Grosse infection Résolu/Fermé

Question

Bonjour, 


En surfant j'ai une fenêtre Java qui est apparue, comme une mise à jour puis un message m'informant d'une infection.

En gros, comme un fond d'écran, j'ai « YOUR SYSTEM IS INFECTED ! System has been stopped due to a serious malfinction. Spyware activity has been detected.
It is recommended to use spyware removal tool to prevent data loss.
Do not run any application before all spyware removed."

J'ai voulu passer Malwarebyte, la mise à jour a fonctionné mais après quelques secondes de scan il s'est fermé. Idem pour spybot et hijack.
Après un redémarrage c'est la protection résidente d'avast qui s'est coupée.

Impossible de les relancer, les chemins ne seraient plus valides !!!

Au redémarrage un message m'annonçait que j'étais infecté par « worm.win32.netsky », virus de force 5 sur un échelle de 0 à 5... 

Maintenant j'ai un pseudo antivirus avec un logo comme celui du centre de protection windows qui me trouve 16 trojan mais pour les supprimer il me faut un mot de passe, indiquer mon mail ...

Enfin j'ai du net, je peux ouvrir les pages qui sont dans mes favoris mais pas google que j'ai en page d'accueil.

Comment faire ?

Un coup de main serait le bien venu !

Merci d'avance    


Configuration: vista, firefox

moment de grace · Answer

bonjour

essaie ainsi

redémarrer le pc en mode sans échec avec prise en charge réseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 



une fois qu'il aura terminé


lance MalwareByte's Anti-Malware (que tu pourras garder ensuite)

http://www.malwarebytes.org/mbam/program/mbam-setup.exe
 
Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. 
Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. ]Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection 
Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

trebiac · Answer

Bonjour

Merci, je m'y colle mais je risque d'en avoir pour un moment

je te recontact pour la suite ou si je beug

trebiac · Answer

Re


 ça coince!!!


J'ai passé Rkill comme indiqué en .exe, .com, .scr voici le log du .exe, veux-tu les autres ?

This log file is located at C:\rkill.log. 
Please post this only if requested to by the person helping you. 
Otherwise you can close this log when you wish. 
Ran as User on 2010-09-25 at 19:45:20. 


Services Stopped:


Processes terminated by Rkill or while it was running: 


C:\Users\User\Desktop\rkill.exe


Rkill completed on 2010-09-25  at 19:45:22.


En revanche impossible de passer MalwareByte's Anti-Malware, il se met à jour, il se lance mais se coupe après 2 secondes et ensuite ne veut plus repartir : « lien introuvable ».
Je le désinstalle, le réinstalle à nouveau mais le même problème se reproduit !

Que faire ?

Merci

moment de grace · Answer

ok

toujour en mode sans echec avec réseau


Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs en le renommant TREBIAC.exe avant de l'enregistrer sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 

---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets  internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

trebiac · Answer

re

nouvelle info : dans tous mes programmes j'ai trouvé "antivirus 2010" le programme qui s'ouvre de manière intempestive en mode normal.

je ne devrait pas le supprimer avant de réessayer malwarbyte ou tenter combo ?

trebiac · Answer

Bonsoir et merci pour tes réponses

Pour "antivirus 2010" je n'ai pas essayé manuellement.

Pendant le scan j'ai eu le message suivant « PEV.exe a cessé de fonctionner », quelle signification ?

J'ai obtenu ce log :

ComboFix 10-09-25.01 - User 2010-09-25  21:16:28.8.1 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Basique   6.0.6000.0.1252.1.1036.18.1015.500 [GMT 2:00]
Lancé depuis: c:\users\User\Desktop\ComboFix.exe
SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\.wtav
c:\windows\system32\USRINI~1.EXE

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_userinit


(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-25 au 2010-09-25  ))))))))))))))))))))))))))))))))))))
.

