Avant formatage Résolu/Fermé

Question

Bonjour,  



Configuration: Windows XP / Internet Explorer 8.0

Voilà c est la premiére fois que je m adresse a un forum 
je suis a cours de ressource j ai tout fait et uliser comme anti trumuch virus trojan... 
en gros 
j ai un probleme 
mon pc lance de temps a autre une pub audio et redirige parfois mes pages web choisis vers d autre pages publicitaire 
enfin pour finir depuis quelque temps je ne peux plus faire pages suivante sur ebay resultat je peux regarder que les premiers articles 
voici le resultat hijackthis: 
Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 00:45:56, on 19/03/2011 
Platform: Windows XP SP3 (WinNT 5.01.2600) 
MSIE: Internet Explorer v8.00 (8.00.6001.18702) 
Boot mode: Normal 

Running processes: 
E:\WINDOWS\System32\smss.exe 
E:\WINDOWS\system32\winlogon.exe 
E:\WINDOWS\system32\services.exe 
E:\WINDOWS\system32\lsass.exe 
E:\WINDOWS\system32\svchost.exe 
E:\WINDOWS\System32\svchost.exe 
E:\WINDOWS\system32\svchost.exe 
E:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe 
E:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe 
E:\WINDOWS\system32\spoolsv.exe 
E:\WINDOWS\system32\acs.exe 
E:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe 
E:\Program Files\Symantec AntiVirus\DefWatch.exe 
E:\Program Files\Java\jre6\bin\jqs.exe 
E:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe 
E:\WINDOWS\system32\svchost.exe 
E:\Program Files\Symantec AntiVirus\Rtvscan.exe 
E:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe 
E:\Program Files\Fichiers communs\Pure Networks Shared\Platform
msrvc.exe 
E:\WINDOWS\Explorer.EXE 
E:\WINDOWS\system32\TPSMain.exe 
E:\WINDOWS\system32\TPSBattM.exe 
E:\Program Files\Toshiba\Toshiba Applet	hotkey.exe 
E:\WINDOWS\system32\hkcmd.exe 
E:\WINDOWS\system32\igfxpers.exe 
E:\WINDOWS\system32\igfxsrvc.exe 
E:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe 
E:\WINDOWS\system32\ctfmon.exe 
E:\Program Files\Synaptics\SynTP\SynTPEnh.exe 
E:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe 
E:\WINDOWS\System32\svchost.exe 
E:\PROGRA~1\SYMANT~1\VPTray.exe 
E:\PROGRA~1\Pinnacle\SHARED~1\Programs\USBTip\USBTip.exe 
E:\Program Files\Fichiers communs\Java\Java Update\jusched.exe 
E:\WINDOWS\system32\ctfmon.exe 
E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe 
E:\Program Files\Internet Explorer\iexplore.exe 
E:\Program Files\Internet Explorer\iexplore.exe 
E:\Program Files\Internet Explorer\iexplore.exe 
E:\Program Files\Internet Explorer\iexplore.exe 
C:\HiJackThis.exe 

ps je n ai pas de page web ouverte et pourtatnt 4 iexplorer.exe lancés...

A l aide j espere trouver quelqu un merci

Smart91 · Answer

Bonjour,

On va faire un diagnostic plus poussé de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

thierryk · Answer

c est mieux comme cela?? 
http://www.cijoint.fr/cjlink.php?file=cj201103/cij2g8cuck.txt

Pour info au lieu d aller sur vente privee
il me met sur
http://fr.gomeo.fr/index.php?a=1&keyword=Vente+Privee

moment de grace · Answer

hello

tu as fait ZHPfix au lieu de ZHPdiag comme demandé par Smart (hello)

thierryk · Answer

donc finallement grace a moment de grace
http://www.cijoint.fr/cjlink.php?file=cj201103/cijPZijmT2.txt
bon merci d avance pour votre aide je continue demain matin car il est tard et les petios se levent tot demain
a demain les pro de l info

moment de grace · Answer

hello

pour avancer

ton rapport ne révèle pas grand chose

fais ca stp

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
*  Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
*  Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (clic droit sur le lien ...enregistrer la cible du lien sous ) /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

thierryk · Answer

bon ok je vais faire celamais je comprends rien a ce que vous disais entre vous 
quelqu un pourra me vulgariser cela..
bon je fais la procedure et je reviens
merci

thierryk · Answer

je suis sur un autre pc
j ai double cliquer sur combo fix puis fais ok
et encore ok au message qui disais qu'il allait scanner
pas de console de restauration et pas de scan a lancer...
la j ai un fenetre bios au fond bleu et pas noir avec juste un trait qui clignote

moment de grace · Answer

fais le en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

thierryk · Answer

voici le compte rendu
http://www.cijoint.fr/cjlink.php?file=cj201103/cijtIKkXxE.txt 


ps pour info le DTSSkiller ne marche toujours pas en mode sans echec

moment de grace · Answer

ok

désinstalle spybot et tout autre anti spyware

puis on retélécharge tdsskiller

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
*  Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
*  Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

thierryk · Answer

Re
impossible de le lancer
je comprends pas il telecharge la version puis c est fini...
meme en double cliquant sur l icone!
le virus est toujours la il me redirige sur mes recherche via google vers des sites non voulu.
d autres solution de reserve?

