Virus Trojan.DSNChanger

Résolu/Fermé
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014 - 5 juin 2010 à 16:14
 Corcovado_1 - 26 juin 2010 à 23:10
Bonjour à tous,

J'ai depuis quelques jours un virus sur mon ordi: cela a commencé par un virus Antispyware soft que j'ai reussi a erradiquer avec MalwareBytes au redémarrage de l'ordi. Mais je viens de refaire une analyse avec Malware qui m'indique que j'ai encore 13 infections, et notamment: Trojan.DSNChanger, Hijack.FolderOptions, Rootkit.Agent. Je n'arrive pas a les effacer avec Malware ou Avast.

Si quelqu'un pouvait m'aider à me débarrasser de ces infections, ce serait super!

Merci bcp.
A voir également:

22 réponses

ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
5 juin 2010 à 16:16
Bonjour,

commence par ce qui suit pour scanner ton PC

◊◊◊ Télécharge OTL sur ton Bureau. ◊◊◊

♦ Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
♦ Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
♦ Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
♦ Sous la zone Personnalisation, copie/colle ceci :

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT




♦Clique sur le bouton Analyse. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
♦ Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
♦ Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.

Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci
0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
5 juin 2010 à 19:50
Merci beaucoup pour la réponse - j'ai envoye les deux rapports via le link.
Qu'est-ce que je dois faire maintenant?
Merci
0
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
5 juin 2010 à 21:45
Il faut me donner les liens des rapports pour que je puisse les analyser.
0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
5 juin 2010 à 22:27
Vous ne les avez pas reçus quand je les postés sur le site: "http://www.cijoint.fr/index.php"?
Sinon, je peux copier/coller le contenu ici?
Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
5 juin 2010 à 22:55
Ci-joint donne un lien de ton rapport.
Il me faut ce lien pour avoir un visu du rapport :)
0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
6 juin 2010 à 11:05
En effet, j'avais pas réalisé ;)
Voilà:
http://www.cijoint.fr/cjlink.php?file=cj201006/cij3myLGvg.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijti2O22c.txt
Merci!
0
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
6 juin 2010 à 13:22
Bonjour,

Très bien :)

Tes rapports montrent en effet pas mal de malwares.

◊ ◊ ◊ Télécharge Combofix depuis l'un des liens ci-dessous: ◊ ◊ ◊

Lien 1
Lien 2

IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau

♦ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

♦ Fait un double clic sur combofix.exe et suit les invites.

♦ Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.

♦ Suit les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

◊ ◊ Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

♦ Une fois fait clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

♦ Lorsque l'outil aura terminé, il affichera un rapport, copie le contenu de C:\ComboFix.txt dans votre prochaine réponse.
0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
6 juin 2010 à 16:28
Merci bcp pour votre aide ep44 - j'ai fait tourner Combofix et j'ai poste le rapport sur cijoint:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijaOEAf97.txt
Je ne suis pas sure que le probleme soit réglé car je vois que pas mal de sites internet sont encore bloqués...
0
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
Modifié par ep44 le 6/06/2010 à 17:30
Re, :)

Il reste encore des choses à nettoyer :


Sélectionne ceci :



https://forums.commentcamarche.net/forum/affich-18039556-virus-trojan-dsnchanger#p18049031  
Collect::  
c:\windows\system32\apwmmfbkcxpih.exe    
c:\windows\system32\firxqgbv.dll    
c:\windows\system32\qosmnsql.dll    
c:\windows\system32\aqzjxxhm.dll      
c:\windows\system32\wbkjiwgx.exe      
c:\documents and settings\Caroline M.PC298983100219\Application Data\Viebpi\uvnu.exe  

KillAll::  

Registry::  
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{14B2DD52-7D44-4FEF-823E-3899B6107B05}]    
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C9AA9EF7-4484-4B50-86D1-AD1F940C1322}]    
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]    
"skb"=-  
"MChk"=-  
                 
Folder::  
c:\documents and settings\Caroline M.PC298983100219\Application Data\Sky-Banners   
c:\documents and settings\Caroline M.PC298983100219\Application Data\Street-Ads         
c:\documents and settings\Caroline M.PC298983100219\Local Settings\Application Data\ckgstsemm  
c:\documents and settings\Caroline M.PC298983100219\Application Data\Axqiky        
c:\documents and settings\Caroline M.PC298983100219\Application Data\Vyagef   
c:\documents and settings\Caroline M.PC298983100219\Application Data\Yxufg        


