Virus bloque activation antivir et mises à jo

Résolu
Jicé -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,

J'ai honteusement chopé une vérole qui empêche Avira de s'activer au démarrage. Je ne peux pas l'activer manuellement. Et les mises à jour windows sont impossibles.
J'ai réussi apparemment à éliminer un fichier "iy4zowdz16.exe" qui contenait cutwail. Mais les choses doivent être plus profondes, car je ne peux toujours pas activer Avira.

Merci de m'aider !

47 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème rencontré : une infection est soupçonnée d'empêcher l'activation de la protection en temps réel d'Avira et de bloquer les mises à jour Windows, avec des ralentissements au démarrage.
Plusieurs mesures ont été appliquées, notamment via ZHPFix qui a supprimé des clés et valeurs de registre, des dossiers indésirables et des éléments liés à Spybot, afin d'épurer l'empreinte malveillante.
D'autres actions ont été tentées, comme des outils TDSS rootkit remover et ZHPDiag, mais les symptômes persistent : impossibilité de mettre à jour Windows et d'activer l'antivirus en temps réel.
Cependant, des échanges mentionnent Delfix et des fichiers hosts modifiés, et l'analyse des journaux de diagnostic ou des captures partagées pourrait être nécessaire pour orienter les prochaines étapes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    Cutwail, il ya bien longtemps que je ne l'ai vu :-)

    On va faire un diagnostic de ton PC:

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou depuis ce lien si le premier a des soucis:
    http://www.moncompteur.com/compteurclick.php?idLink=18026

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    - Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement"
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe et non pas sur le presonnage avec la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
    - Clique sur Parcourir et cherche le répertoire C:\ZHP
    - Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
    - Ensuite Clique sur "Envoyer le fichier".
    - Copie le lien obtenu dans ta réponse.

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  2. Jicé
     
    Merci pour ton aide !

    Voici le lien :

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120213_y6o15d8c6s7
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Je n'ai pas accés au site de malékal, il est peut-êre indisponible.
    Peux-tu utiliser cecui-ci:
    https://www.cjoint.com/

    Smart
    0
  4. Jicé
     
    voilà :)

    http://cjoint.com/?BBnryzxK24B
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Le rapport ne montre pas que ton antivirus soit désactivé

    Tu as téléchargé un crack pour Adobe c'est pour cela que tu as été infecté. Lis ce dossier: Les dangers des cracks

    Désinstalle également spybot, il est dépassé et ne fait que ralentir ton PC:
    https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6

    Tu vas faire ceci:

    - Ferme toutes tes applications en cours
    - Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 noublie pas clic droi ==> en tant qu'administrateur")
    - Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    - Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    M2 - MFEP: prefs.js [Banjo - n1xtfilk.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.12 (.http://www.cacaoweb.org/
    [HKCU\Software\AppDataLow\Software\PriceGong]
    [HKCU\Software\cacaoweb]
    O43 - CFD: 16/04/2011 - 20:42:14 - [898,376] ----D- C:\Users\Banjo\AppData\Roaming\cacaoweb
    O53 - SMSR:HKLM\...\startupreg\cacaoweb [Key] . (...) -- C:\Users\Banjo\AppData\Roaming\cacaoweb\cacaoweb.exe
    O87 - FAEL: "TCP Query User{E0FF7EA2-C225-42F6-8253-20628138ED83}C:\users\banjo\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Private - P6 - TRUE | .(...) -- C:\Users\Banjo\AppData\Roaming\cacaoweb\cacaoweb.exe
    O87 - FAEL: "UDP Query User{E1135F70-7527-4125-9726-8742A526CDEB}C:\users\banjo\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Private - P17 - TRUE | .(...) -- C:\Users\Banjo\AppData\Roaming\cacaoweb\cacaoweb.exe
    O87 - FAEL: "TCP Query User{2179BF17-84A2-4FFD-B591-ABC403BCB5E9}C:\users\banjo\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Public - P6 - TRUE | .(...) -- C:\Users\Banjo\AppData\Roaming\cacaoweb\cacaoweb.exe
    O87 - FAEL: "UDP Query User{B0A0D62F-D9A8-48AA-83E0-CE92EA08F9D9}C:\users\banjo\appdata\roaming\cacaoweb\cacaoweb.exe" | In - Public - P17 - TRUE | .(...) -- C:\Users\Banjo\AppData\Roaming\cacaoweb\cacaoweb.exe
    O87 - FAEL: "TCP Query User{FD528E18-041C-4DA7-8657-E4228BC5DB3B}C:\users\banjo\appdata\roaming\ciucut\wuba.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\banjo\appdata\roaming\ciucut\wuba.exe (.not file.)
    O87 - FAEL: "UDP Query User{153D6814-413A-4B26-A4A0-BAC5317A89BC}C:\users\banjo\appdata\roaming\ciucut\wuba.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\banjo\appdata\roaming\ciucut\wuba.exe (.not file.)
    [HKCU\Software\cacaoweb]
    [HKCU\Software\AppDataLow\Software\PriceGong]
    C:\Users\Banjo\AppData\Roaming\cacaoweb
    C:\Users\Banjo\AppData\LocalLow\PriceGong
    R3 - URLSearchHook: (no name) [64Bits] - {88c7f2aa-f93f-432c-8f0e-b7d85967a527} . (...) (No version) -- (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{53495B54-46F3-49BB-AC1F-CEE2B31FE8E1}] (...) -- D:\Adobe Premiere Pro CS4 ISO\Adobe Premiere Pro CS4\Xforce Keygen\keygen.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{577D1603-8B77-4FC8-9DBE-5A08DF3332E2}] (...) -- D:\Adobe Premiere Pro CS4 ISO\Adobe Premiere Pro CS4\Xforce Keygen\keygen.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{A24A3512-B2DA-42A2-B2E8-75B378F2CDF5}] (...) -- D:\Adobe Premiere Pro CS4 ISO\Adobe Premiere Pro CS4\Xforce Keygen\keygen.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{BF263600-3A00-46DC-8069-FFF371152A09}] (...) -- D:\Adobe Premiere Pro CS4 ISO\Adobe Premiere Pro CS4\Xforce Keygen\keygen.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{DC431711-98B6-4900-AA16-841138F2C043}] (...) -- D:\Adobe Premiere Pro CS4 ISO\Adobe Premiere Pro CS4\Xforce Keygen\keygen.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{F1544058-FE00-4B4F-98B7-2D61D255D93E}] (...) -- D:\Adobe Premiere Pro CS4 ISO\Adobe Premiere Pro CS4\Xforce Keygen\keygen.exe (.not file.)
    O43 - CFD: 06/08/2011 - 18:29:32 - [0] ----D- C:\Users\Banjo\AppData\Local\{83390E2B-7A27-4178-BD1A-914C63E40B80}
    O43 - CFD: 11/02/2012 - 10:15:50 - [0] ----D- C:\Users\Banjo\AppData\Roaming\Ciucut
    O43 - CFD: 12/02/2012 - 12:05:12 - [0] ----D- C:\Users\Banjo\AppData\Roaming\Imzeto
    O43 - CFD: 02/02/2012 - 18:42:20 - [0] ----D- C:\Users\Banjo\AppData\Roaming\Jyaja
    O43 - CFD: 08/02/2012 - 17:25:34 - [0] ----D- C:\Users\Banjo\AppData\Roaming\Lieb
    C:\Users\Banjo\AppData\Roaming\Mozilla\Firefox\Profiles\n1xtfilk.default\Extensions\cacaoweb@cacaoweb.org
    [HKCU\Software\AppDataLow\Software\BitTorrentBar]
    [MD5.197215658B8015182192E1EBCA3BBCC3] [SPRF][11/02/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Banjo\AppData\Local\Temp\AskSLib.dll [246440]
    [HKLM\Software\Classes\Toolbar.CT2790392]
    C:\Users\Banjo\AppData\LocalLow\BitTorrentBar
    C:\Users\Banjo\AppData\LocalLow\Conduit
    EmptyTemp
    EmptyFlash
    FirewallRAZ

