Virus sytem 32 pub sonore à la minute

Question

Bonjour,  

J'ai un problème depuis les environs du 22 décembre 2011 avec un virus que je n'arrive pas à stopper qui génère des pubs sonores dès connection à internet et qui lors de ma navigation sur internet me met une fois sur deux sur la même page (qui semblerait être de la pub).  

L'antivirus AVG me donne des cookies à la minute et je suis obligé pour survivre de faire des analyses toutes les 30 min ou de travailler sans internet.  

Il semblerait que le virus soit localisé dans system 32 de windows. Après un petit surf j'ai fait une analyse HijackThis qui m'indique un message d'erreur mais fini par donner ce résultat auquel bien sur je ne comprends rien (voir ci dessous en fin de message).  

Je ne sais vraiment plus quoi faire, cela ne fait qu'une semaine, mais j'ai du supprimer tout ce que je pouvais dans la plus grande incohérence, et cela devient vraiment plus que pénible,  le désespoir m'emporte et je commence à détester mon ordinateur.

Je remercie quiconque pouvant m'aider.


Rapport  HijackThis v2.0.2:

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 22:55:37, on 28/12/2011 
Platform: Unknown Windows (WinNT 6.01.3505 SP1) 
MSIE: Internet Explorer v9.00 (9.00.8112.16421) 
Boot mode: Normal 

Running processes: 
C:\Windows\system32\Dwm.exe 
C:\Windows\Explorer.EXE 
C:\Windows\system32	askhost.exe 
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe 
C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe 
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe 
C:\Program Files\AVG\AVG2012\avgtray.exe 
C:\Program Files\Analog Devices\Core\smax4pnp.exe 
C:\Program Files\Common Files\Java\Java Update\jusched.exe 
C:\Program Files\OpenOffice.org 3\program\soffice.exe 
C:\Program Files\OpenOffice.org 3\program\soffice.bin 
C:\Program Files\Hewlett-Packard\Shared\hpqToaster.exe 
C:\Program Files\Hewlett-Packard\Shared\hpCaslNotification.exe 
C:\Program Files\Google\Chrome\Application\chrome.exe 
C:\Program Files\Google\Chrome\Application\chrome.exe 
C:\Program Files\Google\Chrome\Application\chrome.exe 
C:\Program Files\Google\Chrome\Application\chrome.exe 
C:\Program Files\Google\Chrome\Application\chrome.exe 
C:\Program Files\Google\Chrome\Application\chrome.exe 
C:\Windows\system32undll32.exe 
C:\Program Files\Google\Chrome\Application\chrome.exe 
C:\Windows\system32\wuauclt.exe 
C:\Program Files\Google\Chrome\Application\chrome.exe 
C:\Users\Aucd\Downloads\HiJackThis.exe 
C:\Program Files\Google\Chrome\Application\chrome.exe 
C:\Users\Aucd\Downloads\HiJackThis (1).exe 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =  
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
O1 - Hosts: ::1 localhost 
O1 - Hosts: 69.72.252.254 www.google-analytics.com. 
O1 - Hosts: 69.72.252.254 ad-emea.doubleclick.net. 
O1 - Hosts: 69.72.252.254 www.statcounter.com. 
O1 - Hosts: 184.95.41.155 www.google-analytics.com. 
O1 - Hosts: 184.95.41.155 ad-emea.doubleclick.net. 
O1 - Hosts: 184.95.41.155 www.statcounter.com. 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG2012\avgssie.dll 
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll 
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\9.0.0.23\AVG Secure Search_toolbar.dll 
O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll 
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll 
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll 
O3 - Toolbar: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\9.0.0.23\AVG Secure Search_toolbar.dll 
O4 - HKLM\..\Run: [WirelessAssistant] C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe 
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start 
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" 
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files\AVG\AVG2012\avgtray.exe" 
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe 
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" 
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe" 
