SOS virus résistant Résolu/Fermé

Question

Bonjour,  
J'ai utilisé rkill puis mbam en mode sans échec avec prise en charge réseau. J'ai été infectée au départ par personal shield pro warning. Cela fait une semaine que je dois recommencer tous les 2 jours car antivir continue à bloquer TR/Crypt.ZPACK.Gen2 et 
supprime beaucoup de .exe de windows, ce qui ne me semble pas bon, vu que tous ces .exe sont supprimés les uns après les autres. Je ne sais plus quoi faire !! 
Qui pourrait me donner un coup de main ? 
Merci... 


Voici le rapport MBAM


Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7373

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

07/08/2011 11:13:28
mbam-log-2011-08-07 (11-13-28).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 222376
Temps écoulé: 10 minute(s), 21 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\42F831D9.exe (Heuristics.Shuriken) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> Quarantined and deleted successfully.


Configuration: Windows XP / Internet Explorer 7.0

Le 18 informatique · Answer

La solution la plus rapide et la plus sûre c'est :
1- Sauvegarde tes données
2- Format ton disque
3- Installes ton OS proprement avec tous les drivers
4- Restaures tes données

Je ne sais pas si ça t'aide mais tu gagneras surement du temps...

framilau · Answer

Whaou ...
Merci mais ça me paraît violent !!!
J'ai déjà fait ça l'an dernier avec un pro près de moi, sauf que c'était pire : je ne pouvais même plus allumer l'ordi et il a dû sortir le disque dur pour sauvegarder sur un DD externe.
Mais si c'est la seule solution, j'essaierai en dernier recours...
C'est vraiment un saleté ce faux Personal Shield...
En fait à chaque fois que je refais une analyse avec mbam, "documents and settings\all users\application data\common.data" est toujours infecté...
Si ça peut te donner une autre idée ???
Merci

anthony5151 · Answer

Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir" et sélectionne le rapport de ZHPDiag, choisis une durée de conservation illimitée et clique sur "créer le lien Cjoint". Copie/colle le lien fourni dans ta prochaine réponse sur le forum

framilau · Answer

Je réponds à Anthony, car le lien kaspersky de 18 informatique ne fonctionne pas et en cherchant sur google je ne sait pas quel produit gratuit prendre, de plus c'est un antivirus et j'ai déjà Antivir ... ???

Donc je poste le rapport ZHPDiag proposé par Anthony...


https://www.cjoint.com/?AHho0K6341Y


Merci à tous en tout cas !!!

framilau · Answer

Que penses tu de la proposition d'Anthony 5151 ?
Est-ce que le rapport que je lui ai posté t'inspire :)  :)  :) ???

anthony5151 · Answer

Laisse tomber les scans en ligne. Le rapport montre des lignes néfastes, on va supprimer tout ça, mais je voudrais d'abord vérifier un fichier :

* Rends toi sur le site http://www.virustotal.com/index.html
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C\ooVoo.exe 
* Clique sur "Send file" : s'il a déjà été analysé, demande une nouvelle analyse.
* Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
* Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
* Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
* Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.

framilau · Answer

virus total me dit que le fichier dépasse 20MB et qu'il ne peut pas le gérer...  
Je fais quoi ???? 
De plus il y a un truc bizarre avec oovoo : quand je fais une recherche dans démarrer, il me sort au moins 15 oovoo dont la propriété est la même, installé le mm jour à la mm heure au mm endroit !!! 
J'ai fini par trouver oovoo.exe dans program files dans le dossier oovoo. Mais il est apparemment trop lourd... En fait il fait 21,4Mb

anthony5151 · Answer

D'accord. On va donc commencer la désinfection :


1) Ce script va cibler certains éléments à supprimer :

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse


2) Les barres d'outils sont inutiles, elles ralentissent le navigateur et peuvent le rendre instable : je te conseille de les désinstaller. Pour ça, ouvre le menu démarrer --> panneau de configuration --> Ajout/suppression de programmes --> Sélectionne "google toolbar" et désinstalle la.


