Sujet Précédent Sujet Suivant

Depuis Virus Antivir pro 2010 que des pb!Help

Stephanie77 -  
 Utilisateur anonyme -
Bonjour,

Je me suis chopé il y a une 15aine de jours le virus "Antivir pro 2010", qui me bloquait toutes mes appli, mon antivirus, etc... je l'ai stoppé via des "executer en tant que"... puis avec TrendMicro Officescan, Mbam, CCleaner, Spibot, un produit emisoft.....et j'en passe

J'ai du supprimer des clé dans la base de registre et des appli et autre fichiers temp, style Street Ads, Sky Banners ToolBar 4 (goofix ..??..) car le moindre surf sur google devenait compliqué avec les pop-up....

Malheureusement, cela revenait en permanence avec de plus en plus de symptomes : plus de son, plus de connexion internet et j'en passe.... j'ai donc recommencé les nettoyages en désactivant la restauration systeme.

Maintenant plus de pop up mais un pc avec des erreurs style la valeur "OxOO1a3b57 ne peut être read...." et plantage systematique qui m'oblige un arrêt à "l'arrache"....

Autre précision, j'ai du réinstaller mon antivirus et mes antimalware pour pouvoir les mettre à jour....

Ce qui n'aide pas c'est que j'ai un C:/ de 15Go seulement (partition merdique d'un informaticien...) qui est quasi plein donc j'ai une marge de manoeuvre réduite....

Avec tous ces détails..quelqu'un peut-il m'aider???? Please
Merci

Stéphanie

A voir également:

61 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Le fil expose une infection par le virus Antivir Pro 2010 qui bloque les applications et les outils de sécurité, entraîne des pop-ups et des plantages après des tentatives de nettoyage.
Plusieurs antivirus et outils ont été utilisés, et des suppressions de clés de registre ainsi que de fichiers temporaires effectuées, mais les symptômes persistent et des erreurs système comme OxOO1a3b57 ne peut être read apparaissent.
La solution recommande outils dédiés au rootkit et à l’infection cachée, notamment GMER et TDSSKiller, avec des étapes de scan et de suppression, et signale une contrainte matérielle liée à partition C de 15 Go.

Généré automatiquement par IA
sur la base des meilleures réponses
Réponse 1 / 61
fred08700 Messages postés 3633 Statut Contributeur sécurité 550
 
bonjour Stéphanie
salut Juju (on va essayer d'avancer un peu) , je ne te promets rien ^^

* Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Désactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

* Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

* Les lignes rouges indiquent la présence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans démarrer ,puis ouvres le bloc note,vas dans édition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

* sur les lignes rouge:

* Services:cliques droit delete service
* Process:cliques droit kill process
* Adl ,file:cliques droit delete files

ensuite :

* Téléchargez TDSSKiller sur votre bureau

https://support.kaspersky.com/downloads/utils/tdsskiller.zip

* Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

Cochez les et cliquez sur "Delete/Repair Selected".

* Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").
1
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut Fred,

Tu fais bien car peu de temps libre, heures sup' de malade.

Super, j'avais pas griller ces lignes, je regarde pas assez près, ou il me faut des lunettes, car tdssserv ça devrait sauter aux yeux :O
0
Stephanie77
 
Merci à vous 2 pour votre aide !!!

La Gmer tourne depuis moment et j'ai une ligne rouge sur un service sur lequel j'avais dejà des doutes : hyrpcm en caché !
0
Réponse 2 / 61
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut,

Pour ta partition tu peux l'étendre sans perdre tes données avec partition magic.

On va regarder ce qui se passe sur ton pc:

Salut,

* Télécharge ZHP: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Certainement des traces d'AV 2010 et un adware.

@+
0
Réponse 3 / 61
Stephanie77
 
Merci de me répondre !!
J'ai le rapport mais impossible de le déposer sur cijoint.fr le serveur est apparemment surchargé....

non en fait c'est encore un bug de mon pc....

voici le lien (j'utilise un 2eme pc en parallele.....)

http://www.cijoint.fr/cjlink.php?file=cj201008/cijVauzQWU.txt

Merci encore
0
Réponse 4 / 61
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Avec plaisir :)

Spybot = inutile, obsolète ==> à virer du PC =D

Encore une infection USB comme je les aime ^^

Télécharge >-> USBfix <-< ( El Desaparecido , C_XX & Chimay8 ) sur ton bureau.

