Virus help!!

Hélène164 Messages postés 13 Statut Membre -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour,

J'ai le message:" your system is infected en rouge sur fond noir à la place de mon fond d'ecran, j'ai toujours acces à internet, mais je ne peux pas nettoyer le system, il bloque et j'ai plein de fenetres qui s'ouvrent et me renvoient sur un site d'antivirus... aidez moi svp, d'avance merci.

34 réponses

  • 1
  • 2
  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Hélène164, bienvenue sur CCM

    On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
    http://images.malwareremoval.com/random/RSIT.exe

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur Continue dans la fenêtre
    - RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

    Utilise cjoint.com pour poster en lien tes rapports :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    Et fais la même chose avec l'autre rapport C:\rsit\info.txt

    @++ :)
    0
  2. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Hélène164

    Faire un clic droit sur ce lien :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Pour Internet Explorer

    - Choisi Enregistrer la cible sous ...

    Pour Firefox

    - Choisi Enregistrer la cible du lien sous...

    - Choisi le bureau comme lieu d'enregistrement

    - Donne lui ce nom bibite.exe clique sur Enregistrer

    Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp
    https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

    ==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

    Double clique sur bibite.exe, clique sur OUI et valide par Entrée

    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

    @++ :)
    0
  3. Hélène164 Messages postés 13 Statut Membre
     
    Voici le rapport de combofix. Merci encore.
    ComboFix 10-05-20.06 - Hélène 21/05/2010 0:35.1.2 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1014.727 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Hélène\Bureau\bibite.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\HLNE~1\LOCALS~1\Temp\svchost.exe
    c:\program files\Securityessentials2010
    c:\program files\Securityessentials2010\SE2010.exe
    c:\windows\system32\18467.exe
    c:\windows\system32\19169.exe
    c:\windows\system32\26500.exe
    c:\windows\system32\41.exe
    c:\windows\system32\6334.exe
    c:\windows\system32\AutoRun.inf
    c:\windows\system32\helpers32.dll
    c:\windows\system32\smss32.exe
    c:\windows\system32\warnings.html
    c:\windows\system32\winlogon32.exe

    Une copie infectée de c:\windows\system32\drivers\rdpcdd.sys a été trouvée et désinfectée
    Copie restaurée à partir de - Kitty had a snack :p
    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-20 au 2010-05-20 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-20 21:21 . 2010-05-20 21:40 -------- d-----w- c:\program files\trend micro
    2010-05-20 21:21 . 2010-05-20 21:22 -------- d-----w- C:\rsit
    2010-05-20 17:16 . 2010-05-20 17:16 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-20 20:32 . 2009-01-20 02:12 -------- d-----w- c:\program files\Acer
    2010-05-20 20:32 . 2009-01-20 01:31 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-05-20 17:29 . 2009-01-20 01:47 -------- d-----w- c:\program files\Google
    2010-05-20 17:28 . 2010-01-30 20:25 -------- d-----w- c:\program files\eMule
    2010-05-20 17:28 . 2010-03-31 14:20 -------- d-----w- c:\program files\Girafoto
    2010-05-12 22:29 . 2009-01-20 01:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-03-31 18:02 . 2010-03-31 18:02 -------- d-----w- c:\documents and settings\All Users\Application Data\hps
    2010-03-10 06:16 . 2009-01-20 09:27 420352 ----a-w- c:\windows\system32\vbscript.dll
    2010-03-07 11:37 . 2010-03-07 11:32 131145 ----a-w- c:\windows\hpoins15.dat
    2010-02-25 06:17 . 2009-01-20 09:27 916480 ----a-w- c:\windows\system32\wininet.dll
    2010-02-24 13:11 . 2009-01-20 09:27 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2008-04-15 178712]
    "RTHDCPL"="RTHDCPL.EXE" [2008-12-26 18081280]
    "AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2006-01-25 53248]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-28 141848]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-28 166424]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-28 137752]
    "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-11-20 1398056]
    "LManager"="c:\progra~1\LAUNCH~1\LManager.exe" [2008-12-30 875016]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
    "IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-14 208952]
    "PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
    "PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2008-04-14 455168]
    "PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
    "snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2008-11-03 196608]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
    "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-01-22 141608]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\H'lSne\Menu D'marrer\Programmes\D'marrage\
    OneNote 2007 - Capture d''cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-1-20 565248]
    BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-11-1 576104]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
    @="Driver"

