Virus your protection [Fermé]

Signaler
-
 Lolo -
bonjour,

le logiciel/virus your protection s'est installé sur mon pc et a desactivé les modules de mon antivirus AVG. J'ai essayé d'installer spybot, ad malware et malwarebytes mais aucun ne fonctionne.
Est ce que qq un pourrait m'indiquer la marche à suivre?

Merci


59 réponses

Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
re,


très infecté ! ....


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).



Commence par faire ceci dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


C:\WINDOWS\_VOIDemxnixrnpt\_VOIDd.sys 
[MD5.62753E392367602DCF68C7BFBA5A6851] - (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\DELL\LOCALS~1\Temp\mplay32xe.exe   [258560] 
[MD5.9E695B48600948E3D3931FE297353EF7] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Your Protection\urpprot.exe   [2359296] 
O2 - BHO: C:\WINDOWS\system32\vsx8e.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\vsx8e.dll        
O4 - HKCU\..\Run: [mplay32xe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\DELL\LOCALS~1\Temp\mplay32xe.exe   
O4 - HKCU\..\Run: [Your Protection] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Your Protection\urpprot.exe 
O22 - SharedTaskScheduler: (no name) - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\vsx8e.dll 
O43 - CFD:Common File Directory ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD:Common File Directory ----D- C:\Program Files\Your Protection 
O43 - CFD:Common File Directory ----D- C:\WINDOWS\_VOIDemxnixrnpt 
O58 - SDL:[MD5.00000000000000000000000000000000] - 08/04/2010 - 02:50:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\nbbym.sys




Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...



===============================


2- Tu devrais après cela pouvoir utiliser Malwarebytes ainsi :


mets le à jour ! ( onglet "mise à jour" ) .


* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


===========================

3- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Salut,


désinstalle Spybot S&D et Ad-Aware ! ... carrement inutil et ils vont géner la désinfection ....




Puis fait ceci pour avoir un diagnostique du PC :



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ... ( cela peut-être relativement long )


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> Pour me faire parvenir ce rapport, rends toi sur ce site :
http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....



"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
merci, je vais faire ca.
quand tu me demandes de me deconnecter, tu parles de retirer le cable réseau carrement ou simplement de fermer ma fenetre internet?
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
déconnecter > c'est désactiver ta connection ...

ferme toutes tes applications en cours > application = programme ... donc cela inclu ton navigateur (" fenêtre internet" ) si il est ouvert ... ;)
voici le lien,

http://www.cijoint.fr/cjlink.php?file=cj201004/cijWUjvvj3.txt

merci
voila, j'ai effectué la première étape.
je te mets le lien du rapport.

par contre durant le nettoyage il a été indiqué que la base de registre a été bloqué par l'administrateur.
j'ai relancé la pc.

j'attaque la phase 2.

en tout cas merci du temps que tu passes à m'aider.

http://www.cijoint.fr/cjlink.php?file=cj201004/cij3rL3QHV.txt
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
re,

par contre durant le nettoyage il a été indiqué que la base de registre a été bloqué par l'administrateur.

PC pro ? ... tu n'es pas administrateur du PC ? ....
c'est un pc pro, (je viens de commencer un stage...) mais je n'ai pas besoin de me logger pour y avoir accés. J'ai deja pu changer la base de registre sans problème
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
ce que j'aimerai savoir c'est :

session "admin" ou "invité" ? ( droit 'normaux' ou 'restreint' ? )


Passe à Malwarebytes de toute façon ...
par contre malwarebytes ne se lance toujours pas
je suis le compte dell repertorié comme administrateur dans le tableau des parametres de session
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
re,


par contre malwarebytes ne se lance toujours pas


arf ... cela ne m'étonne qu'a moitier .... ^^


On va faire autrement ...



dans l'ordre :



1- Désactiver le redémarrage automatique :

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .

B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif .

Conseil : laisse ces paramètres par la suite ...



===============================

2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape ske et valide .

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
* Ferme tes applications en cours ( ainsi que ton navigateur ) .
* DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
* Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------


Ensuite :
> Double-clique sur l'icône "ske.exe" ( = ComboFix ) pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici: C:\Combofix.txt

Réactive bien tes défenses


Poste le rapport Combofix pour analyse et attends la suite ...