2010-09-25 19:23 . 2010-09-25 19:23	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-09-16 18:07 . 2010-09-16 18:07	--------	d-----w-	c:\program files\ma-config.com
2010-09-16 18:07 . 2010-09-16 18:07	--------	d-----w-	c:\programdata\ma-config.com

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-25 18:28 . 2006-12-06 18:31	1660	----a-w-	c:\windows\bthservsdp.dat
2010-09-25 18:24 . 2009-02-13 20:18	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-09-25 18:23 . 2007-09-05 00:02	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-09-25 18:05 . 2008-12-26 22:03	--------	d-----w-	c:\users\User\AppData\Roaming\Malwarebytes
2010-09-25 15:41 . 2010-05-15 22:18	--------	d-----w-	c:\users\User\AppData\Roaming\vlc
2010-09-25 15:36 . 2007-05-31 18:32	--------	d-----w-	c:\users\User\AppData\Roaming\dvdcss
2010-09-20 18:33 . 2010-05-18 00:02	--------	d-----w-	c:\program files\Warblade
2010-09-15 22:00 . 2006-11-02 15:45	702978	----a-w-	c:\windows\system32\perfh00C.dat
2010-09-15 22:00 . 2006-11-02 15:45	122898	----a-w-	c:\windows\system32\perfc00C.dat
2010-09-12 23:33 . 2010-05-29 16:47	--------	d-----w-	c:\program files\adslTV
2010-08-26 18:13 . 2007-05-24 17:03	124368	----a-w-	c:\users\User\AppData\Local\GDIPFONTCACHEV1.DAT
2010-08-26 18:07 . 2010-08-26 18:06	--------	d-----w-	c:\program files\burnatonce
2010-08-24 16:50 . 2010-08-24 16:50	--------	d-----w-	c:\program files\7-Zip
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-12-18 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-12-18 106496]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-12-18 81920]
"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-11-13 139264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-14 815104]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 159744]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-05-25 1006264]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-3 703280]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	???1??? I\0  \0lsdelete

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2006-11-02 167936]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-09-12 251248]
S1 aswSP;aswSP; [x]
S1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\System32\drivers\psd.sys [2006-09-28 32000]
S2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe [2006-11-02 22016]
S2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe [2006-11-02 22016]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-05-06 51792]
S3 mvb35316;mvb35316; [x]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
bthsvcs	REG_MULTI_SZ   	BthServ
Cognizance	REG_MULTI_SZ   	ASBroker ASChannel
.
Contenu du dossier 'Tâches planifiées'

2010-09-25 c:\windows\Tasks\User_Feed_Synchronization-{79429774-221B-4724-82DA-E75D865B71CD}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3dwrb8xy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q=
FF - prefs.js: browser.search.selectedEngine - GoogIe
FF - prefs.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=GFJFqPCN&q=
FF - prefs.js: network.proxy.http - 174.142.104.57
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll

---- PARAMETRES FIREFOX ----

FF - user.js: browser.search.selectedEngine - GoogIe
FF - user.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=GFJFqPCN&q=
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-25 21:26
Windows 6.0.6000  NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BthServ]
"ServiceDll"="%SystemRoot%\System32\bthserv.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHUSB]
"ImagePath"="System32\Drivers\BTHUSB.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTKRNL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwaudio]
"ImagePath"="system32\drivers\btwaudio.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwavdt]
"ImagePath"="system32\drivers\btwavdt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwrchid]
"ImagePath"="system32\DRIVERS\btwrchid.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\catchme]
"ImagePath"="\??\c:\users\User\AppData\Local\Temp\catchme.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdfs]
"ImagePath"="system32\DRIVERS\cdfs.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdrom]
"ImagePath"="system32\DRIVERS\cdrom.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CertPropSvc]
"ServiceDll"="%SystemRoot%\System32\certprop.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\circlass]
"ImagePath"="\SystemRoot\system32\drivers\circlass.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CLFS]
"ImagePath"="System32\CLFS.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\clr_optimization_v2.0.50727_32]
"ImagePath"="%systemroot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CLTNetCnService]
"ImagePath"="\"c:\program files\Common Files\Symantec Shared\ccSvcHst.exe\" /h ccCommon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CmBatt]
"ImagePath"="system32\DRIVERS\CmBatt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdide]
"ImagePath"="\SystemRoot\system32\drivers\cmdide.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CognizanceCredMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Compbatt]
"ImagePath"="system32\DRIVERS\compbatt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSysApp]
"ImagePath"="%SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\crcdisk]
"ImagePath"="system32\drivers\crcdisk.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Crusoe]
"ImagePath"="\SystemRoot\system32\drivers\crusoe.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\crypt32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CryptSvc]
"ServiceDll"="%SystemRoot%\system32\cryptsvc.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DCLocator]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DcomLaunch]
"ServiceDll"="%SystemRoot%\system32pcss.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DfsC]
"ImagePath"="System32\Drivers\dfsc.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DFSR]
"ImagePath"="%SystemRoot%\system32\DFSR.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp]
"ServiceDll"="%SystemRoot%\system32\dhcpcsvc.dll"

