Virus introuvable!! analyse hijackthis?? Résolu

Question

Bonjour, j'ai vraiment besoin d'aide!
L'autre jour, j'ai attrapé un virus en allant sur une page web qui m'a demandé d'exécuter quelque chose sur mon ordi. J'ai juste fermé la page pour ne rien attraper mais mon ordi a capoté et a planté. Il s'est mis à rebooter sans arrêt et je n'arrivais même pas à entrer en mode sans échec, ça rebootait toujours. J'y ai enfin arrivé, j'ai supprimé virus, spyware, malware. Mon ordi s'est mis à mieux fonctionner mais le virus est toujours là! J'ai maintenant un antispyware, antimalware, antivirus, Ccleaner, Advanced SystemeCare et mon firewall. Tous ne trouvent absolument rien mais encore ce matin mon ordi a rebooté en boucle, j'ai des pubs auditives sans fenêtres d'ouvertes, des redirections de pages vers des pubs depuis peu et des fenêtres me disant que Explorer a rencontré un problème et doit fermer, quand je n'ai aucune fenêtre d'ouverte. J'ai downloadé Hijackthis mais je n'ai aucune idée comment lire le rapport et à savoir si c'est vraiment ce qui va régler mon problème. P.S. Je n'ai pas le cd d'origine de Windows XP alors il me faut vraiment une autre solution, je travaille constamment sur mon ordinateur, je ne peux absolument pas formater! Merci d'avance pour votre aide!!

heraultais34600 · Answer

Bonsoir Pam23,  

Nous allons essayer d'y voir un peu plus clair. Effectivement les symptômes que tu décris sont synonyme d'une infection mais laquelle??  
Hijackthis est un outil d'analyse qui est un peu dépassé aujourd'hui alors je vais te demander de faire ceci en premier.  
Utilise ce logiciel de diagnostic :  

* Télécharge ZHPDiag (de Nicolas Coolman)  
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt ICI, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

A bientôt.

Pam23 · Answer

Merci de votre aide, voici le lien de mon rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijYOHk1gL.txt

heraultais34600 · Answer

Bonjour Pam23,

J'analyse ton rapport puis je te tiens au courant.
A+

heraultais34600 · Answer

Bonsoir Pam23,

Avant d'attaquer la désinfection proprement dite, peux-tu exécuter ceci:

1.	Télécharge Winchk (d'Xplode) sur ton bureau
2.	Double clique sur winchk.exe
3.	Clique sur le bouton Exécuter
4.	Patiente durant la création du rapport..
5.	Celui-ci s'affiche à l'écran à la fin de l'analyse. Si rien n'apparaît, le rapport est présent à la racine de ton disque dur : C:\WinChk.txt
6.	Fournis ce rapport dans ta prochaine réponse sur le forum.

A bientôt.

Pam23 · Answer

D'accord. Je ne peux pas pour le moment par contre, je suis au travail mais dans 6 heures je pourrai t'envoyer le rapport. (Je suis du Québec, le décalage horaire complique un peu les choses, j'espère qu'il ne sera pas trop tard de ton côté)

heraultais34600 · Answer

Bonsoir Pam23,

Ne t'inquiète pas si je ne te réponds pas de 48h, je dois m'absenter donc nous reprendrons le contact Mercredi en fin de soirée ou jeudi matin. OK!!

A bientôt.

Pam23 · Answer

D'accord. Voici tout de même mon rapport Winchk. 
http://www.cijoint.fr/cjlink.php?file=cj201110/cijrpaHWFo.txt
Je ne sais pas si ça change quelque chose que j'aie fait le rapport en étant en mode sans échec?! Mon ordi a de plus en plus de misère alors je n'avais pas vraiment le choix.  J'attends de tes nouvelles, merci!

heraultais34600 · Answer

Bonsoir Pam23, 

Me revoilà, nous allons attaquer la désinfection. Tu es prêt!!!!! Allez on y va. 

Etape 1: 

Sauvegarde tes images du dossier mes images sur une clé USB. 
Puis supprime ce dossier. 
 