moment de grace · Answer

* Télécharge Defogger 
http://www.jpshortstuff.247fixes.com/Defogger.exe

 => lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé


ensuite



/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

moment de grace · Answer

Télécharge OTL de OLDTimer 

http://oldtimer.geekstogo.com/OTL.scr


enregistre le sur ton Bureau. 

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

Sous Custom Scan box copie_colle le contenu en gras ci dessous: 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.* 
%SYSTEMDRIVE%\*.exe 
%PROGRAMFILES%\*.* 
%PROGRAMFILES%\*. 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
explorer.exe 
svchost.exe 
userinit.exe 
qmgr.dll 
ws2_32.dll 
proquota.exe 
imm32.dll 
kernel32.dll 
ndis.sys 
autochk.exe 
spoolsv.exe 
xmlprov.dll 
ntmssvc.dll 
mswsock.dll 
Beep.SYS 
ntfs.sys 
termsrv.dll 
sfcfiles.dll 
st3shark.sys 
/md5stop 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
c:\$recycle.bin\*.* /s 


* clic Run Scan pour démarrer le scan. 
* une fois terminé , le fichier se trouve là C:\OTL.txt 


Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

NE LE POSTE PAS SUR LE FORUM 

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport 

Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

moment de grace · Answer

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous "Personnalisation" : 




:OTL 
O2 - BHO: (BitComet Helper) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Program Files\BitComet	ools\BitCometBHO_1.4.12.6.dll (BitComet)    



:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C8A5DAD9-A245-711A-8684-5410798EA8D5}] 
[-HKEY_CLASSES_ROOT\CLSID\{C8A5DAD9-A245-711A-8684-5410798EA8D5}]


:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redémarrage.

thierryk · Answer

ca y est j ai fait 
la redirection toujours presente au redemarrage et voici le texte donné par OTL
le site de depose de fichier bug comme c est pas tro long le voici
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}\ deleted successfully.
E:\Program Files\BitComet	ools\BitCometBHO_1.4.12.6.dll moved successfully.
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{C8A5DAD9-A245-711A-8684-5410798EA8D5}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8A5DAD9-A245-711A-8684-5410798EA8D5}\ not found.
Registry key HKEY_CLASSES_ROOT\CLSID\{C8A5DAD9-A245-711A-8684-5410798EA8D5}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C8A5DAD9-A245-711A-8684-5410798EA8D5}\ not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 308060 bytes
->Temporary Internet Files folder emptied: 17419950 bytes
->Java cache emptied: 2023 bytes
->Flash cache emptied: 3917 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
 
User: Laetitia
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 997283 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 8811 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 327706 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Thierry
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 0 bytes
->Flash cache emptied: 434 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134506 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 16867 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 5585 bytes
 
Total Files Cleaned = 20,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 03202011_150448

Files\Folders moved on Reboot...
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\II2UQVDR\ads[2].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\II2UQVDResourcespreload[2].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\II2UQVDR\xmlProxy[2].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\BUOYXCEJ\01[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\239OUSEQ\adloader[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\239OUSEQ\ads[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\239OUSEQ\default[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\239OUSEQ\InboxLight[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\239OUSEQ\LocalStorage[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\239OUSEQ\Messenger[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\239OUSEQ\search[3].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\0QM2OXMT\affich-21227288-avant-formatage[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\0QM2OXMT\afr[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\0QM2OXMT\google_fr[2].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\0QM2OXMT\WebIMPop[1].htm moved successfully.
E:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\0QM2OXMT\xmlProxy[1].htm moved successfully.