O4 - HKCU\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup 
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized 
O4 - Startup: OpenOffice.org 3.2.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe 
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000 
O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll 
O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll 
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll 
O9 - Extra button: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll 
O9 - Extra 'Tools' menuitem: Skype Click to Call - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll 
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL 
O9 - Extra button: ClickPotato - {B58926D6-CFB0-45d2-9C28-4B5A0F0368AE} - C:\Program Files\ClickPotatoLite\bin\10.0.668.0\ClickPotatoLiteSABHO.dll (file missing) 
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll (file missing) 
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll (file missing) 
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll 
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll 
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics 
O13 - Gopher Prefix:  
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab 
O17 - HKLM\System\CCS\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: Domain = ups-tlse.fr 
O17 - HKLM\System\CCS\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: NameServer = 8.8.8.8,8.8.8.8,130.120.124.102,195.220.59.6 
O17 - HKLM\System\CS1\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: Domain = ups-tlse.fr 
O17 - HKLM\System\CS1\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: NameServer = 8.8.8.8,8.8.8.8,130.120.124.102,195.220.59.6 
O17 - HKLM\System\CS2\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: Domain = ups-tlse.fr 
O17 - HKLM\System\CS2\Services\Tcpip\..\{63D74D93-A2B6-4BA0-8EF5-C8B113623463}: NameServer = 8.8.8.8,8.8.8.8,130.120.124.102,195.220.59.6 
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll 
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll 
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll 
O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\9.0.1\ViProtocol.dll 
O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll 
O20 - AppInit_DLLs:    
O20 - Winlogon Notify: DeviceNP - C:\Windows\SYSTEM32\DeviceNP.dll 
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe 
O23 - Service: Andrea ADI Filters Service (AEADIFilters) - Andrea Electronics Corporation - C:\Windows\system32\AEADISRV.EXE 
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe 
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\AVGIDSAgent.exe 
O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG2012\avgwdsvc.exe 
O23 - Service: Verrouillage des périphériques / Audition HP ProtectTools (FLCDLOCK) - Hewlett-Packard Ltd - C:\Windows\system32\flcdlock.exe 
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe 
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe 
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe 
O23 - Service: HP Support Assistant Service - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Support Framework\hpsa_service.exe 
O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\HPDrvMntSvc.exe 
O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\Shared\hpqWmiEx.exe 
O23 - Service: HP Service (hpsrv) - Hewlett-Packard Company - C:\Windows\system32\Hpservice.exe 
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe 
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Program Files\MATLAB\R2006a\webserver\bin\win32\matlabserver.exe (file missing) 
O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files\PDF Complete\pdfsvc.exe 
O23 - Service: RoxMediaDB10 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\10.0\SharedCOM\RoxMediaDB10.exe 
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe 
O23 - Service: vToolbarUpdater - Unknown owner - C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\9.0.1\ToolbarUpdater.exe

