malware-gen, Ertfor, Spyware............Résolu/Fermé

Question

Configuration: Windows Vista / Safari 531.21.10
Bonjour, 
j'ai de multiples infections sur mon pc( 22 fichiers infecter si j'en crois avast)...
Biensur je ne sais comment faire pour m'en debarasser...
Si quelqu'un a une idée........
bien à vous et merci

Smart91 · Answer

Bonjour,

Si tu pouvez poster le rapport de avast

Smart

ekjy · Answer

Voici le rapport


13/05/2010	17:40:58	1273765258	SYSTEM	1732	Sign of "Win32:MalOb-AT [Cryp]" has been found in "C:\Users\adelaloup\AppData\Local\Temp\iexplarer.exe" file.  
13/05/2010	17:41:37	1273765297	SYSTEM	1732	Sign of "Win32:MalOb-AT [Cryp]" has been found in "C:\Users\adelaloup\AppData\Local\Temp\iexplarer.exe" file.  
13/05/2010	17:42:05	1273765325	adelaloup	2732	Sign of "Win32:MalOb-AT [Cryp]" has been found in "C:\Users\adelaloup\AppData\Local\Temp\iexplarer.exe" file.  
13/05/2010	17:44:14	1273765454	adelaloup	5876	Sign of "Win32:Ertfor [Trj]" has been found in "c:\users\adelaloup\appdata\local	emp\d2mqt.dll" file.  
13/05/2010	17:45:57	1273765557	adelaloup	5876	Sign of "Win32:MalOb-AT [Cryp]" has been found in "c:\users\adelaloup\appdata\local	emp\waxjmca3nw.exe" file.  
13/05/2010	17:46:02	1273765562	adelaloup	5876	Sign of "Win32:VB-OEK [Wrm]" has been found in "c:\users\adelaloup\pieomig.exe" file.  
13/05/2010	17:49:12	1273765752	SYSTEM	1732	AAVM - scanning warning: x_AavmCheckFileDirectEx [UNI]: C:\Windows\System32\conime.exe (C:\Windows\System32\conime.exe) returning error, 00000005.  


mais j'ai en quarantaine 22 virus je crois.....

ekjy · Answer

j'ai aussi lancé un scan avec malwarebytes..........
le voici 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4097

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

13/05/2010 21:38:00
mbam-log-2010-05-13 (21-38-00).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 225283
Temps écoulé: 1 heure(s), 10 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mcexecwin (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87efjhdsf87f3jfsdi7fhsujfd (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\adelaloup\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PS4IZLMD\hypwhc[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\adelaloup\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RSWP15D0\rvqxfn[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\adelaloup\AppData\Local\Temp\rmmilsr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\adelaloup\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Smart91 · Answer

Faut-être patient, on a tous une vie à côté

OK. relance MBAM et vide à la quarantaine.
Ensuite:
Télécharge ZHPDiag sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

ekjy · Answer

Bonjour Smart,
tu as raison, patience est mére de sureté.................
Voici le second rapport de malwarebyte:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijnO8vlzO.txt

et voici le rapport de ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijrgwdk2A.txt

je met aussi le rapport de Kaspersky:

http://www.cijoint.fr/cjlink.php?file=cj201005/cijVDQGWFi.txt


Voici pour les rapports..........................
Bien à toi Smart.....

Smart91 · Answer

Avant de commencer, fait une sauvegarde de tous tes documents 

Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil 
Imprime la procédure 

Télécharge ComboFix de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

-  /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
-  Double-clique sur ComboFix.exe 
-  Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 
-  Surtout, accepte d'installer la console de récupération 
-  Mets-le en langue française F 
-  Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC 
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart

ekjy · Answer

combofix detecte avira et norton alors qu'ils ne sont pas sur l'ordi(enfin, je ne les trouvent pas)

ekjy · Answer

tout a été desactivé il redemarre, je t'envois le rapport....

ekjy · Answer

voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijZevzcZL.txt

Smart91 · Answer

OK.