3) Relance MalwareBytes, mets le à jour, fais un scan et poste le rapport ici.


4) Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp

framilau · Answer

Bonjour,

Voici le premier scan de ZHPFix en mode sans échec session administrateur :

Rapport de ZHPFix 1.12.3345 par Nicolas Coolman, Update du 29/07/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-09-08-2011-08-46-05.txt
Run by Administrateur at 09/08/2011 08:46:05
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: Service: WinSvc
SUPPRIME Key: HKLM\Software\OfferBox
SUPPRIME Key: HKLM\Software\Trymedia Systems
SUPPRIME Key: HKLM\Software\Winsudate
SUPPRIME Key: Service Legacy: LEGACY_WINSVC
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
ABSENT Key: HKLM\Software\OfferBox
ABSENT Key: HKLM\Software\Trymedia Systems
ABSENT Key: Service: WinSvc
SUPPRIME Key: HKLM\Software\Conduit
SUPPRIME Key:  StartupReg: facemoods
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
SUPPRIME Key: HKLM\Software\Classes\Conduit.Engine
SUPPRIME Key: HKLM\Software\Classes\Toolbar.CT2117678
SUPPRIME Key: HKLM\Software\Classes\Toolbar.ct2504091
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{64182481-4F71-486b-A045-B233BD0DA8FC}
SUPPRIME Key: HKLM\Software\Classes\Interface\{A9379648-F6EB-4F65-A624-1C10411A15D0}
SUPPRIME Key: HKLM\Software\Classes\Interface\{F16AB1DB-15C0-4456-A29E-4DF24FB9E3D2}
ABSENT Key: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\Facemoods

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: ooVoo
ABSENT RunValue: ooVoo
SUPPRIME RunValue: ooVoo.exe
ABSENT RunValue: ooVoo.exe
SUPPRIME RunValue: 5FC894F0
SUPPRIME RunValue: 6DECD52F
ABSENT RunValue: 5FC894F0
ABSENT RunValue: 6DECD52F
SUPPRIME AAKE KeyValue: C:\Documents and Settings\Francis\Local Settings\Temporary Internet Files\Content.IE5\T15XLVAC\PICT0074553.JPG-www-facebook-com[1].scr

========== Elément(s) de donnée du Registre ==========
REMPLACE Value AntiVirusOverride :   Good (0) - Bad (1)

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 1

========== Fichier(s) ==========
ABSENT File: c:\program files\winsudate\gibsvc.exe
ABSENT File: c\oovoo.exe
SUPPRIME c:\program files\oovoo\oovoo.exe
ABSENT File: c:\program files\oovoo\oovoo.exe
SUPPRIME c:\windows\34b639f2
ABSENT File: c:\windows\1ec10b9b.exe
SUPPRIME c:\windows\6decd52f
SUPPRIME c:\windows\404237fd
SUPPRIME c:\windows\7bd8ce81
SUPPRIME c:\windows\773ce092
SUPPRIME c:\windows\6980796c.exe
ABSENT File: c:\windows\11da0abb.exe
SUPPRIME c:\windows\5fc894f0
SUPPRIME c:\windows\66417ccd
SUPPRIME c:\windows\40ac432e
SUPPRIME c:\windows\159813ff
SUPPRIME c:\windows\139d2e78
SUPPRIME c:\windows\system32\drivers\ccdxoqjm.sys
ABSENT File: c:\windows\5fc894f0.exe
ABSENT File: c:\windows\6decd52f.exe
ABSENT File: c:\documents and settings\francis\local settings	emporary internet fi
ABSENT File: c:\program files\facemoods.com
SUPPRIME Temporaires Windows: : 2


========== Récapitulatif ==========
20 : Clé(s) du Registre
9 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
23 : Fichier(s)


========== Chemin du fichier rapport ==========
C:\ZHP\ZHPFixReport.txt



End of the scan in 00mn 07s


La suite après mbam

framilau · Answer

suite de mon message précédent :

Voici les 2 rapports mbam avant et après le nettoyage suivant un redémarrage toujours en mode sans échec administrateur.

