Virus (11) détectés. Y en a t'il d'autres ? Résolu/Fermé

Question

Bonjour,
Les mails de pubs étant très nombreux sur un micro, j'ai procédé à la désinstallation de Malwarebytes qui bloquait et à sa réinstallation avec mise à jour.
Malwarebytes, mise à jour 5037, a détecté : 
Fichier(s) infecté(s):
C:\Users\Public\winbrd.jpg (Malware.Trace) -> Quarantined and deleted successfully.

J'ai, ensuite, remplacé Avast par Antivir lequel a détecté 10 virus dont : 
Phish Phish, Droper, Gendal, Injector.Awi, Spy.delf, Spy.keylogger, Infected.webpage.gen2.

Le rapport ZHPDIAG ci-joint pourrait-il être analysé ?
http://www.cijoint.fr/cjlink.php?file=cj201011/cijIMK7h4W.txt 
Comment procéder pour la suite ?
Merci d'avance.
Configuration: Windows Vista / Internet Explorer 8.0

jacques.gache · Answer

rebonjour !!!  

bon sur ton rapport des choses , mais bizare que malwarebytes n'est pas supprimer ??  
je te proposeraiis de faire un fixe avec zhpfix des lignes donnés , de faire la mise à jour demalwarebytes car la sur mon pc j'ai la version 5046 et toi 5037  

bon si tu es partant!! 

1) fixes ces lignes avec zhpfix 

. Copie les lignes suivantes en GRAS   


[HKCU\Software\AppDataLow\Software\PriceGong]      
[HKLM\Software\Trymedia Systems]      
O43 - CFD:Common File Directory ----D- C:\ProgramData\Trymedia      

 


. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau  
. Pour XP, double-clique sur ZHPFix  
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.  
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  

 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

. cliques sur OK 
. Clique sur « Tous », puis sur « Nettoyer » 
. Copie/colle la totalité du rapport dans ta prochaine réponse 
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport 



2) tu fais un examen complet de ton pc avec malwarebytes après avoir fais la mise à jour   

.  Clique droit sur le logo de Malwarebytes' Anti-Malware, et  
« exécuter en tant qu'Administrateur »  
. si le pare-feu demande l'autorisation  de se connecter pour malwarebytes, acceptes 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. Une fois la mise à jour terminée 
. rend-toi dans l'onglet, Recherche 
. Sélectionnes  Exécuter un examen complet 
. Sélectionnes tous les disques si proposés 
. Cliques sur Rechercher 
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. redemarre le pc si il le fait pas lui même 
. une fois redémarré  double-cliques sur malwarebytes 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. tu cliques droit dans le cadre de la reponse et coller 


 Perso je ne sais peut être pas grand chose, mais si le peu que je sais p­eut aider et bien,  
 je veux bien le partager avec toi  !!

ccmvigean · Answer

Bonjour,
Bien content que tu puisses t'occuper de ma demande.
Ci-après les résultats des travaux demandés.

Voici le résultat de ZHPFix :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijOH1QUvW.txt 

MalwareBytes a été bloqué par un problème durant cette nuit. Vraisemblablement, un manque de mémoire du portable.
Le rapport est sans détection. Le voici :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5046

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

05/11/2010 09:28:29
mbam-log-2010-11-05 (09-28-29).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 346456
Temps écoulé: 10 heure(s), 4 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

ccmvigean · Answer

Bonsoir Jacques.gache,
Voici le dernier Zhpdiag obtenu.
Bonne lecture.
Cordialement.
http://www.cijoint.fr/cjlink.php?file=cj201011/cijOfFdX5T.txt 

A plus.

clemtheboss413 · Answer

Salut

Je précise que tu t'ai fait volé ton compte steam !!

ccmvigean · Answer

Jacques.gache,
Voici le rapport demandé.
Rapport de ZHPFix 1.12.3213 par Nicolas Coolman, Update du 27/10/2010
Fichier d'export Registre : C:\ZHPExportRegistry-05-11-2010-23-24-56.txt
Run by Pascale at 05/11/2010 23:24:56
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\AppDataLow\Software\PriceGong  => Clé supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre


