Windows Vista Recovery Virus sur mon PC

Question

Bonjour, 
Je subis également ce virus! Au départ, il laissait mon bureau vide et noir, avec une fenêtre d'alerte ayant détecté des éléments malveillants pr lesquels on me conseillait d'acheter l'antivirus nécessaire. En passant par l'onglet windows, dans "ordinateur" tout apparaissait vide. J'ai réussi à accéder à mes fichiers uniquement par l'onglet windows (vide là aussi, liste des programmes introuvable) en tapant un nom au hasard. J'ai pu ainsi accéder à internet explorer, et j'ai d'abord utilisé selon divers conseils peu récents Reanimator+Malwarebytes+Ccleaner. Cette manoeuvre a permis de détecter et supprimer certains des fichiers malveillants mais le problème restait le même : pas d'icône sur le bureau, barre vide en bas de l'écran, dossiers introuvables dans windows-ordinateur.
Puis je me suis bêtement faite avoir en installant TrojanKiller qui semble en fait être un rogue.
J'ai enfin essayé avec RogueKiller+Malwarebytes, cette fois les icônes sont réapparus sur le bureau mais l'écran est tjrs noir en fond, et tjrs pas de barre d'onglets en bas, ni de liste de programmes dans l'onglet "windows". Comme si certains éléments restaient cachés.

J'ai essayé de me cantonner aux conseils donnés aux autres internautes mais cela est limité puisque si j'ai bien compris ce sont les rapports postés qui permettent d'orienter la marche à suivre au cas par cas..
Par ailleurs je n'ose rien brancher de peur que ça infeste clé usb et disque dur externe.

Merci beaucoup d'avance si vous avez une solution ! 





Configuration: Windows Vista / Internet Explorer 7.0

Utilisateur anonyme · Answer

Salut,
1/
* Télécharge sur le bureau RogueKiller (par tigzy)  
https://www.luanagames.com/index.fr.html  


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )  

* Quitte tous tes programmes en cours  
* Lance RogueKiller.exe.  
* Lorsque demandé, tape 6 et valide  
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le  en winlogon.exe ou firefox.exe (rajouter l'extension .exe) 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse  
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.  

NB :Maintenant tu tapess 6  :)

2/

Nous allons effectuer un diagnostic de ton PC: 
*Télécharge ZHPDiag sur ton bureau : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag" 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://pjjoint.malekal.com/ 

Si indisponible: 
http://www.cijoint.fr/ 

* Tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com 

* Rends toi sur http://pjjoint.malekal.com/ 
* Clique sur le bouton Parcourir 
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
*Clique sur le bouton Envoyer 
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse

@+

Utilisateur anonyme · Answer

Salut,

1/

* Télécharge de AD-Remover sur ton Bureau. 
http://www.teamxscript.org/adremoverTelechargement.html 

/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c


2/
* Telecharge et install UsbFix par El Desaparecido , C_XX & Chimay8 

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir 

- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris 

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera 

automatiquement 

-Clique sur "Recherche" 

- Laisse travailler l'outil 

- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi 

sauvegardé a la racine du disque dur)

Shangri La · Answer

Je n'arrive pas à t'envoyer le rapport suivant! au moment d'appuyer sur "valider" on me dit "titre du message non renseigné".. C'est normal ?

Utilisateur anonyme · Answer

Pour que tu puisses l'envoyer, inscris toi  au forum CCM

@+

Utilisateur anonyme · Answer

Re,

Non, il y'a des infections : On va les supprimer maintenant :

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

automatiquement

-Clique sur "Suppression"

- Laisse travailler l'outil

- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi

sauvegardé a la racine du disque dur) 

@+

Utilisateur anonyme · Answer

Re,

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]   =>Spyware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}]   =>Adware.SPointer
[HKCU\Software\Spointer]   =>Adware.SPointer
C:\Users\Louise\AppData\Roaming\Adobe\plugs   =>Trojan.FakeAlert
C:\Users\Louise\AppData\Roaming\Adobe\shed   =>Trojan.FakeAlert

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau . 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton  GO 

Copie/Colle le rapport à l'écran dans ton prochain message.