Etape 2: 

* Télécharge ce fichier ICI. 
* Ce fichier est personnel et ne doit être utilisé que par toi (Pam23). Sauvgarde-le sur ton bureau. 
* Télécharge ZHPFix sur ton bureau. 
* Une fois téléchargé, installe-le, puis lance-le 
* Ouvre le fichier texte que tu as mis sur ton bureau puis sélectionne tout. Fais un copié de toute la sélection 
* Reviens sur ZHPFix puis clique sur l'icône représentant un "H" 
* En principe, toutes les lignes copiés se collent dans la zone de ZHPFix 
* Clique sur "GO" 
A la fin du travail, un rapport s'ouvrira, envoie-moi ce rapport. 

Etape 3: 

Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme 

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection) 
* Lance Gmer en double cliquant sur l'icône 
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente. 
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt 
* Héberge le rapport ICI, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 
 
Etape 4: 

* Je te fais supprimer Spybot Search And Destroy (par le script ZHPFix) qui n'est plus d'actualité, j'ai vu que tu avais MalwareBytes (Il remplace largement Spybot) d'installé sur ton ordinateur alors fais ceci: 
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)  
* Lance une analyse complète en cliquant sur "Exécuter un examen complet" 
* Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" 
* L'analyse peut durer un bon moment..... 
* Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" 
* Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" 
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum 

Bon courage et à bientôt.

Pam23 · Answer

Désolée du délai j'ai eu quelques problèmes avec l'ordinateur. Voici mes rapports: 

étape 2: http://www.cijoint.fr/cjlink.php?file=cj201110/cijeHquuJy.txt

étape 3:http://www.cijoint.fr/cjlink.php?file=cj201110/cijb91dYIt.txt 

Pour l'étape 3, je ne sais pas si le rapport est correct car ça m'a indiqué un message d'avertissement en anglais disant que GMER avait trouvé une modification de sytème causé par l'activité Rootkit et le scan s'est arrêté. Je l'ai enregistré quand même mais quand je me suis mise en ligne pour te l'envoyer il avait disparu alors j'ai fait un 2e rapport (celui-ci) après avoir fait l'étape 4 et ça m'a encore indiqué le même avertissement.

étape 4: http://www.cijoint.fr/cjlink.php?file=cj201110/cijYErKbeK.txt

heraultais34600 · Answer

Bonjour Pam23,  

C'est bien ce que je craignais. Tu es infectée par le Rootkit Zaccess  
C'est le virus du moment qui est très coriace à enlever.  

Voilà ce que tu vas faire:  

Etape 1:

Télécharge Reload_TDSSKiller   
Lance le   
Choisis : "lancer le nettoyage"  
L'outil va automatiquement télécharger la dernière version puis   
TDSSKiller va s'ouvrir, clique sur "Start Scan"   
--------------------------------------------------------------------------------------------------------------------  
Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.   
Si TDSS.tdl3 est détecté assure-toi que Cure est bien cochée.   
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.   
Si Suspicious file est indiqué, laisse l''option cochée sur Skip   
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas   
--------------------------------------------------------------------------------------------------------------------  
Une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer   
Sinon , ferme tdssKiller et le rapport s'affichera sur le bureau   
Enregistre ce rapport et envoie-le sur www.cijoint.fr  
Transmets le lien dans ta prochaine réponse.   

Etape 2:

/!\ Attention /!\ 
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.  