1er rapport :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7415

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

09/08/2011 09:14:14
mbam-log-2011-08-09 (09-14-14).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 218348
Temps écoulé: 9 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\common.data (Malware.Trace) -> Quarantined and deleted successfully.



2ème rapport

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7415

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

09/08/2011 09:42:47
mbam-log-2011-08-09 (09-42-47).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 218337
Temps écoulé: 8 minute(s), 32 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)



J'ai ensuite coché la case pour désactiver la restauration du système, puis réactivé, afin d'avoir un point "sain". Ai-je bien fait ???
Toujours est-il que j'ai redémarré en mode normal depuis 2 heures et que je touche du bois, car antivir n'a encore rien bloqué !!!! Je crois qu'on tient le bon bout. Je vais maintenant faire un rapport ZHPDiag. Merci!!!!!!

anthony5151 · Answer

Oui, je t'aurais de toute façon fait purger les points de restauration en fin de désinfection ;)  Ce qui est inutile (et dangereux), c'est de désactiver totalement la restauration du système pendant la désinfection. 

Après le rapport ZHPDiag, je te demanderais aussi de mettre à jour AntiVir et de faire une analyse complète de l'ordinateur, puis de poster le rapport d'analyse. 
Si tout va bien, je te donnerai les conseils de finition ce soir.


L'habit ne fait pas le moine. 
Le savoir n'est utile que s'il est transmis

framilau · Answer

voila le rapport.
Donc tu a besoin du diag antivir.
Les mises à jours se font tous les jours mais je vais qd mm en refaire une supplémentaire.
MERCI !!

framilau · Answer

voici le rapport antivir


Avira AntiVir Personal
Date de création du fichier de rapport : mardi 9 août 2011  12:19

La recherche porte sur 3347986 souches de virus.

Le programme fonctionne en version intégrale illimitée.
Les services en ligne sont disponibles.

Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : FRAMILAU

Informations de version :
BUILD.DAT               : 10.0.0.139     31824 Bytes  20/07/2011 16:52:00
AVSCAN.EXE              : 10.0.4.2      442024 Bytes  02/05/2011 07:41:45
AVSCAN.DLL              : 10.0.3.0       56168 Bytes  17/08/2010 12:39:10
LUKE.DLL                : 10.0.3.2      104296 Bytes  14/12/2010 14:24:55
LUKERES.DLL             : 10.0.0.0       13672 Bytes  17/08/2010 12:39:11
VBASE000.VDF            : 7.10.0.0    19875328 Bytes  06/11/2009 16:56:39
VBASE001.VDF            : 7.11.0.0    13342208 Bytes  14/12/2010 14:24:47
VBASE002.VDF            : 7.11.3.0     1950720 Bytes  09/02/2011 08:50:43
VBASE003.VDF            : 7.11.5.225   1980416 Bytes  07/04/2011 07:05:46
VBASE004.VDF            : 7.11.8.178   2354176 Bytes  31/05/2011 09:09:14
VBASE005.VDF            : 7.11.10.251  1788416 Bytes  07/07/2011 16:52:36
VBASE006.VDF            : 7.11.10.252     2048 Bytes  07/07/2011 16:52:36
VBASE007.VDF            : 7.11.10.253     2048 Bytes  07/07/2011 16:52:36
VBASE008.VDF            : 7.11.10.254     2048 Bytes  07/07/2011 16:52:36
VBASE009.VDF            : 7.11.10.255     2048 Bytes  07/07/2011 16:52:36
VBASE010.VDF            : 7.11.11.0       2048 Bytes  07/07/2011 16:52:36
VBASE011.VDF            : 7.11.11.1       2048 Bytes  07/07/2011 16:52:36
VBASE012.VDF            : 7.11.11.2       2048 Bytes  07/07/2011 16:52:36
VBASE013.VDF            : 7.11.11.75    688128 Bytes  12/07/2011 16:52:36
VBASE014.VDF            : 7.11.11.104   978944 Bytes  13/07/2011 16:52:36
VBASE015.VDF            : 7.11.11.137   655360 Bytes  14/07/2011 16:52:36
VBASE016.VDF            : 7.11.11.184   699392 Bytes  18/07/2011 16:52:36
VBASE017.VDF            : 7.11.11.214   414208 Bytes  19/07/2011 16:52:36
VBASE018.VDF            : 7.11.11.242   772096 Bytes  20/07/2011 16:52:36
VBASE019.VDF            : 7.11.12.3    1291776 Bytes  20/07/2011 16:52:36
VBASE020.VDF            : 7.11.12.30    844288 Bytes  21/07/2011 16:52:36
VBASE021.VDF            : 7.11.12.67    149504 Bytes  24/07/2011 16:52:36
VBASE022.VDF            : 7.11.12.93    195072 Bytes  25/07/2011 16:52:36
VBASE023.VDF            : 7.11.12.113   150528 Bytes  26/07/2011 16:52:36
VBASE024.VDF            : 7.11.12.152   182784 Bytes  28/07/2011 16:52:36
VBASE025.VDF            : 7.11.12.181   117760 Bytes  01/08/2011 16:52:36
VBASE026.VDF            : 7.11.12.205   148480 Bytes  03/08/2011 20:18:37
VBASE027.VDF            : 7.11.12.229   252928 Bytes  05/08/2011 07:03:10
VBASE028.VDF            : 7.11.12.243   134656 Bytes  08/08/2011 10:17:25
VBASE029.VDF            : 7.11.12.244     2048 Bytes  08/08/2011 10:17:26
VBASE030.VDF            : 7.11.12.245     2048 Bytes  08/08/2011 10:17:26
VBASE031.VDF            : 7.11.12.247     2048 Bytes  08/08/2011 10:17:26
Version du moteur       : 8.2.6.28  
AEVDF.DLL               : 8.1.2.1       106868 Bytes  03/08/2010 09:06:47
AESCRIPT.DLL            : 8.1.3.74     1622393 Bytes  06/08/2011 07:03:17
AESCN.DLL               : 8.1.7.2       127349 Bytes  02/12/2010 12:15:21
AESBX.DLL               : 8.2.1.34      323957 Bytes  05/06/2011 09:09:25
AERDL.DLL               : 8.1.9.13      639349 Bytes  03/08/2011 16:52:36
AEPACK.DLL              : 8.2.9.5       676214 Bytes  03/08/2011 16:52:36
AEOFFICE.DLL            : 8.1.2.13      201083 Bytes  03/08/2011 16:52:36
AEHEUR.DLL              : 8.1.2.151    3584374 Bytes  06/08/2011 07:03:16
AEHELP.DLL              : 8.1.17.7      254327 Bytes  03/08/2011 16:52:36
AEGEN.DLL               : 8.1.5.7       401778 Bytes  06/08/2011 07:03:11
AEEMU.DLL               : 8.1.3.0       393589 Bytes  02/12/2010 12:15:12
AECORE.DLL              : 8.1.22.4      196983 Bytes  03/08/2011 16:52:36
AEBB.DLL                : 8.1.1.0        53618 Bytes  24/04/2010 07:33:52
AVWINLL.DLL             : 10.0.0.0       19304 Bytes  17/08/2010 12:38:56
AVPREF.DLL              : 10.0.0.0       44904 Bytes  17/08/2010 12:38:55
AVREP.DLL               : 10.0.0.10     174120 Bytes  22/05/2011 08:05:08
AVREG.DLL               : 10.0.3.2       53096 Bytes  17/08/2010 12:38:56
AVSCPLR.DLL             : 10.0.4.2       84840 Bytes  02/05/2011 07:41:45
AVARKT.DLL              : 10.0.22.6     231784 Bytes  14/12/2010 14:24:53
AVEVTLOG.DLL            : 10.0.0.8      203112 Bytes  17/08/2010 12:38:55
SQLITE3.DLL             : 3.6.19.0      355688 Bytes  17/06/2010 14:28:02
AVSMTP.DLL              : 10.0.0.17      63848 Bytes  17/08/2010 12:38:56
NETNT.DLL               : 10.0.0.0       11624 Bytes  17/06/2010 14:28:01
RCIMAGE.DLL             : 10.0.0.26    2550120 Bytes  11/02/2010 00:23:03
RCTEXT.DLL              : 10.0.58.0      99688 Bytes  17/08/2010 12:39:11