"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
j'ai bien telechargé combofox comme indiqué mais il ne se lance pas non plus, la petite barre combofix se remplie puis plus rien apres.
de plus je n'ai plus acces à mon gestionnaire de tache : il dit que le gestionnaire des taches a été desactivé par l'administrateur
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
re,


supprime le ComboFix que tu as ....

télécharge cette archive sur ton bureau > http://www.cijoint.fr/cj201004/cijm0BGomz.zip

Puis extrait le contenu sur ton bureau ( ske.exe = ComboFix préalablement renommé )
( pour extraire : clique droit dessus / extraire ici )

Puis reprends la manipe de Combo en utilisant ske.exe ....


Poste moi le rapport obtenu ....
re,

désolé mais ca fait exactement la même chose que tout à l'heure : la petite barre combofixe se rempli, une fois pleine elle disparait et plus rien.
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
arf ...


Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

dur dur...

voici le lien

http://www.cijoint.fr/cjlink.php?file=cj201004/cijh1dZ0nZ.txt
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
on va faire autrement ....




dans l'ordre :



1- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:processes
explorer.exe

:Services
_VOIDd.sys
_VOIDemxnixrnpt

:Reg
[-HKLM\Software\Malware Defense]
[-HKLM\Software\Paladin Antivirus]
[-HKCU\Software\Malware Defense]
[-HKCU\Software\Paladin Antivirus]              
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hf8wefhuaihf8ewfydiujhfdsfdf"=-
"hsf87efjhdsf87f3jfsdi7fhsujfd"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
"{A9BA40A1-74F1-52BD-F431-00B15A2C8953}"=-

:Files
C:\WINDOWS\_VOIDemxnixrnpt\_VOIDd.sys
C:\WINDOWS\system32\drivers\nbbym.sys
C:\WINDOWS\System32\jgrw7.dll 
C:\WINDOWS\System32\sv3if.dll   
C:\WINDOWS\System32\rphxvge4.dll
C:\WINDOWS\System32\moyig0l.dll
C:\DOCUME~1\DELL\LOCALS~1\Temp\rqh4e63.exe  
C:\DOCUME~1\DELL\LOCALS~1\Temp\svchost.exe 
C:\WINDOWS\_VOIDemxnixrnpt 
     
:Commands
[purity]
[emptytemp]
[Reboot]



et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


======================

2- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


re

Merci pour tout c'est sympa.
voici le rapport d'OTM :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijOHDVSLI.txt

et voici le rapport de zhpdiag :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijDa3Ccfn.txt

à noter que le diagnostique a été plus long qu'avant (je sais pas si ca aide mais voila, c'est dit!!)
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
bien


refait la manipe avec ske.exe maintenant ...


en espérant que cela fonctionne cette fois ....





re,

Ca a fonctionné, voici le lien du rapport.

http://www.cijoint.fr/cjlink.php?file=cj201004/cij8TogufX.txt
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
impec ....


ne touche plus au PC ... ne l'éteind pas ... !

je te prépare un truc et te donne la suite le plus rapidement possible ....
ok merci,

et tu saurais me dire quels logiciels (gratuits si possible) utiliser pour éviter que cela se reproduise ???)

Merci
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
Re,



il me faut d'autres infos avant de poursuivre :



1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\drivers\coqfxpky.sys

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

c:\windows\system32\drivers\nbbym.sys
c:\windows\system32\tnbmvrpf.dll


Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...


Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
fait les autres pour voir ...
je suis passé par la fonction envoie par mail.
ca arrive d'ici peu
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
je suis passé par la fonction envoie par mail.

pourquoi ? ....

fait un copier/coller du rapport qui est apparu simplement ... ;)
pour le dernier fichier je ne le trouve pas, ds ce repertoire j'ai :
tlntsvrp.dll ??
je suis passé par la fonction mail (tu envoie ton fichier par mail et tu recois l'analyse par mail) car en direct ca ne passait pas.
voici le rapport du premier fichier :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijErjSB4S.txt
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
462
re,

pour le dernier fichier je ne le trouve pas, ds ce repertoire j'ai :
tlntsvrp.dll ??


non rien à voir ...

c'est celui-ci qu'il me faut si il est visisble > c:\windows\system32\tnbmvrpf.dll

il n'est pas dans le repertoire indiqué.
je lance une recherche