Virus recalcitrant

Question

Bonjour,

Je suis contaminé et je n'arrive pas à m'en sortir.
J'ai donc besoin de votre aide!

Un processus s'ouvre seul : 74Vax40S.exe et dérrière sans apparition de fenêtre : iexploer.exe

Je poste mon dernier rapport MBAM et celui de ZPHDiag

Par avance merci de votre aide:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4079

Windows 5.1.2600 Service Pack 3, v.5657
Internet Explorer 7.0.5730.13

09/05/2010 07:11:24
mbam-log-2010-05-09 (07-11-24).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 211853
Temps écoulé: 33 minute(s), 41 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\jkycrzly.dll (Trojan.Agent) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{351fcfee-47e3-474a-9900-a247cb343680} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{351fcfee-47e3-474a-9900-a247cb343680} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{351fcfee-47e3-474a-9900-a247cb343680} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\.fsharproj (Trojan.Tracur) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\jkycrzly.dll (Trojan.Vundo.H) -> Delete on reboot.

Le rapportZHPDiag est ici:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijWPXQLBV.txt


Configuration: Windows XP Trust3 / Internet Explorer 8.0

gen-hackman · Answer

bonjour :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em


 et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

gen-hackman · Answer

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

gen-hackman · Answer

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Manual delete

un document texte va s'ouvrir à l'apparition de : Text Please

&#9654copie/colle le texte en gras ci-dessous :

C:\WINDOWS\system32\jkycrzly.dll 

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil 

à la fin un rapport s'ouvre ,

&#9654 poste le resultat

gen-hackman · Answer

ton windows n'est pas légal c'est peut etre pour ca que ca ne marche pas

supprime-le manuellement

gen-hackman · Answer

ok fais-moi un rapport zhpdiag via cijoint.fr

gen-hackman · Answer

non :

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

gen-hackman · Answer

&#9654 Relance ZHPDiag ( Clic droit " Executer en tant qu'administrateur " sous vista )

&#9654 fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert "ZHPFix".

&#9654 ZHPFix se lancera, clique maintenant sur le "H" bleu ( coller les lignes helper )

&#9654 copie/colle ce qui se trouve sur ce lien :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijKGcsBsk.txt

&#9654 Clique sur "Ok" , puis "Tous" et enfin "Nettoyer".

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message

gen-hackman · Answer

oui

gen-hackman · Answer

salut apres le reboot oui :)

gen-hackman · Answer

je ne peux pas utiliser les outils conventionnels pour t'aider faute de compatibilité , c'est une horreur ....

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Remove Key

un document texte va s'ouvrir à l'apparition de : Text Please

&#9654copie/colle le texte en gras ci-dessous :

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{351FCFEE-47E3-474A-9900-A247CB343680}"
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{51182623-18FE-4AEF-9A73-D54FB1DD9B4E}"

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil 

à la fin un rapport s'ouvre ,

&#9654 poste le resultat

gen-hackman · Answer

ben j ai essayé avec zhpfix mais il n a pas reussi....

gen-hackman · Answer

regarde ici :

https://www.vulgarisation-informatique.com/forum-9-2759-2--Windows-Script-Host-est-deacutesactiveacute-sur-cette-machine.php

gen-hackman · Answer

tu parles de quel programme et de quel fichier txt ?

gen-hackman · Answer

refais zhpdiag ?

gen-hackman · Answer

ok ;)

pas de problemes

gen-hackman · Answer

ok toi aussi et....."see you tomorrow" ^^

gen-hackman · Answer

bon on va le tenter mais je ne pense pas qu'il demarre /!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

gen-hackman · Answer

List_Kill'em ne filtre pas les systeme d'exploitation et est compatible tous systemes 32 et 64 bits a partir de win98 jusqu'a win 7 donc s'il ne fonctionne pas , je ne vois pas qu'utiliser pour te sortir de la.....d'habitude il fonctionne avec les win pas conformes....ca veut bien dire que le tien est vraiment pourri

je savais que combofix ne fonctionnerait pas et je ne vois que faire..

gen-hackman · Answer

attends je relis tout attentivement on va essayer de trouver une solution quand meme

gen-hackman · Answer

Un processus s'ouvre seul : 74Vax40S.exe et dérrière sans apparition de fenêtre : iexploer.exe


tu as toujours ceci ?

gen-hackman · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

clique droit/extraire

double clique sur le fichier ainsi extrait

cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

gen-hackman · Answer

ben c'est bien gentil mais j ai pas de rootkits visibles a te faire tuer......

gen-hackman · Answer

lol

gen-hackman · Answer

pour gmer tu as bien eu un truc jaune/rouge/bleu icone MSDOS ????

gen-hackman · Answer

aucun messsage d'erreur rien ?

gen-hackman · Answer

bonjour

ok en mode sans echec meme chose ?

gen-hackman · Answer

ben......

gen-hackman · Answer

ok hello ben bon courage

Virus recalcitrant - Page 2

Discussions similaires

Newsletters