Virus recalcitrant

Toffe31 Messages postés 140 Statut Membre -  
 gen-hackman -
Bonjour,

Je suis contaminé et je n'arrive pas à m'en sortir.
J'ai donc besoin de votre aide!

Un processus s'ouvre seul : 74Vax40S.exe et dérrière sans apparition de fenêtre : iexploer.exe

Je poste mon dernier rapport MBAM et celui de ZPHDiag

Par avance merci de votre aide:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4079

Windows 5.1.2600 Service Pack 3, v.5657
Internet Explorer 7.0.5730.13

09/05/2010 07:11:24
mbam-log-2010-05-09 (07-11-24).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 211853
Temps écoulé: 33 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\jkycrzly.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{351fcfee-47e3-474a-9900-a247cb343680} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{351fcfee-47e3-474a-9900-a247cb343680} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{351fcfee-47e3-474a-9900-a247cb343680} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\jkycrzly.dll (Trojan.Vundo.H) -> Delete on reboot.

Le rapportZHPDiag est ici:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijWPXQLBV.txt

28 réponses

  • 1
  • 2
Résumé de la discussion

Infection informatique sous Windows XP SP3 entraîne des processus qui se lancent seuls, notamment 74Vax40S.exe, une dll suspecte jkycrzly.dll associée à Trojan.Vundo.H, visibles dans les rapports d’analyse. Selon le rapport MBAM, un fichier système est infecté (jkycrzly.dll) et plusieurs éléments du registre ainsi qu’un Browser Helper Object lié au Trojan.Vundo.H ont été détectés et mis en quarantaine. Des propositions pratiques évoquent l’emploi d’outils comme Gmer ou ZHPFix, éventuellement associées à un redémarrage en mode sans échec et à une suppression manuelle de composants malveillants. Pour éviter des récidives, il est conseillé d’exécuter les outils en mode administrateur, de désactiver les extensions inutiles et de mettre à jour le système, sachant que XP et IE8 présentent des vulnérabilités connues.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    bonjour :

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ▶ Télécharge List_Kill'em

    et enregistre le sur ton bureau

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer Shortcut
    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Je n'ai pls de firewall/ antivirus... pour l'instant

      Voici mon rapport:

      http://www.cijoint.fr/cjlink.php?file=cj201005/cijoXONko0.txt
      Par avance merci
      0
  2. gen-hackman
     
    ▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    ▶ choisis l'Option Clean

    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Voilà mon rapport Kill'em:

      http://www.cijoint.fr/cjlink.php?file=cj201005/cij2JB0ZXl.txt

      Encore merci de ton aide
      0
  3. gen-hackman
     
    ▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Manual delete

    un document texte va s'ouvrir à l'apparition de : Text Please

    ▶copie/colle le texte en gras ci-dessous :

    C:\WINDOWS\system32\jkycrzly.dll

    ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

    Laisse travailler l'outil

    à la fin un rapport s'ouvre ,

    ▶ poste le resultat
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      J'ai copié la ligne de commande dans un ficier suppress.txt. J'ai enregistré. Mais le programme ne poursuit pas. Lorsque je relance, il me dit que le fichier suppress.txt n'existe pas et réouvre le fichier txt vierge.

      Que faire?
      0
  4. gen-hackman
     
    ton windows n'est pas légal c'est peut etre pour ca que ca ne marche pas

    supprime-le manuellement
    0
    1. gen-hackman
       
      tu as desactive les defenses ?
      0
    2. Toffe31 Messages postés 140 Statut Membre 1
       
      Et ce queje peux le faire avec ZHPFix? ou plutot manuellement?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    ok fais-moi un rapport zhpdiag via cijoint.fr
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Je coche la ligne sur ZHPFix
      Je relance le PC et je poste un rapport ZHPDiag
      0
    2. Toffe31 Messages postés 140 Statut Membre 1
       
      Voici mon dernier rapport ZHPDiag
      Pas moyen de supprimer manuellement le DLL

      http://www.cijoint.fr/cjlink.php?file=cj201005/cijP0tFygm.txt
      0
  7. gen-hackman
     
    non :

    ▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

    ▶ Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse,

    ▶ clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Pour me le transmettre clique sur ce lien :

    http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Voilà:

      http://www.cijoint.fr/cjlink.php?file=cj201005/cijwV9cLv2.txt
      0
  8. gen-hackman
     
    ▶ Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista )

    ▶ fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert "ZHPFix".

    ▶ ZHPFix se lancera, clique maintenant sur le "H" bleu ( coller les lignes helper )

    ▶ copie/colle ce qui se trouve sur ce lien :

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijKGcsBsk.txt

    ▶ Clique sur "Ok" , puis "Tous" et enfin "Nettoyer".