Shangri La · Answer

Voilà le rapport :

Rapport de ZHPFix 1.12.3286 par Nicolas Coolman, Update du 23/05/2011
Fichier d'export Registre : C:\ZHPExportRegistry-27-05-2011-18-48-46.txt
Run by Louise at 27/05/2011 18:48:46
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}  => Clé supprimée avec succès
HKCU\Software\Spointer  => Clé absente

========== Valeur(s) du Registre ==========
FirewallRaz : Aucune valeur présente dans la clé de registre "Standard Profile"
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (None) : {87200944-D227-404C-8066-784C1870A350}  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\Users\Louise\AppData\Roaming\Adobe\plugs  => Supprimé et mis en quarantaine
C:\Users\Louise\AppData\Roaming\Adobe\shed  => Supprimé et mis en quarantaine
Dossiers temporaires Windows supprimés: 102
Dossiers Flash Cookies supprimés : 23

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 1588
Fichiers Flash Cookies supprimés : 16


========== Récapitulatif ==========
3 : Clé(s) du Registre
3 : Valeur(s) du Registre
4 : Dossier(s)
2 : Fichier(s)


End of the scan

Utilisateur anonyme · Answer

Re,

Maintenant stp un nouveau rapport ZHPDiag (à l'héberger )

Shangri La · Answer

Voilà après repassage à ZHPDiag :

https://pjjoint.malekal.com/files.php?id=o15k10p5w9s8i7w12m13l6

Utilisateur anonyme · Answer

Re,

Tu m'as envoyé ZHPFix et non ZHPDiag !   :)

Shangri La · Answer

J'ai fait la même manip pourtant.. C'est bon avec ça ?
(pas bon signe j'ai l'impression)

https://pjjoint.malekal.com/files.php?id=a42187c0f814107

Utilisateur anonyme · Answer

Re, 

Oui ton PC est encore infecté !

Attention, avant de commencer, lit attentivement la procédure  

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\  

? Fais un clic droit sur ce lien, enregistre le dans ton bureau  

Voici Aide combofix  


? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  
  

? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)  

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION  
(si il te propose de l'installer remets internet)  

? Mets-le en langue française F  

? Tape sur la touche 1 (Yes) pour démarrer le scan.  


? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

? Note : Le rapport se trouve également là : C:\ComboFix.txt   

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-* 
Membre, Contributeur 

-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*-*

Shangri La · Answer

Et  voilà :
(NB : avast s'est réactivé tout seul car j'avais demandé seulement une désactivation de 10 min sans me douter que ça pourrait durer plus.. ça n'a pas eu l'air d'avoir un quelconque impact, mais j'espère que ça n'a effectivement rien perturbé)

Merci beaucoup pour ta disponibilité en tout cas.