moment de grace · Answer

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

trebiac · Answer

c'est ça ?

http://www.cijoint.fr/cjlink.php?file=cj201009/cijp6yArop.txt

moment de grace · Answer

ok

1)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Driver::

aswSP
aswFsBlk




* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

..................

2)

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

trebiac · Answer

ça c'est fait (je pence) le log est en fin de message

1)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Driver::

aswSP
aswFsBlk




* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 

le log :

ComboFix 10-09-25.01 - User 2010-09-25  22:10:06.9.1 - x86 NETWORK
Microsoft® Windows Vista(TM) Édition Familiale Basique   6.0.6000.0.1252.1.1036.18.1015.528 [GMT 2:00]
Lancé depuis: c:\users\User\Desktop\ComboFix.exe
Commutateurs utilisés :: c:\users\User\Desktop\CFScript.txt
SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
 * Un nouveau point de restauration a été créé
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ASWFSBLK
-------\Legacy_ASWSP
-------\Service_aswFsBlk
-------\Service_aswSP


(((((((((((((((((((((((((((((   Fichiers créés du 2010-08-25 au 2010-09-25  ))))))))))))))))))))))))))))))))))))
.

2010-09-25 20:16 . 2010-09-25 20:19	--------	d-----w-	c:\users\User\AppData\Local	emp
2010-09-25 20:16 . 2010-09-25 20:16	--------	d-----w-	c:\users\Public\AppData\Local	emp
2010-09-25 20:16 . 2010-09-25 20:16	--------	d-----w-	c:\users\Default\AppData\Local	emp
2010-09-16 18:07 . 2010-09-16 18:07	--------	d-----w-	c:\program files\ma-config.com
2010-09-16 18:07 . 2010-09-16 18:07	--------	d-----w-	c:\programdata\ma-config.com

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-25 19:34 . 2006-12-06 18:31	12	----a-w-	c:\windows\bthservsdp.dat
2010-09-25 18:24 . 2009-02-13 20:18	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-09-25 18:23 . 2007-09-05 00:02	--------	d-----w-	c:\programdata\Spybot - Search & Destroy
2010-09-25 18:05 . 2008-12-26 22:03	--------	d-----w-	c:\users\User\AppData\Roaming\Malwarebytes
2010-09-25 15:41 . 2010-05-15 22:18	--------	d-----w-	c:\users\User\AppData\Roaming\vlc
2010-09-25 15:36 . 2007-05-31 18:32	--------	d-----w-	c:\users\User\AppData\Roaming\dvdcss
2010-09-20 18:33 . 2010-05-18 00:02	--------	d-----w-	c:\program files\Warblade
2010-09-15 22:00 . 2006-11-02 15:45	702978	----a-w-	c:\windows\system32\perfh00C.dat
2010-09-15 22:00 . 2006-11-02 15:45	122898	----a-w-	c:\windows\system32\perfc00C.dat
2010-09-12 23:33 . 2010-05-29 16:47	--------	d-----w-	c:\program files\adslTV
2010-08-26 18:13 . 2007-05-24 17:03	124368	----a-w-	c:\users\User\AppData\Local\GDIPFONTCACHEV1.DAT
2010-08-26 18:07 . 2010-08-26 18:06	--------	d-----w-	c:\program files\burnatonce
2010-08-24 16:50 . 2010-08-24 16:50	--------	d-----w-	c:\program files\7-Zip
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2006-12-18 98304]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2006-12-18 106496]
"Persistence"="c:\windows\system32\igfxpers.exe" [2006-12-18 81920]
"PTHOSTTR"="c:\program files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2006-11-13 139264]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-11-14 815104]
"WAWifiMessage"="c:\program files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2006-10-18 317152]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2006-10-18 472800]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2006-12-04 46704]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-11-06 159744]
"CognizanceTS"="c:\progra~1\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-02-18 248040]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2007-05-25 1006264]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [2006-11-3 703280]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	???1???I\0\0lsdelete

