Clé USB et PC infectés!!! merci de m'aider Résolu

Question

Salut à tous & merci d'avoir pris le temps de lire ce message.   
Je passe directement au problème qui me saoul depuis plus de 3 semaines ^^"   

D'abord le PC a été infecté (je n'sais comment peut être la clé de ma soeur) & il a infecté par la suite ma clé.   
J'ai bon cherché sur le net & sur les forums, suivi les conseils & recommandations selon les virus & infections détectés... mais tous réapparait de nouveau :/ donc le PC n'est pas bien nettoyé.   
J'ai AVG anti virus, j'ai scanné pas mal de fois & supprimé. J'ai utilisé flash disinfector, malwarebyte's en mode sans échec, j'ai formaté ma clé & installé Panda USB mais apparement ca ne sert à rien.   

Les virus/ infections détectés à chaque fois: win32/heur ,trojan.agent ,worm.autorun, cheval de troie, hacktool.patcher je peux poster les rapport de malwarebyte's ou de AVG. J'n'ai pas encore utilisé hijackthis car j'y pigerai rien dans le rapport ^^"   
AVG & mbam me détectent la plupart des infections dans un dossier nommé E_N4 dans les fichiers temporaires & que j'n'arrive pas à supprimer .Un autorun.inf (vide) sur ma clé qui ne veut pas se supprimer (sachant que j'ai mis flach disinfector sur ma clé aprés son formatage car d'aprés ce que j'ai lu ca évite l'infection autorun de la clé en créant un doss autorun.inf vide)   

Problème av PC & clé: le curseur de la sourie qui file vers les bords, apparition d'erreur avec un "W" ou un "K" parfois, y'a aussi une petite fenêtre d'erreur incomprise! Ni mozilla ni ie ne voulaient marcher ce matin, les dossiers de ma clé sont remplacés par des dossiers du même nom avec l'extension .exe même aprés  formatage   

J'espère que j'ai tous dis, merci ENORMEMENT d'aider une désespérée mais qui reste tous de même optimiste ^^" merci merci! 

Bonne journée à tous & à toutes ^^  

Configuration: Windows XP / Firefox 3.6.3

NicoVA · Answer

Salut à toi !

Pourrais tu poster le rapport de MBAM et AVG ? Pour que je voye ou se situent les infections.

++

Ang3licD3vil · Answer

ok ^^ bon voilà le rapport de mbam & celui de AVG je l'posterai demain (là c'est 22:11 chez moi). Merci ^^  

http://www.cijoint.fr/cjlink.php?file=cj201004/cijRFTzRi9.txt

NicoVA · Answer

Salut

Tu n'est pas de France ? ( simple curiosité )

Après avoir posté le rapport d'AVG fait ceci pour établir un diagnostique :

&#x25B6; Télécharge ZHPDiag

&#x25B6; Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

&#x25B6; Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

&#x25B6; Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

&#x25B6; Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

++

Ang3licD3vil · Answer

Non j'suis marocaine ^^            

Pour AVG j'sais pas précisément où se trouve le rapport mais j'ai collé les résultats de la dernière analyse:    http://www.cijoint.fr/cjlink.php?file=cj201004/cij2s5ZX0s.txt     
Sachant que toutes ces infections sur ces rapports réapparaissent de nouveau même après le nettoyage avec AVG ou MBAM :/            

Voilà pour ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201004/cijesCauWC.txt        
    
J'attends ta (votre) réponse & merci

NicoVA · Answer

Salut ! 

Bon y'a du boulot pour commencer : 

1- 

Supprime ceci : C:\Program Files\webserver

2- 

? Télécharge mbr.exe de Gmer sur le Bureau 

? Désactive toutes tes protections et coupe la connexion.

? Double clique sur mbr.exe et laisse l'outil travailler : un rapport nommé mbr.log sera généré 

? Poste son rapport dans ta prochaine réponse

Ang3licD3vil · Answer

salut, tu pourrais m'expliquer ce que t'as trouvé dans le rapport? ^^ j'aimerai bien savoir(pas en détails bien sur), & pourquoi supprimer le dossier webserver en particulier? (y'a de icônes d'eMule dedans, sa suppression n'affectera pas eMule?? car mon frère l'utilise) 
& voilà le rapport de mbr: 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net 

device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK  

donc y'a pas d'infection rootkit, c'est ca?

NicoVA · Answer

Salut Pour le dossier à supprimer, il fait parti de l'infection KoobFace De plus tu avait un rootkit MBR ( dossier ) que MBR de Gmer a supprimé ;) 1- > Rends toi sur VirusTotal -> Affiche les fichiers et dossiers cachés -> Upload ce fichier C:\WINDOWS\system32\CD38DB\BA7894.exe -> Copie et colle le lien du rapport dans ta prochaine réponse. ++

Ang3licD3vil · Answer

Ah d'accord merci ^^         

Pour la démarche j'arrive pas à l'effectuer, le dossier CD38DB est vide & quand j'fais la recherche pour BA7894 on me dis qu'il est introuvable (alors j'le supprime?) 