ComboFix 11-05-26.05 - Louise 27/05/2011  20:24:55.1.1 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6001.1.1252.33.1036.18.3001.2218 [GMT 2:00]
Lancé depuis: c:\users\Louise\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}
SP: avast! Antivirus *Disabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}
SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Louise\AppData\Roaming\.#
.
Une copie infectée de c:\windows\system32\drivers\volsnap.sys a été trouvée et désinfectée 
Copie restaurée à partir de - Kitty had a snack :p 
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-04-27 au 2011-05-27  ))))))))))))))))))))))))))))))))))))
.
.
2011-05-27 15:21 . 2011-05-27 16:24	--------	d-----w-	C:\UsbFix
2011-05-27 15:11 . 2011-05-27 15:11	--------	d-----w-	c:\program files\Ad-Remover
2011-05-27 09:29 . 2011-05-27 16:58	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-05-27 09:25 . 2011-05-27 17:41	--------	d-----w-	c:\program files\ZHPDiag
2011-05-26 17:12 . 2011-05-26 17:12	--------	d-----w-	c:\program files\Common Files\Java
2011-05-21 07:40 . 2011-05-24 09:41	--------	d-----w-	c:\users\Louise\AppData\Local\Adobe
2011-05-21 06:56 . 2011-05-21 07:13	--------	d-----w-	c:\program files\GridinSoft Trojan Killer
2011-05-21 06:46 . 2011-05-21 06:46	--------	d-----w-	c:\users\Louise\AppData\Local\Acer ePower Management V4
2011-05-20 16:38 . 2011-05-20 16:38	--------	d-----w-	c:\program files\CCleaner
2011-05-20 15:22 . 2011-05-20 15:22	--------	d-----w-	c:\users\Louise\AppData\Roaming\Malwarebytes
2011-05-20 15:22 . 2010-11-29 15:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-05-20 15:22 . 2011-05-20 15:22	--------	d-----w-	c:\programdata\Malwarebytes
2011-05-20 15:22 . 2011-05-20 15:22	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-05-20 15:01 . 2011-05-20 15:01	39192	----a-w-	c:\windows\system32\Partizan.exe
2011-05-20 15:01 . 2011-05-20 15:01	35816	----a-w-	c:\windows\system32\drivers\Partizan.sys
2011-05-20 14:26 . 2011-05-20 14:26	2	--shatr-	c:\windows\winstart.bat
2011-05-20 14:25 . 2011-05-20 14:25	--------	d-----w-	c:\program files\Greatis
2011-05-19 20:13 . 2008-01-21 02:23	6144	----a-w-	c:\windows\system32\beep.sys
2011-05-16 12:40 . 2005-04-03 20:59	5632	----a-w-	c:\program files\Common Files\InstallShield\Professional\RunTime\11\00\Intel32\DotNetInstaller.exe
2011-05-16 12:39 . 2011-05-16 12:39	--------	d-----w-	c:\program files\SAS Institute Inc
2011-05-16 12:14 . 2011-05-16 12:16	--------	d-----w-	C:\JMP9Trial_Install
2011-05-16 09:07 . 2011-05-16 09:07	--------	d-----w-	c:\programdata\Oberon Games
2011-05-11 19:23 . 2011-05-12 18:53	--------	d-----w-	c:\users\Louise\AppData\Roaming\Iwuc
2011-05-11 19:23 . 2011-05-11 20:03	--------	d-----w-	c:\users\Louise\AppData\Roaming\Caopam
2011-05-07 07:35 . 2011-05-07 07:35	--------	d-----w-	c:\users\Louise\AppData\Local\SAS
2011-05-07 07:15 . 2011-05-16 12:38	--------	d-----w-	c:\program files\SAS
2011-05-07 07:09 . 2009-11-08 08:55	99176	----a-w-	c:\windows\system32\PresentationHostProxy.dll
2011-05-07 07:09 . 2009-11-08 08:55	295264	----a-w-	c:\windows\system32\PresentationHost.exe
2011-05-07 07:09 . 2009-11-08 08:55	49472	----a-w-	c:\windows\system32
etfxperf.dll
2011-05-07 07:09 . 2009-11-08 08:55	297808	----a-w-	c:\windows\system32\mscoree.dll
2011-05-07 07:09 . 2009-11-08 08:55	1130824	----a-w-	c:\windows\system32\dfshim.dll
2011-05-04 07:34 . 2011-04-18 07:15	7071056	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{78C81767-188F-4D39-B526-7A1F3D94BE4E}\mpengine.dll
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-05-27 16:24 . 2011-05-27 16:24	233716	----a-w-	C:\UsbFix_Upload_Me_RUPPERT.zip
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2008-01-21 . 67E506B75BD5326A3EC7B70BD014DFB6 . 6144 . . [6.0.6001.18000] . . c:\windows\System32\beep.sys
.
c:\windows\System32\drivers\beep.sys ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\egisPSDP]
@="{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}"
[HKEY_CLASSES_ROOT\CLSID\{30A0A3F6-38AC-4C53-BB8B-0D95238E25BA}]
2009-05-14 21:02	120104	------w-	c:\program files\EgisTec\MyWinLocker 3\x86\PSDProtect.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"OrangePlayer"="c:\program files\Orange\Media Player\Media Player.exe" [2009-09-05 319488]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-02-12 186904]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-06-15 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-06-15 175128]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-06-15 153624]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-06-14 98304]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2009-04-11 7399968]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"LManager"="c:\program files\Launch Manager\LManager.exe" [2009-04-09 1071624]
