Virus your protection

Fermé
Lolo - 8 avril 2010 à 10:10
 Lolo - 14 avril 2010 à 16:48
bonjour,

le logiciel/virus your protection s'est installé sur mon pc et a desactivé les modules de mon antivirus AVG. J'ai essayé d'installer spybot, ad malware et malwarebytes mais aucun ne fonctionne.
Est ce que qq un pourrait m'indiquer la marche à suivre?

Merci


59 réponses

sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
Modifié par sKe69 le 8/04/2010 à 11:04
re,


très infecté ! ....


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).



Commence par faire ceci dans l'ordre :



1- Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


C:\WINDOWS\_VOIDemxnixrnpt\_VOIDd.sys 
[MD5.62753E392367602DCF68C7BFBA5A6851] - (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\DELL\LOCALS~1\Temp\mplay32xe.exe   [258560] 
[MD5.9E695B48600948E3D3931FE297353EF7] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Your Protection\urpprot.exe   [2359296] 
O2 - BHO: C:\WINDOWS\system32\vsx8e.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\vsx8e.dll        
O4 - HKCU\..\Run: [mplay32xe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\DELL\LOCALS~1\Temp\mplay32xe.exe   
O4 - HKCU\..\Run: [Your Protection] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Your Protection\urpprot.exe 
O22 - SharedTaskScheduler: (no name) - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\vsx8e.dll 
O43 - CFD:Common File Directory ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD:Common File Directory ----D- C:\Program Files\Your Protection 
O43 - CFD:Common File Directory ----D- C:\WINDOWS\_VOIDemxnixrnpt 
O58 - SDL:[MD5.00000000000000000000000000000000] - 08/04/2010 - 02:50:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\nbbym.sys




Puis Lance ZHPFix depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres .

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

Pense à réactiver tes défenses !...



===============================


2- Tu devrais après cela pouvoir utiliser Malwarebytes ainsi :


mets le à jour ! ( onglet "mise à jour" ) .


* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance 'Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


===========================

3- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
1
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
Modifié par sKe69 le 8/04/2010 à 10:14
Salut,


désinstalle Spybot S&D et Ad-Aware ! ... carrement inutil et ils vont géner la désinfection ....




Puis fait ceci pour avoir un diagnostique du PC :



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) .

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ... ( cela peut-être relativement long )


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> Pour me faire parvenir ce rapport, rends toi sur ce site :
http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....



"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
merci, je vais faire ca.
quand tu me demandes de me deconnecter, tu parles de retirer le cable réseau carrement ou simplement de fermer ma fenetre internet?
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
Modifié par sKe69 le 8/04/2010 à 10:31
déconnecter > c'est désactiver ta connection ...

ferme toutes tes applications en cours > application = programme ... donc cela inclu ton navigateur (" fenêtre internet" ) si il est ouvert ... ;)
0
voici le lien,

http://www.cijoint.fr/cjlink.php?file=cj201004/cijWUjvvj3.txt

merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
voila, j'ai effectué la première étape.
je te mets le lien du rapport.

par contre durant le nettoyage il a été indiqué que la base de registre a été bloqué par l'administrateur.
j'ai relancé la pc.

j'attaque la phase 2.

en tout cas merci du temps que tu passes à m'aider.

http://www.cijoint.fr/cjlink.php?file=cj201004/cij3rL3QHV.txt
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 11:17
re,

par contre durant le nettoyage il a été indiqué que la base de registre a été bloqué par l'administrateur.

PC pro ? ... tu n'es pas administrateur du PC ? ....
0
c'est un pc pro, (je viens de commencer un stage...) mais je n'ai pas besoin de me logger pour y avoir accés. J'ai deja pu changer la base de registre sans problème
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 11:20
ce que j'aimerai savoir c'est :

session "admin" ou "invité" ? ( droit 'normaux' ou 'restreint' ? )


Passe à Malwarebytes de toute façon ...
0
par contre malwarebytes ne se lance toujours pas
0
je suis le compte dell repertorié comme administrateur dans le tableau des parametres de session
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
Modifié par sKe69 le 8/04/2010 à 11:29
re,


par contre malwarebytes ne se lance toujours pas


arf ... cela ne m'étonne qu'a moitier .... ^^


On va faire autrement ...



dans l'ordre :



1- Désactiver le redémarrage automatique :

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" .
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" .

B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" )
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" .
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" .

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif .

Conseil : laisse ces paramètres par la suite ...



===============================

2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape ske et valide .

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------
* Ferme tes applications en cours ( ainsi que ton navigateur ) .
* DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
* Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ).
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------


Ensuite :
> Double-clique sur l'icône "ske.exe" ( = ComboFix ) pour lancer l'outil .
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


-- Pour XP, l' installation de la Console de Récupération sera demandé :
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ).
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif
*Une fois la console installée,
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png
Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan --


Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici: C:\Combofix.txt

Réactive bien tes défenses


Poste le rapport Combofix pour analyse et attends la suite ...