♦ Copie le texte sélectionné (CTRL+C).
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Veille à ce que Retour à la ligne ne soit pas coché dans Format.
♦ Colle le texte copié dans ce bloc-notes (CTRL+V).
♦ Sauvegarde ce fichier sous le nom de CFScript.txt
♦ Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme ceci
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif
♦ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
♦ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
♦ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ensuite


◊◊◊ Télécharge Ccleaner ◊◊◊

♦ Aide toi de ce tuto pour l'utiliser
http://www.swl1f.net/viewtopic.php?f=14&t=69



◊◊◊ Télécharge Malwarebytes ◊◊◊

Une aide pour l'installation
http://www.swl1f.net/viewtopic.php?f=14&t=68


♦ Installe le
♦ Lance malwarebytes
♦ Clique pour commencer sur Mise à jour et ensuite sur Rechercher des mises à jour
♦ Coche "Exécuter un examen complet"
♦ Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
♦ Clique sur Supprimer la sélection
♦ Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
♦ Fait copier coller et poste le rapport

Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci




Pour finir un autre scan pour vérifier ou en est ton PC.



◊◊◊ Télécharge ZHPDiag de Nicolas Coolman◊◊◊

♦ Sauvegarde-le sur le Bureau.

♦ Double-clique sur ZHPDiag.exe afin de lancer ZHPDiag.
♦ Coche toutes les options et clique sur le bouton Lancer le diagnostic.
♦ Lorsque l'analyse sera terminée, un fichier au format texte s'affiche dans la zone résultat de droite.
♦ Clique sur le bouton Sauvegarder le fichier sous et valide ZHPDiag.Txt, si tu souhaites le conserver.
♦ Copie le résultat dans le Presse-Papier de Windows.
♦ Colle le résultat dans le forum avec ta prochaine réponse.


Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci



C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.
0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
6 juin 2010 à 20:44
Merci beaucoup e44 pour la reponse rapide et tres complete.
J'ai fait ce que tu m'as dit (sauf ZHPDiag qui pour le moment ne veut pas se télécharger. Je vais ressayer maintenant).
Voici les liens de rapports:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijTwAMRLC.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijYDBQLoq.txt

A noter que quand j'ai fait Malware bytes, il a trouvé a peu pres 60 anomalies et j'ai eu un message disant qu'il n'avait pas réussi a les effacer toutes et qu'il allait redémarrer l'ordi pour finir de tout effacer. Est-ce normal?

En tous les cas, je vois que les sites que je n'arrivais pas a ouvrir marchent maintenant!

J'ai l'impression qu'on est sur la bonne voie...
Dis moi si qqchose est toujours anormal.
Merci mille fois encore!
0
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
7 juin 2010 à 12:34
Bonjour,

Je n'étais pas sur pour ces fichiers trouvé par Malwarebytes :)
Il a bien travaillé.

Peux tu relancer Combofix et poster ce nouveau rapport.
0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
8 juin 2010 à 23:05
Merci bcp ep44 - voici mon rapport de Combofix:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijx6lzJft.txt
Bonne soirée
0
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
9 juin 2010 à 19:46
Bonsoir,


◊◊◊Télécharge OTM (de Old_Timer) sur ton Bureau,◊◊◊
♦ Double-clique sur OTM.exe pour lancer le programme,
♦ Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :


:files
c:\documents and settings\Caroline M.PC298983100219\Application Data\Viebpi  

:Commands
[emptytemp]
[Reboot] 

♦ Clique sur MoveIt! pour lancer la suppression,
♦ Le résultat apparaîtra dans le cadre Results.
♦ Clique sur Exit pour fermer le programme.
♦ Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
♦ Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.


Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci

Ensuite pour vérification lance ZHPDiag comme demandé plus haut et poste le rapport.

0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
9 juin 2010 à 22:43
Merci bcp, voici les deux liens des deux rapports:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijVKRsSPs.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijia8reNW.txt
Merci,
bonne soirée
0
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
9 juin 2010 à 23:24
♦ Relance ZHPDiag et relance un scan, un fois le scan fini clique sur le bouclier vert ZHPFix.
♦ Ensuite clique sur le H "Coller les lignes Helper"
♦ Copie colle ces lignes dans la fenêtre