Est-ce que tu peux refaire le scan Kaspersky, mais cette fois-ci en faisant le nettoyage ou la supprssion des fichiers infectés
poste le rapport et refait un rappoart ZHPDiag

Smart

Smart91 · Answer

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
[HKLM\Software\avsoft]
[HKLM\Software\avsuite]
O53 - SMSR:HKLM\...\startupreg\hsf87efjhdsf87f3jfsdi7fhsujfd  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\ADELAL~1\AppData\Local\Temp\iexplarer.exe
O53 - SMSR:HKLM\...\startupreg\hsf87sdhfush87fsufhuie3fddf  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\adelaloup\AppData\Local\Temp\waxjmca3nw.exe

----------------------------------------------------------

-  Clique sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

ekjy · Answer

Bonjour  Smart,

voici le rapport ZHPfix

http://www.cijoint.fr/cjlink.php?file=cj201005/cijeIDsdz3.txt

Smart91 · Answer

Il est curieux ce rapport.!!!
Tu peux refaire un ZHPDiag

Smart

ekjy · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijqtuUTRX.txt

Smart91 · Answer

Les infections citées plus ne sont plus présentes, en revanche tu un rootkit que tu as attrapé entre-temps puis que ni CF ni ZHP le montrait avant  

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)  
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
Copie/colle les lignes suivantes et place les dans ZHPFix :  

----------------------------------------------------------  
MBRFix
O53 - SMSR:HKLM\...\startupreg\mcexecwin  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\ADELAL~1\AppData\Local\Temp\d2mqt.dll
  

----------------------------------------------------------  

-  Clique sur « Tous », puis sur « Nettoyer »  
-  Copie/colle la totalité du rapport dans ta prochaine réponse  

Ensuite relance Combofix ( n'oublie pas de déasctiver les antivirus et autres et poste le rapport  

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

ekjy · Answer

le new rapport ZHPFix

http://www.cijoint.fr/cjlink.php?file=cj201005/cij4eokibb.txt

Smart91 · Answer

Je sais pour quelle raison ton rapport ZHFix ets vide (je me suis rensaigné auprès de créateur.
Il faut que tu lances ZHPFix depuis le dossier d'installation de ZHPDiag
Mais la chose positive c'est que cela n'empêche pas ZHPFi de faire son travail

Smart

ekjy · Answer

pour le moment combofix travail....je m'occupe de ZHfix ensuite.............

Smart91 · Answer

Non ce n'est pas la peine de relancer un ZHPFix. 
Attendons le rapport Combofix 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Là je pense que cela devient bon. Refais un  rapport ZHPDiag pour une dernière vérification.
Ensuite désintaller les outils que je t'ai faits installer, mise à jour et optimiser

Smart

ekjy · Answer

voilà le rapport ZHPDiag:
http://www.cijoint.fr/cjlink.php?file=cj201005/cijguPLTZG.txt

Smart91 · Answer

Non tu attends pour la désintallation je te donnerai un outil pour le faire.

Mais on a bien fait de refaire un rapport ZHPDiag car le MBR rootkit est toujours présent vient du fait que tu n'as pas lancé ZHPFix depuis le dossier d'installation  de ZHPDiag.

Va dans le dossier ZHPDiag et double clique sur ZHPFix
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------
MBRFix

----------------------------------------------------------

-  Clique sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

Smart91 · Answer

Super. là c'est bon.

Antivirus:
- Garde Avast et passe à la version 5:
Désinstalle Avast 4 ==> https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/
Installe Avast 5 ==> https://www.avast.com/fr-fr/free-antivirus-download
- Désinstalle Bit Defender et également spubot qui ne sert plus à grand chose avec la antivirus d'aujourd'hui.
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. 

- Fais la mise à jour de la console Java:
Télécharge JavaRa.zip de Paul McLain et Fred de Vries. 

http://raproducts.org/click/click.php?id=1 

- Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
- Double-clique sur le répertoire JavaRa. 
- Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
- Choisis Français puis clique sur Select. 
- Clique sur Recherche de mises à jour. 
- Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
- Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
- L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
- Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
- Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
- Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 

1. Désinstallation des outils

Télécharge Toolscleaner sur ton Bureau: 
- Double-clique sur ToolsCleaner2.exe et laisse le travailler 
- Clique sur Recherche et laisse le scan se terminer. 
- Clique sur Suppression pour finaliser. 
- Tu peux, si tu le souhaites, te servir des Options facultatives. 
- Clique sur Quitter, pour que le rapport puisse se créer. 
- Le rapport (TCleaner.txt) se trouve à la racine du disque dur (C:\)...colle le dans ta prochaine réponse. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de désactiver puis réactiver la restauration système pour la purger. 

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir
Voilà si tu as des questions

Smart

ekjy · Answer

Bonjour , effectivement c'est fini,
http://www.cijoint.fr/cjlink.php?file=cj201005/cij2eIGf1B.txt, c'est le rapport Javara 
et là le rapport ToolsCleanner:
 http://www.cijoint.fr/cjlink.php?file=cj201005/cijzX7hqZj.txt....
Un grand merci pour ton aide,c'était une bonne chasse aux virus, j'vais m'ennuyer maintenant....................
Bien à toi Smart et encore merci

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Malware-gen, Ertfor, Spyware............

25 réponses

Discussions similaires

Newsletters