qq fichiers infectés

Question

Bonjour,

je viens de faire un scan RSIT, ces fichiers sont infecté/infectieux apparement :

PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)
2010-02-07 21:00:11 ----A---- C:\Windows\system32\sysprs7.dll 
2010-02-07 21:00:11 ----A---- C:\Windows\system32\ssprs.dll 
2010-02-07 21:00:11 ----A---- C:\Windows\system32\lsprst7.dll 
2010-02-07 21:00:11 ----A---- C:\Windows\system32\clauth2.dll 
2010-02-07 21:00:11 ----A---- C:\Windows\system32\clauth1.dll 
2010-01-21 19:33:25 ----D---- C:\ProgramData\PassMark 

les deux fichiers log et info sont là:
http://www.cijoint.fr/cjlink.php?file=cj201002/cijWiCEmDK.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijjfaQuy0.txt

Merci de m'aider pour désinfecter si il le faut ^^

Lyonnais92 · Answer

Bonsoir,

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

hxxp://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Yannick465 · Answer

Il ne trouve rien du tout. J'avais d'ailleurs fait un scan complet avant de poster et c'était pareil.

merci

Lyonnais92 · Answer

Bonjour,

Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Yannick465 · Answer

voilà http://www.cijoint.fr/cjlink.php?file=cj201002/cij8dQVbXw.txt

Lyonnais92 · Answer

Re,

Windows 7 64 bits, on découvre un peu.

Aussi, merci de faire ceci :

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse. 

===

Relance ZHPDiag et clique sur la "petite loupe dans le caher" à gauche du "calendrier".

Poste aussi le nouveau rapport dans un lien Cijoint.

Yannick465 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201002/cijGpfCc70.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cij23FygBU.txt

Lyonnais92 · Answer

Re,

 Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes


:OTL
2010/02/12 21:03:23 | 000,000,219 | ---- | M] () -- C:\Windows\SysWow64\lsprst7.tgz
[2010/02/12 21:03:23 | 000,000,205 | ---- | M] () -- C:\Windows\SysWow64\lsprst7.dll
[2010/02/12 21:03:23 | 000,000,087 | ---- | M] () -- C:\Windows\SysWow64\ssprs.tgz
[2010/02/12 21:03:23 | 000,000,073 | ---- | M] () -- C:\Windows\SysWow64\ssprs.dll
[2010/02/07 21:00:11 | 000,001,025 | ---- | M] () -- C:\Windows\SysWow64\sysprs7.dll
[2010/02/07 21:00:11 | 000,001,025 | ---- | M] () -- C:\Windows\SysWow64\clauth2.dll
[2010/02/07 21:00:11 | 000,001,025 | ---- | M] () -- C:\Windows\SysWow64\clauth1.dll
:commands
[purity]
[emptytemp]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

Yannick465 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201002/cij7Bfe3TZ.txt

merci :)

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi et remets un scan OTL dans un lien Cijoint.

Yannick465 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201002/cijTjgVsSj.txt

Yannick465 · Answer

re...j'ai toujours le C:\ProgramData\PassMark  qui semble etre infecté? Peut etre est ce sans importance?

merci de votre aide

Lyonnais92 · Answer

Bonjour,

PassMark ne m'inquiète pas vraiment. C'est quoi d'ailleurs ?

===

J'ai oublié un [

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes


:OTL
[2010/02/12 21:03:23 | 000,000,219 | ---- | M] () -- C:\Windows\SysWow64\lsprst7.tgz

:commands
[purity]
[emptytemp]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

Yannick465 · Answer

Je ne sais pas du tout ce que c'est...c'est juste que Zeb Help Process m'indique que c'est une infection. Mais bon je sais bien qu'il faut pas tt prendre au pied de la lettre c'est pr ça que je demande ici ^^

j'ai fait ce que tu m'as dit http://www.cijoint.fr/cjlink.php?file=cj201002/cij78AZh9z.txt

par contre, hier j'ai installé everest poker....et j'ai ça en plus 

PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)
2010-02-14 20:16:49 ----D---- C:\Program Files (x86)\Everest Poker 
2010-01-21 19:33:25 ----D---- C:\ProgramData\PassMark 


c'est rien?

Lyonnais92 · Answer

Bonjour,

pour Everest poker :

http://arnaque-everestpoker.blogspot.com/

donc, à ton choix.


Pour PassMark, ça doit être ça :

https://www.passmark.com/

Ca semble plus inutile qu'infectieux.

Ce n'est pas une infection lop.

===

Pour les 2, tu peux les désinstaller via le Panneau de configuration ?

Yannick465 · Answer

yep je confirme passmark j'ai su l'enlever et le désinstaller c'était un programme pour tester mon écran : monitor test

Pour everest je l'ai désinstallé aussi.

