Virus détecté trojan.fakeav.lao Résolu/Fermé

Question

Bonjour,   
J'ai fit un BitDefender QuickScan en ligne  
Résultat   

Comme j'ai déjà eu un pb similaire il y a un an j'ai téléchargé et installé la version 1.46 de Malawarebyte Anti Malware  

Configuration: Windows Vista / Firefox 3.6.8

RAPPORT  

QuickScan Beta 32-bit v0.9.9.23  
-------------------------------  
Date de l'analyse :  Thu Jul 29 07:19:56 2010  
ID de la machine : EB710C5  

C:\Windows\system32\drivers\SPTD.sys - échec de l'analyse  
  --> HKLM\System\ControlSet001\Enum\Root\LEGACY_SPTD  


1 fichier infecté a été détecté !  
---------------------------------  

C:\Users\olivier\AppData\Local\Temp\sshnas21.dll --> Trojan.FakeAV.LAO  
  --> HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"Halo2"  
  --> Processus firefox.exe (5844)  
  --> Processus rundll32.exe (5576)  

Configuration: Windows Vista / Firefox 3.6.8

Merci

Utilisateur anonyme · Answer

bonjour,

* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

barak06 · Answer

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
N'existe pas ! 
Seul "Nettoyeur de tools" ?

barak06 · Answer

N.B. comme je n'avais pas de reponse ce matin, j'ai suivi le tuto suivant :
https://forum.zebulon.fr/topic/177982-trojanfakeavlao-et-nettoyage-complet

Et ça a l'air d'avoir très bien marché...

barak06 · Answer

Au temps pour moi j'avais lancé zhpfix (qui s'installe en meme temps) ;)

barak06 · Answer

Voilà

http://www.cijoint.fr/cjlink.php?file=cj201007/cijtLDAjug.txt

barak06 · Answer

up...

Utilisateur anonyme · Answer

soit patient et tout va bien se passer ! 
*	/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac


* Télécharge mbr.exe de Gmer ici :  
http://www2.gmer.net/mbr/mbr.exe  
et enregistre le fichier sur le Bureau.  


Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)  
Double clique sur mbr.exe  

Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.  

Un rapport sera généré : mbr.log  
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.  

Si c'est le cas, continue comme ça :  

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f  
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"  

Réactive tes protections  
Poste ce rapport et supprimes-le ensuite.  

Pour vérifier  

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)  
Relance mbr.exe  

Réactive tes protections.  

Le nouveau mbr.log devrait être celui-ci :  

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net  

device: opened successfully  

user: MBR read successfully  

kernel: MBR read successfully  

user & kernel MBR OK  



O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

barak06 · Answer

J'ai fait ce que tu as demandé (mais je ne sais pas comment couper une connexion à part débrancher le rj45 ?)   
J'ai lancé l'exe et ai obtenu :   

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net   

device: opened successfully   
user: MBR read successfully   
kernel: MBR read successfully   
user & kernel MBR OK  

Par contre j'ai ça qui s'est affiché au redémarrage (avant déjà aussi)  

fenêtre intitulée :RunDLL 
"Erreur de chargement de  
c:\users\olivier\appdata	emp\sshnas21.dll  

le module spécifié est introuvable"

Utilisateur anonyme · Answer

pas cool !!!

*	/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 


/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix : 
&#9658; Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

barak06 · Answer

Here it is :

http://www.cijoint.fr/cjlink.php?file=cj201007/cijJGvZK8J.txt

Utilisateur anonyme · Answer

oukiiii !
*	/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
	
Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

ou ici : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

barak06 · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4367

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

29/07/2010 20:44:32
mbam-log-2010-07-29 (20-44-32).txt

Type d'examen: Examen complet (C:\|W:\|Z:\|)
Elément(s) analysé(s): 308395
Temps écoulé: 50 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

*	pour supprimer les outils de désinfection : 

Télécharge OTC de Old Timer . 
http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/ 

Utilisateur de vista et Windows 7 :Clique droit sur OTCleanIt et choisis Exécuter en tant qu'administrateur. 
Clique sur le bouton "CleanUp!" . 
Sélectionne Oui lorsque la demande " processus de nettoyage?" s'affiche. 
Si tu es invité à redémarrer le PC au cours de l'assainissement, sélectionne Oui. 
L'outil va se supprimer lui-même une fois la fin de l'opération.
Note : si certains outils restent sur ton pc, il faut les supprimer manuellement

*	Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

Pour Vista :       https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

lance une mise à jour de ton antivirus, passe un scan complet de ton pc, tiens moi au courant du résultat  :-)

barak06 · Answer

Merci encore une fois aux contributeurs de Comment ça marche. Toujours au top !
Je te poste après le scan.

Utilisateur anonyme · Answer

oukiii,   mdr

barak06 · Answer

Bitdefender en ligne : ok

sauf :

C:\Windows\system32\drivers\SPTD.sys - échec de l'analyse
  --> HKLM\System\ControlSet001\Enum\Root\LEGACY_SPTD

Eset online scanner : ok
Avast resident : ok

On peut dire : RESOLU (je crois)

Encore merci electricien69, vu ton talent tu pourrais te renommer en 
electronicien69 mdr

Utilisateur anonyme · Answer

bonjour,
crée un nouveau point de restauration système, ça peut servire  :-)

sur ce, bon surf et bonne journée  ;-)

Utilisateur anonyme · Answer

pour cérer un point de restauration système, aide toi de ceci, pas besoin de télecharger quoi que ça soit :
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

@+

Virus détecté trojan.fakeav.lao

18 réponses

Discussions similaires