Un .dll en quarantaine-1 erreur au démarrage Résolu/Fermé

Question

Bonjour, 

Après une infection par des trojans, j'ai eu à placer avec Avira Antivir des fichiers en quarantaine ; au démarrage s'affiche un message d'erreur signalant


RunDLL

Erreur de chargement de (chemin d'un des fichiers placés en quarantaine)

Le module spécifié est introuvable

Je suis donc allé vérifier mon dossier de quarantaine ; le fichier s'y trouve trois fois et qualifié comme contenant un cheval de troie.

J'ai recontrôlé les fichiers pour voir si je pouvais les restaurer.

Cela me donne le rapport suivant :

Objets trouvés : 1
Objets suspects : 0
Objets propres : 0

J'ai donc du mal à comprends.... ce n'est ni propre ni suspect.... qu'est-ce à entendre ?

Voilà donc mon problème, je vous place un lien vers un screen de mon écran comprenant en une seule fois, le message d'erreur, le dossier de Quarantaine de mon antivirus et le résultat de contrôle du fichier infecté placé en quarantaine.

https://imageshack.com/

Vous remerciant d'avant de l'aide que vous pourrez m'apporter.

Odoacre


Configuration: Windows Vista / Firefox 3.6.16

Excessimo · Accepted Answer

Salut !

===============ZHPDIAG====================

On va faire un diagnostic du PC :

[*]Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

[*]Clique sur l'icône représentant une loupe en haut à gauche (« Lancer le diagnostic »)
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
[*]Héberge le rapport ZHPDiag.txt (qui se trouve sur ton bureau) sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/ 

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Odoacre · Answer

Bonjour,

Merci pour votre rapide réponse, je pense pouvoir poster cela en fin d'après midi.

Odoacre

Odoacre · Answer

Bonjour, j'ai fait le diagnostic et hébergé le rapport ici : http://cjoint.com/11av/ADwtrC7xGyd.htm

 Vous remerciant

Odoacre

Excessimo · Answer

Bon, déjà tu es infecté :

commence par désactiver l'UAC car elle pourrait entraver certains programmes :

https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Laisse désactivé durant toute la désinfection, je te dirai quand réactiver


===============TDSSKiller====================

[X] Télécharge TDSSKiller sur ton bureau

https://support.kaspersky.com/downloads/utils/tdsskiller.zip

[X] Créer un nouveau dossier sur ton bureau puis décompresse l'archive dedans.

[X] Lance le programme en cliquant sur TDSSKiller.exe, laisse les 2 cases cochées et clique sur "start scan", attends la fin du scan, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

[X] Vérifier que l'option "Cure" est sélectionnée pour les infections (malicious). 

[X] Sélectionner "Skip" pour les fichiers suspects (suspicious).

[X] Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

[X] Le rapport tdss se trouve ici : C:\ ; Postes le dans ta prochaine réponse

[X] Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350


############### Malwarebytes' Anti-Malware ###############

On va passer un scan généraliste,

[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

http://www.malwarebytes.org/mbam-download.php

* NB : pour lancer le téléchargement, cliquer sur Download NOW"

[x] Désactive ton Antivirus pour éviter les conflits

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, laisse les 2 cases pour l"éxécution et la mise à jour cochées.

[x] Une fois lancé, clique sur " Exécuter un examen rapide" puis sur " Rechercher "

[x] Clique ensuite sur " Afficher les résultats " puis sur " SUPPRIMER LA SELECTION !!! ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Note : Tu devra peut être redémarrer ton PC, accepte. Le rapport se trouve dans la partie " Rapports/Logs " du logiciel.

[*] Je te conseille de garder Malwarebytes' et de passer des scans de temps en temps, ne pas oublier de le mettre à jour avant un scan. Mais attention, il ne remplace pas ton antivirus, c'est un complément.

* (NB : S'il te manque"COMCTL32.OCX" lors de l'installation, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

Odoacre · Answer

Merci pour ces consignes !

Une question bête : je prends l'une des deux solutions ou alors TDSSkiller puis Malwarebyte's ?

Odoacre · Answer

Bonsoir à nouveau.

J'ai donc effectué scrupuleusement les étapes une à une.

Voici d'abord le rapport Killer : http://cjoint.com/11av/ADwwTXwK5rJ.htm

Voici ensuite en copié/collé le rapport Malwarebytes :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6422

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19048

22/04/2011 22:42:30
mbam-log-2011-04-22 (22-42-30).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 179812
Temps écoulé: 4 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Xmaruc (Trojan.Agent.U) -> Value: Xmaruc -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Excessimo · Answer

Très bien !