enafayne · Answer

t'attends quoi pour le mettre en quarantaine???

kalimusic · Answer

Bonjour et Bienvenue sur CCM 

Connais tu le nom du fichier que AVG tente de mettre en quarantaine ?
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.  

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\assembly	mp\*.* /s 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

Aude31 · Answer

Bonjour,  

Merci pour l'aide proposée.   

Je n'ai pas noté le/les virus qui n'arrêtaient pas de se mettre en quarantaine.   

D'autre part, j'ai un problème maintenant de reconnaissance avec mon windows, il me dit que ma copie de windows n'est pas authentique, ce qui n'est pas le cas.  

Voici les deux liens après analyse avc OTL:  
http://cjoint.com/?0LDt0dikA83 (pour le fichier extras)  
http://cjoint.com/?0LDt3qdJ0oM (pour le fichier OTL)  

Merci encore et bonne soirée

kalimusic · Answer

Bonsoir,

Ton ordinateur présente de multiples infections et de nombreux logiciels indésirables, je ne sais pas comment il fonctionne encore.

 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération si tu es sous XP
&#x25CF; Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
&#x25CF; Il est possible que l'outil est besoin de redémarre l'ordinateur.

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 
&#x25CF; Héberge le rapport et donne moi le lien. 

!! Réactive les protections résidentes de ton PC !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

Aude31 · Answer

OK merci. J'ai un problème car je n'arrive pas à désactiver mon parefeu windows car il me demande avant de le mettre à jour et il ne veut pas, il y a une erreur qui se produit (code erreur 0x80070424). 

Puis je quand même lancer ComboFix?

kalimusic · Answer

Si tu parles du pare-feu natif de Windows, tu n'as pas besoin de le désactiver.

A +

Aude31 · Answer

Bonsoir,

Voici le lien avec le rapport combofix: http://cjoint.com/?0LEbNQKiWhs

Lors du processus à la fin des étapes (une quarantaine), combofix a signalé plusieurs infections (3) dont une sur system32, qu'il a tenté de résoudre (si j'ai bien tout compris).

D'autre part, il est normal qu'AVG reconnaisse combofix comme une menace?

Merci encore et bonne nuit.

kalimusic · Answer

Bonjour,

AVG reconnait ComboFix comme une menace, c'est un outil de désinfection puissant qui mal utilisé peut faire des dégâts sur le système.

ComboFix a supprimé pas mal d'infections mais la situation reste critique, il a repéré que 3 fichiers essentiels aux fonctionnement de Windows ont été modifiés.

1. Rends toi sur le site Virus Total

&#x25CF; Clique sur la case "Parcourir"
&#x25CF; Une nouvelle fenêtre s'ouvre te permettant de naviguer sur le disque dur
&#x25CF; Parcoure l'arborescence de ton disque dur dans ce répertoire : 
C:\Windows\System32\ pour sélectionner ce fichier winlogon.exe
&#x25CF; Clique sur le fichier puis sur "Ouvrir" en bas de la fenêtre 
&#x25CF; Clique maintenant sur le bouton "Send File (Envoyer le fichier)"

Si un message te dit que le fichier à déjà été analysé, ré-analyse le

Le fichier est mis en attente puis le scan débute, à la fin de l'analyse copie l'URL et colle la dans ta réponse, cela doit ressembler à ceci : http://www.virustotal.com/fr/analisis/4ad23c3e409a3845815fcc6d0c977fbeb90ba8d1bcdf6d41b22993907a7944aa-1270983527 

2. Recommence la même opération pour les fichiers suivants :

c:\windows\system32\svchost.exe  
c:\windows\explorer.exe

3. Dans tes documents, je vois des dossiers qui m'intriguent car ils contiennent des fichiers de Windows. Est-ce toi qui a crée le dossier Scanned Documents dans ce répertoire  => C:\Users\Aucd\Documents\Scanned Documents\Documents 


A +

Aude31 · Answer

Bonjour,

Ok, merci. Désolé pour mon temps de réponse, je suis en décalage horaire de 6h de retard au Canada. 

Concernant le dossier Scanned Documents dans ce répertoire => C:\Users\Aucd\Documents\Scanned Documents\Documents , il ne me semble pas l'avoir créé. 

Voici les URL pour:

- C:\Windows\System32\ winlogon.exe:
http://www.virustotal.com/file-scan/report.html?id=ed2fe01047e9704430d5be13db5b33b2afe519807406da97362ebcd2be9d009a-1325248785

- C:\windows\system32\svchost.exe:
http://www.virustotal.com/file-scan/report.html?id=1de9516aa0a690619979df31eaa3d519eb4e296653c7482b6445103cd4396f74-1325249146

-C:\windows\explorer.exe:
http://www.virustotal.com/file-scan/report.html?id=bd6d6fa6b4b6b49cc7ffaebd6a0bdf034a742a9796e5606cde8e1aaebfeace87-1325249279

D'autre part, voici sur quoi je tombe une fois sur quatre lors de mes recherches internet: http://updatedtrends.com/?s=

Bon après-midi

kalimusic · Answer

Bonjour,

Comme je le prévoyais les des fichiers système vitaux sont touchés, on va essayer de les remplacer. On traitera aussi les redirections.
Tu as de multiples infections, la désinfection ne peut pas se faire en un clin d'oeil.