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\Acer\\Acer VCM\\VC.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
    "c:\\Program Files\\iTunes\\iTunes.exe"=

    R2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [20/01/2009 04:12 237568]
    S3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [20/01/2009 03:35 160256]
    S3 Rts516xIR;Realtek IR Driver;c:\windows\system32\DRIVERS\Rts516xIR.sys --> c:\windows\system32\DRIVERS\Rts516xIR.sys [?]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
    HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
    hpdevmgmt REG_MULTI_SZ hpqcxs08
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-15 c:\windows\Tasks\AppleSoftwareUpdate.job
    - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.searcheo.fr/renseignement
    uInternet Connection Wizard,ShellNext = iexplore
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
    IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
    Trusted Zone: digital-supply.com
    Trusted Zone: download-soft-package.com
    Trusted Zone: download-software-package.com
    Trusted Zone: get-key-se10.com
    Trusted Zone: is-software-download.com
    Trusted Zone: digital-supply.com
    Trusted Zone: get-key-se10.com
    DPF: {83A4D5A6-E2C1-4EDD-AD48-1A1C50BD06EF} - hxxp://www.girafoto.fr/uploaders/aurigma_6_5_1_0/ImageUploader6.cab
    DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} - hxxp://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework/microsoft/wrc32.ocx
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    HKCU-Run-WinUsr - c:\program files\Winsudate\gibusr.exe

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-21 00:49
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x84947D01]<<
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\Disk -> CLASSPNP.SYS @ 0xf7681f28
    \Driver\ACPI -> ACPI.sys @ 0xf75f3cb8
    \Driver\atapi -> atapi.sys @ 0xf75ab852
    \Driver\iaStor -> iaStor.sys @ 0xf751278c
    IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
    ParseProcedure -> ntoskrnl.exe @ 0x80578f7a
    SecurityProcedure -> ntoskrnl.exe @ 0x805df529
    \Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a
    ParseProcedure -> ntoskrnl.exe @ 0x80578f7a
    SecurityProcedure -> ntoskrnl.exe @ 0x805df529
    NDIS: Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller -> SendCompleteHandler -> NDIS.sys @ 0xf73e9bb0
    PacketIndicateHandler -> NDIS.sys @ 0xf73d8a0d
    SendHandler -> NDIS.sys @ 0xf73ecb40
    user & kernel MBR OK

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(604)
    c:\windows\system32\btmmhook.dll
    c:\windows\system32\msls31.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\webcheck.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\btncopy.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
    c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    c:\program files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
    c:\program files\Java\jre6\bin\jqs.exe
    c:\windows\system32\wscntfy.exe
    c:\windows\system32\wbem\wmiapsrv.exe
    c:\windows\RTHDCPL.EXE
    c:\windows\system32\igfxsrvc.exe
    c:\windows\system32\igfxext.exe
    c:\program files\iPod\bin\iPodService.exe
    c:\docume~1\HLNE~1\LOCALS~1\Temp\RtkBtMnt.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-21 00:56:37 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-20 22:56

    Avant-CF: 119 534 190 592 octets libres
    Après-CF: 120 540 495 872 octets libres

    WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
    [boot loader]
    timeout=2
    default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
    [operating systems]
    c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
    multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

    - - End Of File - - 9CD8A72956F6F3913D00C76BD785FA3F
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Hélène164

    Télécharge Gmer et enregistre-le sur ton bureau.
    http://www2.gmer.net/download.php

    - Déconnecte toi d'internet si possible et ferme tous les programmes, puis lance l'outil.
    - Clique sur le bouton "Scan" sur la droite.