"BackupManagerTray"="c:\program files\NewTech Infosystems\Acer Backup Manager\BackupManagerTray.exe" [2009-05-26 253696]
"LanguageShortcut"="c:\program files\CyberLink\PowerDVD\Language\Language.exe" [2009-03-30 62760]
"Acer ePower Management"="c:\program files\Acer\Acer PowerSmart Manager\ePowerTrayLauncher.exe" [2009-05-15 440864]
"ODDPwr"="c:\program files\Acer\Optical Drive Power Management\ODDPwr.exe" [2009-04-29 176128]
"EgisTecLiveUpdate"="c:\program files\EgisTec Egis Software Update\EgisUpdate.exe" [2009-05-13 199464]
"mwlDaemon"="c:\program files\EgisTec\MyWinLocker 3\x86\mwlDaemon.exe" [2009-05-14 345384]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-03-09 2769336]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-11-29 963976]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"OrangePlayer"="c:\program files\Orange\Media Player\Media Player.exe" [2009-09-05 319488]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
Acer VCM.lnk - c:\program files\Acer\Acer VCM\AcerVCM.exe [2009-7-13 565248]
Device Detector 3.lnk - c:\program files\Olympus\DeviceDetector\DevDtct2.exe [2010-1-10 118784]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute	REG_MULTI_SZ   	autocheck autochk *\0Partizan
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate1ca5f1af3aaf39e;Service Google Update (gupdate1ca5f1af3aaf39e);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 133104]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\DRIVERS\b57nd60x.sys [2008-01-21 179712]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 133104]
R3 NTIBackupSvc;NTI Backup Now 5 Backup Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe [2008-09-23 50424]
R3 Partizan;Partizan;c:\windows\system32\drivers\Partizan.sys [2011-05-20 35816]
R3 PCAMp50;PCAMp50 NDIS Protocol Driver;c:\windows\system32\Drivers\PCAMp50.sys [2009-02-03 28224]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S1 aswSP;aswSP; [x]
S1 mwlPSDFilter;mwlPSDFilter;c:\windows\system32\DRIVERS\mwlPSDFilter.sys [2008-12-04 19504]
S1 mwlPSDNServ;mwlPSDNServ;c:\windows\system32\DRIVERS\mwlPSDNServ.sys [2008-12-04 16432]
S1 mwlPSDVDisk;mwlPSDVDisk;c:\windows\system32\DRIVERS\mwlPSDVDisk.sys [2008-12-04 59952]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-06-15 176128]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-03-09 51792]
S2 DsiWMIService;Dritek WMI Service;c:\program files\Launch Manager\dsiwmis.exe [2009-04-11 117256]
S2 ePowerSvc;Acer ePower Service;c:\program files\Acer\Acer PowerSmart Manager\ePowerSvc.exe [2009-05-15 703008]
S2 MWLService;MyWinLocker Service;c:\program files\EgisTec\MyWinLocker 3\x86\MWLService.exe [2009-05-14 305448]
S2 NTI IScheduleSvc;NTI IScheduleSvc;c:\program files\NewTech Infosystems\Acer Backup Manager\IScheduleSvc.exe [2009-05-26 62208]
S2 NTISchedulerSvc;NTI Backup Now 5 Scheduler Service;c:\program files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe [2008-09-23 144632]
S2 ODDPwrSvc;Acer ODD Power Service;c:\program files\Acer\Optical Drive Power Management\ODDPWRSvc.exe [2009-04-29 118784]
S2 RS_Service;Raw Socket Service;c:\program files\Acer\Acer VCM\RS_Service.exe [2009-02-05 237568]
S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [2009-06-15 4989952]
S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2009-06-15 106496]
S3 intelkmd;intelkmd;c:\windows\system32\DRIVERS\igdpmd32.sys [2009-06-15 4740096]
S3 L1C;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\DRIVERS\L1C60x86.sys [2009-04-01 50176]
S3 NETw5v32;Intel(R) Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 32 Bit;c:\windows\system32\DRIVERS\NETw5v32.sys [2008-09-25 3666432]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 19:52]
.
2011-05-27 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-11-06 19:52]
.
.
------- Examen supplémentaire -------
.
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html
TCP: DhcpNameServer = 192.168.1.1
DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} - hxxp://webtv.guidetv.orange.fr/resources/OCS_9418.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-mcmscsvc
SafeBoot-MCODS
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-05-27 20:33
Windows 6.0.6001 Service Pack 1 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-3343674620-401025763-874009524-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*jpg*]
@Class="Shell"
.
[HKEY_USERS\S-1-5-21-3343674620-401025763-874009524-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*jpg*\OpenWithList]
@Class="Shell"
.
Heure de fin: 2011-05-27  20:36:38
ComboFix-quarantined-files.txt  2011-05-27 18:36
.
Avant-CF: 187 497 402 368 octets libres
Après-CF: 187 516 166 144 octets libres
.
- - End Of File - - 00659E6D8D5CE18A9B50F5CCB665A938