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555     
O42 - Logiciel: Sky-Banners browser enhancer - (.Pas de propriétaire.) [HKLM]     
O42 - Logiciel: Street-Ads Browser Enhancer - (.Pas de propriétaire.) [HKLM]    
O42 - Logiciel: J2SE Runtime Environment 5.0 Update 6 - (.Sun Microsystems, Inc..) [HKLM]     
O42 - Logiciel: Java 6 Update 13 - (.Sun Microsystems, Inc..) [HKLM]     
O42 - Logiciel: Java 6 Update 4 - (.Sun Microsystems, Inc..) [HKLM]     
O42 - Logiciel: Java 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM]
O44 - LFC:[MD5.00000000000000000000000000000000] - 09/06/2010 - 21:34:19 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt   [4212]     
O44 - LFC:[MD5.00000000000000000000000000000000] - 09/06/2010 - 21:33:56 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\wiadebug.log   [159]     
O44 - LFC:[MD5.00000000000000000000000000000000] - 09/06/2010 - 21:33:52 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\wiaservc.log   [50]     
O44 - LFC:[MD5.7823A6DC2D6C49299C29DBC052BCF226] - 26/05/2010 - 22:35:10 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\TZLog.log   [59671     
O44 - LFC:[MD5.00000000000000000000000000000000] - 09/06/2010 - 21:35:15 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\WindowsUpdate.log   [1368371]   
O64 - Services: CurCS - (.not file.) - 0df4fd93 (0df4fd93)  .(.Pas de propriétaire - Pas de description.) - LEGACY_0DF4FD93 
O64 - Services: CurCS - (.not file.) - 4ff89c7f (4ff89c7f)  .(.Pas de propriétaire - Pas de description.) - LEGACY_4FF89C7F   
[HKCU\Software\Sky-Banners]     
[HKCU\Software\Street-Ads]     
[HKLM\Software\Sky-Banners]     
[HKLM\Software\Street-Ads]     




♦Tu cliques ensuite sur "Tous" (ou tu coches la ligne), puis sur "Nettoyer"
ZHPFix va générer un rapport, envoie le pour vérification.

Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci

Ensuite

◊◊◊ Fait un scan en ligne avec Kaspersky ◊◊◊

♦ Une fois la fenêtre du scanner en ligne ouverte :
♦ Prendre connaissance de ce qui est indiqué dans la partie "information" et clique sur "j'accepte".
(Si tu es sur IE, on va te demander de télécharger un contrôle Active X, accepte)

♦ Le "téléchargement et la mise à jour du programme" se lance .

♦ Ensuite la "mise à jour de la base de données" se fait, patiente jusqu'à ce que se soit fini ( ceci peut-être relativement long ).

♦ Une fois fini, le scanner est prêt.
♦ Dans l'onglet "Analyser" clique sur Poste de travail afin de faire une analyse complète du système
Une fois le scan terminé, le résultat s'affiche.

♦ Clique sur "enregistrer rapport" pour faire une sauvegarde de ce dernier et post-le.

Poste le rapport de Kaspersky.
0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
13 juin 2010 à 10:23
Merci pour la reponse comme toujours!
7 heures de scan!
Voici les rapports:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijsGk1RPa.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijfY5Sa0L.txt
J'ai encore des virus je vois....
Merci bcp!
0
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
13 juin 2010 à 16:26
Bonjour,
Très bien :)

Dit moi comment va ton PC.

Ensuite relance OTL et clique sur "Purges d'outils".


Ensuite

◊◊◊ Télécharge TFC par OldTimersur ton Bureau ◊◊◊
♦ Fait un double clic sur TFC.exe pour le lancer. (Note: Si vous êtes sous Vista, faites un clic droit sur le fichier et choisissez "Exécuter en tant qu'Administrateur").
♦ L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
♦ Clique sur le bouton Start pour lancer le processus.
♦ Selon la fréquence à laquelle tu supprime tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
Lorsqu'il a terminé, l'outil devrait faire redémarrer le système. S'il ne le fait pas, il faut faire redémarrer manuellement le PC toi-même pour terminer le nettoyage.

Ce logiciel tu peux le garder pour nettoyer de temps en temps tes .tmp

0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
13 juin 2010 à 20:13
Merci, j'ai fait ce que tu m'as dit.
Y a-t-il autre chose que je puisse faire?
A bientot
0
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 3
15 juin 2010 à 21:12
Bonsoir,


Dit moi comment va ton PC.
0
Corcovado_1 Messages postés 12 Date d'inscription samedi 5 juin 2010 Statut Membre Dernière intervention 27 décembre 2014
19 juin 2010 à 16:59
merci pour ton aide jusque la - le PC va bien. Pas de problemes particuliers a signaler. Je pense que c'est réglé.
Je peux utiliser certains des logiciels ci-dessus parfois pour nettoyer le PC?
0