HTML:Iframe-inf

Question

Bonjour,
C'est la cata !!! A chaque démarrage, Avast m'informe que j'ai le virus HTML:Iframe-inf !! J'ai formater mon pc il y a pile une semaine à cause de lui !! Je ne peut plus ouvrir Firefox ou IE et mes logiciels de converstion en mp4 pour ipod, comme d'autre de mes .exe ne s'ouvrent plus ! Je ne sais pas où j'ai chopé sa mais c'est dans mes fichiers temporaire. J'ai plus Ccleaner var j'ai penser que c'était lui qui m'avait ammené le virus ! Que faire ??

loloetseb · Answer

Télécharge FindyKill sur ton bureau : 

http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe 

--> Lance l'installation avec les paramètres par defaut 

--> Double-clique sur le raccourci FindyKill sur ton bureau 

--> Au menu principal, choisis l'option 1 (Recherche) 

--> Poste le rapport FindyKill.txt 
 
Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.

loloetseb · Answer

Salut, 

Peux tu faire un scan hijack this,

Fais "do a scan and save a log",copies le rapport (ctrl+c) et postes le (ctrl+v) sur cette page 


http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Tu as un autre pc pour telecharger? Si oui essaies d'utiliser un cr reinscriptible plutot qu'une clefs usb (sait on jamais)

Cohars · Answer

nan, je peux rien télècharger :s. Parti comme c'est jvais formater !!

loloetseb · Answer

Bon le reformatage ne supprime plus les virus de nouvelle generation donc tu riisque de les avoir encore.

J'ai une astuce qui peu peut etre marcher,essaie de te creer une autre cession,j'avais eu le meme probleme et cela avait fonctionné,j'avais pu charger les logiciels pour desinfecter mon ordinateur

Cohars · Answer

j'ai toujours pas réussi à ouvrir Firefox, mais IE s'est ouvert !! J'ai pu remettre Ccleaner et passer un petit coup sur mon ordi avec la procédure que j'ai pu voir sur un autre message du forum et voilà le rappporte hijackthis : 


// deleted

Cohars · Answer

Et je vien de remarquer que quand j'ouvrai une nouvelle page internet (en gros dès que je clique sur quelque chose sur internet) j'ai 1 ou 3 page d'Avast qui s'ouvre, me disant qu'un virus a était repéré (HTML:Iframe-inf) et qu'il se sittu dans "Locals Settings", dossier qui n'existe pas (j'ai effectué une recherche et j'ai suivi le chemin d'accès, je n'ai jamiaus pu trouver ce dossier !)

loloetseb · Answer

Bon si tu n'as pas d'autres ordinateur pour charger des logiciels de desinfection,on va faire cette manipulation qui peut marcher.Crée toi une nouvelle cession utilisateur,cela devrait nous laisser le temps de surfer un peu pour la desinfection

Cohars · Answer

Voici le rapport FindyKill : 

######################

// deleted

loloetseb · Answer

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir 


--> Fais clic droit sur le raccourci FindyKill sur ton bureau 

--> Au menu principal,choisi l option 2 (Suppression) 


/!\ il y aura 2 redémarrage, laisse travailler l outils jusqu a l apparition du message "nettoyage effectué" 

/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c est normal ! 

-------> ensuite post le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

Cohars · Answer

J'ai créer une nouvelle session ma ça ne change rien du tout, je peux toujours ouvrir IE et j'ai toujours le mesage d'Avast à chaque cliques, 'fin bref ... qu'est ce que je fais pour désinfecter ?? :D

loloetseb · Answer

Ah je pensais que ca avait marché ,vu que tu avais poster le rapport findy kill

loloetseb · Answer

Et si tu desactives avast? Sait on jamais

Cohars · Answer

Nan mais maintenant c'est bon je peux ouvrir Internet Explorer (depuis ce matin) et donc télécharger les petits logiciels !! Donc je vien de brancher mon disque dur externe. Je lance FindyKill !!

loloetseb · Answer

Oui vas y

Ensuite telecharges malwarebytes,fait la mise a jour,un scan rapide et postes moi le rapport


Télécharge Malwarebytes’ Anti-Malware 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