"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
0
j'ai bien telechargé combofox comme indiqué mais il ne se lance pas non plus, la petite barre combofix se remplie puis plus rien apres.
de plus je n'ai plus acces à mon gestionnaire de tache : il dit que le gestionnaire des taches a été desactivé par l'administrateur
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 11:55
re,


supprime le ComboFix que tu as ....

télécharge cette archive sur ton bureau > http://www.cijoint.fr/cj201004/cijm0BGomz.zip

Puis extrait le contenu sur ton bureau ( ske.exe = ComboFix préalablement renommé )
( pour extraire : clique droit dessus / extraire ici )

Puis reprends la manipe de Combo en utilisant ske.exe ....


Poste moi le rapport obtenu ....
0
re,

désolé mais ca fait exactement la même chose que tout à l'heure : la petite barre combofixe se rempli, une fois pleine elle disparait et plus rien.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 12:11
arf ...


Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

0
dur dur...

voici le lien

http://www.cijoint.fr/cjlink.php?file=cj201004/cijh1dZ0nZ.txt
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 12:45
on va faire autrement ....




dans l'ordre :



1- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/


Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:processes
explorer.exe

:Services
_VOIDd.sys
_VOIDemxnixrnpt

:Reg
[-HKLM\Software\Malware Defense]
[-HKLM\Software\Paladin Antivirus]
[-HKCU\Software\Malware Defense]
[-HKCU\Software\Paladin Antivirus]              
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hf8wefhuaihf8ewfydiujhfdsfdf"=-
"hsf87efjhdsf87f3jfsdi7fhsujfd"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
"{A9BA40A1-74F1-52BD-F431-00B15A2C8953}"=-

:Files
C:\WINDOWS\_VOIDemxnixrnpt\_VOIDd.sys
C:\WINDOWS\system32\drivers\nbbym.sys
C:\WINDOWS\System32\jgrw7.dll 
C:\WINDOWS\System32\sv3if.dll   
C:\WINDOWS\System32\rphxvge4.dll
C:\WINDOWS\System32\moyig0l.dll
C:\DOCUME~1\DELL\LOCALS~1\Temp\rqh4e63.exe  
C:\DOCUME~1\DELL\LOCALS~1\Temp\svchost.exe 
C:\WINDOWS\_VOIDemxnixrnpt 
     
:Commands
[purity]
[emptytemp]
[Reboot]



et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2010_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


======================

2- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ),

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...


0
re

Merci pour tout c'est sympa.
voici le rapport d'OTM :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijOHDVSLI.txt

et voici le rapport de zhpdiag :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijDa3Ccfn.txt

à noter que le diagnostique a été plus long qu'avant (je sais pas si ca aide mais voila, c'est dit!!)
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 13:36
bien


refait la manipe avec ske.exe maintenant ...


en espérant que cela fonctionne cette fois ....





0
re,

Ca a fonctionné, voici le lien du rapport.

http://www.cijoint.fr/cjlink.php?file=cj201004/cij8TogufX.txt
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 14:00
impec ....


ne touche plus au PC ... ne l'éteind pas ... !

je te prépare un truc et te donne la suite le plus rapidement possible ....
0
ok merci,

et tu saurais me dire quels logiciels (gratuits si possible) utiliser pour éviter que cela se reproduise ???)

Merci
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 14:08
Re,



il me faut d'autres infos avant de poursuivre :



1- Avoir accès aux fichiers cachés :

Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )



2- Rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\drivers\coqfxpky.sys

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

c:\windows\system32\drivers\nbbym.sys
c:\windows\system32\tnbmvrpf.dll


Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...


0
j'ai fait comme tu m'as demandé, mais qd j'envoie le fichier, il m'indique ce qui suit :

0 bytes size received / Se ha recibido un archivo vacio

et la page web indique terminé (en bas a gauche du navigateur)
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 14:18
fait les autres pour voir ...
0
je suis passé par la fonction envoie par mail.
ca arrive d'ici peu
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 14:23
je suis passé par la fonction envoie par mail.

pourquoi ? ....

fait un copier/coller du rapport qui est apparu simplement ... ;)
0
pour le dernier fichier je ne le trouve pas, ds ce repertoire j'ai :
tlntsvrp.dll ??
0
voici le rapport du premier fichier :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijErjSB4S.txt
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
8 avril 2010 à 14:31
re,

pour le dernier fichier je ne le trouve pas, ds ce repertoire j'ai :
tlntsvrp.dll ??


non rien à voir ...

c'est celui-ci qu'il me faut si il est visisble > c:\windows\system32\tnbmvrpf.dll

0
il n'est pas dans le repertoire indiqué.
je lance une recherche
0