    - Lorsque le scan est terminé, clic sur "Copy".
    - Ouvre le bloc-note et clic sur le Menu Edition / Coller
    - Le rapport doit alors apparaître.

    - Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

    @++ :)
    0
  6. Hélène164 Messages postés 13 Statut Membre
     
    GMER 1.0.15.15281 - http://www.gmer.net
    Rootkit scan 2010-05-21 14:55:07
    Windows 5.1.2600 Service Pack 3
    Running: mjywnpck.exe; Driver: C:\DOCUME~1\HLNE~1\LOCALS~1\Temp\kgkyapog.sys

    ---- Kernel code sections - GMER 1.0.15 ----

    .rsrc C:\WINDOWS\System32\DRIVERS\RDPCDD.sys entry point in ".rsrc" section [0xA52DFC14]

    ---- User code sections - GMER 1.0.15 ----

    .text C:\WINDOWS\System32\svchost.exe[1088] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 006D000A
    .text C:\WINDOWS\System32\svchost.exe[1088] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 006E000A
    .text C:\WINDOWS\System32\svchost.exe[1088] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 006C000C
    .text C:\WINDOWS\System32\svchost.exe[1088] USER32.dll!GetCursorPos 7E3A974E 5 Bytes JMP 024A000A
    .text C:\WINDOWS\System32\svchost.exe[1088] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 0249000A
    .text C:\WINDOWS\Explorer.EXE[1448] ntdll.dll!NtProtectVirtualMemory 7C91D6EE 5 Bytes JMP 00B7000A
    .text C:\WINDOWS\Explorer.EXE[1448] ntdll.dll!NtWriteVirtualMemory 7C91DFAE 5 Bytes JMP 00C1000A
    .text C:\WINDOWS\Explorer.EXE[1448] ntdll.dll!KiUserExceptionDispatcher 7C91E47C 5 Bytes JMP 00B6000C

    ---- Devices - GMER 1.0.15 ----

    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 wdf01000.sys (WDF Dynamic/Microsoft Corporation)
    AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 wdf01000.sys (WDF Dynamic/Microsoft Corporation)

    Device -> \Driver\iaStor \Device\Harddisk0\DR0 84924D01

    ---- Files - GMER 1.0.15 ----

    File C:\WINDOWS\System32\DRIVERS\RDPCDD.sys suspicious modification
    File C:\WINDOWS\system32\drivers\iaStor.sys suspicious modification

    ---- EOF - GMER 1.0.15 ----
    0
  7. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Hélène164

    Télécharge SystemLook sur ton Bureau :
    http://jpshortstuff.247fixes.com/SystemLook.exe

    - Double-clique sur SystemLook.exe pour le lancer.

    - Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

    :filefind
    RDPCDD.sys
    iaStor.sys


    - Clique sur le bouton Look pour démarrer l'examen.
    - A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

    @++ :)
    0
  8. helene164
     
    SystemLook v1.0 by jpshortstuff (11.01.10)
    Log created at 17:36 on 21/05/2010 by Hélène (Administrator - Elevation successful)

    ========== filefind ==========

    Searching for "RDPCDD.sys "
    C:\WINDOWS\system32\dllcache\rdpcdd.sys --a--c 4224 bytes [09:27 20/01/2009] [12:00 14/04/2008] 4912D5B403614CE99C28420F75353332
    C:\WINDOWS\system32\drivers\rdpcdd.sys --a--- 4224 bytes [09:27 20/01/2009] [12:00 14/04/2008] 4912D5B403614CE99C28420F75353332