- Sur la page cliques sur Télécharger Malwarebyte’s Anti-Malware 
- Enregistres le sur le bureau 
- Double cliques sur le fichier téléchargé pour lancer le processus d’installation 
- Lorsqu’il te le sera demandé, met à jour Malwarebytes anti malware 
- Si le pare-feu demande l’autorisation de se connecter pour malwarebytes, acceptes 
- Une fois la mise à jour terminée, ferme Malwarebytes 
- Double-cliques sur l’icône de malwarebytes pour le relancer 
- Dans l’onglet, Recherche, probablement ouvert par défaut, 
- Sélectionne Exécuter un examen complet 
- Clique sur Rechercher 
- Le scan démarre 
- A la fin de l’analyse, un message s’affiche : L’examen s’est terminé normalement. Cliquez sur ‘Afficher les résultats’ pour afficher tous les objets trouvés. 
- Cliques sur Ok pour poursuivre. 
- Si des malwares ont été détectés, cliques sur Afficher les résultats 
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d’analyse. 
- Rends toi dans l’onglet rapport/log 
- Tu cliques dessus pour l’afficher une fois affiché 
- Tu cliques sur édition en haut du bloc notes, et puis sur sélectionner tout 
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse 
- Tu cliques droit dans le cadre de la réponse et coller 

Si tu as besoin d’aide regarde ce tutorial 

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Ensuite:


Fais un scan hijack this,

Fais "do a scan and save a log",copies le rapport (ctrl+c) et postes le (ctrl+v) sur cette page 


http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Cohars · Answer

Rapport de Supression FindyKill 



###################### [ FindyKill V4.715 ] 

// deleted

loloetseb · Answer

Je te conseille de supprimer les cracks car sinon l'infection risque de se reinstaller.


\\\\\\\\\ [ Searching Cracks / Keygen ] ///////////////////

C:\Program Files\GIMP-2.0\share\gimp\2.0\patterns\cracked.pat 

Ensuite ,fait un scan avec malwarebytes

loloetseb · Answer

Postes moi le rapport malwarebytes

Cohars · Answer

Bon j'ai supprimé le crack, vous sauriez me dire d'où il vient ?? je suis entrain de faire un scan.

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1740
Windows 5.1.2600 Service Pack 3

09/02/2009 13:09:12
mbam-log-2009-02-09 (13-09-12).txt

Type de recherche: Examen rapide
Eléments examinés: 52240
Temps écoulé: 3 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Cohars · Answer

oula, ej crois que j'ai pas copié tout le rapport :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1740
Windows 5.1.2600 Service Pack 3

09/02/2009 13:09:12
mbam-log-2009-02-09 (13-09-12).txt

Type de recherche: Examen rapide
Eléments examinés: 52240
Temps écoulé: 3 minute(s), 34 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

loloetseb · Answer

Salut, 

Fais un scan hijack this,

Fais "do a scan and save a log",copies le rapport (ctrl+c) et postes le (ctrl+v) sur cette page 


http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

Cohars · Answer

Le virus et sur un fichier appeé ajout[1].htm, que je supprime à chaques fois que je charge une page intenret mais que seul avast trouve ! ça m'erve trop là !!

loloetseb · Answer

On va voir avec ton rapport hijack this ce qui se cache derriere ca

Cohars · Answer

Voilà mon rapport :



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:28:04, on 09/02/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre1.6.0_07\bin\jucheck.exe
C:\Program Files\Trend Micro\HijackThis\MonJack.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Cohars · Answer

Pour le moment j'ai pas grand chose de changé :s !!

loloetseb · Answer

======================== SDFIX ======================== 

• Télécharger sur le bureau 

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 

• Double-Click sur le fichier SDFix.EXE et se laisser guider pour l'installation 
• Le programme s'installe dans le répertoire C:\SDFix 

Il est indispensable d'effectuer le nettoyage avec SDFix en mode sans échec. 
------ 
• Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes) 
• Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. 

• Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage 
• Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel 
------- 
• Une fois en mode sans échec, cliquer sur le menu Démarrer puis Exécuter et coller la commande suivant : C:\SDFix\RunThis.bat 
• Taper Y puis appuyer sur la touche Entrée du clavier, afin de lancer le nettoyage ! 
• SDFix va procéder au nettoyage, patience...cela peut durer une trentaine de minutes 
• Une fenêtre indique que SDFix doit redémarrer l'ordinateur afin de terminer le nettoyage. 
------- 
• Appuyer sur une touche du clavier pour redémarrer le PC. 
• Au redémarrage du PC, SDFix indique que le nettoyage est terminé. 
• Appuyer sur une touche du clavier afin d'ouvrir le rapport créé par SDFix. 
• Il peut être enregistré si besoin, par exemple si on demande de le poster sur un forum (menu Edition / Enregistrer sous). 
• Sans quoi le rapport sera quand même sauvegardé dans le fichier suivant : Report.txt 
dans le dossier SDFix (ex : C:\SDFix\Report.txt).

loloetseb · Answer

Ben tu as deja l'infection bagle du a tes cracks qui est eradiqués.c'est deja un bon debut

loloetseb · Answer

Supprimes ce que tu as en quarantaine dans Avast et dans tes logiciels antimalwares


Ensuite supprimes te fichiers temporaires et nettoies ton registre


===================== CCLEANER ======================== 
Pour le petit coup de polish. 
• Appliquer la procédure ci-dessous. 
• l'outil pourra être conservé pour faire le ménage de temps en temps en appliquant la même procédure. 

• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo. 
• Fermer toutes les applications 
• Lancer CCLeaner 
S'il n'est pas en Français cliquer sur Options, Setting, Language et sélectionner Français 
• cocher dans le menu Nettoyeur - onglet Windows : 
Internet Explorer: Fichiers Internet Temporaires, Cookies 
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers 
• Avancé: Vieilles données du Prefetch 
• Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures 
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java 
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications : 
Firefox/Mozilla: Cache Internet, Cookies 
• Click sur Analyse 
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur. 
• Click sur Registre 
• Sélectionner tout 
• Click sur Chercher des erreurs (En bas) 

Une fois le scan terminé sélectionner tout 
• Click sur Réparer les erreurs sélectionnées

Cohars · Answer

Bon, me revoilà, je vais faire tous ça !!

Cohars · Answer

Et après ce sera bon ?? Je refai le scan SDFix là, sa à pas marché la première fois !!

loloetseb · Answer

Si jamais ca marche pas ,renommes le sd-fix

Cohars · Answer

That's good ! voilà le rapport : 




[b]SDFix: Version 1.240 [/b] 
Run by **** on 09/02/2009 at 14:49 

Microsoft Windows XP [version 5.1.2600] 
Running From: C:\SDFix 

[b]Checking Services [/b]: 


Restoring Default Security Values 
Restoring Default Hosts File 

Rebooting 


[b]Checking Files [/b]:  

No Trojan Files Found 






Removing Temp Files 

[b]ADS Check [/b]: 
  


                                 [b]Final Check [/b]: 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net 
Rootkit scan 2009-02-09 14:54:12 
Windows 5.1.2600 Service Pack 3 NTFS 

detected NTDLL code modification: 
ZwOpenFile 

scanning hidden processes ... 

scanning hidden services & system hive ... 

scanning hidden registry entries ... 

scanning hidden files ... 

scan completed successfully 
hidden processes: 0 
hidden services: 0 
hidden files: 0 


[b]Remaining Services [/b]: 




Authorized Application Key Export: 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" 
"C:\Program Files\ma-config.com\maconfservice.exe"="C:\Program Files\ma-config.com\maconfservice.exe:LocalSubNet:Enabled:maconfservice" 
"C:\Program Files\Microsoft Games\Age of Empires III\age3.exe"="C:\Program Files\Microsoft Games\Age of Empires III\age3.exe:*:Enabled:Age of Empires 3" 
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" 
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour" 
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes" 
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" 
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" 
"C:\Program Files\BitComet\BitComet.exe"="C:\Program Files\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client" 
"\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1" 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] 
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" 
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" 
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call" 
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger" 

[b]Remaining Files [/b]: 



[b]Files with Hidden Attributes [/b]: 


[b]Finished![/b] 


Maintenant encore et toujours Ccleaner ^^

loloetseb · Answer

Bon ben ca va se corser car tu as un rootkit.Ca fait partie des bebetes assez tenaces.On va tenter de l'avoir avec gmer (je vais te poster la procedure),sinon on sortira l'artillerie lourde!!!

Cohars · Answer

Sa veut dire que je suis pas couché c'est sa ?

gen-hackman · Answer

salut je me permets avant que tu sortes l'artillerie lourde loloetseb  :)

 Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. 

-> http://images.malwareremoval.com/random/RSIT.exe 

! Déconnecte toi et ferme toutes tes applications en cours ! 

Double-clique sur " RSIT.exe " pour le lancer . 

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ... 


-> laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum 


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Cohars · Answer

En tout cas merci de ton aide !!

*Il y a une petite amélioration, avant, sur internet, certaines Images (par exemple, le logo "comment çsa marche" ou le petit bonhomme qu'on voit quand on rentre son pseudo sur ce site) n'aparaissaient pas, maintenant, si !! Par contre Firefox n'est otujours pas ouvrable et il y a toujours Avast qui s'active quand je charge une page internet !

gen-hackman · Answer

ok alors avant de faire rsit fait ceci :

Passer de Avast à AntiVir :

Désinstalle via Ajout/Suppression de Programmes (si présents) :

    * Avast!


Télécharge et exécute le Désinstalleur d'Avast!. : https://www.avast.com/uninstall-utility
Ceci effacera la majorité des traces du produit Avast! d'Alwil Software.

Télécharge Ccleaner sur ton Bureau. : https://filehippo.com/download_ccleaner/

    * Clique sur  "download the latest version"
    * Installe-le en laissant seulement les options suivantes cochées :

- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner

    * Lance le Nettoyage
    * Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.