/!\ Désactive tous tes logiciels de protection /!\  

* Télécharge ComboFix (de sUBs) sur ton Bureau.  
* Double-clique sur ComboFix.exe afin de le lancer.  
* Puisque tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.  
* Ne touche à rien pendant le scan.  
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse ICI  

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix  

Bonne journée et à bientôt

Pam23 · Answer

Voici mes rapports:

http://www.cijoint.fr/cjlink.php?file=cj201110/cij9Sk23vw.txt 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijtHeOcot.txt 

Je n'ai pas pu installer la console de récupération de Windows XP avec ComboFix car j'étais en mode sans échec. Est-ce une étape essentielle? Aussi, même après que ComboFix ait terminé, j'ai encore des problèmes et j'ai un faux antivirus OpenCloud AV qui s'est installé tout seul il y a quelque jour et combofix ne l'a pas supprimé et ça bloque mon anti-malwares, c'est-à-dire qu'il ouvre une fraction de seconde et se referme.

heraultais34600 · Answer

Bonsoir Pam23,      

Etape 1:      

Tu vas télécharger revo-uninstaller sur ton bureau      
Une fois téléchargé, tu l'installes et il se lancera      
Regarde dans la liste des programmes installéss sur ton ordinateur si tu as OpenCloud AV      
Une fois trouvé, tu le mets en surbrillance et tu cliques sur le bouton "Désinstaller"      

Tu as un tutoriel de Revo uninstaller ICI      

Etape 2:      

Fais annalyser le fichier ci-dessous sur www.virustotal.com      
 c:\windows\system32\drivers\vbqiki.sys       
Tu n'as qu'à copier le chemin complet dans la zone de texte et lancer le scan      
Envoie-moi le rapport ICI      
      
Etape 3:      

Télécharge ce fichier sur ce lien      
Enregistre-le sur ton bureau      
Renomme-le de la sorte CFScript.txt (Important)      
Fais glisser ce script sur l'icône de ComboFix      
L'outil va travailler et ton ordinateur doit rebooter       
Récupère le rapport de combofix et envoie-le moi (Il sera enregistré sous C:\Combofix.txt )      

Etape 4:  

Une fois toutes ces opérations réalisées, relance TDSS Killer stp 
Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", tu mets l'option Delete.
Et tu postes le rapport
Et ne redémarre pas le PC et envoie-moi le rapport  

Etape 5:  

Relance ZHPDiag et scanne ton pc puis envoie-moi le rapport comme tu sais faire sur www.cijoint.fr  

A bientôt

heraultais34600 · Answer

Bonjour Pam23, 

Alors où en es-tu?? 
Dois-je considérer que ton ordinateur est tiré d'affaire?

A+

Pam23 · Answer

Bonjour heraultais34600, 

Je suis vraiment désolé, j'ai eu beaucoup d'imprévus ces jours-ci et je n'ai pas eu le temps mais je reviens dans quelques heures et là je pourrai refaire combofix et tout. J'ai réussi à enlever OpenCloud mais j'aimerais bien vérifier que tout est ok quand même. Je te reviens là-dessus, merci de ta patience et de ton aide! :)

Pam23 · Answer

Me revoilà!

Pour l'étape 2, j'ai voulu analyser le fichier c:\windows\system32\drivers\vbqiki.sys sur www.virustotal.com mais ce fichier était inexistant dans mon ordinateur alors je n'ai pas pu.

Pour l'étape 3, voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijRPnI9w1.txt 

étape 4: http://www.cijoint.fr/cjlink.php?file=cj201110/cijDU0f6AD.txt 

étape 5: http://www.cijoint.fr/cjlink.php?file=cj201110/cijPdC9glF.txt

Merci!

heraultais34600 · Answer

Bonjour Pam23,

Tu m'as envoyé le script ComboFix (étape 3). 
Lis bien cette étape et réalise exactement ce qui t'est demandé.
Ce n'est pas ce que je veux, je veux le rapport de ComboFix après avoir fais glisser CFScript.txt sur l'icône CombiFix qui est ton bureau.
A la fin du travail tu auras un rapport qui va s'ouvrir, c'est lui que je veux. OK!!

Reprends ensuite l'étape 4 puis l'étape 5,.
Je suis désolé mais je ne peux poursuivre si les opérations demandées ne sont pas réalisées correctement..

Je t'ai prévenu au départ, tu as le rootkit ZeroAccess qui est très coriace alors il faut de la discipline dans la réalisation des étapes.

