Z-connect , virus insuprimable Fermé

Question

Bonjour,

Voilà, depuis quelque jours il y a plusieurs fichiers quii se créent automatiquement du genre a25b156.exe et a chaque fois que je fais une recherche, l'antivirus ne détécte rien et il y a aussi une connexion z-connect qui se crée automatiquement et m'empéche de me connecter !! voila le rapport de Rooter , Malawarebytes et RSIT, au cas où ça pourrait vous aidez..
Merci d'avance 

**********************************************
rapport rooter

Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 2
[32_bits] - x86 Family 15 Model 2 Stepping 9, GenuineIntel
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Disabled !
.
Internet Explorer 7.0.5730.11
.
A:\  [Removable]
C:\  [Fixed-NTFS] .. ( Total:31 Go - Free:4 Go )
D:\  [CD_Rom]
E:\  [CD_Rom]
.
Scan : 22:13.27
Path : C:\Documents and Settings\Administrateur\Local Settings\Application Data\Opera\Opera	emporary_downloads\Rooter.exe
User : Administrateur ( Administrator -> YES )
.
----------------------\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (488)
______ \??\C:\WINDOWS\system32\csrss.exe (544)
______ \??\C:\WINDOWS\system32\winlogon.exe (568)
______ C:\WINDOWS\system32\services.exe (612)
______ C:\WINDOWS\system32\lsass.exe (632)
______ C:\WINDOWS\system32\svchost.exe (784)
______ C:\WINDOWS\system32\svchost.exe (832)
______ C:\WINDOWS\System32\svchost.exe (876)
______ C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (1048)
______ C:\Program Files\Alwil Software\Avast4\ashServ.exe (1092)
______ C:\WINDOWS\Explorer.EXE (1316)
______ C:\WINDOWS\system32\spoolsv.exe (1504)
______ C:\WINDOWS\System32\svchost.exe (1588)
______ C:\WINDOWS\system32
vsvc32.exe (1640)
______ C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe (1736)
______ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (168)
______ C:\Program Files\Analog Devices\SoundMAX\SMTray.exe (188)
______ C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe (208)
______ C:\WINDOWS\system32\drivers\zLBT.exe (396)
______ C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe (448)
______ C:\Program Files\SuperCopier2\SuperCopier2.exe (1108)
______ C:\Program Files\Menara\dslmon.exe (1152)
______ C:\WINDOWS\system32\svchost.exe (1216)
______ C:\Program Files\Alwil Software\Avast4\ashWebSv.exe (1788)
______ C:\Program Files\Opera\opera.exe (2816)
______ C:\Program Files\Windows Live\Messenger\usnsvc.exe (3820)
______ C:\Documents and Settings\Administrateur\Local Settings\Application Data\Opera\Opera	emporary_downloads\Rooter.exe (3100)
.
----------------------\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 --[ MBR ]-- (Start_Offset:32256 | Length:33805868544)
.
----------------------\ Scheduled Tasks
.
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
C:\WINDOWS\Tasks\SA.DAT
.
----------------------\ Registry
.
.
----------------------\ Files & Folders
.
----------------------\ Scan completed at 22:13.43
.
C:\Rooter$\Rooter_1.txt - (29/09/2009 | 22:13.43)

********************************************************


Rapport Malawarebytes


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2

29/09/2009 22:45:15
mbam-log-2009-09-29 (22-45-15).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 130520
Temps écoulé: 29 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Worm.Palevo) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\zLBT.exe (Worm.Palevo) -> Delete on reboot.

*******************************************************************


Rapport RSIT (log.txt)



Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-09-29 22:52:46
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 4 GB (13%) free of 32 GB
Total RAM: 255 MB (8% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:53:11, on 29/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20696)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\Menara\dslmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Opera\opera.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\VideoLAN\VLC\vlc.exe
C:\Documents and Settings\Administrateur\Local Settings\Application Data\Opera\Opera	emporary_downloads\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.menara.ma/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real Alternativepbrowserrecordplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-18\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ShowDeskFix] regsvr32 /s /n /i:u shell32 (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D1548EC-A0B7-44D8-B1EB-4D6CE551A207}: NameServer = 62.251.229.223 62.251.229.237
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Google Update (gupdate1ca3bac696603ec) (gupdate1ca3bac696603ec) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

pimprenelle27 · Answer

Bonjour,

Tu peux vider la quarantaine de malware et ensuite as tu redémarré, comme demandé par malware? 