Encore 2 petites question :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 

apparemment c'est superflu mais c'est quoi? ^^

Et sinon je peux supprimer le dossier, _OTL à la racine de mon DD ? Y'a les fichiers que tu m'as fait déplacé dedans

merci de m'avoir aidé

Lyonnais92 · Answer

Re,

c'est la trarce dans la BdR d'une  BHO (Browser helper Object) devenu onutile;

Ouvre l'explorateur Windows et cherche C:\Program Files\TrendMicro\yannick.exe

Fais un double clic pour relancer Hijacjkthis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis. 

==

 Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

Yannick465 · Answer

oki c'est fait mais je suis désolé c'est pas croyable mais je viens de tester un programme et voilà que j'ai de nouveau un blème....

PROCESSUS MALWARE (Rootkit, trojan, ver, spyware, adware,...)
2010-02-15 15:40:00 ----A---- C:\Windows\Autorun.INI

pfff

Lyonnais92 · Answer

Re,


Télécharge et installe [url=http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe] [COLOR="Blue"][B]UsbFix[/B][/COLOR][/url] de Chiquitine29 sur ton Bureau.

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis Exécuter en tant qu'administrateur .

# Choisis [b]l'option 1 [/b]( Recherche )

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
         Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
         Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Yannick465 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201002/cijp8MGUrl.txt

Lyonnais92 · Answer

Re,

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectées sans les ouvrir
• Fais un clic droit sur le raccourci UsbFix présent sur ton Bureau et choisis "Exécuter en tant qu'administrateur" .
• Choisis l' option 2 ( Suppression )
• Ton bureau disparaitra et le pc redémarrera .
• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Yannick465 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201002/cijPPqxai3.txt

Lyonnais92 · Answer

Re,

si OTL est encore présent sur ton ordi, tu peux le reéxécuter et poster le rapport dans un lien Cijoint.

Yannick465 · Answer

voici http://www.cijoint.fr/cjlink.php?file=cj201002/cij6yJB8bq.txt

Lyonnais92 · Answer

Re,

des choses bizarres.

Essaye ceci :

télécharge GooredFix de jpshortstuff : http://jpshortstuff.247fixes.com/GooredFix.exe

sauvegarde le sur ton Bureau.

Double clique sur GooredFix.exe pour le lancer.

Choisis l'option 1 et clique sur Entrée.

Poste le rapport qui s'ouvrira (qui est sauvegardé sur ton Bureau sous Gooredfix.txt.

Ne fais pas l'option 2.

Yannick465 · Answer

heu j'ai pas eu d'option 1 ou 2 à choisir. Je l'ai lancé, ça m'a mis un message en anglais comme de quoi ça servait à enlever les infections, Oui pr continuer, non pour arreter...

voilà ce que j'obtiens après 

GooredFix by jpshortstuff (08.01.10.1)
Log created at 19:09 on 15/02/2010 (Yannick)
Firefox version 3.6 (fr)

========== GooredScan ==========


========== GooredLog ==========

C:\Program Files (x86)\Mozilla Firefox\extensions\
{972ce4c6-7e08-4474-a285-3208198ce6fd} [18:33 08/01/2010]
{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} [22:03 12/01/2010]
{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} [22:11 12/02/2010]

C:\Users\Yannick\Application Data\Mozilla\Firefox\Profiles\6ugm0fbs.default\extensions\
de-DE@dictionaries.addons.mozilla.org [21:17 12/02/2010]
en-GB@dictionaries.addons.mozilla.org [14:22 13/01/2010]
fr-classique-reforme1990@dictionaries.addons.mozilla.org [14:56 31/01/2010]
LDSI_plashcor@gmail.com [13:52 13/01/2010]
linky@gemal.dk [21:17 12/02/2010]
nl-NL@dictionaries.addons.mozilla.org [14:22 13/01/2010]
{1280606b-2510-4fe0-97ef-9b5a22eafe41} [10:42 11/01/2010]
{19503e42-ca3c-4c27-b1e2-9cdb2170ee34} [21:17 12/02/2010]
{37fa1426-b82d-11db-8314-0800200c9a66} [20:24 03/02/2010]
{a7c6cf7f-112c-4500-a7ea-39801a327e5f} [14:22 13/01/2010]
{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} [16:02 19/01/2010]
{D4DD63FA-01E4-46a7-B6B1-EDAB7D6AD389} [14:56 31/01/2010]

[HKEY_LOCAL_MACHINE\Software\Mozilla\Firefox\Extensions]
(Key not found)

-=E.O.F=-

Yannick465 · Answer

alors? rien d'anormal finalement?
merci

Qq fichiers infectés - Page 2

Newsletters