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Programmes en cours étendus...................: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : mardi 9 août 2011  12:19

La recherche d'objets cachés commence.

La recherche sur les processus démarrés commence :
Processus de recherche 'vssvc.exe' - '36' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '67' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '69' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '25' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '56' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '103' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '20' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '45' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '33' module(s) sont contrôlés
Processus de recherche 'WDSmartWareBackgroundService.exe' - '29' module(s) sont contrôlés
Processus de recherche 'WDDMService.exe' - '26' module(s) sont contrôlés
Processus de recherche 'ULCDRSvr.exe' - '6' module(s) sont contrôlés
Processus de recherche 'TomTomHOMEService.exe' - '9' module(s) sont contrôlés
Processus de recherche 'remover.exe' - '25' module(s) sont contrôlés
Processus de recherche 'IMCapture.exe' - '25' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés
Processus de recherche 'SupServ.exe' - '15' module(s) sont contrôlés
Processus de recherche 'NMSAccessU.exe' - '14' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '85' module(s) sont contrôlés
Processus de recherche 'avshadow.exe' - '26' module(s) sont contrôlés
Processus de recherche 'IMService.exe' - '32' module(s) sont contrôlés
Processus de recherche 'FsUsbExService.Exe' - '21' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '32' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '33' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '55' module(s) sont contrôlés
Processus de recherche 'ACService.exe' - '20' module(s) sont contrôlés
Processus de recherche 'NetworkLicenseServer.exe' - '29' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '45' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '54' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '37' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '30' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '152' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '39' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '51' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '15' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '58' module(s) sont contrôlés
Processus de recherche 'services.exe' - '27' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '68' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '12' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD1
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD2
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD3
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD4
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage maître HD5
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '1813' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\Documents and Settings\Administrateur\Bureau\RK_Quarantine\gO02300MnMpB02300.exe.vir
  [RESULTAT]  Contient le cheval de Troie TR/Crypt.ZPACK.Gen
C:\Documents and Settings\All Users\Application Data\gO02300MnMpB02300\gO02300MnMpB02300.exe
  [RESULTAT]  Contient le cheval de Troie TR/Crypt.ZPACK.Gen
C:\Documents and Settings\Francis\Local Settings\Temp\Av-test.txt
  [RESULTAT]  Contient le code du virus Eicar-Test-Signature

Début de la désinfection :
C:\Documents and Settings\Francis\Local Settings\Temp\Av-test.txt
  [RESULTAT]  Contient le code du virus Eicar-Test-Signature
  [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d708c80.qua' !
C:\Documents and Settings\All Users\Application Data\gO02300MnMpB02300\gO02300MnMpB02300.exe
  [RESULTAT]  Contient le cheval de Troie TR/Crypt.ZPACK.Gen
  [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '55f8acc0.qua' !
C:\Documents and Settings\Administrateur\Bureau\RK_Quarantine\gO02300MnMpB02300.exe.vir
  [RESULTAT]  Contient le cheval de Troie TR/Crypt.ZPACK.Gen
  [REMARQUE]  Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '07a7f628.qua' !


