Guard Online - Malware très corriace...

bon ben t'es salement en galere ....

=======================================

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec


▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv


▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Juste une question: je vais encore devoir faire beaucoup de scan ou la fin est proche? Pas que je commence à me décourager mais bon :)

disons qu'on devrait y arriver mais y'a du boulot t'es salement amoché

moi je vais bien t'inquiete, quoique cet ordi commence a me taper sur les nerfs. Bon au boulot..

Voilà, ce scan a duré quasi toute la nuit:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijdDE5nPE.zip

Ca t'éclaire?

▶ Télécharge DelFix sur ton bureau.

▶ Lance le, tape suppression puis valide

Patiente pendant le scan jusqu'à l'ouverture du rapport.

▶ Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller

=====================================

ensuite refais l'étape Combofix

# DelFix v8.6 - Rapport créé le 16/10/2011 à 12:08:01
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
# Nom d'utilisateur : Bureau - PC (Administrateur)
# Exécuté depuis : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\USBFix
Supprimé : C:\Kill'em
Supprimé : C:\Combofix
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\RK_Quarantine

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\rapport.txt
Supprimé : C:\rkill.log
Supprimé : C:\UsbFix.txt
Supprimé : C:\UsbFix_Upload_Me_PC.zip
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\ComboFix.exe
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\drweb-cureit.exe.part
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Pre_scan.exe
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Pre_Scan_09_10_2011_20_45_24.txt
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Pre_Script.exe
Supprimé : D:\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\Mes Documents\Desktop\RogueKiller.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
Supprimé : C:\Windows\system32\404Fix.exe
Supprimé : C:\Windows\system32\o4Patch.exe
Supprimé : C:\Windows\system32\VACFix.exe
Supprimé : C:\Windows\system32\VCCLSID.exe
Supprimé : C:\Windows\system32\IEDFix.exe
Supprimé : C:\Windows\system32\IEDFix.C.exe
Supprimé : C:\Windows\system32\Agent.OMZ.Fix.exe
Supprimé : C:\Windows\system32\WS2Fix.exe
Supprimé : C:\Windows\system32\Process.exe
Supprimé : C:\Windows\system32\SrchSTS.exe
Supprimé : C:\Windows\system32\Dumphive.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\USBFix
Clé Supprimée : HKCU\Software\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [3115 octets] - [16/10/2011 12:08:01]

########## EOF - C:\DelFix[S1].txt - [3239 octets] ##########

impec :)

Impec genre c'est OK, plus de problème?

Je te mets le rapport combofix?

Sinon j'ai eu un truc en bas à droite du bureau qui m'a dit que les logiciels malveillants avaient été supprimés

oui refais combofix

http://www.cijoint.fr/cjlink.php?file=cj201110/cijWM3UGFi.txt

tu peux pas mettre à jour windows vista là ?

La tout de suite non, j'ai besoin de l'ordi et la mise à jour implique des redémarrages et tout. C'est le seul truc qu'il me reste à faire?

non mais ca m'avancera beaucoup

Ok vista est mis à jour

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
c:\windows\system32\config\systemprofile\AppData\Local\Iradesolas.bin
c:\program files\*.exe
c:\users\Bureau\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\qpupcjct.exe
c:\users\Bureau\AppData\Local\Temp\xevwfgyr.sys
c:\users\Bureau\AppData\Local\Temp\~TME91.tmp

Folder::
c:\program files\ijgdrjwo
c:\programdata\Spybot - Search & Destroy

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,"

Driver::
Micorsoft Windows Service;
MICORSOFT_WINDOWS_SERVICE

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

http://www.cijoint.fr/cjlink.php?file=cj201110/cijeLLpXK5.txt

Télécharge ici :OTL

▶ enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ => Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Ok je vais le faire. Tu penses que je devrai encore lancer beaucoup de scans comme ca??