Shangri La · Answer

ça a l'air mieux ?
Me recommandes-tu d'utiliser un antivirus payant à l'avenir ?... ou est-ce que la qualité de la protection n'y aurait rien changé ?

Utilisateur anonyme · Answer

Re,

1/

Pour bien vérifier que le  fichier ci-dessous est infecté rend toi sur ce site

Virus Total

Colle directement le chemin du fichier dans l'espace "Parcourir"

apres analyse :

c:\windows\winstart.bat    



* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation

actuelle : en cours d'analyse" est affiché.

* Il est possible que le fichier soit mis en file d'attente en raison d'un grand

nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser

la page.

* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine

réponse.

2/
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\  
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.  
* Merci à Malekal pour le tutoriel  
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)  
* Double clique sur mbr.exe  
* Un rapport sera généré : mbr.log  
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.  
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:  

=> Sous XP : "%userprofile%\Bureau\mbr" -f    

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f   

* (veuillez à bien respecter les guillemets)  
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"  
* Réactive tes protections .Poste ce rapport et supprime le ensuite.  

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)  
o Relance mbr.exe  
o Réactive tes protections.  
o Le nouveau mbr.log devrait être celui-ci :  
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net  
o device: opened successfully  
user: MBR read successfully  
kernel: MBR read successfully  
user & kernel MBR OK

@+

Shangri La · Answer

1/ Au moment de l'analyse du fichier, on m'a informée que ce même fichier avait déjà été analysé. J'ai quand même relancé une nouvelle analyse.
Lien des résultats :

http://www.virustotal.com/file-scan/report.html?id=7eb70257593da06f682a3ddda54a9d260d4fc514f645237f5ca74b08f8da61a6-1306528006

Je passe à la prochaine étape..

Shangri La · Answer

Au premier rapport généré mbr.log, il n'y avait pas le "MBR rootkit code detected" en question, mais bien le message que je suis sensée obtenir à la fin : (je te le copie-colle)

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.PB3O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 


Du coup pas besoin que je fasse la manip de suppression de rootkit ?

Utilisateur anonyme · Answer

Re,

1/

En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f

* (veuillez à bien respecter les guillemets) 


S'il existe rootkit il faut le supprimer en effectuant l'étape située ci-dessus!

STP de reprendre ce qui est indiqué ICI en 2/:gmer

2/ Ensuite 

un nouveau rapport ZHPDiag

Shangri La · Answer

Bonjour!
Alors, je dois mal faire quelque cose, car pas de changement depuis hier sur ce qui se passe quand je tappe "%userprofile%\Desktop\mbr" -f  dans "démarrer". Dans mbr.log, la ligne ("original MBR restored successfully !" ) n'apparaît pas.
Voilà donc le rapport qui reste le même :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.PB3O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 


Je poursuis quand même la procédure en relançant mbr.exe et te poste le rapport..

Shangri La · Answer

Voici le dernier rapport mbr:

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: Hitachi_ rev.PB3O -> Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 



Et le le lien pour le dernier rapport ZHPDiag :

https://pjjoint.malekal.com/files.php?id=2f8fdb76d35612


Désolée je pense que rien n'a dû bouger..

