virus virTool:win32/obfuscator.XZ Résolu/Fermé

Question

Bonjour, 

suite a l'installation d'un jeu ayant un virus , je me retrouve présentement avec le virus virTool:win32/obfuscator.XZ sur mon ordinateur , malheureusement neuf seulement de quelques mois . 

https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=VirTool:Win32/Obfuscator.XZ&threatid=2147625929

ayant avira et microsoft security essentials sur mon pc , lors de la mise du crack infecter les alertes se sont déclencher et j'ai donc supprimer les virus détecter par mes gardiens .

suite a cela recommandant de passer un scan j'effectue d'abord un scan d'avira qui ne donne rien puis un scan de microsoft qui lui trouve de quoi batailler  .

https://imageshack.com/

https://imageshack.com/

https://imageshack.com/

tel que le montre ces capture d'écran le virus est en grave et se cache dans les répertoire même des antivirus , de plus microsoft a beau l'effacer qu'il est toujours présent , se recréant ou évitant la suppression par quelques moyens. Et il semble possible qu'il gagne du terrain étant donner que les infections trouver de ce matin dans la corbeille n'étais pas détecter hier .

ainsi ayant épuiser tout les moyens a ma disposition pour effacer mon erreur d'introduire ce virus dans mon pc , je me tourne vers des personnes plus qualifier que vous êtes dans ce domaine , en espérant ce problème solvable aisément .

Merci de votre aide et de votre attention

cordialement Sirbancal

Configuration: Windows 7 / Safari 534.13

sirbancal · Accepted Answer

voila , désoler pour l'attente et merci de m'aider .

https://pjjoint.malekal.com/files.php?id=d182ba1cab118

moment de grace · Answer

bonjour

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

moment de grace · Answer

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

C:\Windows\system32\drivers\frqzeiew.sys    
C:\Windows\system32\drivers\rdrmknfr.sys   



Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

sirbancal · Answer

merci de ta réponse rapide , malheureusement malgré tes indications claires je n'ai réussi a trouver aucun des 2 fichiers précédemment dit.

 j'ai donc cocher/décocher selon ton conseil et la même problème :

https://imageshack.com/

https://imageshack.com/

https://imageshack.com/

 même en lançant une recherche dans system32 l'outil de recherche ne trouve pas le fichier.

peut être ai-je fait une mauvaise manip , ou autre solution a exploiter

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

sirbancal · Answer

j'ai exécuter combofix en suivant bien les indication donner par le guide ainsi que les vôtres et je vous remercie. 

voila le log donner par le programme :


[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2010-02-01 18:03	120176	----a-w-	c:\program files (x86)\EgisTec MyWinLocker\x86\PSDProtect.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2010-04-01 357696]
"SpybotSD TeaTimer"="c:\program files (x86)\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"swg"="c:\program files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-05-06 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="c:\program files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"BackupManagerTray"="c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2010-03-08 260608]
"SuiteTray"="c:\program files (x86)\EgisTec MyWinLockerSuite\x86\SuiteTray.exe" [2010-02-01 337264]
"EgisUpdate"="c:\program files (x86)\EgisTec IPS\EgisUpdate.exe" [2009-12-25 201512]
"EgisTecPMMUpdate"="c:\program files (x86)\EgisTec IPS\PmmUpdate.exe" [2009-12-25 401192]
"LManager"="c:\program files (x86)\Launch Manager\LManager.exe" [2010-02-26 1289296]
"avgnt"="c:\program files (x86)\Avira\AntiVir Desktop\avgnt.exe" [2010-08-17 281768]
"StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-10-26 98304]
"SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

c:\users\Sirbancal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files (x86)\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"

