Malware-gen, Ertfor, Spyware............

Résolu
ekjy -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -

Bonjour,
j'ai de multiples infections sur mon pc( 22 fichiers infecter si j'en crois avast)...
Biensur je ne sais comment faire pour m'en debarasser...
Si quelqu'un a une idée........
bien à vous et merci

25 réponses

  • 1
  • 2
Résumé de la discussion

Le fil traite d’infections multiples détectées sur Windows Vista, Avast évoquant environ 22 fichiers infectés et un démarrage impacté par des fichiers malveillants. Des outils de détection comme ZHPDiag et MBAM sont recommandés, avec des rapports à transmettre et des étapes d’administration, notamment lancer ZHPDiag en mode administrateur et interpréter les résultats. Les réponses détaillent des actions comme relancer MBAM, examiner les rapports ZHPDiag, et traiter des éléments persistants dans le registre et les dossiers temporaires, puis supprimer des programmes suspects via msconfig et l’éditeur de registre. D'autres étapes mentionnent la gestion des démarrages système et la collecte de nouveaux rapports pour confirmer l'efficacité des nettoyages, tout en rappelant d'éviter d'effacer sans prudence des éléments critiques.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Si tu pouvez poster le rapport de avast

    Smart
    0
  2. ekjy Messages postés 26 Statut Membre 1
     
    Voici le rapport

    13/05/2010 17:40:58 1273765258 SYSTEM 1732 Sign of "Win32:MalOb-AT [Cryp]" has been found in "C:\Users\adelaloup\AppData\Local\Temp\iexplarer.exe" file.
    13/05/2010 17:41:37 1273765297 SYSTEM 1732 Sign of "Win32:MalOb-AT [Cryp]" has been found in "C:\Users\adelaloup\AppData\Local\Temp\iexplarer.exe" file.
    13/05/2010 17:42:05 1273765325 adelaloup 2732 Sign of "Win32:MalOb-AT [Cryp]" has been found in "C:\Users\adelaloup\AppData\Local\Temp\iexplarer.exe" file.
    13/05/2010 17:44:14 1273765454 adelaloup 5876 Sign of "Win32:Ertfor [Trj]" has been found in "c:\users\adelaloup\appdata\local\temp\d2mqt.dll" file.
    13/05/2010 17:45:57 1273765557 adelaloup 5876 Sign of "Win32:MalOb-AT [Cryp]" has been found in "c:\users\adelaloup\appdata\local\temp\waxjmca3nw.exe" file.
    13/05/2010 17:46:02 1273765562 adelaloup 5876 Sign of "Win32:VB-OEK [Wrm]" has been found in "c:\users\adelaloup\pieomig.exe" file.
    13/05/2010 17:49:12 1273765752 SYSTEM 1732 AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\Windows\System32\conime.exe (C:\Windows\System32\conime.exe) returning error, 00000005.

    mais j'ai en quarantaine 22 virus je crois.....
    0
  3. ekjy Messages postés 26 Statut Membre 1
     
    j'ai aussi lancé un scan avec malwarebytes..........
    le voici
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4097

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18904

    13/05/2010 21:38:00
    mbam-log-2010-05-13 (21-38-00).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 225283
    Temps écoulé: 1 heure(s), 10 minute(s), 27 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 4
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 5

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mcexecwin (Trojan.Agent) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87efjhdsf87f3jfsdi7fhsujfd (Trojan.Downloader) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\adelaloup\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PS4IZLMD\hypwhc[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Users\adelaloup\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RSWP15D0\rvqxfn[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Users\adelaloup\AppData\Local\Temp\rmmilsr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    C:\Uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Users\adelaloup\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
    0
    1. ekjy Messages postés 26 Statut Membre 1
       
      Y aurait il quelqu'un?...............
      0
  4. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Faut-être patient, on a tous une vie à côté

    OK. relance MBAM et vide à la quarantaine.
    Ensuite:
    Télécharge ZHPDiag sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ekjy Messages postés 26 Statut Membre 1
     
    Bonjour Smart,
    tu as raison, patience est mére de sureté.................
    Voici le second rapport de malwarebyte:

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijnO8vlzO.txt

    et voici le rapport de ZHPDiag:

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijrgwdk2A.txt

    je met aussi le rapport de Kaspersky:

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijVDQGWFi.txt

    Voici pour les rapports..........................
    Bien à toi Smart.....
    0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Avant de commencer, fait une sauvegarde de tous tes documents

    Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil
    Imprime la procédure


    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    - /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
    - Double-clique sur ComboFix.exe
    - Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
    - Surtout, accepte d'installer la console de récupération
    - Mets-le en langue française F
    - Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    Smart
    0
  8. ekjy
     
    combofix detecte avira et norton alors qu'ils ne sont pas sur l'ordi(enfin, je ne les trouvent pas)
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Est-ce que tu as bien désactivé Avast, spybot windwos defender et même le parefeu Windows

      Smart
      0
  9. ekjy
     
    tout a été desactivé il redemarre, je t'envois le rapport....
    0
  10. ekjy Messages postés 26 Statut Membre 1
     
    voici le rapport:
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijZevzcZL.txt
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK.