1.  Ouvre le bloc-note et copie/colle les instructions en citation :     

FCopy::
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.1.7600.16385_none_518afd35db100430\explorer.exe | C:\windows\explorer.exe
C:\Windows\winsxs\x86_microsoft-windows-winlogon_31bf3856ad364e35_6.1.7600.16385_none_6f99573a36451166\winlogon.exe | c:\windows\system32\winlogon.exe 
C:\Windows\winsxs\x86_microsoft-windows-services-svchost_31bf3856ad364e35_6.1.7600.16385_none_b591afc466a15356\svchost.exe | c:\windows\system32\svchost.exe
  
RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]

Registry::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=-
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=-
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\Approved Extensions]
"{A7CDDCDC-BEEB-4685-A062-978F5E07CEEE}"=-

Driver::
5016   

File::      
c:\windows\TEMP\5016.sys 
c:\programdata\iojbcaa.tmp 
c:\programdata\yuyqaaa.tmp 
c:\programdata\sjhnaaa.tmp 
&#x25CF;  Sauvegarde le fichier sous le nom CFScript.txt  impérativement sur ton Bureau.     
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!        
&#x25CF;  Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img     
&#x25CF; Patiente pendant le travail de l'outil et la création du rapport.

2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

&#x25CF; Lance TDSSKiller.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Start scan.
&#x25CF; Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
&#x25CF; Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess : 
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
&#x25CF; Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
&#x25CF; Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt 

3. Héberge les 2 rapports et donne moi les liens dans ton prochain message afin que je puisse les consulter.

A +

Aude31 · Answer

Re-bonjour, 

Voici les liens des 2 rapports: 
http://cjoint.com/?0LErvWxtpXr 

http://cjoint.com/?0LErwGwvdbL 

Pour l'étape avec TDSSKiller, après le scan, je n'ai eu que deux fichiers Treat où on me proposait skip, quarantaine ou delete. J'ai laissé sur skip. C'est tout ce que j'ai fait. J'ai pas trouvé de cure.

kalimusic · Answer

re,

1. Il faut refaire analyser des fichiers sur http://www.virustotal.com/index.html

c:\windows\system32\winlogon.exe
c:\windows\system32\svchost.exe
c:\windows\explorer.exe 
C:\Windows\system32\DRIVERS\wdcsam.sys
C:\Windows\system32\FsUsbExDisk.SYS
Copie/colle les liens obtenus.
(la procédure est donnée plus haut)

2. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport , coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Après le balayage, un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 
&#x25CF;  Héberge le rapport et donne moi le lien.

3. Dis moi si tu as toujours des redirections. 

A +

Aude31 · Answer

Ok.
Est ce que pour OTL je recolle le script dans personnalisation?

kalimusic · Answer

Non, c'est scan simple.

A +

Aude31 · Answer

ok. 

Voici le lien du rapport OTL: 
http://cjoint.com/?0LEsv1qTztj 

Et les liens  pour virus total: 

c:\windows\system32\winlogon.exe: 
http://www.virustotal.com/file-scan/report.html?id=8550390c14c140acf703e828c78d7e71b3fa97b610b52b1bfa3ba242a43df978-1325264206 

c:\windows\system32\svchost.exe 
http://www.virustotal.com/file-scan/report.html?id=1de9516aa0a690619979df31eaa3d519eb4e296653c7482b6445103cd4396f74-1325264318 

c:\windows\explorer.exe  
http://www.virustotal.com/file-scan/report.html?id=0cccca603e2db99ba3f994f889dac043628c228ae6c8ddec3e8e8b3a96917c96-1325264348 

C:\Windows\system32\DRIVERS\wdcsam.sys 
http://www.virustotal.com/file-scan/report.html?id=807d4563e8ad4073688691078eb13af240e14ba5e0c8506a48b3060a20b90082-1325264566 

C:\Windows\system32\FsUsbExDisk.SYS 
http://www.virustotal.com/file-scan/report.html?id=7cbc77c620aba75fef4ba8ad9c38766d50cd18106eba4693f162f2c5a7d46aa8-1325264605 

Par contre, je ne sais pas ce que veux dire " redirection".  J'ai toujours mes pubs sonores, mes pages web redirigées vers d'autres pages et mon windows non reconnu.  

