Grosse infection Résolu/Fermé

Question

Bonjour, 


En surfant j'ai une fenêtre Java qui est apparue, comme une mise à jour puis un message m'informant d'une infection.

En gros, comme un fond d'écran, j'ai « YOUR SYSTEM IS INFECTED ! System has been stopped due to a serious malfinction. Spyware activity has been detected.
It is recommended to use spyware removal tool to prevent data loss.
Do not run any application before all spyware removed."

J'ai voulu passer Malwarebyte, la mise à jour a fonctionné mais après quelques secondes de scan il s'est fermé. Idem pour spybot et hijack.
Après un redémarrage c'est la protection résidente d'avast qui s'est coupée.

Impossible de les relancer, les chemins ne seraient plus valides !!!

Au redémarrage un message m'annonçait que j'étais infecté par « worm.win32.netsky », virus de force 5 sur un échelle de 0 à 5... 

Maintenant j'ai un pseudo antivirus avec un logo comme celui du centre de protection windows qui me trouve 16 trojan mais pour les supprimer il me faut un mot de passe, indiquer mon mail ...

Enfin j'ai du net, je peux ouvrir les pages qui sont dans mes favoris mais pas google que j'ai en page d'accueil.

Comment faire ?

Un coup de main serait le bien venu !

Merci d'avance    


Configuration: vista, firefox

trebiac · Answer

je commence à bien m'agacer !!!

soit je passe mal List_Kill'em soit ce virus est une belle cochonnerie !!!

pour List_Kill'em il faut faire les trois étapes ? exe, com, scr ?

toujours impossible de passer ZHP il se coupe pendant le scan puis ne veut pas repartir « windows ne peut pas accéder  au périphérique ... »

il m'est toujours également impossible de relancer avast, de supprimer et de lancer spybot, ... sinon ça fonctionne

http://www.cijoint.fr/cjlink.php?file=cj201009/cijH9guVvc.txt

moment de grace · Answer

ok

tu n'es pas le seul avec cette infection nouvelle semble t il et ca patine sévère

..........

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge sur ton bureau Defogger 

http://www.jpshortstuff.247fixes.com/Defogger.exe

* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


puis

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

trebiac · Answer

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-09-26 22:24:30
Windows 6.0.6000 
Running: gmer.exe; Driver: C:\Users\User\AppData\Local\Temp\ugrdyuob.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                          Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver	dx \Device\Tcp                                                                          aswRdr.SYS (avast! TDI RDR Driver/ALWIL Software)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\0016411f4ab6                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b004ae8                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b2d40e8                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b2d40e8@001813cfe52d         0x6E 0x2E 0xFB 0x6D ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001a6b2d40e8@001d28391beb         0xED 0xB6 0x90 0x5E ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\0016411f4ab6 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b004ae8 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b2d40e8 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b2d40e8@001813cfe52d             0x6E 0x2E 0xFB 0x6D ...
Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001a6b2d40e8@001d28391beb             0xED 0xB6 0x90 0x5E ...

---- EOF - GMER 1.0.15 ----

moment de grace · Answer

fais un scan en ligne ici 

copie colle le rapport final 

http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335

tuto pout t'aider 

https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur

trebiac · Answer

Bonsoir

Me voilà à nouveau

J'ai fait le scan, le trojan détecté à l'air de l'être depuis peu (28 août) par Kaspersky, si ça pouvait être cela ce serait déjà un premier pas ... 

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0: scan report
 Monday, September 27, 2010
 Operating system: Microsoft Windows Vista Home Basic Edition, 32-bit (build 6000)
 Kaspersky Online Scanner version: 7.0.26.13
 Last database update: Sunday, September 26, 2010 17:47:39
 Records in database: 4243025
--------------------------------------------------------------------------------

Scan settings:
	scan using the following database: extended
	Scan archives: yes
	Scan e-mail databases: yes

Scan area - My Computer:
	C:\
	D:\
	E:\
	F:\

Scan statistics:
	Objects scanned: 118522
	Threats found: 2
	Infected objects found: 2
	Suspicious objects found: 0
	Scan duration: 03:02:10


File name / Threat / Threats count
C:\Qoobox\Quarantine\C\Windows\System32\USRINI~1.EXE.vir	Infected: Packed.Win32.Krap.ao	1
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KRO6N13B\default[1]	Infected: Trojan.HTML.Fraud.bp	1

Selected area has been scanned.

moment de grace · Answer

non pas grand chose

comment va le pc et les soucis de départ ?

trebiac · Answer

déjà merci pour la réponse et ton suivi

le souci n'est pas le même qu'au départ (fond d'écran curieux et lancement automatique d'un pseudo antivirus)

en revanche je ne peux toujours pas relancer mon antivirus résident (avast) ni passer le moindre logiciel de nettoyage de type spybot ou malwarebyte idem pour tous les autres logiciels que tu m'as conseillé.

même avec rkill lancé avant ça plante et ensuite le logiciel ne veut pas repartir, il faut le réinstaller mais en vain car il replante au lancement suivant 

allez sur la toile sans protection antivirus c'est un peu moyen !!!

en plus est-ce que je ne risque pas d'infecter d'autres personnes si je doit leur envoyer des mails ???

