Virus : AV Security Suite
kaak
-
NicoVA Messages postés 1058 Date d'inscription Statut Contributeur sécurité Dernière intervention -
NicoVA Messages postés 1058 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Hier sont apparus sur mon pc des messages d'alertes du logiciel AV Security Suite (que je n'ai jms installé...) me disant bloquer des attaques virales...
J'ai lancé un scan d'avast puis de malwarebytes, tenté de supprimer les éléments infectés détectés mais le problème persistait au redémarrage de mon ordinateur...
Ci dessous les rapports.
Merci d'avance à ceux qui pourront m'aider! :)
Hier sont apparus sur mon pc des messages d'alertes du logiciel AV Security Suite (que je n'ai jms installé...) me disant bloquer des attaques virales...
J'ai lancé un scan d'avast puis de malwarebytes, tenté de supprimer les éléments infectés détectés mais le problème persistait au redémarrage de mon ordinateur...
Ci dessous les rapports.
Merci d'avance à ceux qui pourront m'aider! :)
A voir également:
- Virus : AV Security Suite
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
38 réponses
Salut
Tu est infecté par un rootkit MBR. Un rootkit MBR se charge dès l'allumage de l'ordinateur c'est pour cela qu'ils sont difficile à éliminer.
Informations sur le MBR
▶ Télécharge mbr.exe de Gmer sur le Bureau : http://www2.gmer.net/mbr/mbr.exe
▶ Menu Démarrer --> Exécuter... et tapez la commande : "%userprofile%\Bureau\mbr" -f ( ne pas oublier les guillemets )
▶ dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
▶ Poster le rapport mbr.log
++
Tu est infecté par un rootkit MBR. Un rootkit MBR se charge dès l'allumage de l'ordinateur c'est pour cela qu'ils sont difficile à éliminer.
Informations sur le MBR
▶ Télécharge mbr.exe de Gmer sur le Bureau : http://www2.gmer.net/mbr/mbr.exe
▶ Menu Démarrer --> Exécuter... et tapez la commande : "%userprofile%\Bureau\mbr" -f ( ne pas oublier les guillemets )
▶ dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
▶ Poster le rapport mbr.log
++
Voici le rapport :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !
Salut
Hum bizarre, re-essaye ceci :
--> Menu Démarrer --> Exécuter... et tapez la commande : "%userprofile%\Bureau\mbr" -f ( ne pas oublier les guillemets )
--> dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
--> Poster le rapport mbr.log
++
Hum bizarre, re-essaye ceci :
--> Menu Démarrer --> Exécuter... et tapez la commande : "%userprofile%\Bureau\mbr" -f ( ne pas oublier les guillemets )
--> dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
--> Poster le rapport mbr.log
++
Ok! ;)
Alors voici le nouveau rapport, mais cette fois par rapport au 1er il manque la dernière ligne original MBR restored successfully !
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
Alors voici le nouveau rapport, mais cette fois par rapport au 1er il manque la dernière ligne original MBR restored successfully !
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Mouai mouai mouai
On va faire autrement :-)
Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications
-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll::
Folder::
d:\documents and settings\wissam\Local Settings\Application Data\dieybj
Mbr::
-> Enregistre ce fichier sous le nom CFScript
-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt
=============================================
Utilise tu un proxy ? J'en vois un ici =>
uInternet Settings,ProxyServer = http=127.0.0.1:5555
@++
On va faire autrement :-)
Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications
-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll::
Folder::
d:\documents and settings\wissam\Local Settings\Application Data\dieybj
Mbr::
-> Enregistre ce fichier sous le nom CFScript
-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
* Ne touche à rien tant que le scan n'est pas terminé.
-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt
=============================================
Utilise tu un proxy ? J'en vois un ici =>
uInternet Settings,ProxyServer = http=127.0.0.1:5555
@++
C'est sur la bonne voie, j'arrive de nouveau à mettre mon ordi en veille! :)
Rapport zhpdiag : http://www.cijoint.fr/cjlink.php?file=cj201006/cijgy34BDY.txt
Rapport zhpdiag : http://www.cijoint.fr/cjlink.php?file=cj201006/cijgy34BDY.txt
Ok,
Il reste encore des choses à faire :
-> Lance ZHPfix soit par le raccourci présent sur ton bureau ou via ZHPdiag ( dans ce cas clique sur le bouclier vert ) en faisant clic doirt -> Exécuter en tant qu'administrateur
-> Clique sur le H bleu ( "coller les lignes Helper" )
-> Copie ceci
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
O43 - CFD:Common File Directory ----D- C:\Program Files\Everest Poker
O43 - CFD:Common File Directory ----D- C:\Program Files\PokerStars
MBRfix
-> Colle le dans ZHPfix
-> Clique sur [ OK ] puis sur [ TOUS ] et enfin sur [ NETTOYER ]
-> copie et colle le rapport de ZHPfix
==========================================
▶ Télécharge malwarebyte's anti-malware
▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
▶ Lance une analyse complète en cliquant sur "<gras>Exécuter un examen complet"
▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
▶ L'analyse peut durer un bon moment.....
▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
@++
Il reste encore des choses à faire :
-> Lance ZHPfix soit par le raccourci présent sur ton bureau ou via ZHPdiag ( dans ce cas clique sur le bouclier vert ) en faisant clic doirt -> Exécuter en tant qu'administrateur
-> Clique sur le H bleu ( "coller les lignes Helper" )
-> Copie ceci
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555
O43 - CFD:Common File Directory ----D- C:\Program Files\Everest Poker
O43 - CFD:Common File Directory ----D- C:\Program Files\PokerStars
MBRfix
-> Colle le dans ZHPfix
-> Clique sur [ OK ] puis sur [ TOUS ] et enfin sur [ NETTOYER ]
-> copie et colle le rapport de ZHPfix
==========================================
▶ Télécharge malwarebyte's anti-malware
▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.
▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
▶ Lance une analyse complète en cliquant sur "<gras>Exécuter un examen complet"
▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
▶ L'analyse peut durer un bon moment.....
▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
@++
Rapport zhpfix :
ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 24/06/2010 14:14:06
Fichier d'export Registre : C:\ZHPExportRegistry-24-06-2010-14-14-06.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
(Néant)
Valeur du Registre :
(Néant)
Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 => Donnée supprimée avec succès
Préférences navigateur :
(Néant)
Dossier :
C:\Program Files\Everest Poker => Supprimé et mis en quarantaine
C:\Program Files\PokerStars => Supprimé et mis en quarantaine
Fichier :
(Néant)
Logiciel :
(Néant)
Script Registre :
(Néant)
Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 3
Dossier : 2
Fichier : 0
Logiciel : 0
Master Boot Record : 21
Préférences navigateur : 0
Autre : 0
End of the scan
ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 24/06/2010 14:14:06
Fichier d'export Registre : C:\ZHPExportRegistry-24-06-2010-14-14-06.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
Processus mémoire :
(Néant)
Module mémoire :
(Néant)
Clé du Registre :
(Néant)
Valeur du Registre :
(Néant)
Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 => Donnée supprimée avec succès
Préférences navigateur :
(Néant)
Dossier :
C:\Program Files\Everest Poker => Supprimé et mis en quarantaine
C:\Program Files\PokerStars => Supprimé et mis en quarantaine
Fichier :
(Néant)
Logiciel :
(Néant)
Script Registre :
(Néant)
Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x017499F00
malicious code @ sector 0x017499F03 !
PE file found in sector at 0x017499F19 !
Autre :
(Néant)
Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 3
Dossier : 2
Fichier : 0
Logiciel : 0
Master Boot Record : 21
Préférences navigateur : 0
Autre : 0
End of the scan
Et rapport mbam :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4232
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
24/06/2010 16:38:27
mbam-log-2010-06-24 (16-38-27).txt
Type d'examen: Examen complet (A:\|C:\|D:\|)
Elément(s) analysé(s): 342024
Temps écoulé: 2 heure(s), 1 minute(s), 30 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4232
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
24/06/2010 16:38:27
mbam-log-2010-06-24 (16-38-27).txt
Type d'examen: Examen complet (A:\|C:\|D:\|)
Elément(s) analysé(s): 342024
Temps écoulé: 2 heure(s), 1 minute(s), 30 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Alors au démarrage, l'icône avast m'indique qu'il est désactivé; qd j'ouvre avast en effet la protection est désactivée, mais elle se rétablit toute seule au bout d'un moment (j'arrive pas à la rétablir manuellement).
Sinon au démarrage la barre des taches est "bloquée" pendant une dizaine de minutes, quand je passe la souris dessus rien ne se passe, je ne peux ni cliquer sur "démarrer", ni sur les icônes... Mais je peux cliquer sur les autres icônes du bureau (poste de travail, divers raccourcis...).
Après par contre tout remarche impec, jusqu'au démarrage suivant!
Voilou...
Sinon au démarrage la barre des taches est "bloquée" pendant une dizaine de minutes, quand je passe la souris dessus rien ne se passe, je ne peux ni cliquer sur "démarrer", ni sur les icônes... Mais je peux cliquer sur les autres icônes du bureau (poste de travail, divers raccourcis...).
Après par contre tout remarche impec, jusqu'au démarrage suivant!
Voilou...
Ah et jviens de me rendre compte qu'il y a 6 nouveaux fichiers dans la zone de quarantaine avast; transférés aujourd'hui, et l'heure de transfert de ces fichiers est comprise entre 15h03 et 16h37, soit pile pendant le scan mbam... je sais pas si c'est lié...
Tous ces fichiers sont apparemment infectés par win32:trojan-gen ...
Je les supprime de la zone de quarantaine ?
Merci de ton aide précieuse... :)
Tous ces fichiers sont apparemment infectés par win32:trojan-gen ...
Je les supprime de la zone de quarantaine ?
Merci de ton aide précieuse... :)
Salut
"Tous ces fichiers sont apparemment infectés par win32:trojan-gen ... "
Peux tu me dire quels fichiers ?
"Tous ces fichiers sont apparemment infectés par win32:trojan-gen ... "
Peux tu me dire quels fichiers ?
Cf imprim-écran : http://www.cijoint.fr/cjlink.php?file=cj201006/cijMNaPvk7.jpg.
(je pars en vacances demain matin donc je serai loiiiin de mon ordi et de ses tracas pdt 15 jours, énoooorme merci pour le temps que tu as passé à m'aider!) :)
(je pars en vacances demain matin donc je serai loiiiin de mon ordi et de ses tracas pdt 15 jours, énoooorme merci pour le temps que tu as passé à m'aider!) :)
hello en fait sur le lien precedent il fallait juste enlever le point final qui a été effectué trop près et pris en compte dans l'URL :)
Nan, je pense que sa doit être un reste inactif a moins que je me trompe ce qui est très probable. Mais les symptomes de l'user : barre des taches bloqué, avast désactivé etc.... Vu que j'ai pas mal de truc en plus à faire coté perso ... Si jamais tu a des idées n'hésite surtout pas à les poster :-)
@+
@+