Fin de la recherche : mardi 9 août 2011  14:27
Temps nécessaire:  2:06:16 Heure(s)

La recherche a été effectuée intégralement

  13167 Les répertoires ont été contrôlés
 622280 Des fichiers ont été contrôlés
      3 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      3 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      0 Impossible de scanner des fichiers
 622277 Fichiers non infectés
   4560 Les archives ont été contrôlées
      0 Avertissements
      3 Consignes
 476171 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés




JE SUIS COMPLETEMENT DEMORALISEE !!!

anthony5151 · Answer

Le rapport ZHPDiag est trop long pour être posté directement ici, il n'était pas passé en totalité (je l'ai supprimé). A l'avenir, poste les longs rapports en les hébergeant sur cjoint.com (comme la première fois que tu l'as utilisé).  


A propos du rapport d'AntiVir :  

C:\Documents and Settings\Administrateur\Bureau\RK_Quarantine\gO02300MnMpB02300.exe.vir  
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen  

==> c'était dans la quarantaine de RogueKiller, pas de risque.

C:\Documents and Settings\All Users\Application Data\gO02300MnMpB02300\gO02300MnMpB02300.exe  
[RESULTAT] Contient le cheval de Troie TR/Crypt.ZPACK.Gen  

==> Celui-ci n'est pas en quarantaine, mais c'est juste un reste inactif car RogueKiller avait supprimé son point de chargement.

C:\Documents and Settings\Francis\Local Settings\Temp\Av-test.txt  
[RESULTAT] Contient le code du virus Eicar-Test-Signature   

==> c'est une trace du fichier de test eicar, ce n'est pas dangereux ;)  
Tu vois donc qu'il n'y a pas de raison d'être démoralisée.


Ce script va cibler certains éléments à supprimer :  

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)  
* Lance ZHPFix à partir du raccourci sur ton Bureau  
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
* Clique sur le bouton « GO » pour lancer le nettoyage,  
* Copie/colle la totalité du rapport dans ta prochaine réponse  


Ensuite, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag s'il te plait (pense à l'héberger sur cjoint.com)  


L'habit ne fait pas le moine.  
Le savoir n'est utile que s'il est transmis

framilau · Answer

Tu me rassures, il est vrai qu'hier mon pc n'a rien bloqué, donc je me disais que c'était bon signe !!! 

1er rapport ..... 

https://www.cjoint.com/?AHkjfb8SYtm 

Je redémarre et A+

2ème rapport après redemarrage :

https://www.cjoint.com/?AHkjwRiTjnI

Encore merci !!!

Juste qq questions : une fois que tout sera ok, les traces d'analyses de mon pc sur ce site ccm peuvent elles être dangereuses pour des hackers éventuels ??? Si oui comment les effacer ?
Ma fille passe environ 2h par jour sur facebook. Que ne faut-il jms faire sur ce site ?
Dernière chose, le raccourci d'antivir sur la barre de lancement rapide en bas à droite, quand j'allume mon ordi, le parapluie rouge est fermé et en faisant un clic droit dessus, il est soit disant inactif. J'ouvre alors antivir qui me dit qu'il est activé !!! je dois désactiver et réactiver dans la foulée pour que le parapluie s'ouvre... Ce pb vient-il des fichiers  .exe effacés suite aux mises en quarantaine ?

Merci pour tous tes conseils en tous cas...

anthony5151 · Answer

Maintenant que j'ai accès au rapport ZHPDiag en entier, je vais devoir te proposer un ultime script : 

* Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Copie/colle la totalité du rapport dans ta prochaine réponse



"une fois que tout sera ok, les traces d'analyses de mon pc sur ce site ccm peuvent elles être dangereuses pour des hackers éventuels ???"
==> Non, ne t'inquiète pas pour ça ;)


Ma fille passe environ 2h par jour sur facebook. Que ne faut-il jms faire sur ce site ? 
==> il faut éviter de se laisser prendre par des arnaques : liens dangereux postés par un "ami" dont l'ordinateur est infecté, arnaques du type "voir qui a vu votre profil sur facebook" (plus d'infos ici) etc... En gros, comme sur tout autre site, il faut rester prudent et ne pas cliquer sur n'importe quoi sans réfléchir.
Du côté de la vie privée, il faut prêter attention aux réglages situés ici et supprimer régulièrement de cette liste les applications qu'on n'utilise pas/plus.