    ----------------------------------------------------------
    - Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Et redémarre le PC

    Smart
    0
  7. Jicé
     
    C'est fait, mais j'ai pas mal de soucis, l'ordi est lent, et mes applications ne se lancent pas. Je passe par le mode sans échec pour pouvoir utiliser le navigateur.et là je n'arrive pas à poster mon message quand je colle le rapport
    0
  8. Jicé
     
    Rapport de ZHPFix 1.12.3380 par Nicolas Coolman, Update du 05/02/2011
    Fichier d'export Registre :
    Run by Banjo at 13/02/2012 19:54:02
    Windows 7 Home Premium Edition, 64-bit (Build 7600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Module(s) mémoire ==========
    SUPPRIME Memory Module: C:\Users\Banjo\AppData\Local\Temp\AskSLib.dll

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\PriceGong
    SUPPRIME Key: HKCU\Software\cacaoweb
    SUPPRIME Key**: StartupReg: cacaoweb
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\BitTorrentBar
    SUPPRIME Key: HKLM\Software\Classes\Toolbar.CT2790392

    ========== Valeur(s) du Registre ==========
    SUPPRIME TCP Query User{E0FF7EA2-C225-42F6-8253-20628138ED83}C:/users/banjo/appdata/roaming/cacaoweb/cacaoweb.exe
    SUPPRIME UDP Query User{E1135F70-7527-4125-9726-8742A526CDEB}C:/users/banjo/appdata/roaming/cacaoweb/cacaoweb.exe
    SUPPRIME TCP Query User{2179BF17-84A2-4FFD-B591-ABC403BCB5E9}C:/users/banjo/appdata/roaming/cacaoweb/cacaoweb.exe
    SUPPRIME UDP Query User{B0A0D62F-D9A8-48AA-83E0-CE92EA08F9D9}C:/users/banjo/appdata/roaming/cacaoweb/cacaoweb.exe
    SUPPRIME TCP Query User{FD528E18-041C-4DA7-8657-E4228BC5DB3B}C:/users/banjo/appdata/roaming/ciucut/wuba.exe
    SUPPRIME UDP Query User{153D6814-413A-4B26-A4A0-BAC5317A89BC}C:/users/banjo/appdata/roaming/ciucut/wuba.exe
    SUPPRIME URLSearchHook: {88c7f2aa-f93f-432c-8f0e-b7d85967a527}
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :
    SUPPRIME FirewallRaz (None) : {67F46CD1-1C00-4F72-8006-C2BE71549C8E}

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Users\Banjo\AppData\Roaming\Mozilla\Firefox\Profiles\n1xtfilk.default\extensions\cacaowebAROBASEcacaoweb.org
    SUPPRIME Folder: C:\Users\Banjo\AppData\Roaming\cacaoweb
    SUPPRIME Folder: c:\users\banjo\appdata\locallow\pricegong
    SUPPRIME Folder: C:\Users\Banjo\AppData\Local\{83390E2B-7A27-4178-BD1A-914C63E40B80}
    SUPPRIME Folder: C:\Users\Banjo\AppData\Roaming\Ciucut
    SUPPRIME Folder: C:\Users\Banjo\AppData\Roaming\Imzeto
    SUPPRIME Folder: C:\Users\Banjo\AppData\Roaming\Jyaja
    SUPPRIME Folder: C:\Users\Banjo\AppData\Roaming\Lieb
    SUPPRIME Folder: c:\users\banjo\appdata\locallow\bittorrentbar
    SUPPRIME Folder: c:\users\banjo\appdata\locallow\conduit
    SUPPRIME Temporaires Windows: : 83
    SUPPRIME Flash Cookies: 24