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir(i)

[*] Double clic (clique "droit exécuter en tant qu'administrateur pour VISTA/7) Sur USBfix.exe présent sur ton bureau

[*] Au menu principale choisis l'option "Suppression"

[*] Laisse travailler l'outil

[*] Ensuite poste le rapport qui apparaitra
(!) Le menu démarrer et les icônes vont disparaître.. c'est normal
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 61
Stephanie77
 
Tu crois que ça vient de mon dd?? Parce lors de mon infection je ne l'avais pas.. Et je ne l'ai utilisé avant aujourd'hui.... Je l'ai connecté pour sauvegarder mes fichiers au cas oú je devrais reformater.....
0
Réponse 6 / 61
Stephanie77
 
bon, c'est lancé !!
Ce matin JS_Fakescan.SMI encore annoncé par mon Officescan quand j'ai ouvert IE....... j'arrive seulement à le bloquer temporairement en lançant ccleaner; car le JS concerné est dans les temporary internet files \Content.IE5 ...... dossier qui n'est accessible que si je tape l'adresse directement dans la barre.....
et 1 fois sur 2 quand je veux lancer une appli (installée avant ) elle ne se lance pas "vraiment", rien de plus qu'une ligne de prcessus dans le gestionnaire....
Enfin, j'ai un fichier shell32 dans system qui a une date de modif qui correspond aux date d'infection... ça m'inquiète....

Voici le rapport :
############################## | UsbFix 7.019 | [Suppression]

Utilisateur: admin_fr (Administrateur) # LIPCFR011 [ ]
Mis à jour le 03/08/10 par El Desaparecido / C_XX
Lancé à 09:07:05 | 11/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) 4 CPU 3.20GHz
CPU 2: Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Antivirus: Trend Micro OfficeScan Antivirus 10.0 [Enabled | Updated]
RAM -> 502 Mo
C:\ -> Disque fixe # 15 Go (638 Mo libre(s) - 4%) [System] # NTFS
D:\ -> Disque fixe # 56 Go (51 Go libre(s) - 91%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 298 Go (81 Go libre(s) - 27%) [VERBATIM] # FAT32

################## | Éléments infectieux |

################## | Registre |

################## | Mountpoints2 |

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

mais toujours un pb .... recherches google "déviées" ....
0
Réponse 7 / 61
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Etrange !! Le mode de suppression n'a ... rien supprimé!

TTH est légitime, j'en doute pour le "Lauch3r".

Pour tes recherches détournée, j'aimerais que tu refasse un ZHP quand le problème se présente...

"Ce matin JS_Fakescan.SMI encore annoncé par mon Officescan quand j'ai ouvert IE....... j'arrive seulement à le bloquer temporairement en lançant ccleaner; car le JS concerné est dans les temporary internet files \Content.IE5 ...... dossier qui n'est accessible que si je tape l'adresse directement dans la barre.....
et 1 fois sur 2 quand je veux lancer une appli (installée avant ) elle ne se lance pas "vraiment", rien de plus qu'une ligne de prcessus dans le gestionnaire....
Enfin, j'ai un fichier shell32 dans system qui a une date de modif qui correspond aux date d'infection... ça m'inquiète....
" ==> au lieu de faire un ccleaner, à ce moment tu me fais un ZHP et je verrais si c'est un process malicieux ou non.

Tu a l'air de t'y connaitre, tu a déjà utilisé des tools.

C'est un pc du travail? Les informaticiens ne savent pas désinfecter? mdr

Connais-tu ces domaines:

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A47B10A-3615-4239-BB0D-F51C5BCD812D}: DhcpNameServer = 192.168.140.4
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A47B10A-3615-4239-BB0D-F51C5BCD812D}: DhcpNameServer = 192.168.140.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A47B10A-3615-4239-BB0D-F51C5BCD812D}: DhcpNameServer = 192.168.140.4
O17 - HKLM\System\CS3\Services\Tcpip\..\{1A47B10A-3615-4239-BB0D-F51C5BCD812D}: DhcpNameServer = 192.168.140.4

O17 - HKLM\System\CCS\Services\Tcpip\..\{1A47B10A-3615-4239-BB0D-F51C5BCD812D}: DhcpDomain = pads.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{1A47B10A-3615-4239-BB0D-F51C5BCD812D}: DhcpDomain = pads.local
O17 - HKLM\System\CS2\Services\Tcpip\..\{1A47B10A-3615-4239-BB0D-F51C5BCD812D}: DhcpDomain = pads.local
O17 - HKLM\System\CS3\Services\Tcpip\..\{1A47B10A-3615-4239-BB0D-F51C5BCD812D}: DhcpDomain = pads.local
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pads.local

???