Registry entries deleted on Reboot...

moment de grace · Answer

arf

il faudrait absolument réussir TDSSkiller

on supprime les outils et on retente

1)

télécharge Delfix de Xplode

http://www.teamxscript.org/too/Xplode/DelFix.exe


choisis SUPPRESSION 

poste son rapport

_________

2)

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
*  Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
*  Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

thierryk · Answer

salut delfix ok mais impossible de lancer tdsskiller meme en mode sans echec sur la partition vista il fonctionne par contre mais agit que sur celle ci
est ce compatible avec xp ?
d autres solution ou on arrive a court...
rassure moi ... ;-)



# DelFix v7.5 - Rapport créé le 20/03/2011 à 15:44
# Mis à jour le 15/03/11 à 16h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Administrateur - PCPORTABLETITI (Administrateur)
# Exécuté depuis : E:\Documents and Settings\Administrateur\Bureau\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : E:	dsskiller

~~~~~~ Fichier(s) ~~~~~~

Supprimé : E:\Documents and Settings\Administrateur\Bureau\Load_tdsskiller.exe

~~~~~~ Registre ~~~~~~


~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "E:\DelFixSuppr.txt" - [717 octets] ##########

moment de grace · Answer

oui compatible...

fais le sur xp pour voir

thierryk · Answer

on s est mal compris ma partition verolée est xp et tdsskiller ne fonctionne pas sur cette partition...
par contre sur la partition vista il fonctionne... mais vista fonctionne bien
ps j ai reinitialiser ieplorer8 et ebay fonctionne 
par contre toujours redirigé sur mes recherche google
ex vente privée
ex credit 
les mots ou la concurence est rude
mais pas sur les sites classique...
donc touyjours verolé 

te reste t il des cartouches ou je dois commencer a sauvegarder mes data
merci

moment de grace · Answer

fais tdss sur vista pour voir

moment de grace · Answer

bon

on revient sur xp donc

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau. 
* Merci à Malekal pour le tutoriel 
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
* Double clique sur mbr.exe 
* Un rapport sera généré : mbr.log 
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: 

=>  Sous XP : "%userprofile%\Bureau\mbr" -f 

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f


* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK

moment de grace · Answer

arf ! DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection) Télécharge ici :List_Kill'em et enregistre le sur ton bureau http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur le raccourci sur ton bureau pour lancer l'installation Laisse coché : Executer List_Kill'em une fois terminée , clic sur "terminer" et le programme se lancera seul choisis l'option Search laisse travailler l'outil à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué. Attention : sous 64 bits il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre , ca le debloquera pour finir son scan Poste les rapports qui apparaitront sur ton bureau NE LES POSTE PAS SUR LE FORUM Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ Clique sur Parcourir et cherche le fichier ci-dessus. Clique sur Ouvrir. Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt est ajouté dans la page. Copie ce lien dans ta réponse. Fais de même avec more.txt qui se trouve sur ton bureau

thierryk · Answer

Salut
tu as plein de flèche a ton arc si tu réussis je te dois un / des pots
Je suis au travail j essaie ce soir
merci

thierryk · Answer

il ne veut pas se lancer voici le message d erreur
en plus il m ouvre mes document
http://www.cijoint.fr/cjlink.php?file=cj201103/cijoguHy2h.jpg

gen-hackman · Answer

salut Thierry retelécharge-le , j'ai enlevé le lanceur , là il fonctionnera 

n'oublie pas , s il bloque à 95% anormalement longtemps , relance avec le raccourci sans l arreter et clique sur le X en bas de la fenete principale quoi qu'avec XP c'est rare qu il bloque :)


voila bonne suite

moment de grace · Answer

hello

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

 Relance List&Kill'em,avec le raccourci sur ton bureau. 

mais cette fois-ci : 

 choisis l'option command lines

et copie/colle ce en gras si dessous : 


del /f /q mbr.log 
mbr.exe -t 
notepad mbr.log 
del /f /Q mbr.log




 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le 



laisse travailler l'outil 

 poste le resultat

thierryk · Answer

bonsoir voila Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 5.1.2600 Disk: TOSHIBA_MK4055GSX rev.FG011M -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 device: opened successfully user: MBR read successfully Disk trace: called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8AAF11ED]<< 1 ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Harddisk0\DR0[0x8AB4CAB8] 3 CLASSPNP[0xBA0E8FD7] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\0000007c[0x8AB722D8] 5 ACPI[0xB9F5E620] -> ntkrnlpa!IofCallDriver[0x804EF1A6] -> \Device\Ide\IdeDeviceP0T0L0-3[0x8AB21940] kernel: MBR read successfully detected disk devices: detected hooks: \Driver\atapi -> 0x8aaf11ed user & kernel MBR OK Warning: possible MBR rootkit infection ! ps une fenetre ms dos reste ouverte avec ce texte..

gen-hackman · Answer

c'est daemon tools à tous les coups

moment de grace · Answer

hello

@ smart

tu peux guider pour le dump du MBR

https://forums.commentcamarche.net/forum/affich-21227288-avant-formatage?page=2#67

là je suis pas top...