Je résume:
1) Rapport de ComboFix parès passage du script
2) Rapprot TDSS Killer après ComboFix
4) Rapport ZHPDiag après tout ceci réalisé dans l'ordre.

A bientôt

Pam23 · Answer

Désolée pour l'erreur de fichiers. J'ai tout refait, voici les bons:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijaTYWMV5.txt
http://www.cijoint.fr/cjlink.php?file=cj201110/cijjW7uonE.txt
http://www.cijoint.fr/cjlink.php?file=cj201110/cijkoOYHmJ.txt

heraultais34600 · Answer

Bonjour Pam23,  

Cela va un peu mieux mais encore des infections.  

Phase 1:  
Relance MalwareBytes, va dans la quarantaine et supprime tout ce qu'il y a dans la quarantaine  

Phase 2:  
Pourrais-tu faire vérifier ce fichier sur le site www.virustotal.com  
Tu n'auras qu'à coller le chemin ci-dessous et lancer le scan  
C:\Program Files\Monopoly Here and Now\Images\stg_drm.ocx    
Envoie-moi ensuite le rapport d'analyse de VT.  

Phase 3:  
- Télécharge ce fichier ICI  
- Ce fichier est appelé script et permet de poursuivre la désinfection avec l'outil ZHPFix.  
- Ouvre ce fichier, sélectionnez toutes les lignes puis faites un clic droit sur la sélection et, dans le menu contextuel qui s'affiche, sélectionne "Copier"  
- Ensuite télécharge ZHPFix sur ton bureau  
- Lance-le  
- Appuie sur la touche H (coller les lignes helper)  
- Toutes les lignes du fichier vont apparaître dans la zone sur un fond jaune  
- Ensuite, appuie sur le bouton "GO" en bas à gauche  
- L'outil va travailler, une fois le travail réalisé, un rapport sera généré. - C'est ce rapport que tu devras m'envoyer, tu sais faire pour envoyer ce rapport sur www.cijoint.fr   

A bientôt Pam23.

Pam23 · Answer

Pour l'étape 2, ça n'a pas fonctionné encore une fois car je n'ai pas le fichier semble-t-il... Peut-etre est-ce malwareBytes qui l'aurait supprimé lors de l'étape précédente? Quand je fais simplement coller le lien, ça me dit que le chemin n'existe pas. 

Voici mon rapport pour ZHPFix: http://www.cijoint.fr/cjlink.php?file=cj201110/cijcvVvoUU.txt

Merci!

heraultais34600 · Answer

Bonjour Pam23,

Quel est donc ce dossier:
C:\Program Files\Monopoly Here and Now\Images\
Est-ce un jeu?
t'en sers-tu?

Si tu ne t'en sers pas je te conseille de le désinstaller proprement.

Le lien que tu m'as donné ne fonctionne pas (http://www.cijoint.fr/cjlink.php?file=cj201110/cijcvVvoUU.txt)
Essaye de m'en donne run autre.

A bien tôt.

Pam23 · Answer

Voici un autre lien pour le même rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijXMqV7dO.txt
En espérant que ça fonctionne...

Et le dossier dont tu parles, oui c'est un jeu et j'aimerais le conserver si c'est possible, mais il est dans Mes documents/Downloads/Monopoly et l'image en question stg_drm.ocx n'existe pas, même quand je fais une recherche sur tout mon ordinateur. voici un screenshot de ce que j'ai dans Programs Files: http://www.cijoint.fr/cjlink.php?file=cj201110/cijy8i38uu.pdf

heraultais34600 · Answer

Bonsoir Pam23,  

Premièrement, comment se comporte ton pc?  

Deuxièmement, si tu nas pas ce fichier (stg_drm.ocx) dans le dossier c'est bon. Ceci dit, tu peux garder ce jeu.  

Troisièmement, je souhaiterai avant de finir la désinfection réaliser un dernier scan avec ZHPDiag.
envoie-moi le rapport après passage de l'outil

Ensuite si c'est bon, nous pourrons passer à l'étape de suppression des outils de désinfection puis à l'optimisation de ton ordinateur.  