R1 frqzeiew;frqzeiew;c:\windows\system32\drivers\frqzeiew.sys [x]
R1 rdrmknfr;rdrmknfr;c:\windows\system32\driversdrmknfr.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
R2 gupdate;Service Google Update (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-11-23 136176]
R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [2009-12-02 40448]
R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\DRIVERS\MpNWMon.sys [2010-10-24 40832]
R3 MWLService;MyWinLocker Service;c:\program files (x86)\EgisTec MyWinLocker\x86\MWLService.exe [2010-02-01 305520]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2010-10-24 72064]
R3 NisSrv;Inspection réseau Microsoft;c:\program files\Microsoft Security Client\Antimalware\NisSrv.exe [2010-11-11 282616]
R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2009-11-06 50432]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-11-24 1255736]
R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-11-23 834544]
S1 mwlPSDFilter;mwlPSDFilter;c:\windows\system32\DRIVERS\mwlPSDFilter.sys [2009-06-03 22576]
S1 mwlPSDNServ;mwlPSDNServ;c:\windows\system32\DRIVERS\mwlPSDNServ.sys [2009-06-03 20016]
S1 mwlPSDVDisk;mwlPSDVDisk;c:\windows\system32\DRIVERS\mwlPSDVDisk.sys [2009-06-03 60464]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-14 59904]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2010-10-27 203776]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files (x86)\Avira\AntiVir Desktop\sched.exe [2010-08-17 135336]
S2 DsiWMIService;Dritek WMI Service;c:\program files (x86)\Launch Manager\dsiwmis.exe [2010-02-26 325200]
S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer ePower Management\ePowerSvc.exe [2010-04-23 867360]
S2 GREGService;GREGService;c:\program files (x86)\Acer\Registration\GREGsvc.exe [2010-01-08 23584]
S2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\progra~2\mcafee\SITEAD~1\McSACore.exe [2010-11-24 101048]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files (x86)\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2010-03-08 250368]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files (x86)\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2009-11-06 144640]
S2 UNS;Intel(R) Management & Security Application User Notification Service;c:\program files (x86)\Intel\Intel(R) Management Engine Components\UNS\UNS.exe [2010-03-03 2320920]
S2 Updater Service;Updater Service;c:\program files\Acer\Acer Updater\UpdaterService.exe [2010-01-28 243232]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2010-10-27 8012288]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2010-10-27 287232]
S3 HECIx64;Intel(R) Management Engine Interface;c:\windows\system32\DRIVERS\HECIx64.sys [2009-09-17 56344]
S3 k57nd60a;Broadcom NetLink (TM) Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\k57nd60a.sys [2009-10-16 321064]
S3 vwifimp;Microsoft Virtual WiFi Miniport Service;c:\windows\system32\DRIVERS\vwifimp.sys [2009-07-14 17920]

.
Contenu du dossier 'Tâches planifiées'

2011-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-11-23 17:55]

2011-02-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files (x86)\Google\Update\GoogleUpdate.exe [2010-11-23 17:55]
.

--------- x86-64 -----------


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2010-02-01 18:06	137584	----a-w-	c:\program files (x86)\EgisTec MyWinLocker\x64\PSDProtect.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AmIcoSinglun64"="c:\program files (x86)\AmIcoSingLun\AmIcoSinglun64.exe" [2009-09-22 323584]
"mwlDaemon"="c:\program files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe" [2010-02-01 349552]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2009-12-11 9643552]
"PLFSetI"="c:\windows\PLFSetI.exe" [2010-01-13 206208]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2009-10-22 325120]
"Acer ePower Management"="c:\program files\Acer\Acer ePower Management\ePowerTray.exe" [2010-04-23 861216]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 1436224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=0x0
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&m=aspire_7741&r=27361110h116l04f8z1l5t46l1o73o
uLocal Page = c:\windows\system32\blank.htm
mStart Page = hxxp://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&m=aspire_7741&r=27361110h116l04f8z1l5t46l1o73o
mLocal Page = c:\windows\SysWOW64\blank.htm
IE: Google Sidewiki... - c:\program files (x86)\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
FF - ProfilePath - c:\users\Sirbancal\AppData\Roaming\Mozilla\Firefox\Profiles\sbsqubhw.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files (x86)\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: McAfee SiteAdvisor: {B7082FAA-CB62-4872-9106-E42DD88EDE45} - c:\program files (x86)\McAfee\SiteAdvisor
.
- - - - ORPHELINS SUPPRIMES - - - -

Toolbar-Locked - (no file)
Toolbar-Locked - (no file)


.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-680024272-3546181285-949930253-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.Email.1"