Sinon, les redirections viennent de là.

@+
0
Réponse 8 / 61
Stephanie77
 
je l'ai relancé avec mon user et pas en tant que ..... et la ça rame !!
ça fait une demi heure qu'il est à 48%...

et je l'ai relancé déjà une fois car il etait resté bloqué sur crack : dcom98.exe .....

je ne sais pas pourquoi mais ça n'a pas l'air bon signe... ;)

et promis si l'alerte revient , je fais un ZHP ..... mais pour l'instant mon icone d' antivirus à disparue.. (mais processus dans les taches...)
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
J'ai édité mon post :D

https://forums.commentcamarche.net/forum/affich-18787566-depuis-virus-antivir-pro-2010-que-des-pb-help#6

48% ==> lecture des MD5, laisser faire ;-)

Crack? :-O vire toutes ces m*rdes tout de suite, sinon l'infection ne disparaitra jamais ! :D
0
Réponse 9 / 61
Stephanie77
 
Ok merci ...

pour info, oui c'est à mon taf mais on est qu'une petite structure avec une boite externe pour l'admin réseau... mais à la hotline ce ne sont pas des flèches.. du coup j'apprends sur le tas et je me débrouille toute seule .... j'ai déjà rencontré des infections sur différents pc.... et je me debrouille pas mal d'habitude mais là .... il faut que ça tombe sur mon pc ........

pour ta question, la grande serie de lettre je n'y comprend rien mais les ips et et pads ce sont mes serveurs et notre nom de domaine.
0
Réponse 10 / 61
Stephanie77
 
Voici le rapport USBFix :

############################# | UsbFix 7.019 | [Suppression]

Utilisateur: culnste (Administrateur) # LIPCFR011 [ ]
Mis à jour le 03/08/10 par El Desaparecido / C_XX
Lancé à 10:15:59 | 11/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Pentium(R) 4 CPU 3.20GHz
CPU 2: Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 6.0.2900.5512

Antivirus: Trend Micro OfficeScan Antivirus 10.0 [Enabled | Updated]
RAM -> 502 Mo
C:\ -> Disque fixe # 15 Go (632 Mo libre(s) - 4%) [System] # NTFS
D:\ -> Disque fixe # 56 Go (51 Go libre(s) - 91%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> Disque fixe # 298 Go (81 Go libre(s) - 27%) [VERBATIM] # FAT32

################## | Éléments infectieux |

################## | Registre |

################## | Mountpoints2 |

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
H:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
K:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
L:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
P:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
R:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
S:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
T:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
U:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
Z:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

Je ne vois pas grand chose..... mais je sais que pendant le scan le processus msiexec.exe a été lancé..... peut-être que ça m'a réparé qq chose.....
0
Réponse 11 / 61
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
C'est un process vital :D

Ok pour USBFix. Il a vacciné les clés introduites.

Ouvre ZHP Fix (pas ZHP Diag, ne te trompe pas ;])

Copie le texte en gras ci dessous:
-----
[HKCU\Software\PopCap]

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
-----

Retourne sur ZHP, normalement les lignes doivent être collées.

Clique sur Ok poste le rapport généré.
0
Réponse 12 / 61
Stephanie77
 
Euh.. je dois attendre un peu, j'ai relancé une autre version de USBFix et je n'en suis qu'à 80% .....

Je te filerai le rapport et enchainerai avec la manip ci-dessus !!
0
Réponse 13 / 61
Stephanie77
 
comment je poste le rapport ....ZHPFix ? Je peux selectionner tous / aucun .. nettoyer mais je ne peux rien copier pour poster !!!!

Autant pour moi... j'avais ok avec tout le rapport ZHPDiag en plus de tes entrées.... je n'ai rien supprimer heureusement....
Bon voila le rapport sur les 2 points concernés seulement :

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010
Fichier d'export Registre : D:\ZHPExportRegistry-11-08-2010-15-15-08.txt
Run by culnste at 11/08/2010 15:15:08
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\PopCap => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre

End of the scan
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Nickel,

Je te donnerai d autre sprocédures + tard ce soir

@+
0
Réponse 14 / 61
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Re,

Pour voir l'état du PC actuel:

* Relance ZHPDiag
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
0
Réponse 15 / 61
Stephanie77
 
Salut !

