_26122012_190430.txt ; RKreport[18]_S_26122012_192730.txt ; RKreport[19]_S_26122012_222740.txt ;
 RKreport[1]_S_26122012_013905.txt ; RKreport[20]_D_26122012_222754.txt ; RKreport[21]_S_27122012_205532.txt ; RKreport[22]_S_27122012_214818.txt ; RKreport[23]_D_27122012_214849.txt ;
 RKreport[24]_S_27122012_215008.txt ; RKreport[25]_S_27122012_215018.txt ; RKreport[26]_S_27122012_215412.txt ; RKreport[2]_D_26122012_013954.txt ; RKreport[3]_S_26122012_014009.txt ;
 RKreport[4]_S_26122012_015156.txt ; RKreport[5]_S_26122012_112055.txt ; RKreport[6]_D_26122012_112106.txt ; RKreport[7]_S_26122012_112112.txt ; RKreport[8]_S_26122012_121840.txt ;
 RKreport[9]_D_26122012_121906.txt

 Je l'avais lancé 2 minutes avant en mode "normal", il m'avait rien trouvé...

 J'ai des petits programmes qui apparaissent de partout (dès que j'en supprime un, un autre apparait ailleurs), qui correspondent à ceci : https://www.virustotal.com/fil [...] 356638603/

 L'analyse de RogueKiller m'a renvoyé sur la page : http://tigzyrk.blogspot.fr/201 [...] onale.html .
 Je n'ai pas suivi les manipulations qui sont données, je pense que j'ai quelque chose de plus.

Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 28/12/2012 à 09:48:59  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Zeph'

 ok fais ceci

 
 Effectue ceci :

 prends connaissance de ce tutoriel

 http://www.bleepingcomputer.co [...] r-combofix

 Télécharge Combofix.exe de sUBs sur ton Bureau et pas ailleurs.

 renomme le avant qu'il n'atterisse sur le bureau

 http://www.donnemoilinfo.com/t [...] mboFix.php

 Important : Désactive ton Antivirus et antispyware avant le scan avec Combofix :
 http://forum.pcastuces.com/des [...] -f31s4.htm

 Ferme toutes les fenêtres actives avant de lancer le scan.
 Durant celui-ci, ne touche plus à ton PC tant que celui-ci ne sera pas terminé.
 Il peut y avoir un redémarrage du PC afin de finaliser les suppressions.

 > Double clique sur combofix.exe pour le lancer et valide par OUI
 * Si l'installation de la Console est demandée > Valide!
 * Le scan reprendra après son installation.

 > Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

 NOTE : Le rapport se trouve également ici : C:\Combofix.txt
 *********************
 Infos sur le redémarrage :
 Si tu n'arrive pas à accéder au Bureau (page noire) > Effectue à l'aide ton clavier un [Ctrl + Alt + Suppr] pour obtenir le Gestionnaire des tâches.
 Dans le Gestionnaire > Onglet 'Applications' > Bouton 'Nouvelle tâche...'
 Dans la fenêtre d'exécution tape explorer.exe et valide.
 Cela ouvrira ton Bureau normalement.
 ;)


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
zeph1
  1. Posté le 28/12/2012 à 14:16:07  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Voici le rapport :
 
Spoiler :