Aide : Comment utiliser CCleaner.: http://www.infos-du-net.com/forum/272336-7-Ccleaner-under-construction

***************

Télécharge AntiVir sur ton Bureau.: http://dlce.antivir.com/down/windows/antivir_workstation_winu_fr_h.exe

    * Double clique sur l'exécutable téléchargé pour lancer l'installation.
    * À la fin de l'installation, clique sur Finish.
    * Ouvre Antivir, assure-toi qu’il soit bien à jour !
    * Dans l'onglet Protection Locale, choisis Contrôler.
    * Active la recherche de rootkits via le + de Recherche de Rootkits, puis dans Sélection manuelle, coche tout (tes partitions de disque dur).
    * Clique sur la loupe du milieu pour lancer le scan en tant qu'Administrateur.
    * Poste moi le rapport généré : Pour cela, clique sur l'onglet Aperçu, puis choisis Rapports, tu trouveras son rapport..
    * Sélectionne le rapport et clique sur l'icône "Afficher le fichier de rapport du rapport sélectionné.


Note : Pour une éradication des menaces plus efficace, lance le scan en mode sans échec.

Pourquoi changer ? Avast vs Antivir.:http://forum.malekal.com/ftopic3528.php

Aide : Comment installer et utiliser AntiVir.

https://www.malekal.com/avira-free-security-antivirus-gratuit/

Cohars · Answer

// deleted

Cohars · Answer

Et voici info.txt : 



// deleted

loloetseb · Answer

Telecharges gmer

http://www.gmer.net#files

tutorial ici

https://www.malekal.com/supprimer-rootkit-windows/


Dezippes gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

Ensuite

sur les lignes rouge:

Services:cliques droit delete service
Process:cliques droit kill process
Adl ,file:cliques droit delete files

loloetseb · Answer

Ben genhackman,je pense qu'on doit l'avoir avec gmer ce rootkit,on essaie?

loloetseb · Answer

C'est vrai que l'on conseille antivir à la place d'avast car il est plus performant (tu peux le parametrer en plus afin qu'il te detecte les rootkit au demarrage).Sinon t'inquietes pas ca prendra pas toute la nuit.Soit Genhackman va te debusquer le process et te le virer,soit gmer va le faire ,soit un autre logiciel de desinfection le fera

Cohars · Answer

"gmer.exe a rencontré un problème et doit fermer"

"signature de l'erreur 
AppName : gmer.exe          AppVer: 1.0.14.14536

" 
....
ent tout cas ce sera pas gmer !

loloetseb · Answer

Ca a fait ca quand tu as dezipper ou au lancement?.Car pour dezipper cliques droit et cliques sur dezipper ici

Cohars · Answer

Ni antivir : 

La somme CRC de 

C:\DOCUME~1\********\****
a été modifiée ! Cela pourrai avoir était provoqué par un virus ! 

                                                             |   ok   |

Cohars · Answer

Bin je fais extraire le fichier, afficher les fichier extrait et "executer" sa marche pas !

gen-hackman · Answer

---> Désactive ton antivirus le temps de la manipulation car OTMoveIt3 est détecté comme une infection à tort. 

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau : 
http://oldtimer.geekstogo.com/OTMoveIt3.exe 

---> Double-clique sur OTMoveIt3.exe afin de le lancer. 

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes 
explorer.exe 

:files 
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} 

:commands 
[purity] 
[emptytemp] 
[start explorer] 
[reboot] 




---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3. 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

loloetseb · Answer

Si tu as telecharger antivir et installé ,as tu d'abord desinstaller avast (imperatif)

http://www.commentcamarche.net/faq/sujet 8172 desinstaller proprement avast

Avant de le desinstaller ,tu cliques droit sur l'icone et tu arrettes la protection residente,apres dans ajout suppression,tu fais suppression,si cela ne marche pas,tu utilises le logiciel de desintallation.

Ensuite tu lances la mise a jour antivir,ensuite tu vas dans configuration et tu coches detection rootkit au demarrage.Tu arrettes l'ordinateur et tu le redemarres

loloetseb · Answer

Ah c'est la qu'on voit l'experience et la pratique.Trop fort genhackman.

gen-hackman · Answer

tu sais je pensais a un truc:

il faudrait qu'on se capte et qu on se voie que je t'explique 2 ou 3 trucs qui manquent a ton experience deja pas mauvaise

loloetseb · Answer

Ben genhackman,je t'ai dit ca me ferait plaisir qu'on se fasse une petite mousse un soir.Si tu connais le o bradys,c'est super sympa comme endroit? Ou alors ailleurs?

Cohars · Answer

Génial !! Ce soir, au o bradys, j'enmmène mon PC !! mdr !! Bon là j'installe antivir !

loloetseb · Answer

C'est pas vrai cohars ,t'es de marseille aussi.C'est forza marseille sur ce topic alors!!!!