Bon c'est loin d'être fini ...
Au démarrage d'internet ce matin, ça recommence .... JS_Fakescan.msi .. j'ai lancé ZHPDiag , on verra ce qu'il voit !!

Un pop up s'ouvre comme la première fois avec une cercle vert au centre .. genre en analyse du pc..... adresse : [hxxp://www2.secureguerd46.co.cc.....] ......

En plus, il y a 2 jour j'ai eu un just in time debugging qui s'ouvrait me demandant d'ouvrir the "New Instance of Microsoft debugging" ....et ça recommence aujourd'hui !!! Script concerné ? [1208] C:\WINDOWS\system32\svchost.exe

et le "Miscellaneous files" : [hxxp://*b*o*u*t*i*q*u*e*s*.*o*r*a*n**g*e*.*f*r*.Js/eshop_header_oes.js]
c'est certainement une page que j'ai visité....

C'est la galère et c'est de ma faute, si j'avais fait les mises à jour Java au lieu de refuser les update pour garder l'espace sur mon dd....

Bon voici le lien avec le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201008/cij0ZWgjZn.txt

Les policies (MWPE) (O56) ont été modifiées et des dossiers dans Software créés.. entre autre !!!

(Liens infectieux cassés, La Modération)

;) Merci
0
Stephanie77
 
mon rapport t'a fait peur??
0
Réponse 16 / 61
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut,

Non je bosse à temps plein et j'ai fait des heures sup' :D

Voici ce que je vois quand je clique sur ton url: http://nsa17.casimages.com/img/2010/08/12/100812054808584314.jpg

^^

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} . (.Safer Networking Limited - SBSD IE Protection.) -- D:\SPYBOT~1\SDHelper.dll

==> obsolète. A supprimer.

Je t'avoue qu'il n'y a rien de particulier sur le rapport.

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

[*] Rends toi sur >-> cette page <-<, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
[*] Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
[*] Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
[*] A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt
[*] Héberge le rapport sur ce site , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
0
fred08700 Messages postés 3633 Statut Contributeur sécurité 550
 
salut juju -)

Total RAM: 502 MB (25% free)
System drive C: has 0 GB (3%) free of 15 GB

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (tdssserv.Root)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (tdssserv.Root)
O83 - Search Svchost Services: ztvruizf (ztvruizf) . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\yqcemec.dll [0] => Infection Diverse (Trojan.Conficker)
0
Stephanie77
 
Salut les gars !!

fred08700, faut-il que je supprime les lignes indiquées où c'est plus compliqué que ça??

pendant que j'écris de nouveaux pop-up se sont ouverts..... ce qui signifie que dans peu de temps je vais me retrouver sur la page qui tentera de recharger le virus sur mon pc.....

et oui je n'ai plus d'espace libre sur le C ça fait un an que je conserve quasi 2Go pour tourner (le reste est sur le D) et avec ce foutu virus ça me remplit le peu de mémoire qu'il me reste.....
0
Réponse 17 / 61
Stephanie77
 
aïe !!! ça va être dur de poster le rapport !!! avant la fin du scan :

Ecran bleu apparemment causé par kxloypob.sys dans Page_Fault_IN_NonPages_Area

redémarrage et là profil standard car plus d'espace pour mon profil ..... c'est la M****** !!

bon je vais tenter de récupérer qq mo et relancer Gmer....
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Essaye en MSE

Mode sans échec:

Au démarrage du PC, tapoter F8 et chosir "Mode Sans échec" dans les options de démarrage avancées.

@+
0
Stephanie77
 
ok merci pour l'info... mais c'est vrai que le mode sans echesur mon pc c'est galere... je ne vois qu'une partie de l'ecran et pas moyen de changer quoi que ce soit à la résolution....

pour l'instant le scan gmer est relancé et pas contre pas moyen de delete le service hyrpcm... impossible, alors je l'ai disable pour l'instant !!
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Il sera supprimer par TDSS_Killer

Si pas on fera autrement, y'a pas que ce tool :D
0
Stephanie77
 
Oui j'ai bien compris que vous aviez plus d'un tool dans votre sac ...
sinon je peux toujours jeter le pc par la fenêtre du 5eme etage ...... ;)
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
MDR
0
Réponse 18 / 61
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
cool tu sais lire les rapports :D

Mais fait pas mon travail ^^ mdr

Oui, il y a encore infection ;-)

==> C:\WINDOWS\system32\yqcemec.dll
O81 - IFC: Internet Feature Controls [HKCU] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

On va le faire bouger :D

Avec la méthode radicale :DD

[*] Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

[*] Double-clique sur OTM.exe pour le lancer.