ComboFix 12-12-28.02 - Alex 28/12/2012  13:59:38.4.4 - x86 MINIMAL
 Microsoft Windows 7 Professionnel   6.1.7601.1.1252.33.1036.18.221​7.1282 [GMT 1:00]
 Lancé depuis: c:\users\Alex\Desktop\ComboFix​.exe
 AV: Avira Desktop *Enabled/Updated* {F67B4DE5-C0B4-6C3F-0EFF-6C83B​D5D0C2C}
 SP: Avira Desktop *Enabled/Updated* {4D1AAC01-E68E-63B1-344F-57F1C​6DA4691}
 SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132​C1ACF46}
 * Un nouveau point de restauration a été créé
 .
 .
 ((((((((((((((((((((((((((((((​((((((   Autres suppressions   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 .
 C:\config.Bin
 c:\config.bin\9A052F91F29.exe
 c:\config.bin\9FA4488D37EDD7F
 c:\users\Alex\AppData\Roaming\​966AC5
 c:\users\Alex\AppData\Roaming\​966AC5\966AC5.dat
 c:\users\Alex\AppData\Roaming\​966AC5\966AC5.exe
 c:\users\Alex\AppData\Roaming\​windefender
 c:\users\Alex\AppData\Roaming\​windefender\WinDefender.exe
 c:\users\Alex\awt43abr.exe
 .
 .
 (((((((((((((((((((((((((((((   Fichiers créés du 2012-11-28 au 2012-12-28  ))))))))))))))))))))))))))))))​))))))
 .
 .
 2012-12-28 13:05 . 2012-12-28 13:07 -------- d-----w- c:\users\Alex\AppData\Local\te​mp
 2012-12-28 13:05 . 2012-12-28 13:05 -------- d-----w- c:\users\Default\AppData\Local​\temp
 2012-12-28 13:02 . 2012-12-28 13:02 -------- d-----w- c:\users\Alex\AppData\Local\El​evatedDiagnostics
 2012-12-27 10:43 . 2012-12-27 10:44 60872 ----a-w- c:\programdata\Microsoft\Windo​ws Defender\Definition Updates\{88C4967E-B638-47EF-87​C7-C4C834FBA502}\offreg.dll
 2012-12-27 09:24 . 2012-12-16 14:13 295424 ----a-w- c:\windows\system32\atmfd.dll
 2012-12-27 09:24 . 2012-12-16 14:13 34304 ----a-w- c:\windows\system32\atmlib.dll
 2012-12-26 20:26 . 2012-12-26 20:26 -------- d-----w- c:\programdata\Local Settings
 2012-12-26 20:25 . 2012-12-25 18:08 -------- d-----w- c:\users\Alex\AppData\Local\Ma​cromedia
 2012-12-25 17:56 . 2012-12-25 17:56 -------- d-----w- c:\programdata\Kaspersky Lab
 2012-12-25 17:52 . 2012-12-25 17:52 -------- d-----w- c:\users\Alex\AppData\Roaming\​QuickScan
 2012-12-23 09:28 . 2012-12-23 09:28 -------- d-----w- c:\program files\BitTorrent
 2012-12-23 09:27 . 2012-12-27 22:04 -------- d-----w- c:\users\Alex\AppData\Roaming\​BitTorrent
 2012-12-14 17:00 . 2012-11-22 02:56 2345984 ----a-w- c:\windows\system32\win32k.sys
 2012-12-14 16:58 . 2012-11-09 04:42 2048 ----a-w- c:\windows\system32\tzres.dll
 .
 .
 .
 ((((((((((((((((((((((((((((((​((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 2012-12-14 16:50 . 2012-09-29 09:27 134336 ----a-w- c:\windows\system32\drivers\av​ipbb.sys
 2012-12-14 16:50 . 2012-09-29 09:27 83944 ----a-w- c:\windows\system32\drivers\av​gntflt.sys
 2012-11-15 19:34 . 2012-09-29 09:27 36552 ----a-w- c:\windows\system32\drivers\av​kmgr.sys
 2012-12-14 16:47 . 2012-12-14 16:47 262112 ----a-w- c:\program files\mozilla firefox\components\browsercomp​s.dll
 .
 .
 ((((((((((((((((((((((((((((((​(((   Points de chargement Reg   ))))))))))))))))))))))))))))))​))))))))))))))))))
 .
 .
 *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
 REGEDIT4
 .
 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-10-13 17351304]
 "KSS"="c:\program files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe" [2012-04-25 202296]
 "1X1F7AUFUHVWWJVDGXXTNDFNHV"="​c:\config.bin\9A052F91F29.exe" [BU]
 .
 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "Apple_KbdMgr"="c:\program files\Boot Camp\Bootcamp.exe" [2011-06-29 526208]
 "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.e​xe" [2012-01-03 843712]
 "IgfxTray"="c:\windows\system3​2\igfxtray.exe" [2011-08-31 142616]
 "HotKeysCmds"="c:\windows\syst​em32\hkcmd.exe" [2011-08-31 177432]
 "Persistence"="c:\windows\syst​em32\igfxpers.exe" [2011-08-31 176408]
 "SunJavaUpdateSched"="c:\progr​am files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
 "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-12-14 384800]
 .
 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows\currentversion​\policies\system]
 "ConsentPromptBehaviorAdmin"= 5 (0x5)
 "ConsentPromptBehaviorUser"= 3 (0x3)
 "EnableUIADesktopToggle"= 0 (0x0)
 .
 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center\Monitoring\KasperskyAntiVirus]
 "DisableMonitoring"=dword:0000​0001
 .
 R1 avkmgr;avkmgr;c:\windows\syste​m32\DRIVERS\avkmgr.sys [x]
 R2 AntiVirSchedulerService;Avira Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [x]