    Est-ce que tu peux refaire le scan Kaspersky, mais cette fois-ci en faisant le nettoyage ou la supprssion des fichiers infectés
    poste le rapport et refait un rappoart ZHPDiag

    Smart
    0
    1. ekjy Messages postés 26 Statut Membre 1
       
      Ok voici le rapport kaspersky:

      http://www.cijoint.fr/cjlink.php?file=cj201005/cij3gIvB4b.txt

      il n'a rien trouvé je crois( peut etre est ce en bonne voie!!!)
      je m'occupe de ZHPDiag et te l'envois.........
      Merci de prendre le temps, c'est trés cool de ta part..........
      0
    2. ekjy Messages postés 26 Statut Membre 1
       
      et voici le rapport ZHPDiag

      http://www.cijoint.fr/cjlink.php?file=cj201005/cijEuzIqwJ.txt
      0
    3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Tu ne m'as pas envoyé le bon rapport. Il se nomme ZHPDiag.txt

      Smart
      0
    4. ekjy Messages postés 26 Statut Membre 1
       
      est ce celui ci?
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijteDUlZB.txt
      0
    5. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Oui c'est ce type de rapport mais ce n'est toujour pas le bon, car la date du sacn date du 13 mai vers 22h 41. Donc avant Combofix et autres outils
      Efface tous les rapports HPDiag.txt.
      Relance un sacn ZHPDiag et poste le rapport.

      PS: Je ne pourrais répondre que demain car je serai absent une grande partie de ce samedi

      Smart
      0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes et place les dans ZHPFix :

    ----------------------------------------------------------
    [HKLM\Software\avsoft]
    [HKLM\Software\avsuite]
    O53 - SMSR:HKLM\...\startupreg\hsf87efjhdsf87f3jfsdi7fhsujfd [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\ADELAL~1\AppData\Local\Temp\iexplarer.exe
    O53 - SMSR:HKLM\...\startupreg\hsf87sdhfush87fsufhuie3fddf [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\adelaloup\AppData\Local\Temp\waxjmca3nw.exe


    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Smart
    0
  13. ekjy
     
    Bonjour Smart,

    voici le rapport ZHPfix

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijeIDsdz3.txt
    0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il est curieux ce rapport.!!!
    Tu peux refaire un ZHPDiag

    Smart
    0
  15. ekjy Messages postés 26 Statut Membre 1
     
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijqtuUTRX.txt
    0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Les infections citées plus ne sont plus présentes, en revanche tu un rootkit que tu as attrapé entre-temps puis que ni CF ni ZHP le montrait avant

    Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes et place les dans ZHPFix :

    ----------------------------------------------------------
    MBRFix
    O53 - SMSR:HKLM\...\startupreg\mcexecwin [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\ADELAL~1\AppData\Local\Temp\d2mqt.dll


    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Ensuite relance Combofix ( n'oublie pas de déasctiver les antivirus et autres et poste le rapport

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  17. ekjy Messages postés 26 Statut Membre 1
     
    le new rapport ZHPFix

    http://www.cijoint.fr/cjlink.php?file=cj201005/cij4eokibb.txt
    0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Je sais pour quelle raison ton rapport ZHFix ets vide (je me suis rensaigné auprès de créateur.
    Il faut que tu lances ZHPFix depuis le dossier d'installation de ZHPDiag
    Mais la chose positive c'est que cela n'empêche pas ZHPFi de faire son travail

    Smart
    0
  19. ekjy
     
    pour le moment combofix travail....je m'occupe de ZHfix ensuite.............
    0
  20. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Non ce n'est pas la peine de relancer un ZHPFix.
    Attendons le rapport Combofix

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
    1. ekjy Messages postés 26 Statut Membre 1
       
      voici le combo rapport: http://www.cijoint.fr/cjlink.php?file=cj201005/cijT467Uc9.txt
      desolé je suis un peu lent aujourd'hui..........................
      0
  21. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Là je pense que cela devient bon. Refais un rapport ZHPDiag pour une dernière vérification.
    Ensuite désintaller les outils que je t'ai faits installer, mise à jour et optimiser

    Smart
    0
  • 1
  • 2