[*] Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.

-----------------------------

:Processes

explorer.exe

:files

C:\WINDOWS\system32\yqcemec.dll

:commands

[start explorer]
[emptytemp]
[resethosts]
[reboot]
-----------------------------

[*] clique sur MoveIt! puis ferme OTM.

[*] Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

Ensuite,

COpie le texte ci dessous:
O81 - IFC: Internet Feature Controls [HKCU] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

Lance ZHPFix

Clique sur le H bleu "coller les lignes helper"

Clique sur Tous, Nettoyer

Peut être un reboot et ensuite fais moi un nouveau ZHPDiag :D
[*] Accepte en cliquant sur YES.

[*] Poste le rapport situé dans C:\_OTM\MovedFiles.

[*] Le nom du rapport correspond au moment de sa création : date_heure.log

En formation avancée chez Helper-Formation.
Pas de demande de support par MP !!! Le forum est fait pour ça. Merci de votre compréhension.
0
Réponse 19 / 61
Stephanie77
 
Nouveau rapport ZHPDiag... mieux je pense .... (plus de ligne O81..) je te rassure, sans toi je ne pourrais pas savoir ce qui est louche dans ce type de rapport ....
Le problème c'est que même lorsque j'ai des doutes sur un fichier, un process, une clé .... je ne suis jamais sur à 100% que ce n'est pas légitime donc je ne supprime pas...

http://www.cijoint.fr/cjlink.php?file=cj201008/cijpu2aQ7n.txt

et le rapport OTM :

All processes killed
Error: Unable to interpret <:Process > in the current context!
Error: Unable to interpret <explorer.exe > in the current context!
Error: Unable to interpret <:File > in the current context!
Error: Unable to interpret <C:\WINDOWS\system32\yqcemec.dll > in the current context!
Error: Unable to interpret <:Command > in the current context!
Error: Unable to interpret <[start explorer] > in the current context!
Error: Unable to interpret <[emptytemp] > in the current context!
Error: Unable to interpret <[resethosts] > in the current context!
Error: Unable to interpret <[reboot] > in the current context!

OTM by OldTimer - Version 3.1.15.0 log created on 08162010_100622

Merci ;)
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
J'ai fait une erreur dans mon script OTM

(:Process au lieu de :Processes)

Refais le ;)
0
Stephanie77
 
et voila, mais n'y-a-t-il pas une autre erreur??


All processes killed
Error: Unable to interpret <:Process > in the current context!
Error: Unable to interpret <explorer.exe > in the current context!
========== FILES ==========
File/Folder C:\WINDOWS\system32\yqcemec.dll not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: admin_fr
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 3717 bytes

User: All Users

User: culnste
->Temp folder emptied: 17733 bytes
->Temporary Internet Files folder emptied: 4907994 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 34488561 bytes
->Flash cache emptied: 5775 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: LocalService
->Temp folder emptied: 32940125 bytes
->Temporary Internet Files folder emptied: 65938 bytes
->Flash cache emptied: 527 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 3858104 bytes
->Java cache emptied: 12007 bytes
->Flash cache emptied: 6789 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 82883 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 77458906 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 147,00 mb

C:\WINDOWS\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully

OTM by OldTimer - Version 3.1.15.0 log created on 08162010_112523

Files moved on Reboot...
C:\Documents and Settings\culnste\Local Settings\Temporary Internet Files\Content.IE5\VC1SC2W4\ads[6].htm moved successfully.
C:\Documents and Settings\culnste\Local Settings\Temporary Internet Files\Content.IE5\KTLL3T1E\ads[10].htm moved successfully.
C:\Documents and Settings\culnste\Local Settings\Temporary Internet Files\Content.IE5\KTLL3T1E\ads[9].htm moved successfully.
C:\Documents and Settings\culnste\Local Settings\Temporary Internet Files\Content.IE5\KTLL3T1E\affich-18787566-depuis-virus-antivir-pro-2010-que-des-pb-help[1].txt moved successfully.
C:\Documents and Settings\culnste\Local Settings\Temporary Internet Files\Content.IE5\KTLL3T1E\index[2].htm moved successfully.