Cohars · Answer

au fait, le rapport OTMoveIt

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86\x86 moved successfully.
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}\x86 moved successfully.
C:\Documents and Settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6} moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02092009_160316

Cohars · Answer

Impossible d'installer AntiVir !!

Cohars · Answer

bon, je revien dans une heure sa m'énerve trop !! a toute a l'heure peut être !! merci encore !

loloetseb · Answer

Bon c'est pas trop grave dans l'immediat.Si tu as bien supprimer Avast maintenant,supprimes antivir et re telecharges le.Y'a du avoir un conflit dans l'installation avec avast ou des infections ont perturbés le fonctionnement (peut etre le rootkit).On va attendre l'avis de genhackman.

Cohars · Answer

Rapport malwarebyte :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1740
Windows 5.1.2600 Service Pack 3

09/02/2009 16:29:27
mbam-log-2009-02-09 (16-29-27).txt

Type de recherche: Examen rapide
Eléments examinés: 49348
Temps écoulé: 4 minute(s), 39 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 6
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 24

Processus mémoire infecté(s):
C:\WINDOWS\system32\pdbcopy.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\codeblocks.exe (Trojan.Agent) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\zsahrbah (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\zsahrbah (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\zsahrbah (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\protect (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\protect (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\pdbcopy.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\pdbcopy.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\codeblocks.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\codeblocks.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\zsahrbah.sys (Rootkit.Pakes) -> Delete on reboot.
C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\c++.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pdbcopy.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\i386kd.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\codeblocks.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\deviceemulator.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\makehm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\undname.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\B.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\C.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\D.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\F.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

loloetseb · Answer

Ils sont vraiment fort ces rootkit,y'a 1/2 heure, malwarebytes ne detectait rien,on vire un rookit et oh miracle,tu as toute la tartine.

Supprimes ce que tu as en quarantaine dans malwarebytes et essaies de supprimer antivir,de le retecharger,de faire la mise a jour,et, de lancer un scan complet.C'est sur qu'avec toutes ces m....,ca devait bien moins marcher.

Cohars · Answer

Me revoilà ! je vais voir pour avst et antivir si il y a des traces sur mon PC

Cohars · Answer

Petit Rapports :


Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1740
Windows 5.1.2600 Service Pack 3

09/02/2009 18:33:40
mbam-log-2009-02-09 (18-33-40).txt

Type de recherche: Examen rapide
Eléments examinés: 49384
Temps écoulé: 4 minute(s), 43 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
C:\WINDOWS\system32\i386kd.exe (Trojan.Agent) -> Failed to unload process.
C:\WINDOWS\services.exe (Backdoor.ProRat) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)



Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\flxbxsku (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\flxbxsku (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\flxbxsku (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\protect (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\protect (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\i386kd.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\i386kd.exe -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\services.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\drivers\flxbxsku.sys (Rootkit.Pakes) -> Delete on reboot.
C:\WINDOWS\system32\drivers\protect.sys (Trojan.NtRootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\i386kd.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

Cohars · Answer

Toujours pareil pour antivir !!

Cohars · Answer

éhéh !! J'ai installer antivire juste arpès la supression de fichiers trouvé par malewarebytes sans redémarrer mon pc, c'est bon !! (pour antivir !)

Cohars · Answer

Pfff .... enfait c'est toujours pareil !!

Cohars · Answer

S'il vous plait, aidez moi, je le tien là, c'est juste que je peux ni le supprimer, ni le renomer, ni le déplacer ni ... comment le supprimer ce petit *** ??

loloetseb · Answer

Je suis revenu,gros coup de pompe hier.Eh ben ,tu avais la total,du rootkit,du backdoor et un beau serveur prorat.

1/ Supprimes tout ce que tu as en quarantaine dans ton antivirus et dans ton antispyware.

2/Refais un scan malwarebytes (apres mise a jour) et postes moi le rapport.

3/Ensuite repostes moi un hijack this

Cohars · Answer

oki, tout dsuite chef ^^ :D

Cohars · Answer

Et est-ce que c'est pour ça d'après toi que je ne peux pas ouvrir certaines application comme "IpodMe by Nova" ou "Vidora IpodTouch converter" ?

loloetseb · Answer

Ah ben c'est sur que ca devait pas arranger.Tu telecharges aussi en p2p des films ,musiques et jeux? car le fait de ne pas ouvrir des logiciels de creation,me fait plus penser à un bagle.

Pour info un serveur prorat permet de prendre à distance,ton ordinateur,acceder a tous tes fichiers,y compris la webcam et les comptes perso (connais tu quelqu'un qui a pu s'amuser a cela?).

loloetseb · Answer

Apres m'avoir poster le rapport malwarebytes.Peux tu installer maintenant antivir?

