virus your protection

Question

bonjour,

le logiciel/virus your protection s'est installé sur mon pc et a desactivé les modules de mon antivirus AVG. J'ai essayé d'installer spybot, ad malware et malwarebytes mais aucun ne fonctionne.
Est ce que qq un pourrait m'indiquer la marche à suivre?

Merci


Configuration: Windows XP / Firefox 3.6.2

sKe69 · Answer

Salut, 


désinstalle Spybot S&D et Ad-Aware ! ... carrement inutil et ils vont géner la désinfection .... 




Puis fait ceci pour avoir un diagnostique du PC : 



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


!! déconnecte toi et ferme toutes tes applications en cours !!  

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .  

> Lance ZHPDiag depuis le raccourci du bureau . 

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite . 
( celui avec le tournevis ) 

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 061 ( important ! ) . 

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 30 days 

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan . 


Laisses travailler l'outil ... ( cela peut-être relativement long ) 


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ... 

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ). 

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag ) 

Puis ferme le programme ... 


> Pour me faire parvenir ce rapport, rends toi sur ce site :  
http://www.cijoint.fr/ 

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé . 
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ... 
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp .... 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Lolo · Answer

merci, je vais faire ca.
quand tu me demandes de me deconnecter, tu parles de retirer le cable réseau carrement ou simplement de fermer ma fenetre internet?

Lolo · Answer

voici le lien,

http://www.cijoint.fr/cjlink.php?file=cj201004/cijWUjvvj3.txt

merci

sKe69 · Answer

re, 


très infecté ! .... 


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection . 
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre . 
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer . 
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ). 



Commence par faire ceci dans l'ordre : 



1- Utilisation de l'outil ZHPFix : 

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


C:\WINDOWS\_VOIDemxnixrnpt\_VOIDd.sys 
[MD5.62753E392367602DCF68C7BFBA5A6851] - (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\DELL\LOCALS~1\Temp\mplay32xe.exe   [258560] 
[MD5.9E695B48600948E3D3931FE297353EF7] - (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Your Protection\urpprot.exe   [2359296] 
O2 - BHO: C:\WINDOWS\system32\vsx8e.dll - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\vsx8e.dll        
O4 - HKCU\..\Run: [mplay32xe.exe] . (.Pas de propriétaire - Pas de description.) -- C:\DOCUME~1\DELL\LOCALS~1\Temp\mplay32xe.exe   
O4 - HKCU\..\Run: [Your Protection] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Your Protection\urpprot.exe 
O22 - SharedTaskScheduler: (no name) - {A9BA40A1-74F1-52BD-F431-00B15A2C8953} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\vsx8e.dll 
O43 - CFD:Common File Directory ----D- C:\Program Files\Spybot - Search & Destroy
O43 - CFD:Common File Directory ----D- C:\Program Files\Your Protection 
O43 - CFD:Common File Directory ----D- C:\WINDOWS\_VOIDemxnixrnpt 
O58 - SDL:[MD5.00000000000000000000000000000000] - 08/04/2010 - 02:50:45 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers
bbym.sys



Puis Lance ZHPFix depuis le raccouci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie : 
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 
- que les lignes soient disposées les unes en dessous des autres . 

* Puis clique sur le bouton [ OK ] . 
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .  

Ne touche plus à rien ! 

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !! 


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées . 

* Enfin clique sur le bouton [ Nettoyer ] . 


-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ! 

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt ) 
  
 Pense à réactiver tes défenses !...  



=============================== 


2- Tu devrais après cela pouvoir utiliser Malwarebytes ainsi : 


mets le à jour ! ( onglet "mise à jour" ) .  


* Potasse le tuto pour te familiariser avec le prg :  
https://forum.pcastuces.com/sujet.asp?f=31&s=3 
( cela dis, il est très simple d'utilisation ). 

! Déconnecte toi et ferme toutes applications en cours !  

* Lance 'Malwarebytes' . 

Fais un examen dit "RAPIDE" . 