End of the scan
Que penser des messages de clemtheboss413 ?
A +

ccmvigean · Answer

Bonjour Jacques.gache,
Effectivement, je pense que l'observation de clemtheboss413 est relative à mon premier message qui récapitulait les éléments supprimés par Antivir.
Il devait avoir certainement raison pour ce qu'il en était avant le traitement par Antivir mais plus après nos interventions.
Clemtheboss413 vient de répondre qu'il ne voit rien de problématique, pour ce sujet, dans le dernier zhpdiag.
J'attends tes observations sur celui-ci car j'ai trouvé que la fin du rapport indiquait des infos me laissant penser que tu vas, encore, être obligé de sévir!
Au plaisir de te lire.
Cordialement.
Maurice

ccmvigean · Answer

Jacques.gache, Je pense que je me suis trompé en t'indiquant que je trouvais des infos louches en fin de zhpdiag. Il s'agissait des lignes suivantes lesquelles, en lecture plus détaillée, ne sont pas indicatrices de problème : (accepte mes excuses) Disk trace: called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll sfsync02.sys >>UNKNOWN [0x85069A18]<< C:\Windows\System32\drivers\sfsync02.sys Protection Technology StarForce Protection System 1 ntkrnlpa!IofCallDriver[0x82261962] -> \Device\Harddisk0\DR0[0x85900620] 3 CLASSPNP[0x87BD58B3] -> ntkrnlpa!IofCallDriver[0x82261962] -> [0x8506B4F0] 5 acpi[0x82C0D6BC] -> ntkrnlpa!IofCallDriver[0x82261962] -> \Device\Ide\IdeDeviceP0T0L0-0[0x85024B98] kernel: MBR read successfully user & kernel MBR OK Voici le dernier rapport le List'em. Bone réception. Cordialement. Maurice http://www.cijoint.fr/cjlink.php?file=cj201011/cijKorHizB.txt

ccmvigean · Answer

Bonjour Jacques.gache,
Voici le rapport de Kill'emt :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijJS2Px8m.txt 
Bonne réception.
Au plaisir de te lire.
Cordialement.

P.S. J'ai été retardé par Spyboot qui ne terminait plus son travail au Redémarrage du portable. Mauvaise codification de ma part. J'ai été obligé de le supprimer pour pouvoir reprendre la main.

ccmvigean · Answer

Bonsoir Jacques.gache,
Voici le zhpdiag demandé.
Bonne lecture.
A plus.
http://www.cijoint.fr/cjlink.php?file=cj201011/cijoG0dUrv.txt

ccmvigean · Answer

Bonjour Jacques.gache,
Tu n'as pas à t'excuser! C'est très agréable pour moi de me sentir aidé et suivi.
Au passage, merci aussi à Clemtheboss413 qui m'a conseillé de lancer GMER.
Hier soir, j'avais lancé GMER mais, ce matin, ne voyant plus rien fonctionner ni s'afficher en bas de page de GMER, j'ai fait "OK" et tout s'est effacé.
Après avoir enlevé la veille d'écran sur le portable, j'ai relancé GMER qui tourne toujours depuis ce matin.
A noter qu'il n'indique pas de lignes en rouge dans Roolkit/Malware mais une vingtaine de lignes en noir dont en colonne Type : 
.xreloc
?
IAT (17 lignes)
AttachedDevice (2 lignes)
Device (6 lignes)

Les détails des Onglets de Gmer sont tous en Noir.

J'attends de reprendre la main sur le portable à la fin de Gmer (en effectuant une sauvegarde du rapport avec "Save") pour lancer ZHPFix et MBRFix et mettre les rapports dans mon prochain contact.
Merci pour tout.
Cordialement.
A+
Maurice

ccmvigean · Answer

Jacques.gache,
Je n'ai pas pu sauvegarder le rapport de Gmer. Le portable avait redémarré tout seul lorsque je l'ai retrouvé à la fin de mon diner.