De plus le rapport info.txt n'est pas complet essaye de faire comme ceci : 

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt  dans un bloc note pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur  cliquez ici pour déposer le fichier

&#x25B6; Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

pimprenelle27 · Answer

As tu déjà utilisé combofix?

cherouss · Answer

Oui, j'ai suivi des étapes qu'avait expliqué un technicien a une une personne qui avait le méme dysfonctionnement que moi... et parmis ces étapes, il y avait l'utilisation de Combofix, j'aurais pas dû ?! 
p.s: apparemment le dysfonctionnement est résolu c'est a dire qu'il n'y a plus de perte de connexion mais en même temps, il y a toujours une connexion nommé z-connect dans le panneau de config , et des programes du genre B12D101.exe sur C:/

pimprenelle27 · Answer

as tu encore le rapport combo? a demain

cherouss · Answer

oui, voilà le lien : 
http://www.cijoint.fr/cjlink.php?file=cj200910/cijf0HFpUZ.txt 
merci, a demain

pimprenelle27 · Answer

Pour demain : 

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Au second menu choisis l'option 1 : Mode Recherche

&#9654; Laisse travailler l'outil.

&#9654; Une fois le scan Terminé ,un rapport s'ouvre .

 Ensuite héberger le rapport : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur  cliquez ici pour déposer le fichier

&#x25B6; Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

cherouss · Answer

Re, 
j'ai éssayé de faire ce que tu m'a dis, mais apparement le lien pour List&Kill'em ne fonctionne pas.

pimprenelle27 · Answer

Essaye comme ça : http://ww38.toofiles.com/fr/oip/documents/exe/3xmiiq-e5n875-wi1dem.html

cherouss · Answer

ça marche, voici le lien pour le rapport : 
http://www.cijoint.fr/cjlink.php?file=cj200910/cij0JhXyPX.txt 
Merci

pimprenelle27 · Answer

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv]


:Commands
[purity]
[emptytemp]
[Reboot]


 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

ensuite : 

! Déconnecte toi ferme toutes tes applications en cours !

&#9654; Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").

&#9654; Choisis la langue souhaitée et valide par "entrée".

&#9654; Choisis cette fois ci l'option 2 : Mode Destruction

&#9654; Laisse travailler l'outil.

&#9654; Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt

cherouss · Answer

1er rapport : 

All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mchInjDrv\ deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 2861135 bytes
->Temporary Internet Files folder emptied: 12087679 bytes
->FireFox cache emptied: 5102525 bytes
->Google Chrome cache emptied: 594288 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: hadj
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: user
->Temp folder emptied: 189037 bytes
->Temporary Internet Files folder emptied: 3727110 bytes
->FireFox cache emptied: 20368033 bytes
->Google Chrome cache emptied: 594288 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114937 bytes
%systemroot%\System32 .tmp files removed: 3600896 bytes
File delete failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_450.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 16347254 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 64,52 mb
 
 
OTM by OldTimer - Version 3.0.0.6 log created on 10012009_172307

Files moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS	emp\Perflib_Perfdata_450.dat moved successfully.

Registry entries deleted on Reboot...


2ème rapport : 

Kill'em by g3n-h@ckm@n 1.0.3.2 

updated on 25.09.2009 ::::: 23.54 


Microsoft Windows XP [version 5.1.2600]
 

01/10/2009    17:33:56,09 

Fichiers analysés : 
================= 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\WINDOWS\system32\404Fix.exe"  
"C:\WINDOWS\system32\dumphive.exe"  
"C:\WINDOWS\system32\IEDFix.exe"  
"C:\WINDOWS\system32\Process.exe"  
"C:\WINDOWS\system32\SrchSTS.exe"  
"C:\WINDOWS\system32	mp.reg"  
"C:\WINDOWS\system32\VACFix.exe"  
"C:\WINDOWS\system32\VCCLSID.exe"  
"C:\WINDOWS\system32\WS2Fix.exe"  
 
 
¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers : 
  
Quarantaine : 

404Fix.exe.Kill'em
dumphive.exe.Kill'em
IEDFix.exe.Kill'em
Process.exe.Kill'em
SrchSTS.exe.Kill'em
tmp.reg.Kill'em
VACFix.exe.Kill'em
VCCLSID.exe.Kill'em
WS2Fix.exe.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :

pimprenelle27 · Answer

C'est parfais, maintenant ceci : 

Télécharge GenProc sur ton bureau afin de voir ce qu'il à ton pc.

Double-clique sur GenProc.exe

et poste le contenu du rapport qui s'ouvre à la suite de la question êtes vous aider par quelqu'un, répondre oui. Merci.

Si pas de rapport .txt, regarder sur le bureau, il doit y avoir une icône Genproc qui renvoie sur internet avec la procédure.


Voir  comment utiliser GenProc



IMPORTANT : Poste la procédure Genproc et ne fais rien d'autre pour l'instant ( souvent il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement )

cherouss · Answer

voilà :


Rapport GenProc 2.633 [1] - 01/10/2009 à 23:57:58 
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (7.0.5730.11) [Navigateur par défaut]

~~ "C:\WINDOWS\sed.exe" a été renommé sed.exe_RenameGenProc ~~
~~ "C:\WINDOWS\grep.exe" a été renommé grep.exe_RenameGenProc ~~
 
# Etape 1/ Télécharge :
 
- CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

- MBR.exe http://www2.gmer.net/mbr/mbr.exe (Gmer) sur le Bureau.


 Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/  ; Choisis ta session courante *** Administrateur *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/ 

Double-clique sur le fichier MBR_GenProc.bat situé sur ton Bureau et patiente.

# Etape 3/ 

 Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/ 

 Redémarre normalement et poste, dans la même réponse : 

- Le contenu du rapport mbr.log situé sur le Bureau ; 
- Un nouveau rapport HijackThis ;
- Un nouveau rapport GenProc ;

 Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.633 01/10/2009 à 23:58:18 
MBR:le 01/10/2009 à 23:58:57 sector 0x4a98cc5 size 0x1ac  

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 23:59:40 ~~

pimprenelle27 · Answer

tu peux faire la procédure genproc et me poster tout les rapports demandé.

pimprenelle27 · Answer

Fait moi ceci : 

Gmer est un détecteur de rootkits puissant.

Utilisation :

    * Télécharger Gmer
    * Dézipper le programme.
    * Double cliquer sur Gmer.exe
    * Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).


=> Des lignes rouges doivent apparaitre en cas d'infection :

    * sur ces lignes rouges:
          o Services: Clique droit puis delete service
          o Process: Clique droit puis kill process
          o Adl, file: Clique droit puis delete files

cherouss · Answer

C'est fait aussi : 
il y a plusieurs lignes qui apparaissent mais pas en rouge : 

GMER 1.0.15.15087 - http://www.gmer.net
Rootkit quick scan 2009-10-02 12:34:02
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\agxyrkoc.sys


---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0        sector 61: malicious code @ sector 0x4a98cc5 size 0x1ac

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs       aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip     aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp    aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

pimprenelle27 · Answer

je me renseigne pour ça, c'est pas nette du tout : Disk \Device\Harddisk0\DR0 sector 61: malicious code @ sector 0x4a98cc5 size 0x1ac

cherouss · Answer

Ok, merci beaucoup, tiens moi au courant...

pimprenelle27 · Answer

Bonjour,

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#x25B6; Clique sur Démarrer puis sur panneau de configuration
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs"
&#x25B6; Clique ensuite sur désactiver et valide.
&#x25B6; Redémarre le PC


&#x25B6; Télécharge Combofix de sUBs


&#x25B6; et enregistre le sur le Bureau. et renomme le en cherouss 

 
&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


&#x25B6; Je te conseille d'installer la console de récupération !!
 
ensuite envois le rapport stp

pimprenelle27 · Answer

oui tu ne t'occupe pas de ça : 

* Sous Vista : &#9654; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#9654; Clique sur Démarrer puis sur panneau de configuration
&#9654; Double Clique sur l'icône "Comptes d'utilisateurs"
&#9654; Clique ensuite sur désactiver et valide.
&#9654; Redémarre le PC

cherouss · Answer

Re , au fait je tiens a préciser que l'ordinateur n'a pas redémarrer suite a l'utilisation de combofix, il s'est arréter après avoir afficher le rapport log.txt et j'ai dû par la suite démarrer explorer.exe depuis le gestionnaire des taches, et il ne m'a pas demander aussi de créer une console de récupération, c'est peut être parce que je l'avais fais la dernière fois que je l'ai utiliser.... voilà le lien pour le rapport : 
http://www.cijoint.fr/cjlink.php?file=cj200910/cijq6jRmZt.txt

pimprenelle27 · Answer

je regarde ça de plus près demain.

pimprenelle27 · Answer

&#x25B6; Télécharge OTM (de Old_Timer) sur ton Bureau
 
&#x25B6; Double-clique sur OTM.exe pour le lancer.

&#x25B6; Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

&#x25B6; Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------
:files
c:\windows\system32\drivers\dcin.exe
c:\program files\Mozilla Firefox\components\xpinstal.dll

:Commands
[purity]
[emptytemp]
[Reboot]


 
-----------------------------------------------------------------------------

&#x25B6; clique sur MoveIt! pour lancer la suppression.

&#x25B6; Le résultat apparaitra dans le cadre "Results".

&#x25B6; Clique sur Exit pour fermer.

&#x25B6; Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

&#x25B6; Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

plopus · Answer

salut

suite a une conversation avec pimprenelle, on va degagé les truc qui reste et voir ce que sa donne

fait ce que pimprenellle a mit + haut

et ensuite tu clic ici c:\windows\system32\cscui.dll 
- clic sur parcourir en milieu de page
- das la nouvelle fenetre qui s'ouvre copie colle sa :
- clic sur ouvrir puis sur envoyer
- un rapport va s'etablir copie colle le ici


que te reste il comme probleme mise a part la ligne bizarre ?

pimprenelle27 · Answer

MErci plopus.

Z-connect , virus insuprimable

25 réponses

Discussions similaires