Virus ernel32.dll

Polonwn Messages postés 15055 Statut Contributeur -  
Polonwn Messages postés 15055 Statut Contributeur -
Bonjour à tous

je déprime, j'ai pris un virus je sais même pas comment cet enfoiré a réussi à se pointer :s

j'ai essayé plusieurs truc mais impossible de m'en débarrasser et vu que je suis aux states j'ai pas toute ma panoplie de cd de nettoyage et j'ai rien pour graver ici autant dire que je suis démuni là.

Bon petit récapitulatif:

Nom du virus à la base antimalware doctor

suppression manuel par l'intermédiaire de la base de registre
suppression des option de démarrage

analyse avec antivir
analyse avec kaspersky
analyse avec malwarebyte
analyse avec ad aware

à noter que gros problèmes impossible (sauf pour antivir) de dl les bases de donnée d'antivirus ou antimalware message d'erreur me souvient pas des messages d'erreur dsl

maintenant les problèmes qui persiste :
un fichier système ernel32.dll persiste en temps que virus (j'ai essayé de le supprimer en mode sans échec no problem, mais en mode normal si je le supprime il revient au démarrage suivant) et il y a un cadenas sur le fichier

autre problème pc lent (pas nouveau ça après infection)

dernier problème lorsque je vais sur internet la plus part du temps je suis redirigé sur des page avec le démarrage http://results5.google.fr/

je ne peux pas formatter car j'ai rien pour save mes données

merci pour l'aide apporté

--
...IL N'Y A PAS D'ARNAQUE SANS PIGEON ...
Google est votre meilleur ami avant Comment Ca Marche alors cherchez un peu ...

28 réponses

  • 1
  • 2
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt
    colle nous le rapport d'antivir et malwarebyte

    puis

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  2. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    Salut jlpjilp

    voila pour malwarebyte

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3930

    Windows 6.1.7600 (Safe Mode)
    Internet Explorer 8.0.7600.16385

    15/07/2010 03:07:44
    mbam-log-2010-07-15 (03-07-44).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 191513
    Temps écoulé: 42 minute(s), 59 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{efd9e731-f2e8-483d-9cac-022dc140cf6b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\polo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    C:\Users\polo\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    C:\Users\polo\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

    Sinon j'ai reussi je crois à supprimer le fichier ernel32 il est pas revenu
    j'ai pas les log pour antivir par contre mais il me dis plus rien

    sinon toujours le problème des redirections qui a empiré

    voila les autres rapports

    en premier log

    et après info

    0
  3. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    Info

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijB82gP3G.txt

    log
    http://www.cijoint.fr/cjlink.php?file=cj201007/cij9jIAMr9.txt
    0
  4. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    rapport malware byte

    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3930

    Windows 6.1.7600 (Safe Mode)
    Internet Explorer 8.0.7600.16385

    15/07/2010 03:07:44
    mbam-log-2010-07-15 (03-07-44).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 191513
    Temps écoulé: 42 minute(s), 59 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{efd9e731-f2e8-483d-9cac-022dc140cf6b}\NameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Users\polo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    C:\Users\polo\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    C:\Users\polo\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
    C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTM
    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
    (de Old_Timer) sur ton Bureau.

    double-clique sur OTM.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTM :Paste instruction for items to be moved.

    :processes
    explorer.exe
    :files
    C:\Windows\Ghikya.exe
    C:\Users\polo\AppData\Roaming\52B310BFA0094320F77A3EFFA4F0BAF1
    C:\Users\polo\AppData\Roaming\cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44.avi
    C:\Windows\tasks\0ae30c23.job
    C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
    C:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
    :reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44"=-
    :commands
    [purity]
    [emptytemp]
    [start explorer]

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTM\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    ______________________
    puis
    mets à jour malwarebyte et colle un rapport avec d'analyse rapide
    0
  7. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    rapport otm

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== FILES ==========
    C:\Users\polo\AppData\Roaming\cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44.avi moved successfully.
    C:\Windows\tasks\0ae30c23.job moved successfully.
    C:\Windows\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job moved successfully.
    C:\Windows\tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job moved successfully.
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cedf3ae0-9fd5-49f5-b4f3-ba51c752dd99_44 deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: LogMeInRemoteUser
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: polo
    ->Temp folder emptied: 470433 bytes
    ->Temporary Internet Files folder emptied: 53472034 bytes
    ->Java cache emptied: 13822012 bytes
    ->FireFox cache emptied: 38493538 bytes
    ->Flash cache emptied: 6622 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 0 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 101,00 mb

    OTM by OldTimer - Version 3.1.14.0 log created on 07152010_094819

    0
  8. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    impossible de mettre a jour malware byte j'ai ce message

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijAX0axhr.jpg

    tiens si tu veux j'ai les logs de l'analyse avec la base viral non mise à jour

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijSN9HuYz.txt

    date de la base virale : 29/03/2010
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    ________________

    lance myhosts:
    https://www.sfr.fr/fermeture-des-pages-perso.html

    si il passe pas fais
    # télécharger Hoster :
    http://www.funkytoad.com/download/HostsXpert.zip