A l'heure qui correspond à la fin de Gmer, j'ai repéré les fichiers suivants : (peut-être qu'ils te seront utiles)

Le dépôt du fichier MBRCheck.txt a été réalisé avec succès !
http://www.cijoint.fr/cjlink.php?file=cj201011/cijGYMfhoa.txt 

Le dépôt du fichier SigCheck.txt a été réalisé avec succès !
http://www.cijoint.fr/cjlink.php?file=cj201011/cij46445qS.txt 

Voici les rapports de Zhpfix & de Zhpdiag.
A toi de jouer.
A+


Le dépôt du fichier ZHPFixReport.txt a été réalisé avec succès !
http://www.cijoint.fr/cjlink.php?file=cj201011/cij7d2k2nu.txt 

Le dépôt du fichier ZHPDiag.Txt a été réalisé avec succès !
http://www.cijoint.fr/cjlink.php?file=cj201011/cij4KwmGOU.txt

ccmvigean · Answer

Bonjour Jacques.gache,
Le PC fonctionne mieux qu'avant tes interventions.
Je suis allé sur quelques sites internet et aucun affichage sauvage ne s'est incrusté.
Depuis ce matin je n'ai plus de signalement "mémoire insuffisante".
Au plaisir de te lire.
Cordialement.
Maurice

ccmvigean · Answer

Bonjour Jacques.gache & Clemtheboss413, Voici les rapports demandés ZhpFix (et Zhpdiag lancé après DelFix demandé par Clemtheboss413) Le dépôt du fichier DelFixSuppr.txt a été réalisé avec succès ! http://www.cijoint.fr/cjlink.php?file=cj201011/cijITUR6JH.txt -------------------------------------------------------------------------------- Le dépôt du fichier ZHPDiag.Txt a été réalisé avec succès ! http://www.cijoint.fr/cjlink.php?file=cj201011/cijhfGndHJ.txt ---\ Recherche Master Boot Record Infection (MBR)(O80) Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net Run by Pascale at 09/11/2010 22:59:43 device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x851682C8]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\atapi -> 0x851682c8 Warning: possible MBR rootkit infection ! user & kernel MBR OK Use "Recovery Console" command "fixmbr" to clear infection ! Use "ZHPFix" command "MBRFix" to clear infection ! Ces infos que j'ai repérées dans le rapport ZhpDiag semblent faire référérence à un Rootkit. Dois-je lancer un autre programme? Je m'excuse de vous répondre à tous les deux mais je ne veux vexer aucun de vous qui ne cherchez qu'à m'aider et j'espère que vous ne m'en voudrez pas. Qu'en pensez-vous? Cordialement à vous deux.

ccmvigean · Answer

Bonsoir Jacques.gache,
Qu'envisages-tu pour la suite de ton traitement de nettoyage du portable ?
J'attends tes instructions.
Merci.
Cordialement.
Maurice

Utilisateur anonyme · Answer

Bonsoir vous deux
Le PC est propre, en cas de doute, vérifier avec MBRCheck

ccmvigean · Answer

Bonsoir Jacques.gache,
Je ne pense pas qu'un émulateur cd/dvd soit présent ou ait été présent sur ce portable.
Rien n'est indiqué dans l'Explorateur en ce sens.
Nci cd & dvd est bien dans la liste des programmes mais je ne crois pas que ce soit un émulateur.
J'ai essayé de lister le contenu du répertoire Programmes afin de te le faire parvenir mais je ne sais pas comment procéder pour créer une action dans "Options des dossiers" sous Vista.
Faut-il relancer MRBCheck ?
A +

ccmvigean · Answer

Jacques.gache,
J'ai lancé MBRCheck et ne sais plus quoi faire suite à ce résultat : Voir fichier Mbrcheck.doc
Le fichier Mbrcheck.txt suivant est en attente de ma réponse.
Le dépôt du fichier Mbrcheck.doc a été réalisé avec succès !
http://www.cijoint.fr/cjlink.php?file=cj201011/cijBzk1xaA.doc 
Faut-il répondre Oui ou Non (je ne voudrais pas ne plus pouvoir accéder au disque dur si je répondais Oui).

Le dépôt du fichier MBRCheck_11.10.10_21.51.22.txt a été réalisé avec succès !
http://www.cijoint.fr/cjlink.php?file=cj201011/cijNsPjxiZ.txt 

Que dois-je faire.
Merci.
A très bientôt.

ccmvigean · Answer

Jawaryinti,
Que dois-je faire avec Mbrcheck en attente de Oui ou Non (Voir message précédent transmis à Jacques.gache).
A +

