PB Virus (mugira.org) redirection de page web

[Résolu/Fermé]
Signaler
-
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
-
Bonjour,

Je cherche quelqu'un qui serait capable de détruire les virus de mon ordinateur car je n'y arrive pas, ils reviennent tout le temps. J'ai Windows 7, je navigue avec Mozilla, j'ai comme antivirus Eset, Malwarebytes et hisjack a ma disposition.

Demandez moi les rapport qu'il vous faut je vous les transmets.

54 réponses

Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 319
Bonjour,

On va faire une analyse de ton PC:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart

http://www.cijoint.fr/cjlink.php?file=cj201009/cijcH2PxlM.txt
voilà!
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 319
Tu es bien infecté, mais cela ne m'étonne pas car il me semble que la version de W7 que tu as n'est pas légale. Si c'st ton vendeur qu'ill' a installée, il faut le signaler.Si c'est toi je ne peus que le déconseiller car ces versions sont génératrices d'infections multiples. Et même souvent une désinfection n'empèche pas une réinfection du PC.

On va essayer tout de même:
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart

ne vous inquieté pas au sujet de ma version windows, elle n'est en aucun cas infecté à l'origine, j'ai deja desactiver l'UAC a la base, j'ai deja malwarebyte avec sa derniere mise a jour, j'ai effectué plusieurs fois des analyses ses 3 derniers jours et à chaque fois g eu droit à 2 ou 3 infections que j'ai évidement supprimer en redemarrant mon pc et puis le lendemain cété encore infecté.

Je vous préviens comme vous devez le savoir l'analyse prend beaucoup de temps.

et comme vous avez pu le constater je n'ai qu'un disque avec une seul partition.

et puis les erreurs du scan de IE sont normaux car je l'ai desinstallé

puis je avoir plus d'infos sur mon infection svp
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 319
"ne vous inquieté pas au sujet de ma version windows, elle n'est en aucun cas infecté à l'origine"
Je n'ai aucune inquitétude, je n'ai pas dit que votre version est infectée, mais qu'elle pas légale (pour ne pas dire pirate).
Ce type de version engendre de nombreuses infection même si la version première est saine. C'est pour cela qu'après une désinfection, cela peut revenir

"puis je avoir plus d'infos sur mon infection svp"
Sans rentrer dans le détail, voilà les lignes qui montre une infection ou un comportement anormal:
--------------------------------------------------------------------
O1 - Hosts: 87.98.145.153 www.megavideo.com => Redirection Host
O43 - CFD:Common File Directory ----D- C:\ProgramData\Trymedia => Adware Trymedia
O44 - LFC:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 22/09/2010 - 15:04:02 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\drivers\gpcm.sys [54016] => Trojan.Win32.Agent
O44 - LFC:[MD5.65DABB831DA51500DFA31B40252803E2] - 17/09/2010 - 21:07:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\jestertb.dll [20992] => Suspicieux
O58 - SDL:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 22/09/2010 - 15:04:02 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\drivers\gpcm.sys => Trojan.Win32.Agent
--------------------------------------------------------------------

J'aimerais quand même avoir le rapport après un scan MBAM en faisant attention d'avoir la dernière version du logiciel (1.46) et de bien faire une mise à jour de la base virale avant de lancer le scan.

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

l'infection me paraît profonde, je suis tout a fait d'accord avec vous et l'analyse est toujours en cours (35min) et le rapport arrivera dés que l'analyse est terminée.

C:\ProgramData\Trymedia => Adware Trymedia
Trymedia n'apparaît pas a ce chemin d'accès

sinon j'ai un processus svchost.exe qui prend anormalement + de 100 000 K de mémoire cela est arriver a peut prêt en mette temps que l'infection si sa peut vous aider a résoudre mon problème.

au bout d'1heure l'analyse est tjrs pas terminée, element analysée 350 000 et 0 infecter et je dois m'absenter pendant au moins 2h


merci de votre patience a plus tard
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 319
Un scan MBAM, peut effectivement être très long

Smart

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4671

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22/09/2010 19:08:06
mbam-log-2010-09-22 (19-08-06).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 537712
Temps écoulé: 1 heure(s), 26 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[1].exe (Malware.Packer.Gen) -> No action taken.
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[2].exe (Malware.Packer.Gen) -> No action taken.
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[3].exe (Malware.Packer.Gen) -> No action taken.
C:\Users\TtVrac\AppData\Roaming\E3B0F7D462C5E2D876C0CA95599508CF\handlerfix70700en00.exe (Malware.Packer.Gen) -> No action taken.

je reviens vers 21h, es ce que je fais supprimer et redemarrer ou ya un autre logiciel exprès pour ce cas?

je vide très souvent les fichiers temporaires, voir 1 à 3 fois par semaines
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 319
Tu n'as pas suivi la procédure que je t'ai donnée pour MBAM
Va dans la quarantaine de MBAM et clique sur supprimer tout. Poste le rapport de suppression.
Ensuite tu refais une scan ZHPDiag et tu postes le rappport via cijoint

Smart

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4671

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

22/09/2010 19:58:29
mbam-log-2010-09-22 (19-58-29).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 537712
Temps écoulé: 1 heure(s), 26 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[2].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\TtVrac\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CXL3P4AJ\handlerfix70700en00[3].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\TtVrac\AppData\Roaming\E3B0F7D462C5E2D876C0CA95599508CF\handlerfix70700en00.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

il m'a pas donné de rapport quand j'ai tt supprimer ds la quarantaine

http://www.cijoint.fr/cjlink.php?file=cj201009/cijrMq3ECc.txt
et voila le rapport fait aprés avoir redemarrer a la demande de MBAM
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 319
Dommage que n'aies pas le rapport de suppression, normalement il se trouve dans les log. Bon MBAM a quand même fait un peu le boulot d'après ton rapport ZHPDiag. Mais il reste des traces, fais ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O1 - Hosts: 87.98.145.153 www.megavideo.com
O43 - CFD:Common File Directory ----D- C:\ProgramData\Trymedia
O44 - LFC:[MD5.65DABB831DA51500DFA31B40252803E2] - 17/09/2010 - 21:07:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\Windows\jestertb.dll [20992]



----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

Rapport de ZHPFix v1.12.3155 par Nicolas Coolman, Update du 21/09/2010
Fichier d'export Registre :
Run by TtVrac at 22/09/2010 20:47:56
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Dossier(s) ==========
C:\ProgramData\Trymedia => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\windows\jestertb.dll => Supprimé et mis en quarantaine

========== Fichier HOSTS ==========
127.0.0.187.98.145.153 www.megavideo.com => Domaine Supprimé
Le fichier Hosts est sain


========== Récapitulatif ==========
1 : Dossier(s)
1 : Fichier(s)
2 : Fichier HOSTS


End of the scan
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 319
Est-ce que tu as toujours les alertes de l'antivirus ?
Refais un scan ZHPdiag et poste le rapport

Smart
les effets constaté de l'infection :
quand je vais sur des sites a partir de google seulement si j'ai bien compris quand je clic sur le lien sa m'enmene sur des sites de recherches qui menne a rien ou des sites bloquer par l'anti virus ou un tléchargement d'un pdf. sa arrive 9/10. et la sa continu

ex du lien du pdf : http://flikade.com/sldghglsdj/files/asshole.pdf


le rapport : http://www.cijoint.fr/cjlink.php?file=cj201009/cijAuM6iZp.txt

sinon si je pouvais te montrer se qui a ds la quarantaine de mon anti virus?