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Driver]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AVG Anti-Spyware Guard]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2006-11-02 167936]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-09-12 251248]
S1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\System32\drivers\psd.sys [2006-09-28 32000]
S2 ASBroker;Courtier de session de connexion;c:\windows\System32\svchost.exe [2006-11-02 22016]
S2 ASChannel;Canal de communication local;c:\windows\System32\svchost.exe [2006-11-02 22016]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-05-06 51792]
S3 mvb35316;mvb35316; [x]


[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceNoNetwork	REG_MULTI_SZ   	PLA DPS BFE mpssvc
bthsvcs	REG_MULTI_SZ   	BthServ
Cognizance	REG_MULTI_SZ   	ASBroker ASChannel
.
Contenu du dossier 'Tâches planifiées'

2010-09-25 c:\windows\Tasks\User_Feed_Synchronization-{79429774-221B-4724-82DA-E75D865B71CD}.job
- c:\windows\system32\msfeedssync.exe [2006-11-02 09:45]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
IE: Envoyer l'&image au périphérique Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
FF - ProfilePath - c:\users\User\AppData\Roaming\Mozilla\Firefox\Profiles\3dwrb8xy.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1561552&SearchSource=3&q=
FF - prefs.js: browser.search.selectedEngine - GoogIe
FF - prefs.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=GFJFqPCN&q=
FF - prefs.js: network.proxy.http - 174.142.104.57
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.type - 4
FF - plugin: c:\program files\ma-config.com
phardwaredetection.dll

---- PARAMETRES FIREFOX ----

FF - user.js: browser.search.selectedEngine - GoogIe
FF - user.js: keyword.URL - hxxp://www.offos.com/search/?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&rls=GFJFqPCN&q=
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true); 
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true); 
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-09-25 22:19
Windows 6.0.6000  NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BthServ]
"ServiceDll"="%SystemRoot%\System32\bthserv.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHUSB]
"ImagePath"="System32\Drivers\BTHUSB.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTKRNL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwaudio]
"ImagePath"="system32\drivers\btwaudio.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwavdt]
"ImagePath"="system32\drivers\btwavdt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwrchid]
"ImagePath"="system32\DRIVERS\btwrchid.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\catchme]
"ImagePath"="\??\c:\users\User\AppData\Local\Temp\catchme.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdfs]
"ImagePath"="system32\DRIVERS\cdfs.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cdrom]
"ImagePath"="system32\DRIVERS\cdrom.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CertPropSvc]
"ServiceDll"="%SystemRoot%\System32\certprop.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\circlass]
"ImagePath"="\SystemRoot\system32\drivers\circlass.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CLFS]
"ImagePath"="System32\CLFS.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\clr_optimization_v2.0.50727_32]
"ImagePath"="%systemroot%\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CLTNetCnService]
"ImagePath"="\"c:\program files\Common Files\Symantec Shared\ccSvcHst.exe\" /h ccCommon"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CmBatt]
"ImagePath"="system32\DRIVERS\CmBatt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\cmdide]
"ImagePath"="\SystemRoot\system32\drivers\cmdide.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CognizanceCredMgr]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Compbatt]
"ImagePath"="system32\DRIVERS\compbatt.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\COMSysApp]
"ImagePath"="%SystemRoot%\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\crcdisk]
"ImagePath"="system32\drivers\crcdisk.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Crusoe]
"ImagePath"="\SystemRoot\system32\drivers\crusoe.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\crypt32]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\CryptSvc]
"ServiceDll"="%SystemRoot%\system32\cryptsvc.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DCLocator]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DcomLaunch]


je passe à l'étape 2
"ServiceDll"="%SystemRoot%\system32pcss.dll"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DfsC]
"ImagePath"="System32\Drivers\dfsc.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DFSR]
"ImagePath"="%SystemRoot%\system32\DFSR.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Dhcp]
"ServiceDll"="%SystemRoot%\system32\dhcpcsvc.dll"

moment de grace · Answer

ok

=> ZHPdiag stp

trebiac · Answer

re

j'arrive à installer zhp ensuite je clique sur la loupe en haut à gauche, puis laisse l'outil scanner (ça prend une demi seconde !! ???).