===============ZHPFIX====================

* Lance ZHPFix il se trouve sur le bureau (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).

    * Copie les lignes suivantes :

    ---------------------------------------------------


[HKCU\Software\LdShih]
[HKLM\Software\Conduit]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
OPT:O4 - HKCU\..\Run: [Xmaruc] C:\Users\Odoacre\AppData\Local\ugINle.dll (.not file.)
OPT:O4 - HKUS\S-1-5-21-1658177264-3782993181-586237085-1000\..\Run: [Xmaruc] C:\Users\Odoacre\AppData\Local\ugINle.dll (.not file.)
O64 - Services: CurCS - (.not file.) - fca4a800 (fca4a800)  .(...) - LEGACY_FCA4A800
OPT:O4 - HKCU\..\Run: [Xmaruc] C:\Users\Odoacre\AppData\Local\ugINle.dll (.not file.)
OPT:O4 - HKUS\S-1-5-21-1658177264-3782993181-586237085-1000\..\Run: [Xmaruc] C:\Users\Odoacre\AppData\Local\ugINle.dll (.not file.)
C:\Users\Odoacre\AppData\Roaming\A9215567AE67EE7A1BBEE7CC37A2C6A6



    ---------------------------------------------------

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Les lignes se collent automatiquement dans ZHPFix.
    * Clique sur « Go » pour lancer le nettoyage.
    
Poste le rapport (il se trouve sur le Bureau).

Odoacre · Answer

Voici le rapport

Rapport de ZHPFix 1.12.3278 par Nicolas Coolman, Update du 21/04/2011
Fichier d'export Registre : 
Run by Odoacre at 22/04/2011 23:20:09
Windows Vista Business Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\LdShih  => Clé non supprimée
HKLM\Software\Conduit  => Clé non supprimée
O64 - Services: CurCS - (.not file.) - fca4a800 (fca4a800)  .(...) - LEGACY_FCA4A800  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe  => Valeur absente
O4 - HKCU\..\Run: [Xmaruc] C:\Users\Odoacre\AppData\Local\ugINle.dll (.not file.)  => Valeur absente
O4 - HKUS\S-1-5-21-1658177264-3782993181-586237085-1000\..\Run: [Xmaruc] C:\Users\Odoacre\AppData\Local\ugINle.dll (.not file.)  => Valeur absente

========== Dossier(s) ==========
C:\Users\Odoacre\AppData\Roaming\A9215567AE67EE7A1BBEE7CC37A2C6A6  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
3 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Dossier(s)


End of the scan

Excessimo · Answer

Voilà, c'est fini !

Mets à jour Java et Adobe Reader

1ère étape : Java

> Télécharge JavaRa puis décompresse le sur ton bureau.
> Ouvre le dossier JavaRa puis exécute JavaRa.exe.
> Clique sur "Search For Updates".
> Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
> Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
> Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
> Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
> Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\

2ème étape : Adobe Reader

> Si tu utilises adobe reader, il est important qu'il soit à jour.
> Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC
> Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour]

3ème étape : Mise à jour des logiciels

> Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
> Télécharge le Ici
> Un tutoriel pour son utilisation est disponible Ici.


Maintiens Windows à jour aussi !

Bon surf ;)

Odoacre · Answer

Vraiment un grand merci pour votre aide !

Adobe et Java mis à jour. Pour Java, Jucheck.exe n'a pas fonctionné, j'ai donc directement remové et installé la dernière version de Java. Cependant, aucun Log ne s'est ouvert ni collé dans C:\, est-ce normal ?

Encore merci !

Excessimo · Answer

la désinstallation des anciennes versions de Java s'est bien déroulé ? 
Si oui, on passe au nettoyage des outils que l'on a utilisé : 



DelFix

> Télécharge DelFix sur ton bureau. 
> Lance le. 
> Clique sur Supression puis valide en appuyant sur [Entrée]. 
> Patiente pendant le scan jusqu'à l'ouverture du rapport. 
> Ferme le rapport et relance le et clique sur désinstaller.

Odoacre · Answer

Oui cela s'est bien passé à mon souvenir^^.

Le lien DelFix ne fonctionne pas ; je le chope ici : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

Voilà qui est fait !

Un .dll en quarantaine->1 erreur au démarrage

12 réponses

Discussions similaires