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).  
--> à la fin tu cliques sur "résultat" .  
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " . 

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ... 


=========================== 

3- Refais un scan ZHPDiag . 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Lolo · Answer

voila, j'ai effectué la première étape.
je te mets le lien du rapport.

par contre durant le nettoyage il a été indiqué que la base de registre a été bloqué par l'administrateur.
j'ai relancé la pc.

j'attaque la phase 2.

en tout cas merci du temps que tu passes à m'aider.

http://www.cijoint.fr/cjlink.php?file=cj201004/cij3rL3QHV.txt

Lolo · Answer

c'est un pc pro, (je viens de commencer un stage...) mais je n'ai pas besoin de me logger pour y avoir accés. J'ai deja pu changer la base de registre sans problème

Lolo · Answer

par contre malwarebytes ne se lance toujours pas

Lolo · Answer

je suis le compte dell repertorié comme administrateur dans le tableau des parametres de session

sKe69 · Answer

re, 


par contre malwarebytes ne se lance toujours pas 


arf ... cela ne m'étonne qu'a moitier .... ^^ 


On va faire autrement ...  



dans l'ordre : 



1- Désactiver le redémarrage automatique : 

A) Aller dans le menu "Démarrer"/"Panneau de configuration", puis "Performances et maintenance" et enfin "Système" . 
Ou bien en faisant un clic-droit sur "Poste de travail" ( sur "ordinateur" pour Vista ) et en sélectionnant "Propriétés" . 
  
B) Cliquez sur l'onglet "Avancé" ( pour Vista , cliquer dans "tâche" sur "paramètre systeme avancés" ) 
C) Ensuite , dans le 3eme paragraphe "Démarrage et récupération" , cliquer sur "paramètre" . 
D) Dans le paragraphe "Défaillance du système" : décocher "Redémarrer automatiquement" . 

puis cliquer sur "Ok" , "appliquer" et encore "Ok" pour valider la modif .  

Conseil : laisse ces paramètres par la suite ... 



=============================== 

2- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape ske et valide .  

- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -  


--------------------------------- [ ! ATTENTION ! ] ------------------------------------------ 
*  Ferme tes applications en cours ( ainsi que ton navigateur ) . 
*  DESACTIVE TOUTES TES DEFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe .   
En effet, activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après ! 
->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ... 
*  Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 
*  Note : pour XP, il est IMPERATIF d'installer la Console de Récupération de Windows si l'outil le demande ( voir tuto ci-dessus ). 
--------------------------------- [ ! ATTENTION ! ] ------------------------------------------ 


Ensuite : 
> Double-clique sur l'icône "ske.exe" ( = ComboFix ) pour lancer l'outil . 
> A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ... 


-- Pour  XP, l' installation de la Console de Récupération sera demandé : 
* Laisse toi guider et fais l'installe de la "console de récupération" ( en anglais, "Windows Recovery Console" ) lorsque l'outil te le demandera ( important ! ). 
image > http://img.photobucket.com/albums/v706/ried7/RcAuto1.gif  
*Une fois la console installée, 
image > http://img.photobucket.com/albums/v706/ried7/whatnext.png   
Déconnecte toi si possible avant de cliquer sur "yes" pour lancer le scan -- 


Notes importantes :  
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi . 
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire . 
-> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes ... 
-> si un message d'erreur windows apparait à un moment  : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )  

Le rapport sera crée ici: C:\Combofix.txt  

Réactive bien tes défenses 

  
Poste le rapport Combofix pour analyse et attends la suite ... 





"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Lolo · Answer

j'ai bien telechargé combofox comme indiqué mais il ne se lance pas non plus, la petite barre combofix se remplie puis plus rien apres.
de plus je n'ai plus acces à mon gestionnaire de tache : il dit que le gestionnaire des taches a été desactivé par l'administrateur

Lolo · Answer

re,

désolé mais ca fait exactement la même chose que tout à l'heure : la petite barre combofixe se rempli, une fois pleine elle disparait et plus rien.

sKe69 · Answer

arf ...


Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Lolo · Answer

dur dur...

voici le lien

http://www.cijoint.fr/cjlink.php?file=cj201004/cijh1dZ0nZ.txt

sKe69 · Answer

on va faire autrement ....




dans l'ordre :



1- Télécharge OTM (de Old_Timer) sur ton Bureau. 

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

 
Double clique sur "OTM.exe" pour ouvrir le prg . 
Puis copie ce qui se trouve en citation ci-dessous,
 

:processes
explorer.exe

:Services
_VOIDd.sys
_VOIDemxnixrnpt

:Reg
[-HKLM\Software\Malware Defense]
[-HKLM\Software\Paladin Antivirus]
[-HKCU\Software\Malware Defense]
[-HKCU\Software\Paladin Antivirus]              
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"hf8wefhuaihf8ewfydiujhfdsfdf"=-
"hsf87efjhdsf87f3jfsdi7fhsujfd"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\SharedTaskScheduler]
"{A9BA40A1-74F1-52BD-F431-00B15A2C8953}"=-

:Files
C:\WINDOWS\_VOIDemxnixrnpt\_VOIDd.sys
C:\WINDOWS\system32\drivers
bbym.sys
C:\WINDOWS\System32\jgrw7.dll 
C:\WINDOWS\System32\sv3if.dll   
C:\WINDOWS\System32phxvge4.dll
C:\WINDOWS\System32\moyig0l.dll
C:\DOCUME~1\DELL\LOCALS~1\Tempqh4e63.exe  
C:\DOCUME~1\DELL\LOCALS~1\Temp\svchost.exe 
C:\WINDOWS\_VOIDemxnixrnpt 
     
:Commands
[purity]
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTM : 
Paste Instructions for items to be moved.
(ne touche à rien d'autre !) 

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ... 

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"  
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).


======================

2- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Lolo · Answer

re

Merci pour tout c'est sympa.
voici le rapport d'OTM :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijOHDVSLI.txt

et voici le rapport de zhpdiag :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijDa3Ccfn.txt

à noter que le diagnostique a été plus long qu'avant (je sais pas si ca aide mais voila, c'est dit!!)

sKe69 · Answer

bien 


refait la manipe avec ske.exe maintenant ...


en espérant que cela fonctionne cette fois ....

Lolo · Answer

re,

Ca a fonctionné, voici le lien du rapport.

http://www.cijoint.fr/cjlink.php?file=cj201004/cij8TogufX.txt

sKe69 · Answer

Re,



il me faut d'autres infos avant de poursuivre :



1-  Avoir accès aux fichiers cachés :
 
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage 
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
c:\windows\system32\drivers\coqfxpky.sys

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

c:\windows\system32\drivers
bbym.sys 
c:\windows\system32	nbmvrpf.dll

Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

Lolo · Answer

voici le rapport du premier fichier :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijErjSB4S.txt

sKe69 · Answer

re,

pour le dernier fichier je ne le trouve pas, ds ce repertoire j'ai : 
tlntsvrp.dll ??

non rien à voir ...

c'est celui-ci qu'il me faut si il est visisble > c:\windows\system32	nbmvrpf.dll

sKe69 · Answer

alors ?



rein d'autre pour VirusTotal ?

Lolo · Answer

voici le rapport du 2nd fichier

http://www.cijoint.fr/cjlink.php?file=cj201004/cijlT09chb.txt

sKe69 · Answer

re, 


il n'est pas dans le repertoire indiqué.  
je lance une recherche 


laisse courrir ....  


On poursuit .... dans l'ordre : 



1- Créer un doc texte sur ton bureau:  
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .  

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :  


File::  
c:\windows\system32\drivers
bbym.sys   
c:\windows\system32\drivers\coqfxpky.sys 
c:\windows\system32	nbmvrpf.dll 

Driver::  
nbbym 
coqfxpky 

NetSvc:: 
fjqtvp 

Folder:: 
c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :  
CFScript puis valide ... ( sauvegarde le bien sur le bureau ) 
  

2- Nettoyage : 

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .  