moment de grace · Answer

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

trebiac · Answer

je ne suis pas certain que ce soit bon car tout c'est passé automatiquement sans me demander cette étape : A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt) 


sinon il me semble que ça n'a rien trouvé !!! ça devient triste

http://www.cijoint.fr/cjlink.php?file=cj201009/cijxXqgauY.txt

moment de grace · Answer

en effet c'est démoralisant

as tu acces à la restauration systeme ?

trebiac · Answer

en apparence oui par le panneau de config (centre de sauvegarde et de restauration, j'ai vista) mais j'avais déjà essayé par le passé et ça ne fonctionnait pas (échec dans la dernière étape)

je tente le coup ???

trebiac · Answer

j'en étais certain, ça m'affiche ça :

1 - le disque local (C:) comporte des erreurs

si je tente de réparer comme proposé j'ai :

2 - windows ne peut pas vérifier le disque pendant qu'il est utilisé

si je choisi de planifier la vérification du disque j'ai à nouveau le message 1

quelle m.

j'ai passé un cd vista à un pote, je le récupère, sauvegarde mes doc sur un périf et je refais tout ???

moment de grace · Answer

oui il faut réparer avec le cd de VISTA car il y a des trucs qui tournent pas rond...

tiens moi au courant

moment de grace · Answer

essaie ca avant

Note importante : 
Pour les ordinateurs équipés de Windows Vista et Windows 7, la désactivation du Contrôle des comptes utilisateurs est obligatoire 
sous peine de ne pas pouvoir faire fonctionner correctement l'outil. 
 Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

Désactivez les protections résidente "anti-virus et anti-spyware" le temps d'installer smitfraudfix et de faire l'analyse. 

Télechargez Smitfraudfix.exe
 http://siri.urz.free.fr/Fix/SmitfraudFix.php 

Regardez le tuto:
 http://www.malekal.com/tutorial_SmitFraudfix.php
 
Exécutez le en choisissant l'option 1
 
l'outil va générer un rapport 

Copie/colle le rapport sur un forum .

note: Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus, etc...) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

Site officiel:  http://siri.urz.free.fr/Fix/SmitfraudFix.php

trebiac · Answer

Bonsoir et encore merci

voici le dernier rapport

SmitFraudFix v2.424

Scan done at 18:42:57.26, 2010-09-28
Run from C:\Users\User\Desktop\SmitfraudFix
OS: Microsoft Windows [version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\Dwm.exe
c:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe
C:\Windows\Explorer.EXE
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHosttr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QLBCTRL.exe
C:\Program Files\Hp\HP Software Update\hpwuSchd2.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Windows\system32	askeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
C:\Windows\system32\wuauclt.exe
C:\Windows\system32\conime.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\wbem\wmiprvse.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\User


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\User\AppData\Local\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\User\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\User\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"RequireSignedAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\Windows\System32\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Réseau local Broadcom 802.11b/g
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A8C3457C-36DB-40CB-B6BD-71EC60BAF524}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A8C3457C-36DB-40CB-B6BD-71EC60BAF524}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A8C3457C-36DB-40CB-B6BD-71EC60BAF524}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

moment de grace · Answer

non

on répare

https://forums.commentcamarche.net/forum/affich-19293520-grosse-infection?page=2#36

trebiac · Answer

bref si j'ai compris (je suis un peu bêta parfois)

cette étape n'a rien donnée

je doit récup mon cd vista et tout réinstaller ?

je ne sais pas faire autrement (trouver les fichiers manquants), je l'ai fait avec xp mais jamais avec vista !!!

en revanche il faudrait peut être clôturer ici et que je pose mes questions pour la réinstallation sur le forum windows (histoire que tu sois libre pour les autres membres qui ont des machines infectées)

en effet mon disque a été fractionné en 3 par le vendeur et là je ne maitrise pas

dernière ? est-ce dangereux pour mes correspondants de mails, mes périf usb (clés, disques durs externes), mon tèl portable que je connecte sur l'ordi ??? risque de transmettre le virus ???

trebiac · Answer

ok merci

je m'y colle demain mais pour cela :

en revanche il faudrait peut être clôturer ici et que je pose mes questions pour la réinstallation sur le forum windows (histoire que tu sois libre pour les autres membres qui ont des machines infectées)

en effet mon disque a été fractionné en 3 par le vendeur et là je ne maitrise pas

dernière ? est-ce dangereux pour mes correspondants de mails, mes périf usb (clés, disques durs externes), mon tèl portable que je connecte sur l'ordi ??? risque de transmettre le virus ???

trebiac · Answer

ok

encore bien le merci

bonne soirée et continuation

quand j'aurai le plantage total ou la réussite je te tiens au courant sur ce topic

à si je ne doit pas supprimer le tojan trouver pas kaspersky ???

moment de grace · Answer

C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KRO6N13B\default[1] Infected: Trojan.HTML.Fraud.bp 1 

ca oui, mais avec un coup de Ccleaner ca aurait suffit je pense

trebiac · Answer

ok

ccleaner c'est fait, c'est un des seuls logiciels de nettoyage qui passe !!!

encore merci à une autre fois

Grosse infection

41 réponses

Discussions similaires