Merci encore pour l'aide apportée

kalimusic · Answer

Aude31,

ComboFix n'a pas réussi à remplacer les fichiers systèmes patchés.
L'infection principale est donc toujours présente.
Il faut donc changer de stratégie. As tu un autre pc pour graver un CD ?

A +

Aude31 · Answer

Ok, merci.

Oui, je peux avoir un autre PC pour graver un CD.

A plus tard

juju666 · Answer

Hello pour avancer un peu mon ami kalimusic, je pense qu'il n'en verra pas d'inconvénient (j'espère).

Télécharge et grave sur CD-R OTLPE
(la gravure se lance en exécutant le fichier OTLPEStd.exe)

~~

Ensuite il te faudra "booter" sur le CD, voir pour configurer ton bios si nécessaire : https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot

Bonne chasse kalimusic, je suis ce sujet c'est fort intéressant !

kalimusic · Answer

Bonjour juju,

Effectivement intéressant, sauf pour le propriétaire du pc.

@Aude31

Quand tu auras graver le CD depuis une autre ordinateur, je te donnerais les instructions pour la suite.

A +

aude31 · Answer

Bonjour, 

C'est avc plasir que je commence cette nouvelle année avc un pc remis à neuf. Mon cousin m'a remplacé les 3 fichiers exécutifs de windows par des non contaminés. Il m'a informé que c'est sans doute en téléchargeant des fichiers sur internet que j'ai récupéré ces virus.  

Je tiens à vous remercier pour votre aide et votre temps que vous y avez consacré et vous souhaite une bonne année. 

Merci encore.

kalimusic · Answer

Bonsoir,

C'est une très bonne nouvelle d'avoir pu remplacer les fichiers système patchés.
C'est d'ailleurs ce que je voulais faire à partir du CD OTLPE, car quand nous l'avions fait avec ComboFix, l'infection avait repatché les fichiers fraichement remplacés.

Je dois t'avertir que ton pc était gravement infecté et qu'il restait pas mal d'infections (certes mineures par rapport à ce problème) et que ton système comportait des failles de sécurité qui ont permis aux infections de faire ces ravages.

A +

kalimusic · Answer

Bonjour,

1. Il faut faire ré-analyser ces fichiers sur http://www.virustotal.com/index.html

!! Si un message te dit que le fichier à déjà été analysé, ré-analyse le !!

c:\windows\system32\winlogon.exe
c:\windows\system32\svchost.exe
c:\windows\explorer.exe 
2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

3. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport , coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Dans la partie "Personnalisation", copie/colle la liste en citation : 

/md5start
explorer.exe
winlogon.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ProgramFiles%\*.
%systemroot%\Tasks\*.*
C:\Users\Aucd\Documents\Scanned Documents\*.* /s
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

4. Héberge les rapports et donne moi les liens.

A +

aude31 · Answer

Bonsoir,

Merci pour les informations et Voici les liens:

- c:\windows\system32\winlogon.exe
http://www.virustotal.com/file-scan/report.html?id=cb6e375722ad98184d3473d6645cfc73e0040da04377da23aa1da3fa0671fa68-1325530274

- c:\windows\system32\svchost.exe
http://www.virustotal.com/file-scan/report.html?id=121118a0f5e0e8c933efd28c9901e54e42792619a8a3a6d11e1f0025a7324bc2-1325530453

- c:\windows\explorer.exe 
http://www.virustotal.com/file-scan/report.html?id=80ef843fa78c33b511394a9c7535a9cbace1deb2270e86ee4ad2faffa5b1e7d2-1325530552

- OTL: dossier trop gro pr OTL

-ADWCleaner :
http://cjoint.com/?BAcwazwaAef 

Bonne soirée

kalimusic · Answer

Bonsoir,

Ok, je vois le dossier Scanned Documents doit être trop volumineux, peux tu recommencer OTL avec ce script stp :

/md5start
explorer.exe
winlogon.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ProgramFiles%\*.
%systemroot%\Tasks\*.*
CREATERESTOREPOINT 

A +

kalimusic · Answer

On a bien avancé,

Il y a sur ton bureau deux choses qui m'interpellent :
un dossier nommé Findit
et un fichier nommé um029370409lcmcb6l2ukmppgg1ouoomlpm.exe 
Supprime les sauf tu sais ce dont il s'agit.
 