A bientôt.

Pam23 · Answer

Il semble bien aller depuis que je n'ai plus OpenCloud AV, je n'ai pas entendu de pub auditives depuis ce temps, non plus, ni de fenêtres explorer qui demandent à être fermées quand il n'y a rien d'ouvert. :)

Voici le dernier scan ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201110/cijWlwxfsG.txt

heraultais34600 · Answer

Re-bonsoir,

C'est bien mieux.

On va terminer en faisant ceci:

Phase 1:
Mets en surbrillance le texte en gras ci-dessous puis fais un clic droit dessus et sélectionne "Copier"

C:\Documents and Settings\Admin\Application Data\Mozilla\Firefox\Profiles\5mgjspqf.default\user.js (.not file.) 
M2 - MFEP: prefs.js [Admin - 5mgjspqf.default\{ef79f67a-6ad7-4715-a0f8-932fca442023}] [] BittorrentBar_FR Community Toolbar v3.3.3.2 (.Conduit Ltd..)     
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe     
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe     
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe     
O64 - Services: CurCS - 1899-12-30 - C:\Program Files\SignWarehouse\SignWarehouse Production Suite\Program\Par1284.sys (.not file.) - Par1284 (Par1284)  .(...) - LEGACY_PAR1284 


Lance ZHPFix qui est sur ton bureau
Clique sur la lettre H (les lignes que tu viens de copier se collent dans la zone de ZHPFix
Clique sur le bouton "GO"
Envoie-moi le rapport

Phase 2:
*	Télécharge DelFix
*	Lance-le
*	Clique sur le bouton [Suppression]
*	Après quelques secondes, un rapport s'ouvrira. 
*	Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
*	Envoie-moi ce rapport

Phase 3:

Désinstallation
*	Afin de ne laisser aucune trace de DelFix sur ton PC, tu peux le relancer et cliquer sur [Désinstallation].

Phase 4:
Utilise ce programme pour optimiser ton ordinateur :

* Télécharge CCleaner slim. 
* Installe le puis lance le. 
* Clique sur Nettoyeur ? Analyse ? Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre ? corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

Tu peux garder ce programme et l'utiliser régulièrement (une fois par mois).

Bonne soirée et à bientôt.

Pam23 · Answer

Voici le rapport de DelFix: http://www.cijoint.fr/cjlink.php?file=cj201110/cijEbgLNuW.txt

Si j'ai bien compris, mon ordinateur n'a plus rien et tout est terminé?
Un énorme merci pour ton aide et ta pacience, c'est vraiment apprécié!! :)
S'il te plaît, Confirme-moi que tout est ok pour que je mette la discussion comme résolue!

Bonne fin de soirée!

Pam23 · Answer

Ah! Et voici le rapport de ZHPFix que j'ai oublié de joindre: http://www.cijoint.fr/cjlink.php?file=cj201110/cijeRi3S66.txt

heraultais34600 · Answer

Bonjour Pam23,

Excuse moi mais j'ai commis une petite erreur dans l'utilisation de Delfix. Aucun outil de désinfection n'a été supprimé.
Fais ceci:

* Télécharge à nouveau Delfix sur ton bureau
* Lance-le
* Clique sur le bouton [Suppression]
* Après quelques secondes, un rapport s'ouvrira.
* Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
* Envoie-moi ce rapport 

Après envoi du rapport tu pourras relancer Delfix et cette fois-ci cliquer sur le bouton [Suppression]. Ceci aura l'avantage d'enlever Delfix de ton ordinateur.

Tu dis:
Si j'ai bien compris, mon ordinateur n'a plus rien et tout est terminé?

Oui pour moi, je ne vois plus d'infections. Après l'envoi du rapport Delfix, tu pourras mettre en résolu.

Au plaisir et bonne journée.

Pam23 · Answer

Voici le dernier rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijIWGG47E.txt

Merci!

Virus introuvable!! analyse hijackthis??

28 réponses

Votre réponse

Discussions similaires

Newsletters