Registry entries deleted on Reboot...
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Bizarre la commande :Processes est correcte pourtant.

Le fichier n'a pas été trouvé, c'est mieux ainsi ^^

Refais un ZHPDiag pour voir s'il est vraiment absent car au dernier il y était.
0
Stephanie77
 
ZHPDiag bug à 48% "Erreur d'insertion de ligne RichEdit"...

le scan est arrêté au niveau (O1) redirection de fichier Hosts : 01 - Hosts: ÿþ1

euh ...
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Tiens. Problème chez eux.

On va utiliser un bon vieux RSIT ;-)

Télécharge RSIT (de random/random) ==>> ICI
[
[*] Enregistre le sur ton bureau, Clique droit de ta souris et sélectionne exécuter en tant qu'administrateur (POUR VISTA/7)

[*] Une page va s'afficher, clique sur continue,

[*] Tu sera peut être amené à accepter les contrat de licence si hijackthis n'est pas installé sur ton ordinateur, Accepte le

[*] En fin de scan deux fenêtre s'affiche automatiquement..( log.txt.....info.txt...)

[*] Poste les deux rapports sur cijoint ou cjoint et transmets moi les liens.
0
Réponse 20 / 61
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
J'attends une réponse de Nicolas Coolman pour le bug de ZHP ;-)

Concernant tes rapports, c'est clean selon moi.

Qu'est ce qui te fais tiquer?

Pour les process que tu ne connais pas: https://www.processlibrary.com/fr/

Optimisation du PC:

Relance HijackThis
CLique sur Do a system scan ONLY
Coche les lignes suivantes:

O1 - Hosts: ÿþ127.0.0.1 localhost
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {CE000992-A58C-4441-8938-744CD72AB27F} - (no file)
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKUS\S-1-5-18\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\PROGRA~1\WI1F86~1\MESSEN~1\msnmsgr.exe" /background (User 'SYSTEM')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://earth4/officescan/console/html/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://earth4/officescan/console/html/ClientInstall/setup.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/E/5/6/E5611B10-0D6D-4117-8430-A67417AA88CD/LegitCheckControl.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - http://earth4/officescan/console/html/root/AtxEnc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {B562BC94-9A3A-4760-AE48-0D52FD01B1B5} (VeriSign Software Update Service) - http://download.verisign-grs.com/plug-in/i-navinstall.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pads.local
O17 - HKLM\Software\..\Telephony: DomainName = pads.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pads.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = pads.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = pads.local

Clique sur "Fix Checked!"

Refais un HJT avec "Do a system scan and save logfile" pour voir si ça a bien été supprimé ;-)
0
Stephanie77
 
ce qui me fait tiquer :

O1 - Hosts: ÿþ127.0.0.1 localhost
Fichier créé : 2010-07-22 10:37:54 ----A---- C:\WINDOWS\system32\drivers\hyrpcm.sys
Fichier modifié : 2010-07-27 08:30:01 ----A---- C:\WINDOWS\system32\shell32.dll

Drivers
S4 hyrpcm;hyrpcm; C:\WINDOWS\system32\drivers\hyrpcm.sys []

bon je me lance sur HjT..
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Essaye de le supprimer en mode sans échec.

Celui là aussi: C:\WINDOWS\system32\yqcemec.dll

Pour la DLL, on s'en chargera après.
0
Utilisateur anonyme
 
salut tres mauvaise idée de desactiver la resto quand c est pas demandé

et si un outil plante le pc on le recupere comment ?
0
^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
 
La resto système est à éviter, comme les désinfections en MP par des débutants.
0
Stephany77 Messages postés 29 Statut Membre
 
tout ce que trouvait et eradiquait mon antivirus revenait à chaque démarrage, jusqu'au moment ou j'ai désactivé la restauration système..... maintenant si je dois la remettre ... dites le moi ....

Je suis très reconnaissante pour l'aide que tout le monde tente de m'apporter mais please je n'ai pas envie de me retrouver au centre d'une querelle.....
0
  • 1
  • 2
  • 3
  • 4