    Searching for "iaStor.sys "
    C:\ACER\Preload\Autorun\DRV\Intel IMSM 945GSE\f6flpy32\IaStor.sys --a--- 312344 bytes [09:27 20/01/2009] [09:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
    C:\ACER\Preload\Autorun\DRV\Intel IMSM 945GSE\f6flpy64\IaStor.sys --a--- 388120 bytes [09:27 20/01/2009] [09:54 15/04/2008] 8D58627FEF3F8767665D9F4DC91CBD97
    C:\Program Files\Intel\Intel Matrix Storage Manager\driver64\IaStor.sys --a--- 388120 bytes [01:31 20/01/2009] [16:54 15/04/2008] 8D58627FEF3F8767665D9F4DC91CBD97
    C:\Program Files\Intel\Intel Matrix Storage Manager\driver\IaStor.sys --a--- 312344 bytes [01:31 20/01/2009] [16:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
    C:\WINDOWS\OemDir\iaStor.sys --a--- 312344 bytes [09:30 20/01/2009] [09:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
    C:\WINDOWS\system32\drivers\iaStor.sys --a--- 312344 bytes [09:30 20/01/2009] [16:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
    C:\WINDOWS\system32\DRVSTORE\iaAHCI_E7EB69FF3449D216602D0D37A1D73969621673A9\iaStor.sys --a--c 312344 bytes [01:31 20/01/2009] [16:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87
    C:\WINDOWS\system32\ReinstallBackups\0010\DriverFiles\iaStor.sys --a--- 312344 bytes [01:31 20/01/2009] [09:53 15/04/2008] DB0CC620B27A928D968C1A1E9CD9CB87

    -=End Of File=-
    0
  9. helene164
     
    Merci dédétraqué pour ton aide, j'ai un message en fond d'écran:
    récupération Active Desktop, on me propose de cliquer sur restaurer Active Desktop, dois je le faire?
    Sinon, le message du virus et les fenetres intempestives ont disparues, j'ai l'impression que le virus est parti...
    0
  10. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Hélène164

    j'ai un message en fond d'écran:
    récupération Active Desktop, on me propose de cliquer sur restaurer Active Desktop, dois je le faire?

    As-tu eu un plantage? Tu clique pour restaurer

    Reste plus d'infection mais quelque vérification encore,

    Télécharge MBR par (GMER) sur ton Bureau :

    http://www2.gmer.net/mbr/mbr.exe

    - Désactive tous les programmes de protection (antivirus, antispyware etc.)
    https://forum.pcastuces.com/default.asp

    - Double-clique sur mbr.exe > une fenêtre noire va s'ouvrir et se refermer.
    - Poste le rapport mbr.log qui apparaît.

    @++ :)
    0
  11. helene164
     
    Bonsoir dedetraqué, oui, j'ai eu un plantage et j'ai dû redémarer, c'est fait, j'ai restauré, c'est ok.
    Je vais faire la manip que tu me dis...en attendant, j'ai une autre question: quand je tente d'acceder à ma messagerie msn, j'ai une alerte securité qui me dit que d'autres utilisateurs du web peuvent acceder aux donnees que je transmets... Donc je refuse l'acces, mais du coup, je n'ai plus acces moi non plus...
    A tout avec le rapport que tu me demandes, et je ne le dirai jamais assez: MERCI!
    0
  12. helene164
     
    re (cf message précédent)
    voici le rapport
    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    0
  13. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Hélène164

    Faudrait me donner plus de détails sur ton problème de messagerie, quel navigateur utilises-tu?
    Peux-tu me donner le message d'alerte exacte que tu-as?
    Avais-tu ce problème avant l'infection?