[HKEY_USERS\S-1-5-21-680024272-3546181285-949930253-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
@Denied: (2) (LocalSystem)
"Progid"="WindowsLiveMail.VCard.1"

[HKEY_USERS\S-1-5-21-680024272-3546181285-949930253-1001\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:a3,68,a0,8e,a2,39,2a,78,e4,12,74,45,c2,02,61,ca,25,42,7a,8b,39,85,2d,
   b2,59,3e,92,6c,dc,f9,97,d4,b8,5e,af,ae,82,40,ab,03,00,c4,aa,8d,81,6b,00,6d,\
"??"=hex:4a,b8,28,9c,28,3e,80,1d,4d,13,6d,4c,15,fd,32,b9

[HKEY_USERS\S-1-5-21-680024272-3546181285-949930253-1001\Software\SecuROM\License information*]
"datasecu"=hex:08,cf,9a,f1,a4,0b,00,5c,1f,f9,d4,35,a7,e3,f7,91,55,4e,c3,18,3e,
   ae,0e,59,8e,4a,cb,02,19,57,ad,e3,2c,77,01,8d,a6,9c,63,4c,eb,c5,75,01,75,da,\
"rkeysecu"=hex:5d,b3,2f,f5,e1,95,82,4f,21,2e,ea,bc,25,78,49,2a

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\Windows\system32\Macromed\Flash\FlashUtil10e.exe,-101"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\Windows\SysWow64\Macromed\Flash\FlashUtil10e.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Shockwave Flash Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10e.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
@="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
@="ShockwaveFlash.ShockwaveFlash.10"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10e.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="ShockwaveFlash.ShockwaveFlash"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
@Denied: (A 2) (Everyone)
@="Macromedia Flash Factory Object"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10e.ocx"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
@="FlashFactory.FlashFactory.1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
@="c:\Windows\SysWow64\Macromed\Flash\Flash10e.ocx, 1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
@="{D27CDB6B-AE6D-11cf-96B8-444553540000}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
@="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
@="FlashFactory.FlashFactory"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
"SymbolicLinkValue"=hex(6):5c,00,72,00,65,00,67,00,69,00,73,00,74,00,72,00,79,
   00,5c,00,6d,00,61,00,63,00,68,00,69,00,6e,00,65,00,5c,00,53,00,6f,00,66,00,\

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
------------------------ Autres processus actifs ------------------------
.
c:\program files (x86)\Avira\AntiVir Desktop\avguard.exe
c:\program files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\windows\SysWOW64undll32.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.exe
c:\program files (x86)\OpenOffice.org 3\program\soffice.bin
c:\program files (x86)\Launch Manager\LMworker.exe
.
**************************************************************************
.
Heure de fin: 2011-02-27  14:14:56 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-02-27 13:14

Avant-CF: 46 156 472 320 octets libres
Après-CF: 50 409 955 328 octets libres

- - End Of File - - 4B4D064D8C057793246A9F9D16739B89

moment de grace · Answer

le rapport n'est pas complet


Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir "

Sélectionne le rapport 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

sirbancal · Answer

ah ? très bien cela doit être due a une mauvaise manip de ma part désolé , voici merci encore 


https://pjjoint.malekal.com/files.php?id=7fe0544d6659

moment de grace · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Driver::

frqzeiew
rdrmknfr


File::
c:\windows\system32\drivers\frqzeiew.sys
c:\windows\system32\drivers\rdrmknfr.sys


* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

sirbancal · Answer

le scan est effectué avec succès et en voici le résultat :

https://pjjoint.malekal.com/files.php?id=20586c1adc128

merci encore de la précieuse aide que tu m'offre.

moment de grace · Answer

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide 
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

sirbancal · Answer

le scan s'est terminer avec succès en disant qu'aucun élément nuisible n'a été détecter 

voici le log :


Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5898

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

27/02/2011 23:11:20
mbam-log-2011-02-27 (23-11-20).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 163823
Temps écoulé: 3 minute(s), 39 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

peut être le virus a t'il été supprimer par combofix ou autre , je relance un scan par Microsoft security pour voir s'il le détecte encore

sirbancal · Answer

malheureusement non il a l'air toujours présent selon microsoft security

https://imageshack.com/

je dois avouer qu'il est étrange que les autres système anti virus tel que Malwarebytes' Anti-Malware ou avira  ne le détecte pas .