Cohars · Answer

Je sais pas si sa va marcher !!

Cohars · Answer

Désolé je prend mon temps ^^  voilà le rapport :


Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1742
Windows 5.1.2600 Service Pack 3

10/02/2009 12:28:43
mbam-log-2009-02-10 (12-28-43).txt

Type de recherche: Examen rapide
Eléments examinés: 53577
Temps écoulé: 4 minute(s), 49 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\services.exe (Backdoor.ProRat) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Protect (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers
ivouucu.sys (Rootkit.Pakes) -> Delete on reboot.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\services.exe (Trojan.Agent) -> Delete on reboot.

loloetseb · Answer

Laisses finir le scan malwarebytes,postes moi l ,apres on verra pour antivir

Cohars · Answer

// deleted

loloetseb · Answer

Supprimes les restes que tu peux avoir d' avast

http://www.commentcamarche.net/faq/sujet 8172 desinstaller proprement avast

Supprimes l'antivir que tu avais chargé car il doit etre verrolé,puis retelecharges le ici

http://www.commentcamarche.net/telecharger/telecharger 55 antivir

loloetseb · Answer

1/Parametres antivir afin qu'il te detecte les rootkit au demarrage,comme indiqué dans le tutorial (configuration puis cocher la case "detecter rotkit au demarrage de l'ordinateur).

http://www.libellules.ch/tuto_antivir.php

2/ supprimes ce que tu as en quarantaine dans malwarebytes

3/Eteins pui redemarres ton ordinateur.Lances un scan complet avec antivir et postes moi le rapport

4/Ensuite telecharges superantispyware,mets le a jour et fais un scan complet puis postes moi le rapport (a la fin du scan ,cliques sur suivant afin de mettre ce qu'il te trouve en quarantaine,ensuite tu vas dans preferences,rapport et statistiques,tu cliques sur le rapport et tu me postes le rapport

http://www.commentcamarche.net/telecharger/telecharger 34055294 superantispyware


Je vais analyser ton rapport hijack this.Je pense que l'on devrait pas tarder à en finir

loloetseb · Answer

Regardes si tu peux accéder a ce fichier (si tu le trouves pas, affiches les dossiers cachés).

C:\WINDOWS\services.exe

Si tu le trouves,essaie de mettre à la poubelle car c'est un logiciel malveillant.Attention certains fichiers ressemblant sont legitimes,mets bien ce fichier et pas un autre à la poubelle

Cohars · Answer

Pour antivir c'est toujours pareil et impossible de supprimer services.exe !

loloetseb · Answer

Bon on verras plus tard pour antivir

Relances un scan complet malwarebytes puis postes rapport,et supprimes ensuite ce que tu as en quarantaine

Ensuite Lances un scan rapide avec superantispyware apres mise a jour.Quand le scan est terminé cliques sur suivant pour mettre en quarantaine et postes moi ensuite le rapport.

loloetseb · Answer

Bon ,on va tester quelque chose pour cette ligne infectieuse.J'ai trouvé un moyen de la supprimer.

Peux tu d'abord faire un scan sur virus total

https://www.virustotal.com/gui/

Copies /colles cette ligne,pui lance le scan ,un rapport va s'editer,postes moi le

C:\WINDOWS\services.exe

Cohars · Answer

Que je te poste quoi exactement en fait ,?

Cohars · Answer

Ah oué, je vois !! Par contre, est pu là services.exe. Ah si !! Il est allez dans system32 !! c'est bien, lui ?

loloetseb · Answer

Le rapport qui va s'editer sur virus total

loloetseb · Answer

non pas dans system 32 ,ce prog est legitime,c'est ce que je te disais tout a l heure

Cohars · Answer

Bin il existe plus alors. Je refais un p'tit scan :

Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1742
Windows 5.1.2600 Service Pack 3

10/02/2009 13:39:12
mbam-log-2009-02-10 (13-39-12).txt

Type de recherche: Examen rapide
Eléments examinés: 53697
Temps écoulé: 4 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\rbppzbbd (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\rbppzbbd (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rbppzbbd (Rootkit.Pakes) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Protect (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hdlijiny.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\hdlijiny.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\rbppzbbd.sys (Rootkit.Pakes) -> Delete on reboot.
C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

loloetseb · Answer

Le service du system 32 est legitime,celui ci non


C:\WINDOWS\services.exe

C'est ce que je te disais tout a l heure tres vicieux le trojan

loloetseb · Answer

Tu ne le trouve plus (tu l'avais pourtant vu tout a l heure?)

C:\WINDOWS\services.exe

loloetseb · Answer

Bon j'ai compris si tu ne le trouve pas c'est parce que malwarebytes te l'as viré.Le rapport hijack this que tu m'as posté ensuite a ete fait en fait avant le scan malwarebytes.

