"Windows Security Alert"

olvb -  
alhuno1 Messages postés 2079 Statut Contributeur -
Bonjour,

Je suis infecté à mon tour par Antivirus software alert... ou plutôt, l'ordinateur portable de ma copine est infecté. Pas cool elle est en pleine recherche de job !

J'ai constaté sur le forum que les résolutions passent par l'utilisation de logiciels de diagnostics, avec résultats postés et analysés par des experts sympas qui donnent de leur temps pour aider les victimes de ces saletés. De manière très égoïste je serais prêt à me faire aider pas à pas moi aussi mais me pose une petite question : ayant la chance d'avoir un autre PC dispo et non infecté à la maison, n'y a-t-il pas des options de résolution supplémentaires qui évitent tous ces allers-retours ? Je peux télécharger sur un PC sain, mettre sur une clé USB, etc. Bon je rêve peut-être mais je demande quand même !

Merci d'avance...

11 réponses

  1. spode_90 Messages postés 238 Statut Membre 29
     
    c quoi comme virus ?
    0
    1. olvb
       
      Désolé spode_90 je me rends compte que je n'ai pas répondu à ton post , alhuno1 s'étant immédiatement saisi du problème. Mais merci pour ton message !
      0
  2. olvb
     
    Ah oui je précise, la config renseignée automatiquement dans mon message précédent n'est pas correcte, c'est celle du PC "sain" duquel j'écris. Le PC infecté est sous Vista avec IE comme navigateur.
    0
  3. alhuno1 Messages postés 2079 Statut Contributeur 226
     
    Sur le PC sain:

    Télécharge UsbFix
    >ici<

    Enregistre le sur le Bureau.

    Désactive provisoirement et seulement le temps de l'utilisation d'UsbFix, la protection résidente de ton antivirus et de tes antispywares
    Ils peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Branche tes sources de données externes à ton PC: clé USB, disque dur externe, cartes, etc.

    Double-clique sur l'icône UsbFix située sur ton Bureau.

    Sur la page, clique sur Vacciner.

    Maintenant tu téléchargeras les outils sur ta clé USB et les éxécutera sur le PC infecté.

    Télécharge RKill
    >ici< (lien 1)
    >ici< (lien 2)
    >ici< (lien 3)
    >ici< (lien 4)

    Enregistre le fichier sur le Bureau.

    Désactive provisoirement et seulement le temps de l'utilisation de Rkill, la protection résidente de ton antivirus et de tes antispywares

    Faire un double clic sur le fichier rkill] téléchargé pour lancer l'outil.
    Pour Vista, faire un clic droit sur le fichier Rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

    Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

    Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

    1: Télécharge Malwarebytes Anti-Malware
    >ici<

    Enregistre-le sur le Bureau.

    2: Execute le fichier d'installation et installe-le avec les paramêtres par défaut.

    3: Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    4: Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    ? Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

    L'analyse peut durer un bon moment.....

    6: Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

    7: Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

    8: Un rapport va s'ouvrir dans le Bloc-notes... Fais un copier/coller du rapport dans ta
    prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC...
    Faites le en cliquant sur "oui" à la question posée

    Maintenant, sur les deux PC:

    Télécharge et installe ZHPDiag
    >ici<

    Installe-le avec les paramêtres par défaut.

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau
    (Clique droit -> Executer en tant qu'administrateur pour Vista et 7 )

    Au menu principal, cliquer sur la loupe dans le panneau en haut.

    Une fois le scan terminé, clique sur l'icône en forme de disquette.
    Enregistre-le sur ton Bureau.

    Rend toi sur Cjoint

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPDiag.txt qui se trouve sur ton Bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    Ne l'oubliez pas: Google est votre ami. Morale de l'histoire: Réfléchissez avant de poster.
    Et mettez résolu quand ça l'est.
    0
  4. olvb
     
    Merci alhuno1 !

    Ci-dessous le log du scan mbam de mon PC sain... je ne suis pas sûr d'avoir compris si c'était nécessaire mais je le poste quand même avant de passer à l'exécution des outils sur mon PC infecté.

    Je reviens ce soir !