Utilisateur anonyme · Answer

Bonjour,

D'accord, j'attend les 2 rapports mbr et ZHPDiag

@+

Shangri La · Answer

Bonjour Marmar66,

suite au dernier rapport de mbr et ZHPDiag, faut-il que j'en génère d'autres ?

Shangri La · Answer

Voilà le rapport :

http://www.virustotal.com/file-scan/report.html?id=7eb70257593da06f682a3ddda54a9d260d4fc514f645237f5ca74b08f8da61a6-1306741373

Shangri La · Answer

Je ne suis pas sûre qu'il y ait encore un problème. Il n'y a plus de présence de virus dans les rapports? 

Les seules problèmes apparents sont : 
-le fond d'écran tjs noir sur le bureau, mais les icônes sont là.

-Dans explorer, j'ai plus de dossiers qu'avant. Les nouveaux sont sous forme d'une icône de dossier avec une petite flèche bleue sur fond blanc, et quand je clic on me dit "Vous ne disposez pas des autorisations requises pour accéder à ce fichier".
Mes dossiers originaux sont bien là mais sont maintenant en Anglais.

-quand je clic sur Démarrer (logo windows), au-dessus de la barre "rechercher" il n'y a rien, c'est blanc. Mais je peux accéder à "Tous les programmes" en cliquant dessus.

-Je ne peux pas accéder à certains sites internet, un message d'erreur (+ signal sonore) apparaît. Puis la page d'information "Internet Explorer ne peut pas afficher cette page Web".
 
Merci

Utilisateur anonyme · Answer

Bonjour 
Je me permets d'intervenir 
As tu un CD Windows ? 

O42 - Logiciel: Adobe Reader 9.4.0 - Français - (.Adobe Systems Incorporated.) [HKLM] -- {AC76BA86-7AD7-1036-7B44-A94000000001}
O42 - Logiciel: Java(TM) 6 Update 20 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216020F0}
O42 - Logiciel: Java(TM) 6 Update 24 - (.Sun Microsystems, Inc..) [HKLM] -- {26A24AE4-039D-4CA4-87B4-2F83216016FF}


Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)

Ouh là là, les failles de sécurité, c'est pour cela que tu as attrapé des cochonneries qui ont exploité ces failles
Il va falloir mettre à jour Windows, Adobe et Java ces deux logiciels qui sont sensibles
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Shangri La · Answer

Bon, merci pour l'info.. Et non, je n'ai pas de CD Windows

Shangri La · Answer

D'accord merci beaucoup.
J'ai bien tout désinstallée, et réinstallé Adobe. Par contre, une fois java enregistré je n'arrive pas à l'installer. Au moment de double-cliquer, il y a seulement une fenêtre noire très furtive qui apparaît 1/100è de seconde, puis rien. 
J'ai réussi à faire une capture d'écran, si ça peut servir ! https://pjjoint.malekal.com/files.php?id=484b1213d511127


Je poursuis pour Windows...

Shangri La · Answer

Bon, ok. Sinon une petite question avant d'installer Windows SP2 : ils me recommandent avant de commencer d'enregistrer tous mes fichiers, est-ce que ça siginife que tout sera effacé ? Je dois vraiment tout enregistrer quelque part ? Je n'ose pas trop brancher un disque dur externe si des infections se baladent..

Shangri La · Answer

Après 2 essais, l'installation de Windows échoue, même en ayant neutralisé les protections.. Il y a une raison ?

A part ça voilà les 2 analyses :

http://www.virustotal.com/file-scan/report.html?id=3b07243970cab4e93a858bea6e31f56ad0157c42d624f3feb469e68eeef65669-1306774420

http://www.virustotal.com/file-scan/report.html?id=49314b3e53fbf40a60e272c5b3b79fd1efabfe1215da5b030571b4ddf5592896-1306775095

Merci de te pencher sur mon cas, honnêtement c'est parti pour rentrer dans l'ordre ou il y en a partout ?