1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions en citation :

:OTL
SRV - (matlabserver) --  File not found
[2011/11/15 15:55:37 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml 
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
[6 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] 
[6 C:\ProgramData\*.tmp files -> C:\ProgramData\*.tmp -> ] 
[2 C:\Users\Aucd\Desktop\*.tmp files -> C:\Users\Aucd\Desktop\*.tmp -> ] 
[1 C:\Windows\System32\*.tmp files -> C:\Windows\System32\*.tmp -> ] 
@Alternate Data Stream - 145 bytes -> C:\ProgramData\TEMP:0B4227B4 
:Reg 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles

2. 2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

&#x25CF; Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#x25CF; Clique dans l'onglet du haut "Recherche"
&#x25CF; Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
&#x25CF; Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression.

A +

kalimusic · Answer

Bonsoir,

Ok pour le dossier et fichier du bureau, je m'en doutais, je ne les avais pas intégré au script OTL. Tu as vu que tu n'as pas supprimé un élément avec Malwarebytes ?

Comment se comporte le pc maintenant ?

SI c'est ok aussi pour toi, on se retrouve pour la dernière étape.

A +

aude31 · Answer

Bonsoir,

Oui je l'ai fait exprès car c'est un dossier findit d'un logiciel de travail. C'est pour cela que je ne l'ai pas supprimé. 

Mon pc se porte parfaitement, je peux enfin retravailler dessus. Merci beaucoup pour m'avoir accompagné au long de toutes ces étapes. 

Bonne soirée

kalimusic · Answer

aude31,

1. Relance AdwCleaner en tant qu'administrateur
&#x25CF; Clique sur Désinstallation  

2. Ouvre la commande Exécuter en pressant Windows + R 
&#x25CF; Dans la boite de dialogue, tape ComboFix /Uninstall 
&#x25CF; Valide par Ok puis suivre les invites à l'écran.
&#x25CF; Un message confirme que ComboFix a été désinstallé. 

3. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF; Dans la partie "Personnalisation", copie/colle:

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

4. Relance OTL en tant qu'administrateur  
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau

5. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant 

6. Désinstalle les versions obsolètes des logiciels suivants : 

Java(TM) 6 Update 26
7. Mises à jour de logiciels pouvant présenter des failles de sécurité.

&#x25CF; Télécharge et installe JRE 6 Update 30 
&#x25CF; Vérifie ta version de FlashPlayer et si nécéssaire télécharge et installe Adobe Flash Player 11.1.102.55

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

 == == == == == == == == == == == == == == == == == == == == == ==

les choses simples qui font la différence

&#x25CF; Maintenir Windows à jour

&#x25CF; Maintenir les logiciels à jour 

&#x25CF;  Ne pas surfer en droits administrateurs

&#x25CF; Ne pas installer n'importe quel logiciel sur son PC (surtout via des liens publicitaires), toujours se renseigner avant. Les télécharger dans la mesure du possible sur le site de l'éditeur. Éviter d'installer les diverses barres d'outils ou de recherches, etc....proposées lors de l'installation. 

&#x25CF; Bannir les sites à risques (pornographiques, etc...) et les comportements à risques (P2P, cracks, warez....)

&#x25CF; Ne pas cliquer aveuglement sur des liens contenus dans les e-mails, les messageries instantanées, les réseaux sociaux, etc ...même si l'expéditeur est connu et à plus forte raison s'il est inconnu ou suspect.

&#x25CF; Utiliser un navigateur alternatif et le sécuriser (par exemple Firefox avec des modules complémentaires comme AdBlock, Noscript, WOT, etc...) 

 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

Virus sytem 32 pub sonore à la minute

28 réponses

Votre réponse

Discussions similaires

Newsletters