    ========== Fichier(s) ==========
    ABSENT File: c:\users\banjo\appdata\roaming\cacaoweb\cacaoweb.exe
    ABSENT Folder/File: c:\users\banjo\appdata\roaming\cacaoweb
    ABSENT Folder/File: c:\users\banjo\appdata\roaming\mozilla\firefox\profiles\n1xtfilk.default\extensions\cacaowebAROBASEcacaoweb.org
    SUPPRIME File*: c:\users\banjo\appdata\local\temp\askslib.dll
    SUPPRIME Temporaires Windows: : 30
    SUPPRIME Flash Cookies: 7

    ========== Tache planifiée ==========
    SUPPRIME Task: {53495B54-46F3-49BB-AC1F-CEE2B31FE8E1}
    SUPPRIME Task: {577D1603-8B77-4FC8-9DBE-5A08DF3332E2}
    SUPPRIME Task: {A24A3512-B2DA-42A2-B2E8-75B378F2CDF5}
    SUPPRIME Task: {BF263600-3A00-46DC-8069-FFF371152A09}
    SUPPRIME Task: {DC431711-98B6-4900-AA16-841138F2C043}
    SUPPRIME Task: {F1544058-FE00-4B4F-98B7-2D61D255D93E}

    ========== Récapitulatif ==========
    1 : Module(s) mémoire
    5 : Clé(s) du Registre
    10 : Valeur(s) du Registre
    12 : Dossier(s)
    6 : Fichier(s)
    6 : Tache planifiée

    End of clean in 01mn 00s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 13/02/2012 19:54:02 [3484]
    0
  9. Jicé
     
    ayé j'ai réussi à poster le rapport... c'est les @ contenues dedans qui posaient problème. Je les ai remplacées par AROBASE
    0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu as bien redémarré le PC.

    Maintenant tu vas faire ceci:

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Tu peix poster le rapport directement dans ta réponse

    Smart
    0
  11. Jicé
     
    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.02.13.04

    Windows 7 x64 NTFS (Mode sans échec/Réseau)
    Internet Explorer 9.0.8112.16421
    Banjo :: BANJO-PC [administrateur]

    13/02/2012 21:42:49
    mbam-log-2012-02-13 (21-42-49).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 374123
    Temps écoulé: 1 heure(s), 2 minute(s), 55 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. C'est bon
    Comment se comporte le PC ?

    Refais un scan ZHPDiag et poste le rapport vi cijoint

    Smart
    0
  13. Jicé
     
    Bonjour,

    ZHP ne se lance pas. J'essaie en mode sans echec.
    0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    TU peux me dire ce qui se passe exactemet avec ZHDiag en mode normal ? As-tu une erreur, Se bloque-t'il ?

    Pourtant la première fois tu l'avais bien passé en mode normal

    Smart
    0
  15. Jicé
     
    en fait il se bloquait vers 45% après un message d'erreur disant qu'il ne pouvait pas se connecter à je ne sais quoi...

    Mais en réessayant ça a marché. Il faut tout refaire ?
    0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Oui je préfère avoir le rapport en mode normal, cela me permet de voir les processus en normal, car en mode sans echec ils sont au minimum

    Smart
    0
  17. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Là le rapport ne montre plus rien comme infection.
    Il y a des mises à jours prioritaires de logiciels à faire et optimiser le PC en supprimant dez choses inutiles.

    Tu as toujours les problèmes ?

    Smart
    0
  18. Jicé
     
    Il m'est toujours impossible d'activer la protection temps réel d'Avira. Et je ne peux faire aucune mise à jour de windows. J'ai un message d'erreur quand je recherche les mises à jours dans windows update, impossible de démarrer le service. En passant par msconfig, je vois que plein de services sont arrêtés. Je ne peux pas non plus les démarrer en passant par services.msc
    0
  19. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Tu as surement un rootkit qq part.

    * Télécharger sur le bureau RogueKiller (par tigzy)
    * Quitter tous les programmes en cours
    * Lancer RogueKiller.exe.
    * Attendre la fin du Prescan ...
    * Cliquer sur Scan.
    * A la fin du scan cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

    Smart
    0
  • 1
  • 2
  • 3