je vous remercie de continuer a m'aider .

moment de grace · Answer

ok

vide ta corbeille 

et fais un nouveau scan antivirus

sirbancal · Answer

c'est la le problème , rld-tww2.iso était le fichier contenant le virus une fois supprimé j'ai évidemment vider la corbeille pour que le virus ne puisse revenir a partie de celle-ci. 

elle est en ce moment toujours vide , je vais relancer des scans , pour préciser cette nuit antimalwares n'as rien détecter même scan complet. 

est-il possible que si je supprime manuellement c:\$Recycle.Bin j'efface le virus qui apparemment ne se trouve plus qu'ici , tout en ayant un moyen de recrée une corbeille ?

moment de grace · Answer

si ta poubelle st vide

ca devrait être bon

sirbancal · Answer

j'ai du mal m'exprimer , je voulais dire que la poubelle est vide depuis maintenant  2 jours et que malgré cela microsoft security y repère le virus  , je relance un scan par cet analyseur on verra bien s'il y trouve toujours le virus . 

dans tous les cas merci de ce que tu as fait pour moi et du temps que tu as passer a m'aider .

moment de grace · Answer

Télécharge SEAF ( de C__XX ) sur ton bureau : 

ici http://www.teamxscript.org/SEAFTelechargement.html


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci : 

rld-tww2.iso


* Au niveau des " options des fichiers ", fait les réglages suivant : 
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ". 
> Coche la case devant " Afficher les ADS " 

* Au niveau des " options du registre " : 
> coche " chercher également dans le registre " 

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ... 
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

sirbancal · Answer

le log ne donne rien , je repasse en ce moment security pour voir s'il detecte encore le virus dans la corbeille .

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 10:58:24 le 28/02/2011
4. 
5. Valeur(s) recherchée(s):
6. rld-tww2.iso
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12. (!) --- Affichage des ADS
13. (!) --- Recherche registre
14. 
15. ====== Fichier(s) ======
16. 
17. Aucun fichier trouvé
18. 
19. 
20. ====== Entrée(s) du registre ======
21. 
22. Aucun élément dans le registre trouvé
23. 
24. =========================
25. 
26. Fin à: 11:00:14 le 28/02/2011
27. 363671 Éléments analysés
28. 
29. =========================
30. E.O.F

moment de grace · Answer

ok

dis moi

sirbancal · Answer

L'analyse est terminer et il n'a rien trouver.

Je te remercie pour le temps que tu m'as accorder et l'aide que tu m'as apporter , un vrai moment de grâce ^^ .

En espérant ne plus jamais avoir a revenir dans cette section du forum pour demander de l'aide a cause de virus ^^.

Merci encore

moment de grace · Answer

ok

pour finir

1)

Mets à jour Adobe Reader (désinstalle avant la version antérieure) 
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html


....................

2)
IMPORTANT

Purger les points de restauration système:

Télécharge OneClick2RestorePoint

http://www.multifa7.be/Laddy/OneClick2RP.exe (merci à elle)

Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz

*	Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
*	Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
*	Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
*	* Rends toi dans l'onglet "Autres options"
*	Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
*	Les points de restauration système seront purgés sauf le dernier créé.

Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................

3)
pour supprimer les outils de désinfection : 

télécharge Delfix de Xplode

http://www.teamxscript.org/too/Xplode/DelFix.exe


choisis SUPPRESSION 

poste son rapport
.............................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://www.teamxscript.org/too/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................

Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux utiliser Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

.........................

utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

sirbancal · Answer

1 ) fait   

2) fait  

3) fait :  

# DelFix v7.4 - Rapport créé le 28/02/2011 à 14:37  
# Mis à jour le 09/02/11 à 23h par Xplode  
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7600]   
# Nom d'utilisateur : Sirbancal - GOLIATH (Administrateur)  
# Exécuté depuis : C:\Users\Sirbancal\Downloads\DelFix.exe  
# Option [Suppression]  


~~~~~~ Dossier(s) ~~~~~~  

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.  
Supprimé : C:\Qoobox  
Supprimé : C:\Program Files (x86)\ZHPDiag  
Supprimé : C:\Program Files (x86)\SEAF  
Supprimé : C:\Users\Sirbancal\DoctorWeb  
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP  

~~~~~~ Fichier(s) ~~~~~~  

Supprimé : C:\ComboFix.txt  
Supprimé : C:\SeafLog.txt  
Supprimé : C:\Windows\grep.exe  
Supprimé : C:\Windows\PEV.exe  
Supprimé : C:\Windows\NIRCMD.exe  
Supprimé : C:\Windows\MBR.exe  
Supprimé : C:\Windows\sed.exe  
Supprimé : C:\Windows\SWREG.exe  
Supprimé : C:\Windows\SWSC.exe  
Supprimé : C:\Windows\SWXCACLS.exe  
Supprimé : C:\Windows\zip.exe  
Supprimé : C:\Users\Sirbancal\Downloads\ZHPDiag2.exe  
Supprimé : C:\Users\Sirbancal\Downloads\OneClick2RP.exe  

~~~~~~ Registre ~~~~~~  

Clé Supprimée : HKCU\SOFTWARE\IDAVLab  
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cfxxe  
Clé Supprimée : HKLM\Software\swearware  
Clé Supprimée : HKLM\Software\IDAVLab  
Clé Supprimée : HKLM\Software\Classes\.cfxxe  
Clé Supprimée : HKLM\Software\Classes\cfxxefile  
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SEAF  
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1  
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe  
Clé Supprimée : HKLM\System\ControlSet001\Enum\Root\LEGACY_DWPROT  

~~~~~~ Autre ~~~~~~  

-> Prefetch vidé  

########## EOF - "C:\DelFixSuppr.txt" - [1911 octets] ##########  

conseils :  

l'application du crack effectivement a été facteur de mon arriver j'éviterais dans le futur d'en utiliser , pour le reste je n'installe aucune toolbar , j'évite le p2p et on essaye tous d'éviter les sites a risque ^^.  

j'utilise actuellement google chrome , j'ai aussi firefox  . dois-je préférer firefox avec adblock et WOT ou ces programmes fonctionnent aussi bien sur chrome?  

vaccination effectuer et j'avais déjà ccleaner=> j'ai appliquer vos recommandations .  

secunia ne répond pas quand je souhaite le lancer pour la version 2.0 en anglais  alors que la version 1.5.2 qui est en français marche .  
je met a jour mes fichiers .  

je suis en train de lire les articles , très intéressant , il y a de quoi se faire des cheveux blancs pour son ordinateur a lire de tels documents. 

Ps: ils ne marchent qu'avec firefox , je vais changer mes habitudes et prendre celui ci désormais.

moment de grace · Answer

j'utilise actuellement google chrome , j'ai aussi firefox . dois-je préférer firefox avec adblock et WOT ou ces programmes fonctionnent aussi bien sur chrome? 

comme tu veux, WOT est compatible aux deux...mais firefox garde ma préférence

je met a jour mes fichiers . 

oui mais evites toute version bêta


je suis en train de lire les articles , très intéressant , il y a de quoi se faire des cheveux blancs pour son ordinateur a lire de tels documents. 

j'ai pas tout mis...et au moins il te reste des cheveux

(sourire)

______

C'est tout bon

sauf soucis

=> résolu

bonne continuation...

sirbancal · Answer

effectivement le problème est résolue , merci encore de ton aide .

ne voyant pas une grande différence entre chrome et firefox changer ne me pausera pas de difficultés .

Oui, les produits non finis ne sont pas fait pour des personnes peu entraîner a l'informatique .

malheureusement cette denrée devient rare et mes anti-virus ne servent a rien pour ca.

(sourire)

------------------------
j'ai mis le post en résolu , merci encore et bon courage pour tes aides .

up2bdx · Answer

2 anti virus sur une machine c'est trop!!!!!
tu ne prendra jamais 2 antibiotique different pour la meme maladie non????

TB · Answer

Pour ma part, adwcleaner a réglé le problème instantanèment ! ^^

Virus virTool:win32/obfuscator.XZ

27 réponses

Discussions similaires