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4262

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    7/1/2010 8:51:52 AM
    mbam-log-2010-07-01 (08-51-52).txt

    Type d'examen: Examen complet (C:\|E:\|)
    Elément(s) analysé(s): 374461
    Temps écoulé: 3 heure(s), 46 minute(s), 16 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\Ana-Maria\Bureau\Mes documents\Downloads\Exe\NAV\Norton Anti-virus 2005 +keygen\TMG-Norton Antivirus 2005 Keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
    C:\WINDOWS\Temp\_avast5_\unp179505895.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. alhuno1 Messages postés 2079 Statut Contributeur 226
     
    Ce qu'il a viré c'était un possible trasmetteur de Bagle et la quarantaine d'Avast, pas très important.
    Le MBAM du PC infecté et les deux ZHPDiag maintenant.
    Ne l'oubliez pas: Google est votre ami. Morale de l'histoire: Réfléchissez avant de poster.
    Et mettez résolu quand ça l'est.
    0
    1. olvb
       
      Voici le résultat du scan ZHPDiag sur le PC sain :

      http://www.cijoint.fr/cjlink.php?file=cj201007/cijyIvAY9A.txt
      0
    2. alhuno1 Messages postés 2079 Statut Contributeur 226
       
      ça me prend celui du PC infecté.
      0
    3. olvb
       
      Sur le PC infecté j'arrive à lancer RKill et à installer MBAM mais lorsque j'essaie d'exécuter MBAM j'ai une pop-up qui apparaît indiquant "Application cannot be executed. The file drivinst.exe is infected. Do you want to activate your antivirus now?" Du coupd je ne sais pas quoi faire pour lancer MBAM... Help !
      0
    4. olvb
       
      alhuno1 désolé je viens juste de voir ton poste de 1:09. CE que j'ai chargé sur cijoint correspondait bien à mon PC "sain" : à ce moment là je n'était même pas encore passé sur l'autre avec ma clé USB !

      Quand je l'ai fait par la suite j'ai rencontré le problème décrit dans mon post de 1:21...
      0
    5. alhuno1 Messages postés 2079 Statut Contributeur 226
       
      Ça veut dire qu'RKill n'a pas fonctionné.
      Relance-le et fais tout de suite ZHPDiag.
      0
  7. alhuno1 Messages postés 2079 Statut Contributeur 226
     
    Si tu as fait UsbFix sur le PC sain, ça devrait être safe.
    Ne l'oubliez pas: Google est votre ami. Morale de l'histoire: Réfléchissez avant de poster.
    Et mettez résolu quand ça l'est.
    0
    1. olvb
       
      On y va alors. Ci-dessous les logs, transférés sur mon PC sain. L'accès internet ne marche toujours pas sur le PC infecté, même si par ailleurs c'est beaucoup plus calme (plus de pop ups à répétition, alertes d'avast indiquant que ma protection n'est plus à jour mais ça ça semble authentique...)

      Log ZHPDiag

      http://www.cijoint.fr/cjlink.php?file=cj201007/cijLuxzj0Z.txt

      Log RKill :

      This log file is located at C:\rkill.log.
      Please post this only if requested to by the person helping you.
      Otherwise you can close this log when you wish.
      Ran as ana on 03/07/2010 at 19:41:06.


      Processes terminated by Rkill or while it was running:


      C:\Users\ana\AppData\Local\Temp\Xqr.exe
      C:\Users\ana\AppData\Local\Temp\RtkBtMnt.exe
      C:\Users\ana\AppData\Roaming\49F2759DBB4C485005050CEFEE248B25\070700Setup.exe
      C:\Windows\system32\DllHost.exe
      C:\Windows\system32\DllHost.exe
      C:\Users\ana\Desktop\rkill.exe


      Rkill completed on 03/07/2010 at 19:41:12.

      Log MBAM :

      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Database version: 4052

      Windows 6.0.6001 Service Pack 1
      Internet Explorer 7.0.6001.18000

      03/07/2010 19:01:40
      mbam-log-2010-07-03 (19-01-40).txt

      Scan type: Full scan (C:\|D:\|E:\|F:\|)
      Objects scanned: 244464
      Time elapsed: 1 hour(s), 4 minute(s), 50 second(s)

      Memory Processes Infected: 0
      Memory Modules Infected: 1
      Registry Keys Infected: 6
      Registry Values Infected: 2
      Registry Data Items Infected: 0
      Folders Infected: 0
      Files Infected: 10

      Memory Processes Infected:
      (No malicious items detected)

      Memory Modules Infected:
      C:\Users\ana\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> No action taken.

      Registry Keys Infected:
      HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> No action taken.
      HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.
      HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.
      HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> No action taken.