Smart91 · Answer

Gen a peut -être raison le le PC n'est peut-être pas tatoué
car dans ce cas on aurait eu
372 GB \.\PhysicalDrive0 unknow MBR code ou Found non standard or infected MBR"

Pour vérifier le dump du MBR:

Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : E:\PhysicalDisk0_MBR.bin
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet

Smart

Smart91 · Answer

Le fichier a peut-être été supprimé par l'un des outils passés entre temps 

Télécharger, sur le Bureau, [b]MBRCheck[/b] (par a_d_13) en cliquant sur l'un de ces liens:     
* http://www.geekstogo.com/forum/files/file/441-mbrcheck/     
* https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe     
* http://www.kernelmode.info/MBRCheck.exe 
*Fermer tout. 

Clique sur MBRCheck.exe qui se trouve sur ton bureau 

Dans la fenêtre noire qui s'ouvre, attends le scan... 
- Tape sur Y 
- ensuite tu choisis l'option 1 (surtout ne choisis pas les autres options)
- Tu donnes le N° de disque : 0 
- Tu donnes ce nom pour le fichier : Disk0_MBR 
- Un fois que qur tu as le message Dumped successfully, tu fermes la fenêtre. 

Le fichier Disj0_MBR se trouve sur ton bureau et c'est ce fichier que tu vas scaner avec Virustotal 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Smart91 · Answer

Donc pas besoin de VT. Le MBR est OK
Et le message:

"Warning: possible MBR rootkit infection !" 

est surement dû à la présence d'un émulateur de CD.
Pour s'en assurer:
* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

Et ensuite ce qu'avais dit mdg ici ==>
https://forums.commentcamarche.net/forum/affich-21227288-avant-formatage?page=2#63

Smart

moment de grace · Answer

on tourne en rond...

essaie ca stp

* Télécharge TDSS Remover sur ton bureau 
http://www.esagelab.com/files/tdss_remover_latest.rar 

* Crée un nouveau dossier sur le bureau puis décompresse l'archive dedans. 
* Lance le programme en cliquant sur "Remover.exe", l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés. 

Coche les et clique sur "Delete/Repair Selected". 

* Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage, appuyez sur "YES".

gen-hackman · Answer

salut il y a un dump du MBR ici :

C:_PRogram Files\List_Kill'em\MBR_%Username%_List_Kill'em.bin

thierryk · Answer

voici les resultats encore des problemes:

http://www.cijoint.fr/cjlink.php?file=cj201103/cijboZCBRB.jpg 

http://www.cijoint.fr/cjlink.php?file=cj201103/cijPiRPXYb.jpg

thierryk · Answer

bonjour
Encore moi vous réfléchissez ou  vous m avez oublié pire c est fini pour ce virus pas de solution ??
merci

moment de grace · Answer

hello

un peu les deux

on va refaire combofix mais renomme le THIERRYK.exe avant de l'enregistrer sur le bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

clic droit sur le lien
enregistrer la cible sous
renommer et en enregistrer sur le bureau

moment de grace · Answer

ci joint refonctionne et il y avait bien un rootkit

on va pourvoir finir proprement

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

moment de grace · Answer

un rootkit est un type de virus, dont la particularité est d'être particulièrement bloquant et invisible....une saleté quoi !

Pour finir

1)

Copie  tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKCU\Software\Conduit]    
[HKCR\.bc!]    
[HKCR\bittorrent]    
[HKLM\Software\Classes\bittorrent]


Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message 

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

...................

2)

vérifie la Console Java ? : 
https://www.java.com/fr/download/uninstalltool.jsp

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 
http://raproducts.org/click/click.php?id=1

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 


.............

3)

Mets à jour Adobe Reader (désinstalle avant la version antérieure) 
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html


....................

4)
IMPORTANT

Purger les points de restauration système:

Télécharge OneClick2RestorePoint

http://www.multifa7.be/Laddy/OneClick2RP.exe (merci à elle)

Mirroirs si non accessible :
http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
https://app.box.com/s/cqcsz5m0oz

*	Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven)
*	Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir
*	Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
*	* Rends toi dans l'onglet "Autres options"
*	Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
*	Les points de restauration système seront purgés sauf le dernier créé.

Ensuite avec le même outil
Créer un nouveau point de restauration reconnaissable
.................

5)
pour supprimer les outils de désinfection : 

télécharge Delfix de Xplode

http://www.teamxscript.org/too/Xplode/DelFix.exe


choisis SUPPRESSION 

poste son rapport
.............................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
https://addons.mozilla.org/fr/firefox/addon/adblock-plus/


............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://www.teamxscript.org/too/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................

Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux utiliser Sécunia
https://www.donnemoilinfo.com/sujet/Securiser/secunia-personal-inspector.php

.........................

utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

Avant formatage

40 réponses

Discussions similaires