    ▶ Copie/Colle le rapport à l'écran dans ton prochain message
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      ZHPFix v1.12.3094 by Nicolas Coolman - Rapport de suppression du 09/05/2010 14:29:38
      Fichier d'export Registre : C:\ZHPExportRegistry-09-05-2010-14-29-38.txt
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


      Processus mémoire :
      (Néant)

      Module mémoire :
      (Néant)

      Clé du Registre :
      O2 - BHO: (no name) - {351FCFEE-47E3-474A-9900-A247CB343680} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\jkycrzly.dll => Clé supprimée avec succès
      O2 - BHO: (no name) - {51182623-18FE-4AEF-9A73-D54FB1DD9B4E} . (.Microsoft Corporation - Windows Sockets Helper DLL.) -- c:\windows\system32\ijftpyr.dll => Clé non supprimée
      O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe => Clé supprimée avec succès
      HKCU\Software\Iwloycvhbc => Clé supprimée avec succès
      HKLM\Software\7F68A003 => Clé supprimée avec succès
      HKLM\Software\Amhrvwsr => Clé supprimée avec succès
      O53 - SMSR:HKLM\...\startupreg\QuickTime Task [Key] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask .exe => Clé supprimée avec succès

      Valeur du Registre :
      (Néant)

      Elément de données du Registre :
      [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
      [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

      Dossier :
      C:\Program Files\Fichiers Communs\i4j_jres => Supprimé et mis en quarantaine

      Fichier :
      c:\windows\system32\jkycrzly.dll => Fichier supprimé au reboot
      c:\windows\system32\ijftpyr.dll => Fichier supprimé au reboot
      c:\program files\bonjour\mdnsresponder.exe => Fichier supprimé au reboot
      c:\debug [51283] => Fichier absent
      c:\program files\quicktime\qttask .exe => Supprimé et mis en quarantaine
      c:\windows\system32\:myspacce => Fichier absent

      Logiciel :
      O42 - Logiciel: - (.Pas de propriétaire.) [HKLM] => Logiciel absent

      Script Registre :
      (Néant)

      Master Boot Record :
      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x895B7AC8]<<
      kernel: MBR read successfully
      detected MBR rootkit hooks:
      \Driver\atapi -> 0x89621248
      Warning: possible MBR rootkit infection !
      user & kernel MBR OK
      Use "Recovery Console" command "fixmbr" to clear infection !

      Resultat après le fix :
      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      kernel: MBR read successfully
      user & kernel MBR OK

      Autre :
      (Néant)


      Récapitulatif :
      Processus mémoire : 0
      Module mémoire : 0
      Clé du Registre : 7
      Valeur du Registre : 0
      Elément de données du Registre : 2
      Dossier : 1
      Fichier : 6
      Logiciel : 1
      Master Boot Record : 19
      Autre : 0


      End of the scan
      0
    2. Toffe31 Messages postés 140 Statut Membre 1
       
      Je vois qu'il y a des suppessions prevues au reboot. Dois-je rebooter maintenant?
      0
  9. gen-hackman
     
    oui
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Je te reposte un rapport ZHPDiag?
      0
    2. Toffe31 Messages postés 140 Statut Membre 1
       
      jkycrzly.dll => Fichier supprimé au reboot
      c:\windows\system32\ijftpyr.dll=> Fichier supprimé au reboot
      Ces deux fichiers sont toujours présents et ont toujours des clefs dans la base de registre
      0
  10. gen-hackman
     
    salut apres le reboot oui :)
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Je commence par le rapport MBAM:

      http://www.cijoint.fr/cjlink.php?file=cj201005/cij7cL1EaL.txt

      et le rapport ZHPDiag:

      http://www.cijoint.fr/cjlink.php?file=cj201005/cijCm0dNCt.txt

      Encore merci de ta patience... Apparement ce n'est pas encore fini
      0
    2. gen-hackman
       
      tu as supprimé pour mbam ? je regarde l'autre
      0
    3. Toffe31 Messages postés 140 Statut Membre 1
       
      oui mais cela revient à chaque démarrage . Toujours pareil
      Memory module : jkycrly.dll
      File : jkycrly.dll
      registre key : fsharproj

      Voilà
      0
  11. gen-hackman
     
    je ne peux pas utiliser les outils conventionnels pour t'aider faute de compatibilité , c'est une horreur ....

    ▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Remove Key

    un document texte va s'ouvrir à l'apparition de : Text Please

    ▶copie/colle le texte en gras ci-dessous :

    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{351FCFEE-47E3-474A-9900-A247CB343680}"
    "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{51182623-18FE-4AEF-9A73-D54FB1DD9B4E}"


    ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

    Laisse travailler l'outil

    à la fin un rapport s'ouvre ,

    ▶ poste le resultat
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Désolé comme tout à l'heure, cela ce passe mal avec le fichier K.txt
      Est il possible de supprimer ces clefs avec ZHPFix?

      Avant cela ma version TRUST de XP était super stable. désolé de t'imposer cela.
      0
  12. gen-hackman
     
    ben j ai essayé avec zhpfix mais il n a pas reussi....
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Je suis désolé, que pourrais je faire d'autre???

      Dans le pire des cas si tu ne trouves pas, ..... format c: et je réinstalle
      Mais si je pouvais éviter cela me ferait gagner du temps

      encore merci de te creuser les méninges pour moi, mais à ce niveau c'est de la science fiction pour moi
      0
    2. Toffe31 Messages postés 140 Statut Membre 1
       
      Si cela peut aider, j'ai un message d'erreur depuis le début à chaque lancement de List_kill'em

      Windows script host est désactivé, contacter administrateur......

      Au cas ou...
      0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Ok plus de message d'erreur à l'ouverture, mais après enregistrement du fichier txt, le programme ne continue pas... désolé
      0
    2. Toffe31 Messages postés 140 Statut Membre 1
       
      Question bête : ces fichiers txt.... ou doivent ils être enregistrés pour fonctionner.
      Car moi il me propose le repertoire d'installation du programme.
      0
  13. gen-hackman
     
    tu parles de quel programme et de quel fichier txt ?
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Lorsque tu m'as demandé de supprimer manuellement les clefs.
      le programme list kill em a ouvert un fichier texte K.txt, j'ai copi les clefs et il ne s'est pas relancé.
      Le fameux fichier K.txt est enregistré dans le repertoire du programme list kill em

      N'est ce pas à la racine c: que devrit se trouver ce fichier.
      0
  14. gen-hackman
     
    refais zhpdiag ?
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Dès que le clean de kill'em est terminé, je poste le rapport de nettoyage et celui de ZHPDiag.
      Merci de ta patience!
      0
  15. gen-hackman
     
    ok ;)

    pas de problemes
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Bon c'est plus long que prévu....
      Je posterai tout cela à mon réveil.
      Bonne soirée
      0
  16. gen-hackman
     
    ok toi aussi et....."see you tomorrow" ^^
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Bonjour,

      voici mon rapport Kill'em:

      http://www.cijoint.fr/cjlink.php?file=cj201005/cijdIpm3ud.txt

      et mon rapport ZHPDiag:

      http://www.cijoint.fr/cjlink.php?file=cj201005/cijLd2Qt2W.txt

      Par avance merci et à ce soir.
      0
  17. gen-hackman
     
    bon on va le tenter mais je ne pense pas qu'il demarre


    /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\

    ________________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ______________________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Tu avais raison, cela ne démarre pas... désolé
      0
  18. gen-hackman
     
    List_Kill'em ne filtre pas les systeme d'exploitation et est compatible tous systemes 32 et 64 bits a partir de win98 jusqu'a win 7 donc s'il ne fonctionne pas , je ne vois pas qu'utiliser pour te sortir de la.....d'habitude il fonctionne avec les win pas conformes....ca veut bien dire que le tien est vraiment pourri

    je savais que combofix ne fonctionnerait pas et je ne vois que faire..
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Je te remercie beaucoup de ton aide et de ta patience.
      Tu auras essayer jusqu'au bout.

      Je crois que je vais reformater.
      0
  19. gen-hackman
     
    attends je relis tout attentivement on va essayer de trouver une solution quand meme
    0
  20. gen-hackman
     
    Un processus s'ouvre seul : 74Vax40S.exe et dérrière sans apparition de fenêtre : iexploer.exe


    tu as toujours ceci ?
    0
    1. Toffe31 Messages postés 140 Statut Membre 1
       
      Non de ce coté là cela s'est apparement calmé. il faut dire aussi que je suis déconnecté du web
      Pas de 74Vax40S.exe ni d'iexplorer.exe. C'est la bonne nouvelle
      Seul le dernier rapport MBAM est toujours valable.
      0
    2. Toffe31 Messages postés 140 Statut Membre 1
       
      après activation de ma console de récupération, j'ai pu supprimé le fameux : jkycrzky.dll que j'avais sous system32. cela te parait-il suffisant sans que MBAM a l'air de dire que pour lui tout est OK.

      Qu'en penses tu

      PS: j'ai aussi passé super antispyware et là aussi tout a l'air d'être clean
      0
  • 1
  • 2