      Registry Values Infected:
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\txbativi (Rogue.AntivirusSuite.Gen) -> No action taken.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\halo2 (Trojan.Downloader) -> No action taken.

      Registry Data Items Infected:
      (No malicious items detected)

      Folders Infected:
      (No malicious items detected)

      Files Infected:
      C:\Users\ana\AppData\Local\Temp\Xqq.exe (Trojan.FakeAlert) -> No action taken.
      C:\Windows\System32\drivers\izgseyy.sys (Rootkit.Agent) -> No action taken.
      F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\trz42.tmp (Backdoor.Bot) -> No action taken.
      C:\Users\ana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken.
      C:\Users\ana\AppData\Local\mbopbqyqs\sgpwefstssd.exe (Rogue.AntivirusSuite.Gen) -> No action taken.
      C:\Users\ana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
      C:\Users\ana\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
      C:\Users\ana\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
      C:\Users\ana\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> No action taken.
      C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
      0
  8. alhuno1 Messages postés 2079 Statut Contributeur 226
     
    Bon, quelques erreurs:
    1: tu n'as rien supprimé avec MBAM.
    On va les virer manuellement.

    2: ...

    3: Lance ZHPFix depuis le racourci sur ton Bureau.

    Au menu principal, clique sur le H bleu.

    Dans l'encadré, entre:

    C:\Users\ana\AppData\Roaming\49F2759DBB4C485005050CEFEE248B25\070700Setup.exe [1043968]
    C:\Users\ana\AppData\Local\Temp\Xqr.exe [172032]
    O4 - HKCU\..\Run: [QNB2EB90WX] . (.Pas de propriétaire - Pas de description.) -- C:\Users\ana\AppData\Local\Temp\Xqr.exe
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
    O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU]
    O42 - Logiciel: Spyware Doctor 6.0 - (.PC Tools.) [HKLM]
    [HKCU\Software\Antimalware Doctor Inc]
    C:\Users\ana\AppData\Local\Temp\sshnas21.dll
    [HKEY_CURRENT_USER\Software\avsuite]
    [HKEY_CURRENT_USER\SOFTWARE\XML]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor]
    [HKEY_CURRENT_USER\Software\Antimalware Doctor Inc]
    [HKEY_CURRENT_USER\Software\avsoft]
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] txbativi
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\] halo2
    C:\Users\ana\AppData\Local\Temp\Xqq.exe
    C:\Windows\System32\drivers\izgseyy.sys
    F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\trz42.tmp
    C:\Users\ana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk
    C:\Users\ana\AppData\Local\mbopbqyqs\sgpwefstssd.exe
    C:\Users\ana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk
    C:\Users\ana\Desktop\Antimalware Doctor.lnk
    C:\Users\ana\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk
    C:\Users\ana\AppData\Local\Temp\sshnas21.dll
    C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job


    Clique mantenant sur Tous puis sur Nettoyer.

    Après le scan, un rapport sera généré.
    Il se trouve ici: %programFiles%\ZHPDiag\ZHPFixReport.txt

    Poste-le ici.
    0
    1. olvb
       
      OK, ci-dessous le rapport. Mais je dois préciser que je l'ai fait tourner deux fois : comme une première fois il m'a été demandé de confirmer que je voulais supprimer Spyware doctor puis demandé de redémarrer je l'ai fait, puis me disant que le processus n'était peut être pas allé à son terme j'ai refait tourner l'outil, ce qui explique peut-être les statuts "fichier absent" à chaque ligne. J'espère que je n'ai pas perdu d'infos utiles en faisant ça.

      Suite à ces deux passages de l'outil je précise aussi que suis toujours dans l'incapacité d'accèder à internet (message "Internet Explorer ne peut pas affichicher cette page")


      Rapport de ZHPFix v1.12.3111 par Nicolas Coolman, Update du 29/06/2010
      Run by ana at 05/07/2010 00:18:51
      Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
      Contact : nicolascoolman@yahoo.fr
      Fichier Registre :

      Processus mémoire :
      C:\Users\ana\AppData\Roaming\49F2759DBB4C485005050CEFEE248B25\070700Setup.exe [1043968] => Fichier absent
      C:\Users\ana\AppData\Local\Temp\Xqr.exe [172032] => Fichier absent
      C:\Users\ana\AppData\Local\Temp\Xqq.exe => Fichier absent
      C:\Windows\System32\drivers\izgseyy.sys => Fichier absent
      F:\RECYCLER\S-1-5-21-1482476501-3352491937-682996330-1013\trz42.tmp => Fichier absent
      C:\Users\ana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk => Fichier absent
      C:\Users\ana\AppData\Local\mbopbqyqs\sgpwefstssd.exe => Fichier absent
      C:\Users\ana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk => Fichier absent
      C:\Users\ana\Desktop\Antimalware Doctor.lnk => Fichier absent
      C:\Users\ana\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk => Fichier absent
      C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job => Fichier absent