"Dernière chose, le raccourci d'antivir sur la barre de lancement rapide en bas à droite, quand j'allume mon ordi, le parapluie rouge est fermé et en faisant un clic droit dessus, il est soit disant inactif. J'ouvre alors antivir qui me dit qu'il est activé !!! je dois désactiver et réactiver dans la foulée pour que le parapluie s'ouvre... Ce pb vient-il des fichiers .exe effacés suite aux mises en quarantaine ? "
==> Si tu patientes, le parapluie ne finit pas par s'ouvrir ? C'est peut-être juste l'icone qui n'est pas actualisée, ou c'est un problème avec AntiVir... Dans le doute, tu peux le désinstaller/réinstaller, ça ne fera pas de mal.

framilau · Answer

Merci pour tes conseils
Antivir a malheureusement bloqué un trojan cet apres midi ... Le même que d'habitude TR\Crypt.ZPACK.Gen 
Je vais faire plus tard ce que tu me proposes.
A plus tard

anthony5151 · Answer

Malheureusement, si tu ne m'indiques pas le nom et l'emplacement du fichier détecté par AntiVir, je vais avoir du mal à t'aider.

framilau · Answer

C'est vrai mais hier, j'étais un peu bousculée... Et aujourd'hui ca va etre chaud aussi !!! 

Rapport antivir du virus en question
https://www.cjoint.com/?AHljV0tvgHK

Rapport ZHPFix
https://www.cjoint.com/?AHlid3RVSJC 

A plus tard dès que possible !!! Merci encore

anthony5151 · Answer

C:\System Volume Information\_restore correspond à la restauration du système. Il est normal que les points de restauration créés pendant que l'ordinateur était infecté soient infectés eux aussi. Du moment que tu n'utilises pas la restauration du système, ils ne sont pas dangereux. On va purger les points de restauration dès qu'on aura terminé la désinfection.

D'ailleurs, tu m'as envoyé deux fois le rapport d'AntiVir, mais pas celui de ZHPFix.

framilau · Answer

Je t'envoie maintenant le rapport ZHPFix (je e sais pas ce que j'ai bidouillé !!)

https://www.cjoint.com/?AHlskDhm6iR


Et je joins une capture d'écran que j'ai faite suite à ce qui est arrivée à l'ouverture de la session...

https://www.cjoint.com/?AHlsloqAnCu

Merci !

anthony5151 · Answer

Est-ce que tu as encore des messages d'erreur aux redémarrages suivants ?

framilau · Answer

NOn, pas ce matin...
Et pas dans la journée non plus

anthony5151 · Answer

Très bien, ton ordinateur n'étant plus infecté, on va passer aux conseils de finition :


1) Sécurise ton ordinateur 

* Logiciels de protection : 
Garde un antivirus (AntiVir dans ton cas, que je te conseille de configurer comme ça) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

* Même chose pour VLC : désinstalle le et télécharge la dernière version ici.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.



2) Optimisation : 

* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : QuickTime Task / ctfmon.exe / Adobe Reader Speed Launcher / Adobe ARM

* Télécharge ce fichier --> lance le --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.



4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...) 
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre. 




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

framilau · Answer

WHAOWWWWWWWW

Ben je vais m'atteler à tout ceci avec le sourire...
MILLE MERCI

Au plaisir, pour autre chose !!!

SOS virus résistant

25 réponses

Discussions similaires