Shangri La · Answer

Bonsoir, 
j'ai suivi ton conseil mais tjs impossible de réinstaller Windows.. Il y a un message d'erreur d'Installer Windows Pack, disant : L'installation n'a pas réussi - erreur non spécifiée - Erreur : E_FAIL(0x80004005)

Est-ce qu'il y a quelque chose que j'oublie de faire ou ne fasse pas bien ? 
Dans l'Aide et Support Microsoft, je vois qu'il est conseillé :
To work around this issue, turn off the computer and physically unplug all drives that are not required for starting Windows. Power up the computer and restart the service pack installation. 

If the workaround is not successful, the alternative is to perform a clean-install. 

Je commence un peu à désespérer.. 
Merci d'avance si tu as encore la patience de me guider!

Shangri La · Answer

Salut,
ah ok.. bon, pas bon signe alors. Et tu crois qu'il est indispensable que je le réinstalle ? 
A part ça est-ce qu'il y a d'autres trucs qui ne tournent pas rond sur lesquels je puisse avoir prise? Si trop compliqé est-ce que tu aurais des conseils à me donner par rapport à qui/quoi m'adresser ?.. 
Désolée, ça traîne en longueur et j'imagine que vous n'avez pas que mon cas sur lequel vous pencher, mais je ne n'ai pas trop de marge de manoeuvre et je ne sais même pas quel est vraiment l'état de la situation.

En tout cas merci pour le coup de main, Bonne nuit

gen-hackman · Answer

bonjour il faudrait faire une copie de beep.sys du system32 vers le dossiers drivers

pour les raccourcis manquants du menu demarrer , ils sont perdus

il ne faut pas utiliser ad-remover ni combofix sous rogue , ni vider les temps avec zhpfix ou OTL ou OTM

le rogue les planque dans les fichiers temporaires les raccourcis et comme ces logicels vident les fichiers temporaires ils suppriment les raccourcis manquants planqués la dedans 

plus qu'une solution : les refaire tous à la main

Shangri La · Answer

Salut, 
merci pour l'éclaircissement, je vais donc essayer de refaire les raccourcis..

Au niveau des infections, est-ce que j'en suis débarassée ou est-ce qu'il y a encore du nettoyage à faire?
Et au niveau des protections, à l'avenir, y a-til des précautions à prendre pour ne plus avoir ce genre de mésaventure ?

Je ne sais pas qui me répondra mais merci encore
Bonne journée

Lelie · Answer

Bonjour, J'ai le meme probleme que ces utilisateurs, j'ai un virus Windows vista recovery sur mon ordinateur ! Jai telecharge roguekiller comme indique plus haut. Voici le rapport qui s'affiche. Que dois je faire apres?? MErci infiniment pour votre reponse, Lelie RogueKiller V5.2.2 [06/05/2011] by Tigzy contact at http://www.sur-la-toile.com mail: tigzyRKgmailcom Feedback: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Operating System: Windows Vista (6.0.6001 Service Pack 1) 32 bits version Started in : Normal mode User: Valerie [Restricted rights] Mode: Shortcuts HJfix -- Date : 06/05/2011 13:15:19 Bad processes: 1 [SUSP PATH] DropboxExt.14.dll -- C:\Users\Valerie\AppData\Roaming\Dropbox\bin\DropboxExt.14.dll -> UNLOADED File attributes restored: Desktop: Success 50811 / Fail 1 Quick launch: Success 9 / Fail 0 Programs: Success 350 / Fail 1 Start menu: Success 56 / Fail 2 User folder: Success 72308 / Fail 0 My documents: Success 1155 / Fail 0 My favorites: Success 34 / Fail 0 My pictures: Success 0 / Fail 0 My music: Success 344 / Fail 0 My videos: Success 11 / Fail 0 Local drives: Success 50797 / Fail 48 Backup: [FOUND] Success 0 / Fail 12 Drives: [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored [E:] \Device\CdRom0 -- 0x5 --> Skipped Finished : << \RKreport[1].txt >> RKreport[1].txt

gen-hackman · Answer

boujour merci d'ouvrir un nouveau sujet

quel manque de savoir vivre !

Lelie · Answer

Désolé... je ne savais pas que ca fonctionnait comme ca, 

Lelie

Windows Vista Recovery Virus sur mon PC

36 réponses

Newsletters