 R2 AppleOSSMgr;Apple OS Switch Manager;c:\windows\system32\Ap​pleOSSMgr.exe [x]
 R2 AppleTimeSrv;Apple Time Service;c:\windows\system32\Ap​pleTimeSrv.exe [x]
 R2 KeyAgent;KeyAgent;c:\windows\s​ystem32\drivers\KeyAgent.sys [x]
 R2 KSS;Kaspersky Security Scan Service;c:\program files\Kaspersky Lab\Kaspersky Security Scan 2.0\kss.exe [x]
 R2 MacHALDriver;Mac HAL;c:\windows\system32\driver​s\MacHALDriver.sys [x]
 R2 UNS;Intel(R) Management and Security Application User Notification Service;c:\program files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [x]
 R3 acpials;Filtre du capteur de lumière ambiante;c:\windows\system32\D​RIVERS\acpials.sys [x]
 R3 AppleBtBc;Apple Broadcom Built-in Bluetooth;c:\windows\system32\​DRIVERS\AppleBtBc.sys [x]
 R3 bScsiSDx;bScsiSDx;c:\windows\s​ystem32\DRIVERS\bScsiSDx.sys [x]
 R3 CirrusFilter;CS420xLowerFilter​;c:\windows\system32\DRIVERS\C​S420x86.sys [x]
 R3 dmvsc;dmvsc;c:\windows\system3​2\drivers\dmvsc.sys [x]
 R3 IntcDAud;Son Intel(R) pour écrans;c:\windows\system32\DRI​VERS\IntcDAud.sys [x]
 R3 TsUsbFlt;TsUsbFlt;c:\windows\s​ystem32\drivers\tsusbflt.sys [x]
 R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\dri​vers\TsUsbGD.sys [x]
 R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system​32\Wat\WatAdminSvc.exe [x]
 S0 AppleHFS;AppleHFS; [x]
 S0 AppleMNT;AppleMNT; [x]
 S3 applemtm;Apple Multitouch Mouse;c:\windows\system32\DRIV​ERS\applemtm.sys [x]
 S3 applemtp;Apple Multitouch;c:\windows\system32​\DRIVERS\applemtp.sys [x]
 S3 IRRemoteFlt;IR Receiver Filter Driver;c:\windows\system32\DRI​VERS\IRFilter.sys [x]
 S3 KeyMagic;USB Keyboard HID Filter;c:\windows\system32\DRI​VERS\KeyMagic.sys [x]
 S3 MEI;Intel(R) Management Engine Interface ;c:\windows\system32\DRIVERS\H​ECI.sys [x]
 .
 .
 Contenu du dossier 'Tâches planifiées'
 .
 2012-12-28 c:\windows\Tasks\GoogleUpdateT​askUserS-1-5-21-3692050325-194​988042-1758577390-1000Core.job
 - c:\users\Alex\AppData\Local\Go​ogle\Update\GoogleUpdate.exe [2012-01-24 23:08]
 .
 2012-12-28 c:\windows\Tasks\GoogleUpdateT​askUserS-1-5-21-3692050325-194​988042-1758577390-1000UA.job
 - c:\users\Alex\AppData\Local\Go​ogle\Update\GoogleUpdate.exe [2012-01-24 23:08]
 .
 .
 ------- Examen supplémentaire -------
 .
 IE: Free YouTube Download - c:\users\Alex\AppData\Roaming\​DVDVideoSoftIEHelpers\freeytvd​ownloader.htm
 IE: Free YouTube to MP3 Converter - c:\users\Alex\AppData\Roaming\​DVDVideoSoftIEHelpers\freeyout​ubetomp3converter.htm
 TCP: DhcpNameServer = 192.168.1.1
 FF - ProfilePath - c:\users\Alex\AppData\Roaming\​Mozilla\Firefox\Profiles\tdvdh​8pn.default\
 .
 - - - - ORPHELINS SUPPRIMES - - - -
 .
 HKCU-Run-fCoder - c:\users\Alex\AppData\Roaming\​966AC5\966AC5.exe
 .
 .
 .
 --------------------- CLES DE REGISTRE BLOQUEES ---------------------
 .
 [HKEY_LOCAL_MACHINE\system\Cont​rolSet001\Control\PCW\Security​]
 @Denied: (Full) (Everyone)
 .
 ------------------------ Autres processus actifs ------------------------
 .
 c:\windows\system32\conhost.ex​e
 .
 ******************************​******************************​**************
 .
 Heure de fin: 2012-12-28  14:09:18 - La machine a redémarré
 ComboFix-quarantined-files.txt  2012-12-28 13:09
 ComboFix2.txt  2012-12-28 11:27
 ComboFix3.txt  2012-12-27 22:14
 ComboFix4.txt  2012-12-27 21:56
 .
 Avant-CF: 74 990 919 680 octets libres
 Après-CF: 74 935 750 656 octets libres
 .
 - - End Of File - - F62D299E5AD42E004A61FCF718476F​06
 


 Je l'ai lancé plusieurs fois, et avant le dernier scan le programme dont je parlais avant est réapparu (j'ai eu une mise à jour pour ComboFix qui s'est téléchargée avant l'exécution de l'avant-dernier scan).

(Publicité)
Profil : Equipe sécurité
did80
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés) Helpeur confirmé
  1. Posté le 29/12/2012 à 11:35:41  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
:hello: Zeph'

 pas bien compris il a été supprimé ou pas ton

 rogue windefender  a te lire ;)

 
 http://www2.joliecarte.com/ima​ges/carte_mini/bonne_annee_pay​sages_hiver/carte-bonne-annee.​jpg


---------------
l'urgent est fait , l'impossible est en cours
pour les miracles prévoir des délais
 Page :
1

Aller à :
 

Sujets relatifs
Plus de sujets relatifs à : Veucux.exe

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Cheval de troie 1
objet caché [résolu] 25
PC contaminé : navigation impossible [résolu] 31
PC contaminé : naviguation impossible 1
Problème Bywifi [RESOLU] 20