      Module mémoire :
      C:\Users\ana\AppData\Local\Temp\sshnas21.dll => Fichier absent
      C:\Users\ana\AppData\Local\Temp\sshnas21.dll => Fichier absent

      Clé du Registre :
      HKCU\Software\Antimalware Doctor Inc => Clé absente
      HKCU\Software\avsuite => Clé absente
      HKCU\SOFTWARE\XML => Clé absente
      HKCU\SOFTWARE\Microsoft\Handle => Clé absente
      HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor => Clé absente
      HKCU\Software\avsoft => Clé absente

      Valeur du Registre :
      O4 - HKCU\..\Run: [QNB2EB90WX] . (.Pas de propriétaire - Pas de description.) -- C:\Users\ana\AppData\Local\Temp\Xqr.exe => Valeur absente

      Fichier :
      c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job => Fichier absent

      Logiciel :
      O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] => Logiciel absent
      O42 - Logiciel: Spyware Doctor 6.0 - (.PC Tools.) [HKLM] => Logiciel absent


      Récapitulatif :
      Processus mémoire : 11
      Module mémoire : 2
      Clé du Registre : 6
      Valeur du Registre : 1
      Fichier : 1
      Logiciel : 2


      End of the scan
      0
  9. alhuno1 Messages postés 2079 Statut Contributeur 226
     
    J'ai fait une petite erreur.

    Refais un scan Malwarebytes mais cette fois, clique sur Afficher les résultats puis Supprimer la selection.
    Poster le rapport après les manipulations.

    EDIT: Pour info, utilises-tu un proxy?
    Ne l'oubliez pas: Google est votre ami. Morale de l'histoire: Réfléchissez avant de poster.
    Et mettez résolu quand ça l'est.
    0
    1. olvb
       
      Voici le nouveau log MBAM :

      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org

      Database version: 4052

      Windows 6.0.6001 Service Pack 1
      Internet Explorer 7.0.6001.18000

      06/07/2010 09:13:52
      mbam-log-2010-07-06 (09-13-52).txt

      Scan type: Full scan (C:\|D:\|E:\|)
      Objects scanned: 242518
      Time elapsed: 1 hour(s), 4 minute(s), 58 second(s)

      Memory Processes Infected: 0
      Memory Modules Infected: 0
      Registry Keys Infected: 0
      Registry Values Infected: 0
      Registry Data Items Infected: 0
      Folders Infected: 0
      Files Infected: 1

      Memory Processes Infected:
      (No malicious items detected)

      Memory Modules Infected:
      (No malicious items detected)

      Registry Keys Infected:
      (No malicious items detected)

      Registry Values Infected:
      (No malicious items detected)

      Registry Data Items Infected:
      (No malicious items detected)

      Folders Infected:
      (No malicious items detected)

      Files Infected:
      C:\Windows\System32\drivers\izgseyy.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
      0
  10. alhuno1 Messages postés 2079 Statut Contributeur 226
     
    OK.

    Refais un scan ZHPDiag s.t.p.
    0
    1. olvb
       
      Voici :

      http://www.cijoint.fr/cjlink.php?file=cj201007/cijTCZt2JY.txt
      0
  11. alhuno1 Messages postés 2079 Statut Contributeur 226
     
    Il est parti.

    Comment va le PC?

    Utilises-tu un proxy?
    Ça pourrait être la cause de pourquoi Internet est out.
    0
    1. olvb
       
      Salut alhuno1

      Le PC va très bien à présent ! Plus aucune manifestation anormale, et effectivement le problème d'accès à internet était dû au fait qu'un proxy était paramétré. J'ai décoché l'option dans IE car je ne sais pas quelle utilité ma copine peut avoir d'un proxy et si ça n'était pas virus qui avait fait ce paramétrage. Tout marche bien maintenant.

      Merci mille fois pour ton aide et ta patience !
      0
  12. alhuno1 Messages postés 2079 Statut Contributeur 226
     
    Pas de problème.
    Sujet résolu.
    0