Essaies de m'nevoyer les rapports dans l'ordre sinon,on se mord la queue.

Peux tu me refaire un rapport hijack this maitenant (et pas celui d'hier)

Cohars · Answer

Aujourd'hui je t'ai posté, dans l'ordre : MalwareBytes -> hijack this -> MalwareBytes. Je refais un hijack this

loloetseb · Answer

On va voir si le service.exe est encore present (c'est le serveur prorat).As tu au cas ou garder gmer car s'il fonctionne maintenant ,on pourra virer prorat avec gmer

Cohars · Answer

// deleted

loloetseb · Answer

Ok donc service.exe a bien ete viré .Eteins ton ordinateur et rallumes car malwarebytes va te virer le rootkit pakes au redemarrage,ensuite tu supprimera apres redemarrage ce que malwarebytes a dans sa quarantaine.A tout de suite

Cohars · Answer

Gmer ne marche toujours pas, et je ne usis pas de marseille enfait ^^:D

Cohars · Answer

Re, et mintenant ?? :D

loloetseb · Answer

Tu as toujours gmer sur ton ordinateur?

Cohars · Answer

Oui, mais il marche toujours pas !

loloetseb · Answer

Verifies qu'il n'y est plus de ligne rouge

Telecharges gmer

http://www.gmer.net#files

tutorial ici

https://www.malekal.com/supprimer-rootkit-windows/


Dezippes gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

Ensuite

sur les lignes rouge:

Services:cliques droit delete service
Process:cliques droit kill process
Adl ,file:cliques droit delete files

loloetseb · Answer

P...... J'ai jamais vu autant d'infection.Bon suis bien la procedure ci dessous.Je te conseille vivement d'installer la console de recuperation.La console doit s'installer automatiquement.Si ce n'est pas l cas ,fais le manuellement (procedure à la fin du tutorial)



............
/!\ A l'attention de ceux qui passent sur ce sujet /!\ 
Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur du forum vous l'a recommandé. 


On va utiliser Combofix pour finir la désinfection. Attention, ce logiciel est très puissant, une mauvaise utilisation peut faire des dégâts... Fais exactement ce qui suit : 

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix dans dans la fenêtre qui s'ouvre, puis choisis le Bureau comme destination et valide : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

--------------------------------------------- [ ! ATTENTION ! ] ---------------------------------------------------------- 
!! déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !! 

Dans ton cas, il s'agit d'Avast (fais un clic-droit sur l'icone près de l'horloge et clique sur « Arrêter la protection résidente ») 

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre... 

Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
--------------------------------------------------------------------------------------------------------------------------------- 

Ensuite : 
double-clique sur C-Fix.exe (= combofix.exe ) . 

Appuie sur une touche pour démarrer le scan . 

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer 

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Cohars · Answer

Bon ... let's go ^^ :D

Cohars · Answer

Malwarebytes ne détecte plus de rootkit Mais j'ai plus internet sur mon pc !! Comment faire ?? Adresse IP non valude !

loloetseb · Answer

Tu n'accede pas au lien combofix,ou tu n'as plus d'internet ?

Cohars · Answer

Non non mais c'est bon pour ComboFix !! Mais depuis j'ai plus internet du tout !! Je suis sur mon itouch là ! Alors bin voilà ^^

loloetseb · Answer

Fais redemarrer ton ordinateur,tu devrais retrouver la connexion internet

loloetseb · Answer

Si meme avec le demarrage,la connexion n'est pas revenu,fais ceci

   1.  Cliquez sur le bouton Démarrer.
   2. Cliquez sur l'option de menu Paramètres.
   3. Cliquez sur l'option Panneau de configuration.
   4. Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau. Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.
   5. Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.
   6. Vous verrez alors un menu similaire à celui de l'image ci-dessous. Cliquez simplement sur l'option de menu Réparer.


      Réparer 
     


   7. Laissez le processus de réparation se dérouler, et lorsqu'il a terminé, votre connexion Internet devrait être de nouveau opérationnelle.

Sinon, si une icône de votre réseau apparaît aussi dans la barre des tâches Windows, vous pouvez la réparer en faisant un clic droit sur l'icône et en choisissant Réparer comme le montre l'image ci-dessous:

Réparer

loloetseb · Answer

Tu as recuperé la connexion ou pas?

Cohars · Answer

Non ...

loloetseb · Answer

Meme en arrettant et redemarrant l'ordinateur?