Une fois le scan terminé, je ne peux pas cliquer sur l'icône en forme de disquette et enregistrer le fichier sur mon bureau car le logiciel se ferme.

Il reste les icônes zhp exe, dialogue et fix mais pour dialogue ça me dit que le chemin n'existe pas.

Je suis toujours en mode sans échec avec connexion

moment de grace · Answer

ok

essaie en mode normal en supprimant le ZHP que tu possèdes et en le refaisant entièrement

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

trebiac · Answer

re bonsoir

encore merci pour ton aide

ZHP ne veut pas partir même en mode normal (je le charge mais dès que je le lance il se ferme!!!)

il démarre puis se coupe immédiatement (j'ai tous supprimé et redémarré mais rien)

en revanche j'ai récupérer mon fond d'écran, antivirus 2010 ne s'ouvre plus pour le moment mais est toujours présent dans "mes logiciels"

la désinfection ne doit pas être fini car j'ai voulu passer jv16 et ça se coupe également après quelques secondes...

comment terminer ???

moment de grace · Answer

non ce n'est pas finit, ce rogue est revenu sous une nouvelle forme que l'on découvre

voyons killem en mode normal




DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis le bouton TOOLS

puis le bouton KILLPROXY

poste le rapport

............

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

trebiac · Answer

ok

merci, merci encore

je ne peux plus continuer (famille + fatigue = inefficacité)

je recommence demain, quelle sont tes heures ?

j'espère que tu sera là pour suivre mes déboire !

surtout que je ne peux plus mettre avast en protection résidende ni lancer un nettoyeur ...

et plus "DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)" sont coupés, no comprendo !!!


à demain j'espère

trebiac · Answer

ok

merci et bonne continuation

trebiac · Answer

Bonjour

« Télécharge ici :List_Kill'em » : fait

« choisis le bouton TOOLS 

puis le bouton KILLPROXY 

poste le rapport »
Voila

¤¤¤¤¤¤¤¤¤¤ Proxy_Kill by Gen-Hackman

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

 
¤¤¤¤¤¤¤¤¤¤ Firefox ¤¤¤¤¤¤¤¤¤¤
 
Deleted : user_pref("network.proxy.http", "174.142.104.57"); 
Deleted : user_pref("network.proxy.http_port", 3128); 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Sinon je n'ai toujours pas d'antivirus et mon parfeu est indiqué comme désactivé

J'espère que les liens pour les rapports sont ok

Merci pour la suite



http://www.cijoint.fr/cjlink.php?file=cj201009/cijOkJun6V.txt

http://www.cijoint.fr/cjlink.php?file=cj201009/cijj1JD2BQ.txt

moment de grace · Answer

ok

1)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

...............

2)

supprime le zhp que tu possèdes et on fait ainsi

redémarrer le pc en mode sans échec avec prise en charge réseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:
https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 



une fois qu'il aura terminé

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

ensuite

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


pour t'aider sur ci joijnt : https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

trebiac · Answer

je commence à bien m'agacer !!!

soit je passe mal List_Kill'em soit ce virus est une belle cochonnerie !!!

pour List_Kill'em il faut faire les trois étapes ? exe, com, scr ?

toujours impossible de passer ZHP il se coupe pendant le scan puis ne veut pas repartir « windows ne peut pas accéder  au périphérique ... »

il m'est toujours également impossible de relancer avast, de supprimer et de lancer spybot, ... sinon ça fonctionne

http://www.cijoint.fr/cjlink.php?file=cj201009/cijH9guVvc.txt

moment de grace · Answer

ok

tu n'es pas le seul avec cette infection nouvelle semble t il et ca patine sévère

..........