    # Dézipper le dossier sur le bureau.
    # Lancer Hoster et cliquer sur Restore Microsoft's Hosts File

    si impossible fais RHOST

    http://siri.urz.free.fr/RHosts.php

    ________________

    puis retente de mettre à jour malwarebyte

    si cela passe pas:

    colle un rapport avec le logiciel superantispyware
    0
  10. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    lance myhosts: 


    il a fonctionné mais ne change pas le problème de malware byte

    télécharger Hoster :

    soit le lien marche pas soit mon pc arrive pas à le dl

    si impossible fais RHOST
    

    même problème que myhosts

    impossible de mettre a jour mbyte

    superantispyware travail a l'heure actuel en scan rapide
    0
    1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
       
      ok j'attends le rapport de super antipsyware

      puis en suivant
      Télécharge la dernière version de ZHPDiag
      https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
      Enregistre le sur ton Bureau.

      Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

      N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

      pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

      pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

      /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

      Clique sur la loupe pour lancer l'analyse.

      Laisse l'outil travailler, il peut être assez long.

      Ferme ZHPDiag en fin d'analyse.


      Pour transmettre le rapport clique sur Cijoint http://www.cijoint.fr/

      Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

      Sélectionne le fichier ZHPDiag.txt.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.
      0
  11. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    ZHPdiag travail pour le moment

    super antispyware a fini mais je sais pas où est le log mais il a trouvé plein de chose

    j'ai mis en quarantaine et nettoyer et il a redemarer mon pc

    et maintenant la mise a jour de malwarebyte remarche donc je suis entrain de la dl
    0
  12. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    Bon zhp a fini mais j'ai un problème j'arrive a héberger un fichier nul part :s

    j'ai essayé sur free et sur cijoint il veut pas :s
    0
  13. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    log malwarebyte en mode rapide

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4052

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    15/07/2010 10:51:24
    mbam-log-2010-07-15 (10-51-24).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 123784
    Temps écoulé: 7 minute(s), 30 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3cb0f5e5-0edd-4689-8e6a-9f9b35e6254b}\DhcpNameServer (Trojan.DNSChanger) -> Data: 93.188.162.65,93.188.161.205 -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  14. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    c'est bon j'arrive a posté les log

    alors

    log superantispyware
    http://www.cijoint.fr/cjlink.php?file=cj201007/cijitKV0d5.txt

    mais pour zhd il veut rien savoir :s
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok
    je pense que malwarebyte n'est toujours pas à jour alors recommence

    puis remets un rapport RSIT tout neuf
    0
  16. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    ok pas de problème

    au faite mon copain ernel32.dll est revenu :)
    0
  17. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    malwarebyte marche à nouveau plus il ne se lance pas à cause de ernel32.dll
    0
  18. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    fichier log rist

    http://www.cijoint.fr/cjlink.php?file=cj201007/cijvaAODE0.txt
    0
  19. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    tiens petit log de avira

    C:\Windows\System32\ernel32.dll
    [WARNING] The file could not be copied to quarantine!
    C:\Windows\System32\ernel32.dll
    [WARNING] The file could not be deleted!
    0
  20. Polonwn Messages postés 15055 Statut Contributeur 1 443
     
    bon par contre désolé je dois aller me couché et je reviens que lundi parce que demain je pars à los angeles

    en attendant de te revoir pour en finir avec cette *****

    merci encore pour tout pour ce soir et à lundi bon week à toi
    0
  21. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok
    vire cette tache planifiée en allant dans C puis WINDOWS puis TASKS :

    C:\Windows\tasks\0ae30c23.job

    ____________________

    lance smitfraudfix et fait l'option 5

    ____________________

    lance le logiciel hijackthis

    si ces lignes sont présentes:

    O17 - HKLM\System\CCS\Services\Tcpip\..\{3CB0F5E5-0EDD-4689-8E6A-9F9B35E6254B}: NameServer = 93.188.162.65,93.188.161.205
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD9E731-F2E8-483D-9CAC-022DC140CF6B}: NameServer = 93.188.162.65,93.188.161.205
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.162.65,93.188.161.205
    O17 - HKLM\System\CS1\Services\Tcpip\..\{3CB0F5E5-0EDD-4689-8E6A-9F9B35E6254B}: NameServer = 93.188.162.65,93.188.161.205
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.162.65,93.188.161.205
    O17 - HKLM\System\CS2\Services\Tcpip\..\{3CB0F5E5-0EDD-4689-8E6A-9F9B35E6254B}: NameServer = 93.188.162.65,93.188.161.205
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.162.65,93.188.161.205

    fixe les en les cochant puis cliquer sur Fix cheked

    _____________________

    remette à jour malwarebyte et nous coller un rapport

    _____________________

    suivi d'un nouveau rapport RSIT si ZHPFIX passe pas

    et colle un rapport avec antivir à jour si tu as le temps
    0
  • 1
  • 2