Utilisateur anonyme · Answer

74 GB  \.\PhysicalDrive0   Unknown MBR code
            SHA1: 75374D27B77E61C9316E27BACDEE41C1E2C9874E


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

Cela fait pareil sur mon PC, et le MBR n'est pas infecté
Pour s'en assurer
Il faudrai utiliser la commande MBRFix dans ZHPFix

ccmvigean · Answer

Bonjour Jacques.gache, Bonjour Jawaryinti,
Hier soir, je pensais que, compte tenu de l'heure tardive, je n'aurais pas de réponse imédiate de Jawaryinti.
J'ai donc procédé aux opérations suivantes :
1) Poursuite de Mbrchech  avec les réponses suivantes :
\.\C: --> \.\PhysicalDrive0 at offset 0x00000002'32557600  (NTFS)
PhysicalDrive0 Model Number: HitachiHTS541680J9SA00, Rev: SB2OC70P
      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \.\PhysicalDrive0   Unknown MBR code
            SHA1: 75374D27B77E61C9316E27BACDEE41C1E2C9874E
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
 [ 0] Default (Windows Vista)
 [ 1] Windows XP
 [ 2] Windows Server 2003
 [ 3] Windows Vista
 [ 4] Windows 2008
 [ 5] Windows 7
 [-1] Cancel
Please select the MBR code to write to this drive: 0
Do you want to fix the MBR code?  Type 'YES' and hit ENTER to continue: YES
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.

2) Relance de Mbrcheck et poursuite du travail avec les nouvelles réponses suivantes :
\.\C: --> \.\PhysicalDrive0 at offset 0x00000002'32557600  (NTFS)
PhysicalDrive0 Model Number: HitachiHTS541680J9SA00, Rev: SB2OC70P
      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \.\PhysicalDrive0   Unknown MBR code
            SHA1: 75374D27B77E61C9316E27BACDEE41C1E2C9874E
Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
Options:
  [1] Dump the MBR of a physical disk to file.
  [2] Restore the MBR of a physical disk with a standard boot code.
  [3] Exit.
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): 0Available MBR codes:
 [ 0] Default (Windows Vista)
 [ 1] Windows XP
 [ 2] Windows Server 2003
 [ 3] Windows Vista
 [ 4] Windows 2008
 [ 5] Windows 7
 [-1] Cancel
Please select the MBR code to write to this drive: 3
Do you want to fix the MBR code?  Type 'YES' and hit ENTER to continue: yes
Successfully wrote new MBR code!
Please reboot your computer to complete the fix.


3) Nouvelle relance de Mbrcheck et réponse "NON" à la dernière question :
\.\C: --> \.\PhysicalDrive0 at offset 0x00000002'32557600  (NTFS)

PhysicalDrive0 Model Number: HitachiHTS541680J9SA00, Rev: SB2OC70P

      Size  Device Name          MBR Status
  --------------------------------------------
     74 GB  \.\PhysicalDrive0   Unknown MBR code
            SHA1: 75374D27B77E61C9316E27BACDEE41C1E2C9874E


Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit: 

4) Arrêt des opérations et du portable pour la nuit.

5) Ce matin, lancement de ZHPFix, choix MBRFix et résultat suivant :
"Resultat après le fix :
Master Boot Record non infecté"
Ci-joint, le rapport.
Le dépôt du fichier ZHPFixReport.txt a été réalisé avec succès !
http://www.cijoint.fr/cjlink.php?file=cj201011/cij1JNDHcD.txt 

J'envisage de faire Delfix et Ccleaner comme indiqué par Jacques.gache.

J'attends, auparavent, votre réponse.
A+
Cordialement.
Maurice

ccmvigean · Answer

Bonsoir Jacques.gache,
Voici le tout dernier rapport Zhpdiag pour ce portable qui semble "Sain", maintenant que tu t'en soit occupé.
Le dépôt du fichier ZHPDiag.txt a été réalisé avec succès !
http://www.cijoint.fr/cjlink.php?file=cj201011/cij3VWQQdc.txt 
Delfix ne fonctionne pas. Je supprime toutes les données manuellement avant de lancer Ccleaner.
Je poste une nouvelle demande d'aide sur commentcamarche pour mon micro dont tu t'es déjà occupé. Pourrais-tu t'en charger ?
Merci à tous ceux qui m'ont aidé à nettoyer ce portable et, particulièrement, à toi, Jacques.gache.
Bonne continuation.
Cordialemnt.
Maurice.

Virus (11) détectés. Y en a t'il d'autres ?

21 réponses

Discussions similaires