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge sur ton bureau Defogger 

http://www.jpshortstuff.247fixes.com/Defogger.exe

* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


puis

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

trebiac · Answer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-09-26 22:24:30
Windows 6.0.6000 
Running: gmer.exe; Driver: C:\Users\User\AppData\Local\Temp\ugrdyuob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver	dx \Device\Tcp                                                                          aswRdr.SYS (avast! TDI RDR Driver/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016411f4ab6                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b004ae8                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b2d40e8                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b2d40e8@001813cfe52d         0x6E 0x2E 0xFB 0x6D ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b2d40e8@001d28391beb         0xED 0xB6 0x90 0x5E ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016411f4ab6 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b004ae8 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b2d40e8 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b2d40e8@001813cfe52d             0x6E 0x2E 0xFB 0x6D ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b2d40e8@001d28391beb             0xED 0xB6 0x90 0x5E ...

---- EOF - GMER 1.0.15 ----

moment de grace · Answer

fais un scan en ligne ici 

copie colle le rapport final 

http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335

tuto pout t'aider 

https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur

trebiac · Answer

Bonsoir

Me voilà à nouveau

J'ai fait le scan, le trojan détecté à l'air de l'être depuis peu (28 août) par Kaspersky, si ça pouvait être cela ce serait déjà un premier pas ... 

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Monday, September 27, 2010
 Operating system: Microsoft Windows Vista Home Basic Edition, 32-bit (build 6000)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Sunday, September 26, 2010 17:47:39
 Records in database: 4243025
--------------------------------------------------------------------------------

Scan settings:
	scan using the following database: extended
	Scan archives: yes
	Scan e-mail databases: yes

Scan area - My Computer:
	C:\
	D:\
	E:\
	F:\

Scan statistics:
	Objects scanned: 118522
	Threats found: 2
	Infected objects found: 2
	Suspicious objects found: 0
	Scan duration: 03:02:10


File name / Threat / Threats count
C:\Qoobox\Quarantine\C\Windows\System32\USRINI~1.EXE.vir	Infected: Packed.Win32.Krap.ao	1
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KRO6N13B\default[1]	Infected: Trojan.HTML.Fraud.bp	1

Selected area has been scanned.

moment de grace · Answer

non pas grand chose

comment va le pc et les soucis de départ ?

trebiac · Answer

déjà merci pour la réponse et ton suivi

le souci n'est pas le même qu'au départ (fond d'écran curieux et lancement automatique d'un pseudo antivirus)

en revanche je ne peux toujours pas relancer mon antivirus résident (avast) ni passer le moindre logiciel de nettoyage de type spybot ou malwarebyte idem pour tous les autres logiciels que tu m'as conseillé.

même avec rkill lancé avant ça plante et ensuite le logiciel ne veut pas repartir, il faut le réinstaller mais en vain car il replante au lancement suivant 

allez sur la toile sans protection antivirus c'est un peu moyen !!!

en plus est-ce que je ne risque pas d'infecter d'autres personnes si je doit leur envoyer des mails ???

moment de grace · Answer

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

trebiac · Answer

je ne suis pas certain que ce soit bon car tout c'est passé automatiquement sans me demander cette étape : A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt) 


sinon il me semble que ça n'a rien trouvé !!! ça devient triste

http://www.cijoint.fr/cjlink.php?file=cj201009/cijxXqgauY.txt

moment de grace · Answer

en effet c'est démoralisant

as tu acces à la restauration systeme ?

trebiac · Answer

en apparence oui par le panneau de config (centre de sauvegarde et de restauration, j'ai vista) mais j'avais déjà essayé par le passé et ça ne fonctionnait pas (échec dans la dernière étape)

je tente le coup ???

trebiac · Answer

j'en étais certain, ça m'affiche ça :

1 - le disque local (C:) comporte des erreurs

si je tente de réparer comme proposé j'ai :

2 - windows ne peut pas vérifier le disque pendant qu'il est utilisé

si je choisi de planifier la vérification du disque j'ai à nouveau le message 1

quelle m.

j'ai passé un cd vista à un pote, je le récupère, sauvegarde mes doc sur un périf et je refais tout ???

moment de grace · Answer

oui il faut réparer avec le cd de VISTA car il y a des trucs qui tournent pas rond...

tiens moi au courant

moment de grace · Answer

essaie ca avant

Note importante : 
Pour les ordinateurs équipés de Windows Vista et Windows 7, la désactivation du Contrôle des comptes utilisateurs est obligatoire 
sous peine de ne pas pouvoir faire fonctionner correctement l'outil. 
 Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

Désactivez les protections résidente "anti-virus et anti-spyware" le temps d'installer smitfraudfix et de faire l'analyse. 