Tu as aussi essayé de faire la procedure de reparation de la connexion internet (comme indiqué sur le post 103)

gen-hackman · Answer

rebonjour :


réouvre hijackthis 
fais scan only 
coches ces lignes : 
F2 - REG:system.ini: Shell=explorer.exe 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system3­2\windres.exe,C:\WINDOWS\system32\regwiz.exe,C:\WINDOWS\syst­em32\idaw64.exe,C:\WINDOWS\system32\vmware-ufad.exe,C:\WINDO­WS\system32\undname.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime 
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" 
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background 


tu les coches et tu clic sur fix checked 

ensuite :

Télécharge Zeb-Restore http://telechargement.zebulon.fr/zeb-restore.html enregistre ce fichier sur le bureau. 

-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau. 
-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 
- Coche la case devant : 

Internet Explorer et restoration des fichiers hosts
- Ne coche aucune autre case 
-Clique sur Restaurer 
-Redémarre ton PC

loloetseb · Answer

Salut genhackman,le sauveur du sud est..Je t'attendais avec impatience

Cohars · Answer

je peux pas pour ZebRestore !! Mais j'ai eu une consol de récupération avec  Combo-Fix

gen-hackman · Answer

peux pas pour ZebRestore 

developpe stp

tu peux pas le telecharger ? qu'a cela ne tienne fais-le d un autre pc et direct clé usb

Cohars · Answer

Avec hijack j'ai trouvé que les lignes qui commencent par 04-  ! Et sinon j'ai pourrai pas rentrer une adresse IP manuellement ??

Cohars · Answer

Oué ... Bin j'verrai un autre jour, j'ai pas d'autre PC !

Cohars · Answer

Il n'y a pas d'autre moyen ??

Cohars · Answer

Ma mère me ramènne zeb-restore dans 1h en rentrant de son travail !! Faut autre chose ou bien j'aurai internet avec ça ??

loloetseb · Answer

Tu n'as plus les lignes F2 car elle etaient verrolées.Combofix a du les virer.Zeb restaure va te restaurer des host propres.C'est par contre incroyable que la procedure du developpeur de combofix pour restaurer la connexion internet ne fonctionne pas.

Je reste connecté de toute facon

Cohars · Answer

J'ai rien fait avec combofix pour internet ?? Si ? Lol

gen-hackman · Answer

retente FindyKill option 2

puis :

malwarebytes en examen complet en mode sans echec

Cohars · Answer

J'ai pu findykill !

gen-hackman · Answer

ok passe a MBAM comme indiqué

ensuite tu renverras un log.txt de rsit s'il te plait

loloetseb · Answer

Cohars ,tu dois avoir ,entre autres, un nouveau virus nouvelle generation tres glouton

Cohars · Answer

Dans le gestionnaire des périphériques, il y a un point d'exclamation sur carte réseau Fast Ethernet et sur Miniport Réseau étendu !!

Cohars · Answer

Dans le gestionnaire des périphériques, il y a un point d'exclamation sur carte réseau Fast Ethernet et sur Miniport Réseau étendu !!

gen-hackman · Answer

as tu fait ce demandé plus haut ?

MBAM comme indiqué au dessus + le rsit stp !!

apres on verra pour tes pilotes reseau (c'est une marvell yukon ?)

Cohars · Answer

Au moment où je vous parle, je suis sur une bête de course retrouvée dans mon grenier !! Un p'tit NEC génial !! :D. Demain je part au States donc on verra sa dans une semaine pour mon gros virus ... merci beaucoup de votre aide, je vais voir pour zeb-restore ! Mais dans l'immédiat, ce qui m'interesse c'est de convertir mes films (légaux !! eh oui)  en mpg4 pour mon ipod et pour les 11heure d'avions qui m'attendent !

loloetseb · Answer

Ok bon voyage au states.Ramenes nous une petite mousse locale

Cohars · Answer

Ik pas de problème, je demanderai au pilote de faire un petite escale a marseille au retour !

gen-hackman · Answer

looool !! a dans une semaine fais remonter le topic quand tu rentres l:)

Cohars · Answer

Rebonjour ! Alors depuis que je suis rentré (sa fait déja une semaine mais je suis pas vraiment revenu sur mon ordi) j'ai eu le temps de le formater, j'ai ainsi pu installer Avira antivir ! Et donc je me suis dis que j'avais peut être encore ce gentil p'tit rootkit, je suis donc entrain de faire un recherche de rootkit avec antivir et je vien de finier d'installer ccleaner, là je vais remonter les pages pour trouver le petit logiciel anti rootkit que tu m'avai conseillé !

loloetseb · Answer

Salut alors le voyage c'est bien passé?

Je sais plus quel programme,on t'avait conseillé pour le rootkit ?Peut etre Gmer

gen-hackman · Answer

salut ou Rooter

magic · Answer

scan hijack this

do a scan and save a log

gen-hackman · Answer

gné ?

HTML:Iframe-inf

132 réponses

Votre réponse

Discussions similaires

Newsletters