& en fait, l'analyse d'aujourd'hui d'AVG m'a trouvé un cheval de troie dans un dossier caché qui se trouve aussi dans system32 nommé: B4D6B9 & en l'explorant j'ai trouvé quelques fichiers y compris 2 avec un W & un K (les erreurs dont j'avais parlé au début), donc j'en fais quoi à ton avis?      

Voila le rapport de VirusTotal pour l'un des 2 (W):  https://www.cjoint.com/?fbadWfDWk3   
J'ai fais la même chose pour le reste du dossier & y'a qu'un fichier/6 qui est clean ^^"....:s Bonne nuit

Ang3licD3vil · Answer

C'est moitié fait, voilà le rapport de Combofix: http://www.cijoint.fr/cjlink.php?file=cj201005/cijMoihjJw.txt        

J'ai téléchargé la console de récupération manuellement, j'voulais savoir si ca marchera pour une version non originale de windows, car c'est ce que j'ai ^^" quand je glisse le fichier vers combofix c'est ce dernier qui s'exécute, & puisque celui-ci me demande de redémarrer & désactiver mes DD temporairement (comme quand j'l'ai exécuté la 1ère fois) j'ai accepté mais le démarrage s'est passé comme d'habitude donc elle n'a pas été instalé , que faire?   pourrais-je m'en passer? 
sinon aprés instalation pourrai-je supprimer combofix?

(depuis que j'ai exécuté combofix, la connexion se déco toute seule de temps à autre)

NicoVA · Answer

Salut !

Tu m'a dit que dans ce dossiers C:\WINDOWS\system32\B4D6B9 il y avait qu'un fichier sur 6 qui était clean. Peut tu m'indique le nom des fichiers ? Et le rapport de VirusTotal pour les 5 fichiers infectés ( ré-analyse les pour avoir un nouveau rapport ;) )

++

Ang3licD3vil · Answer

Slt, tu m'as pas répondu pour combofix, si j'n'installe pas la console de récupération y'aura aucun souci avec le PC?  

Dans le dossier B4D6B9 y'a aussi:   
-Z993FA4A.exe:    http://www.cijoint.fr/cjlink.php?file=cj201005/cijhgJGxsi.txt  
-WL77D2F8.exe:    http://www.cijoint.fr/cjlink.php?file=cj201005/cij0qb0y2l.txt  
-W779925F.exe:    http://www.cijoint.fr/cjlink.php?file=cj201005/cijI38M48b.txt  
-QT815D8E.exe:    http://www.cijoint.fr/cjlink.php?file=cj201005/cij4wmwdKe.txt  
-QB81AA9C.exe:   http://www.cijoint.fr/cjlink.php?file=cj201005/cijDJKWyh6.txt  
(maintenant ils sont tous infectés! -_-")  
y'a un autre qui s'est ajouté: a7.ini mais il est clean:  http://www.cijoint.fr/cjlink.php?file=cj201005/cijH47HIHt.txt 

A+

Ang3licD3vil · Answer

ok (j'attends toujours ta réponse ^^")

Ang3licD3vil · Answer

Confirmation de qui??

Ang3licD3vil · Answer

Ah ok alors ^^ merci de me tenir au courant.

NicoVA · Answer

C'est bon lol voici le la suite :

Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications 

-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    KillAll::

    Folder::
    c:\windows\system32\B4D6B9
    c:\windows\system32\BFA5EB
    c:\windows\system32\CD38DB
    c:\windows\system32\F3AB5A

    File::
    c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\BA7894.lnk
    c:\windows\system32\drivers\gtodne.sys

    Driver::
    ndwjoud 

-> Enregistre ce fichier sous le nom CFScript

-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

* Ne touche à rien tant que le scan n'est pas terminé.

-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt

++

Ang3licD3vil · Answer

Merci ^^ voilà c'est fait, le rapport: http://www.cijoint.fr/cjlink.php?file=cj201005/cijUiouMRv.txt

(y'a un dossier Qoobox sur C où y'a des docs texte de combofix de quarantaine & plein d'autres. Si j'le supprime le PC n'aura rien? (faut que j'fasse de la place sur C))

Ang3licD3vil · Answer

d'acc ^^ bonne nuit & à demain!
Bon j'ai fais un scan avec MBAM & il ne détecte que les fichiers dans la quarantaine du dossier Qoobox :  http://www.cijoint.fr/cjlink.php?file=cj201005/cijFLguQoe.txt que j'n'ai pas supprimé jusqu'à maintenant comme tu m'as demandé.
J'ferai un scan avec AVG et j'posterai son rapport aussi.
A+ ^^