Télechargez Smitfraudfix.exe
 http://siri.urz.free.fr/Fix/SmitfraudFix.php 

Regardez le tuto:
 http://www.malekal.com/tutorial_SmitFraudfix.php
 
Exécutez le en choisissant l'option 1
 
l'outil va générer un rapport 

Copie/colle le rapport sur un forum .

note: Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, etc...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Site officiel:  http://siri.urz.free.fr/Fix/SmitfraudFix.php

trebiac · Answer

Bonsoir et encore merci

voici le dernier rapport

SmitFraudFix v2.424

Scan done at 18:42:57.26, 2010-09-28
Run from C:\Users\User\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
c:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHosttr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\User


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\User\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\User\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\User\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"RequireSignedAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\System32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Réseau local Broadcom 802.11b/g
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A8C3457C-36DB-40CB-B6BD-71EC60BAF524}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A8C3457C-36DB-40CB-B6BD-71EC60BAF524}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A8C3457C-36DB-40CB-B6BD-71EC60BAF524}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

moment de grace · Answer

non

on répare

https://forums.commentcamarche.net/forum/affich-19293520-grosse-infection?page=2#36

trebiac · Answer

bref si j'ai compris (je suis un peu bêta parfois)

cette étape n'a rien donnée

je doit récup mon cd vista et tout réinstaller ?

je ne sais pas faire autrement (trouver les fichiers manquants), je l'ai fait avec xp mais jamais avec vista !!!

en revanche il faudrait peut être clôturer ici et que je pose mes questions pour la réinstallation sur le forum windows (histoire que tu sois libre pour les autres membres qui ont des machines infectées)

en effet mon disque a été fractionné en 3 par le vendeur et là je ne maitrise pas

dernière ? est-ce dangereux pour mes correspondants de mails, mes périf usb (clés, disques durs externes), mon tèl portable que je connecte sur l'ordi ??? risque de transmettre le virus ???

trebiac · Answer

ok merci

je m'y colle demain mais pour cela :

en revanche il faudrait peut être clôturer ici et que je pose mes questions pour la réinstallation sur le forum windows (histoire que tu sois libre pour les autres membres qui ont des machines infectées)

en effet mon disque a été fractionné en 3 par le vendeur et là je ne maitrise pas

dernière ? est-ce dangereux pour mes correspondants de mails, mes périf usb (clés, disques durs externes), mon tèl portable que je connecte sur l'ordi ??? risque de transmettre le virus ???

trebiac · Answer

ok

encore bien le merci

bonne soirée et continuation

quand j'aurai le plantage total ou la réussite je te tiens au courant sur ce topic

à si je ne doit pas supprimer le tojan trouver pas kaspersky ???

moment de grace · Answer

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KRO6N13B\default[1] Infected: Trojan.HTML.Fraud.bp 1 

ca oui, mais avec un coup de Ccleaner ca aurait suffit je pense

trebiac · Answer

ok

ccleaner c'est fait, c'est un des seuls logiciels de nettoyage qui passe !!!

encore merci à une autre fois

moment de grace · Answer

une idée

Cdlive drweb

à partir d'un autre pc si possible télécharger et graver ceci sur un cd
(gravure d'un iso ou d'une image)

https://free.drweb.com/aid_admin/

mettre le cd DRWEB dans le lecteur
puis
redémarrer le pc en bootant sur le cd Dr.Web
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer à partir du cd »)


suivre ensuite les indications de l'outil

aide toi de ce lien

http://jal.cyber-nux.fr/?p=123

Grosse infection

41 réponses

Discussions similaires