    -Télécharge et installe MalwareByte's Anti-Malware
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    - Mets le à jour

    ---

    - Redémarre en mode sans échec :

    Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

    ---

    - Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
    - Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
    - clique sur Rechercher

    - Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur OK

    - Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

    - Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

    - Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

    Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

    Tutoriel pour MalwareByte's ici :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    @++ :)
    0
  14. helene164
     
    ok, je vais m'y mettre, sinon, j'utilise internet explorer, et je vais sur windows live, et sur msn, ce message apparait lorsque je veux acceder à ma messagerie, non, je ne l'avais pas avant l'infection.
    Voici le message alerte sécurité: La connexion que vous allez utiliser n'est pas sécurisée, d'autres utilisateurs du web pourront dorénavant accéder aux informations que vous envoyez. Voulez vous continuer?
    Je clique non évidemment... Et je ne peux pas lire mes messages.... sniff
    0
  15. helene164
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4131

    Windows 5.1.2600 Service Pack 3 (Safe Mode)
    Internet Explorer 8.0.6001.18702

    23/05/2010 00:31:26
    mbam-log-2010-05-23 (00-31-26).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 170832
    Temps écoulé: 29 minute(s), 37 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 7
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 6

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Qoobox\Quarantine\C\Program Files\Securityessentials2010\SE2010.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\Qoobox\Quarantine\C\WINDOWS\system32\helpers32.dll.vir (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{51845276-3886-4492-9EB3-92A74C3309F5}\RP294\A0023047.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{51845276-3886-4492-9EB3-92A74C3309F5}\RP294\A0023054.dll (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Hélène\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Hélène\Menu Démarrer\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
    0
  16. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Hélène164

    Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

    https://www.eset.com/int/home/online-scanner/

    (coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer)
    A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

    @++ :)
    0
  17. helene164
     
    ESETSmartInstaller@High as CAB hook log:
    OnlineScanner.ocx - registred OK
    # version=7
    # iexplore.exe=8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)
    # OnlineScanner.ocx=1.0.0.6211
    # api_version=3.0.2
    # EOSSerial=58cd3fbcf84b054cb97a94f422b4141d
    # end=finished
    # remove_checked=true
    # archives_checked=true
    # unwanted_checked=true
    # unsafe_checked=false
    # antistealth_checked=true
    # utc_time=2010-05-23 12:33:57
    # local_time=2010-05-23 02:33:57 (+0100, Paris, Madrid (heure d'été))
    # country="France"
    # lang=1033
    # osver=5.1.2600 NT Service Pack 3
    # compatibility_mode=512 16777215 100 0 211329 211329 0 0
    # compatibility_mode=8192 67108863 100 0 319 319 0 0
    # scanned=54668
    # found=5
    # cleaned=5
    # scan_time=15087
    C:\HELENE\elodie ds\r4DS\imgview0.6 for R4\misc\??IPK?????????.exe probably a variant of Win32/Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    C:\Qoobox\Quarantine\C\WINDOWS\system32\smss32.exe.vir a variant of Win32/Kryptik.EMG trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    C:\Qoobox\Quarantine\C\WINDOWS\system32\warnings.html.vir Win32/TrojanDownloader.FakeAlert.AUD trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    C:\Qoobox\Quarantine\C\WINDOWS\system32\winlogon32.exe.vir a variant of Win32/Kryptik.EMG trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C
    C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\rdpcdd.sys.vir Win32/Olmarik.ZC trojan (cleaned - quarantined) 00000000000000000000000000000000 C
    0
  18. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Hélène164

    Avais-tu un Antivirus avant? Faudrait en installer un....

    As-tu encore ton souci de messagerie?

    @++ :)
    0
  19. Hélène164 Messages postés 13 Statut Membre
     
    Bonsoir dedetraqué, non je n'avais pas d'antivirus, et oui, j'ai toujours le souci de messagerie. Je peux supprimer tout ce que j'ai ajouté sur mon bureau maintenant? Et quel antivirus me conseilles tu?
    Merci encore pour ton aide claire et efficace.
    0
  20. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Hélène164

    Non supprime rien pour l'instant, je te conseil Antivir de Avira en français ici :

    http://dlce.antivir.com/package/wks_avira/win32/fr/pecl/avira_antivir_personal_fr.exe

    Aide : http://www.libellules.ch/tuto_antivir.php

    Suivre le tutoriel, faire un scan complet en mode sans échec et sauvegarde le rapport.
    Redémarre en mode normal et poste le rapport.

    @++ :)
    0
  • 1
  • 2