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif ) 

Cette manipulation va relancer Combofix . 

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !). 

! Ne touches à rien tant que le scan n'est pas terminé ! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ... 


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation ) 



"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Lolo · Answer

re,

voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijXRvXNTz.txt

sKe69 · Answer

re,


bon ... on avance .... ^^



mais j'ai oublié quelque chose .... 

refait la manipe avec CFscript en mettant ceci dans le CFScript.txt :


Driver::
fjqtvp


poste moi le nouveau rapport Combo obtenu ....

Lolo · Answer

voila le derner rapport.
on approche de la fin?

http://www.cijoint.fr/cjlink.php?file=cj201004/cijgDEqTl5.txt

sKe69 · Answer

re,


on approche de la fin?


pas encore ! .... ^^"



on continue .... dans l'ordre :



1- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre . 
Lors de l'installation: 
-choisis bien "français" en langue . 
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières. 

Un tuto ( aide ): 
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé : 
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage- 
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs- 
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) . 

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... ) 


===========================

2- On va pouvoir utiliser Malwarebytes ainsi ,


mets le à jour ! ( onglet "mise à jour" ). 


* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...


============================

3- Refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Lolo · Answer

oki doki,

voici le rapport zhpdiag
http://www.cijoint.fr/cjlink.php?file=cj201004/cijSBJF9hC.txt

le rapport mabam:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijf4Mk0ZR.txt

sKe69 · Answer

très bien ....



on poursuit :


1- * Supprime tout ce qui se trouve dans la quarataine de Malwarebyte .

* Supprime ske.exe ( ComboFix )

* Supprime également ces deux dossiers :

C:\ske10964s
C:\ske

et vides ta corbeille !


============================


2- Télécharge UsbFix ( de C_XX, Chimay8 & El desaparecido ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
ou ici https://www.ionos.fr/?affiliate_id=77097

! Déconnecte toi d'internet et ferme toutes applications en cours !


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 


# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


Note : 
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

Lolo · Answer

voici le rapport usb fixe.

http://www.cijoint.fr/cjlink.php?file=cj201004/cijtOWxqQi.txt

j'aime passer mes journées à decontaminer un pc....
en tout cas merci de ta patience.

sKe69 · Answer

bien ....


c'est pas clean de ce côté là non plus ! ...



dans l'ordre :



1- ! Déconnecte toi d'internet et ferme toutes applications en cours !

Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) . 

# Double clique sur UsbFix.exe présent sur ton bureau pour lancer l'outil .

# Cette fois ci , tu choisis l' option 2 ( Suppression ) .

> Ton bureau disparaitra et le pc redémarrera ( c'est normal ).

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche à rien .

# Une fois terminé,  poste le nouveau rapport UsbFix.txt qui apparaitra avec le bureau .


( Le rapport est en outre sauvegardé à la racine du disque maitre > C:\UsbFix.txt ).

/!\ Si le Bureau ne réapparait pas, presse Ctrl + Alt + Suppr pour ouvrir le Gestionnaire des Tâches > Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide ) /!\ 


============================

2- Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) ! 

* Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ... 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Lolo · Answer

voici le rapport ad remove
http://www.cijoint.fr/cjlink.php?file=cj201004/cijn7v1IYD.txt

le rapport usbfix
http://www.cijoint.fr/cjlink.php?file=cj201004/cijAYnAePX.txt

voilaaaa

sKe69 · Answer

bien ... 


des merdes s'accrochent au niveau de ta clé usb ! .... 



dans l'ordre : 



1- ! Déconnecte toi et ferme toutes applications en cours (Navigateur compris) !  
  

*  Double clique sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil . 
  
*  Clique cette fois sur [Nettoyer]  . 

*  Le nettoyage débute >  Laisse travailler l'outil et ne touche à rien !...  


--> Poste le rapport qui apparait à la fin dans ta prochaine réponse pour analyse ... 

( Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.log)  
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


========================= 

2- toujours tes unités externes branchées au PC : 


A- relance UsbFix , chosis cette fois l'option 4 ( "Listing" ) 

> poste moi le rapport obtenu stp .... 


B- Analyse moi ces deux fichier sur ViruTotal stp : 


F:\usb_auto.exe  
F:\usb_smss.exe  

> poste moi les deux rapports obtenus et attends la suite .... 


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Lolo · Answer

voici le rapport ad :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijXOn9WJK.txt

voici le rapport usbfix:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijT2tbW0f.txt

par contre je ne peux plus redemarrer mon pc car j'ai lancer une analyse numérique (l'objet de mon stage) que ej dois presenter demain matin.... Une nuit ca va etre court pour que la station arrive au bout.

Lolo · Answer

voici le rapport pout usb_smss
http://www.cijoint.fr/cjlink.php?file=cj201004/cijYwb0BnL.txt

et le rapport usb_auto:
http://www.cijoint.fr/cjlink.php?file=cj201004/cijYra0K0J.txt

sKe69 · Answer

on reprendra demain alors ....  


tu as une grosse infection au niveau de ta clé .... et elle infectera tout systeme sur lequel elle sera connecté ....  



donc pour demain il me faut ceci :  


1- les rapports VirusTotal de :  


F:\usb_auto.exe   
F:\usb_smss.exe   


========================  

2- Toujours ta clé Usb connectée au PC :  


Télécharge SystemLook de jpshortstuff sur ton bureau : 

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe 


* Double-clique sur "SystemLook.exe" pour lancer l'outil . 

-> Copies/colle le texte ci-dessous dans la fenêtre : 


:dir  
F:\NATASA  
F:\SRECOMOJA  
F:\KUPILJUBAV  


* Clique sur le bouton [Look] pour lancer l'examen . 

Laisse travailler ... 

* Quand il est terminé, une fenêtre du Bloc-notes s'ouvre avec le résultat du scan.  

-> Poste ce rapport dans ta prochaine réponse pour analyse ... 


 ( Note : Le rapport est en outre sauvegardé sur ton bureau / "SystemLook.txt" ) 
  



  

"Baby, I'm going on an airplane, And I don't know if I'll be back again"  
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne   
vous l'a pas dit !

Lolo · Answer

Salut,

j'ai deja déposé les rapports de usb_auto et usb_smss

voici le rapport de systemelook :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijivrDzvQ.txt

Lolo · Answer

j'ai pas de dalimoze.exe, j'ai que le fichier kupiljubav , il n'apparait pas en repertoire

Lolo · Answer

voici le rapport KUPILJUBAV

 http://www.cijoint.fr/cjlink.php?file=cj201004/cij5yKRITd.txt

sKe69 · Answer

Re, 

arrète tout avec VirusTotal ...  

tu t'y prends mal ! 

tu fais l'analyse en directe comme demandé ici ( pas par mail ! ) 



Rends toi sur ce site :  

https://www.virustotal.com/gui/  

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  :  
F:\usb_auto.exe 

Clique sur Send File ( = " Envoyer le fichier " ).  

Un rapport va s'élaborer ligne à ligne.  

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.  

Sauvegarde le rapport avec le bloc-note.  

Copie le dans ta prochaine réponse ...  

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant ) 

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses 


Fais de même pour : 

F:\usb_smss.exe  
F:\KUPILJUBAV\dalimoze.exe  

Poste moi donc ces 3 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ... 




"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Lolo · Answer

oui j'ai pas touché aux parametres depuis hier, meme en regardant dans l'explorateur windows je ne vois rien dedans.
virus total le prend directement pour un fichier dont je t'ai mis le rapport au dessus

sKe69 · Answer

décidemment ... -_-  



bref,  


tant pis pour les analyses ....  


on shoot ....  



dans l'ordre :  


1- ! Toujours ta clé branché au PC !   

Télécharge OTM (de Old_Timer) sur ton Bureau.   