NicoVA · Answer

Ok, Poste le rapport d'AVG je pense que l'on pourra passer à l'optimisation ;)

++

Ang3licD3vil · Answer

voilà pour le rapport AVG: http://www.cijoint.fr/cjlink.php?file=cj201005/cijdBtalHb.txt
(PS. le problème du curseur st toujours le même, il va dans les bords de l'écran des fois)

NicoVA · Answer

Vu,   

On va faire un scan généraliste    

 Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent (car il est detecté a tort comme infection)   

? Télécharge List&Kill'em et enregistre le sur ton bureau   

? Branche clés usb , disques durs externes , mp3 , mp4 , etc..   

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation   

coche la case "creer une icone sur le bureau"   

une fois terminée , clic sur "terminer" et le programme se lancera seul   

choisis la langue puis clic sur Search   

? laisse travailler l'outil   

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.   

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.   

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"   

tu peux supprimer le rapport catchme.log de ton bureau maintenant.   

++

Ang3licD3vil · Answer

Salut, le lien de list&kill'em marche pas & j'ai cherché sur le net pour télécharger mais j'n'ai trouvé que des liens qui marchent pas.

NicoVA · Answer

salut 

télécharge le ici => http://sd-1.archive-host.com/...

++

NicoVA · Answer

Salut 

-> MSIE: Internet Explorer v6.0.2900.2180

Internet à mettre a jour pour la version 8

-> Utiliser JavaRa pour supprimer les anciennes versions de Java
Mettre à jour JAVA 

1: Ccleaner

&#x25B6; Télécharge Ccleaner

&#x25B6; Tutorial ICI

------------------------------------------------------------------------

2: Purger la restauration système

&#9824; Sous XP

&#8594; Désactiver la restauration du système

&#9830; Clic droit sur le Poste de travail&#8658;  Propriétés &#8658; Onglet Restauration du système &#8658; coche la case Désactiver la Restauration du système sur tous les lecteurs &#8658; Appliquer &#8658; Ok

&#8594; Ré-activer la restauration du système

&#9830; Suis le même chemin &#8658; décoche la case Désactiver la Restauration du système sur tous les lecteurs &#8658; Appliquer


 &#9824; Sous Vista/Seven

&#8594; Désactiver la restauration du système

&#9830; Clique droit sur Ordinateur &#8658;Propriétés &#8658; Paramètres système avancés &#8658; onglet Protection du Système &#8658;
Décoche tes partitions, un message de confirmation va apparaître  clique sur Désactiver la protection du système  &#8658; Appliquer &#8658; OK. 

&#8594; Ré-activer la restauration du système

&#9830; Suis le même chemin , décoche Désactiver la protection du système
  &#8658; Appliquer
 &#8658; OK. 

 Redémarre le PC 

------------------------------------------------------------------------

3: Créer un point de restauration 

 &#8658; Sous XP et VISTA

------------------------------------------------------------------------

4: Mises à Jour importantes

 &#9824; Pour Windows

&#9830; Rends toi ICI

&#9830; Ferme toutes les applications en cours

 &#9824; Télécharge Update Checker

 &#9824; Voici un tutorial pour t'aider

--> Regarde ceci qui est très intéréssant

------------------------------------------------------------------------

5: Hijackthis de TrendMicro

 &#9824; Télécharge Hijackthis de TredMicro 

 &#9824; Fais un double-clic sur HJTInstall.exe

 &#9824; Clique sur Install puis sur I Accept

 &#9824; Clique sur do a system scan and save the logfile

 &#9824; Copie et colle le contenu du log qui apparaitera

 &#9824; Tutorial animée ( De baltrap34 merci ! )

++

Ang3licD3vil · Answer

Slt ^^ wow c trop long... pour IE pas la peine car on l'utilise plus depuis longtemps donc j'ai mis à jour firefox & Java, j'ai déjà Ccleaner & j'ai nettoyé avec, J'ai créé un nouveau point de restauration. MAIS (^^)" pour la mise à jour de windows on la fait pas d'habitude, on l'active même pas car on a une version piratée  (chuuuuut! ^^")...Demain j'ferai l'analyse avec Hijackthis & j'posterai le rapport ^^   
     
(Merci =D)Bonne nuit

Ang3licD3vil · Answer

Salut...J'ai essayé pour IE mais elle requiert une mise à jour de Windows donc...
Voilà le rapport de Hijackthis: http://www.cijoint.fr/cjlink.php?file=cj201005/cijMVndD2m.txt

Clé USB et PC infectés!!! merci de m'aider

25 réponses

Votre réponse

Newsletters