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/  

   
Double clique sur "OTM.exe" pour ouvrir le prg .   
Puis copie ce qui se trouve en citation ci-dessous,  
   

:Files  
F:\usb_auto.exe   
F:\usb_smss.exe  
F:\NATASA\pazhin.exe  
F:\NATASA\Desktop.ini  
F:\SRECOMOJA\Desktop.ini  
F:\KUPILJUBAV\Desktop.ini  
F:\KUPILJUBAV\dalimoze.exe  
F:\NATASA  
F:\SRECOMOJA  
F:\KUPILJUBAV  

:Commands  
[purity]  
[emptytemp]  
[zipfiles]  
[Reboot]


et colle le dans le cadre de gauche de OTM :   
Paste Instructions for items to be moved.  
(ne touche à rien d'autre !)   

! Déconnecte toi et ferme toutes tes applications en cours ! ( navigateurs compris )  

-> clique sur MoveIt! pour lancer la suppression.  
-> laisse travailler l'outil ...   

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .  

Ton PC va redémarrer de lui même pour finir la suppression ...  

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).  

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"    
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ).  


============================  

2- relance UsbFix :  

* choisis l'option 4 ( "listing" )  

> poste moi le nouveau rapport optenu  


=======================  

3- Refais un scan ZHPDiag .  

* coche bien toutes les options ( sauf la 045 et 061 ),   

* au niveau du bouton "calendrier" choisis > 30 days  

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...   



"Baby, I'm going on an airplane, And I don't know if I'll be back again"  
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne   
vous l'a pas dit !

Lolo · Answer

comme je te l'ai dit hier, ces fichiers ne passent pas en direct, ils ont une taille de 0 octet, du coup je tombe sur une page d'erreur me disant que j'ai envoyé 0 octet.
je viens d'essayer avec un autre fichier plus gros et celui ci est analysé.
c'est pour ca que je suis passé par mail.

Lolo · Answer

rapport otm :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijsdwGvXa.txt

rapport usb fix : 
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWZv75rn.txt

rapport zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201004/cij681ZMpd.txt

sKe69 · Answer

re,


Dans l'ordre :


1- reboot le PC !

=====================

2- OTM devrais finir le boulot une deuxieme fois de lui même

> poste le nouveau rapport obtenu


=====================

3- refait l'option 4 d'UsbFix

> poste le nouveau rapport obtenu ....

Lolo · Answer

rapport otm :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijc2rbVlE.txt

rapport usbfix
http://www.cijoint.fr/cjlink.php?file=cj201004/cij17lUCHu.txt

sKe69 · Answer

grrr,


cette merde resiste ... 


je ne sais pas si OTM ne fait pas essayer en vain de faire la suppression à chaque reboot ... -_-



refais ceci dans un premier temps :


un nouveau scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

Lolo · Answer

rapport zhpdiag

http://www.cijoint.fr/cjlink.php?file=cj201004/cijfBHvdBJ.txt

il ne reste que le virus de la clé???
et si je la format c'est pas bon??

sKe69 · Answer

re, 


et si je la format c'est pas bon?? 


pas sûr ... tout dépend du type de bestiole ( et comme VT n'a pas fonctionné ^^ ) 



On va réutiliser ComboFix ainsi : 


! toujours ta clé usb brancée au pc ! 



1- Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !):  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  


======================= 

2- Créer un doc texte sur ton bureau:  
* Pointe ta souris sur ton bureau , clique droit / va dans "nouveau" et choisis "document texte" .  

* Copie/colle tout le texte qui se trouve ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :  


File:: 
F:\usb_smss.exe   
F:\NATASA\pazhin.exe   
F:\KUPILJUBAV\dalimoze.exe   

Folder::  
F:\NATASA   
F:\KUPILJUBAV 

DirLook::  
C:\Program Files\maj


* Sauvegarde le fichier : va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :  
CFScript puis valide ... ( sauvegarde le bien sur le bureau ) 
  

3- Nettoyage : 

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après )  !! 

-->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .  

(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif ) 

Cette manipulation va relancer Combofix . 

> Puis patiente le temps du scan ( Le Bureau va disparaître à plusieurs reprises : c'est normal !). 

! Ne touches à rien tant que le scan n'est pas terminé ! 

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  


> Une fois le scan achevé, un rapport va s'afficher : poste le pour analyse ... 


( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation ) 


============================== 

4- relance UsbFix , 

fait l'option 4 de nouveau , 

Poste le nouveau rapport obtenu pour contrôle ... 


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

Lolo · Answer

rapport combifix :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijMQEEoDm.txt

rapport usbfix :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijfNwL5BZ.txt

et tu aurais des logiciels a me conseiller pour eviter que cela se reproduise et proteger mon opc??

sKe69 · Answer

re,

et tu aurais des logiciels a me conseiller pour eviter que cela se reproduise et proteger mon opc??


t'inquiète ... on s'occupera de cela en temps voulu .... ;)


tu m'as posté un rapport usbfix/option 4 qui a été fait avant combo ! ...


Il m'en faut un tout frais .... ;)

Lolo · Answer

arf, désolé

voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijOci9FyH.txt

sKe69 · Answer

c'est mieux !



dis moi , tu sais zipper un dossier ?

Lolo · Answer

oui oui, je suis un naze en mode virus mais je sais faire pas mal de chose sur un pc (mm un peu de linux, pour te dire!!!)

sKe69 · Answer

oki ...


alors voilà la suite des opérations :



1- Zippe ce dossier stp :

F:\Qoobox



============================

2- Rends sur cette page :
> https://www.ionos.fr/?affiliate_id=77097 

* clique sur "parcourir" et va jusqu'au fichier  C:\UsbFix_Upload_Me_DELL-791C6DE593.zip  

* En dessous de "Sélectionnez l'outil que vous venez d'utiliser" , choisis UsbFix. 

 
* puis clique sur "envoyer le fichier" ... patiente le temps du transfère ...

* Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_DELL-791C6DE593.zip



Puis fait de même pour les zip suivant :

--> celui que tu vien de faire avec Qoobox ( tu shooteras ensuite le dossier F:\Qoobox et le zip manuellement car il renferme les salopries qu'on vient de supprimer ) 

--> le .zip qui se trouve dans ce dossier > C:\_OTM\MovedFiles




merci d'avoir fait cette remonté qui permettra aux auteurs de l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant ... ^^




> préviens moi une fois tout ceci fait et je te donne la suite .... ;)

Lolo · Answer

c'est fait!!
je peux aussi supprimer l'archive ds OTM??

sKe69 · Answer

re,


je peux aussi supprimer l'archive ds OTM??


non pas besoin ... on va faire un ménage général .... ;)



dis moi comment va le PC maintenant ... du mieux non ?



puis fait ceci dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) :



( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...
 

======================================

2- Refais un coup de CCleaner ( registre compris ) .


======================================

3- Télécharge et installe le logiciel HijackThis : 

ici https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

======================================

4- Important :
Purge de la restauration système 
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

5- Fais ce scan en ligne pour vérifier :

( ne rien faire d'autre avec le PC durant le scan ! )

Fais un scan en ligne avec " Panda " :

> https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan
( clique sur "scan your PC now" )

tuto : 
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368 


poste moi le rapport obtenu pour analyse ...

Lolo · Answer

ok, j'ai un cas de simulation qui tourne et il va prendre TOUT le we facile, du coup je peux pas redemarrer pour le moment.
je te postes tout ca lundi.

merci pour ton aide, passe un bon we et à lundi..


ps: oui le pc va BCP mieux ;)

Lolo · Answer

me revoila, désolé mais début de semaine de ouf!!
le rapport zhpfix :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijQnLutKR.txt

panda tourne en ce moment,
par contre ma clé est devenu un lecteur de disque, du coup je ne peux plus aller dessus, est ce normal???

je te mets le rapport panda dés que fini.

Virus your protection

59 réponses

Votre réponse

Discussions similaires

Newsletters