"Activité illicite détectée" - Virus

Question

Bonjour, 

Il y a quelques jours, j'ai eu au démarrage un faux message d'alerte, se faisant passer pour je ne sais quelle entité officielle, et me demandant une certaine somme d'argent pour débloquer mon pc. Le tout bourré de fautes d'orthographes.

Cette alerte de démarrage ne modifiait que légèrement l'interface de mon pc, et j'ai constaté qu'en effectuant une manipulation consistant à faire semblant d'éteindre mon pc, celui-ci fermait tous les programmes sauf ceux demandant ma validation car encore ouverts (exemple, Steam), et comme j'annulais l'arrêt sur ce message au final tout revenait à la normal, l'affichage et tout. Donc ce virus de démarrage ne me posait guère de soucis jusqu'à présent.

J'ai néanmoins fait une recherche Avast, qui m'a trouvé un fichier malveillant, mais impossible de le mettre en quarantaine/le supprimer puisqu'Avast ne précisait après que ce fichier était introuvable.

J'ai également fait une recherche Spybot, qui a bien éliminé quelques fichiers malveillants, mais apparemment pas le bon.

Toujours est-il que depuis ce matin, l'ordinateur ne veut pas s'allumer correctement, il affiche un écran bleu au démarrage précisant qu'au vu des risques du pc il redémarrait automatiquement, et seul le mode sans échec (avec prise en charge du réseau heureusement) fonctionne.

Voila, je ne sais pas vraiment quoi faire pour supprimer ce satané virus, merci de votre aide.

Configuration: Windows 7 / Firefox 10.0.2

g3n-h@ckm@n · Answer

salut tu vireras spybot.....au retour à la normale :

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

deadpool_az · Answer

Merci pour l'aide.

J'ai bien procédé à l'analyse (la première version du logiciel marchait), seulement je n'ai pas eu de fichier texte à renvoyer. Je l'ai relancé une seconde fois, et non seulement le processus d'analyse semblait différent que la première fois, mais j'ai bien eu un résultat : 

http://pjjoint.malekal.com/files.php?id=20120302_m9f13l14c7e10

Pour cette seconde fois, l'ordinateur s'est allumé normalement, sans message d'erreur ni rien au démarrage, et pas la peine de le mettre en mode sans échec.

g3n-h@ckm@n · Answer

ben oui le premier redemarrage a eu lieu en mode sans echec c est pour cela qu il n a pas continué je regarde ca :)

deadpool_az · Answer

Ok, merci !

g3n-h@ckm@n · Answer

windows pas à jour => à mettre à jour
internet explorer pas à jour => à mettre à jour
desinstalle adobe reader 9
desinstalle spybot il sert à rien
desinstalle VuzeRemoteToolbar
desinstalle Offerbox
desinstalle Java update 26

==================

mauvaise idée de couper le systeme en plusieurs parties ca le rend instable

==================

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"QuickTime Task"=-
"TkBellExe"=-
"HP Software Update"=-
""=- 
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task] 
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}]
[-HKCU\Software\OfferBox]     
[-HKLM\Software\OfferBox]

txt::
C:\Windows\System32\Tasks\{702E9100-7C00-43E1-93A0-9E8DD040C766}
C:\Windows\System32\Tasks\{B9068D9A-3794-40E1-8EE6-16D9E15AB58B} 
  

file::
C:\Windows\system32\c_7265151.nls   
C:	mp     
C:\Windows\¨ù_
C:\Windows\ÄúS 
C:\Users\Micazeve\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe 

folder::
C:\Users\Micazeve\AppData\Roaming\Mozilla\Firefox\Profiles\flx53v7g.default\extensions\anttoolbar@ant.com 
C:\Users\Micazeve\AppData\Roaming\Mozilla\Firefox\Profiles\flx53v7g.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}     
C:	mp     
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\Users\Micazeve\AppData\Roaming\OfferBox     
C:\ProgramData\Spybot - Search & Destroy     
C:\Users\Micazeve\AppData\Local\Conduit     
C:\Program Files\Conduit     

Mbr::    

clean::      

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

=====================

&#9654 Télécharge Sur cette page : AdwCleaner (de Xplode) 

&#9654 clique sur Télécharger et enregistre le fichier sur ton Bureau

&#9654 Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation

==================================

&#9654&#9654&#9654  Sous Vista et Windows 7 /!\ :

il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

==================================

Sur le menu principal :
    
&#9654 clique sur Suppression et patiente le temps de l'analyse

&#9654 poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

deadpool_az · Answer

J'ai bien désinstallé ce qui a été demandé.

Pour les mises à jour, devant le temps fou que cela mettait, j'ai préféré annuler et je reprendrais plus tard.

Pour le système divisé, c'est une tour que j'ai récupérée, je n'en suis pas à l'origine.

Voici le rapport Pre_scan : 
http://pjjoint.malekal.com/files.php?id=20120302_z5r14j8f14u14

Et voici le rapport AdwCleaner :
http://pjjoint.malekal.com/files.php?id=20120302_v6z7e11b8j6

Merci.

g3n-h@ckm@n · Answer

fais les mises à jour c'est important 

====

refais pre_scan en mode sans echec sans prise en charge reseau :

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

file::
C:\Windows\system32\c_7265151.nls

Reboot::

    
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

deadpool_az · Answer

Ok, je lance ça.

deadpool_az · Answer

Impossible d'installer les mises à jour Windows. Windows Update tourne dans le vide lors du téléchargement du Service Pack 1 Windows 7,  il a tourné presque une heure avant que je ne l'arrête et n'avait toujours rien téléchargé. L'outil Résolution de problèmes Windows Update ne trouve rien.

Pour l'analyse en mode sans échec, voici le résultat :

http://pjjoint.malekal.com/files.php?id=20120302_l5t77l11z5

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ NOTE: Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

deadpool_az · Answer

Jusqu'à combien de temps cela peut-il prendre ?

Je poste actuellement d'un autre PC, j'ai lancé Combofix vers 19h et il en est à l'étape 48. Je vais le laisser tourner la nuit du coup.

Cordialement.

g3n-h@ckm@n · Answer

ok :)

deadpool_az · Answer

Seulement étape 50, du coup j'ai annulé et je relancerais :
- sans bouger la souris cette fois (réflexe stupide quand l'écran s'est mis en veille) ;
- en désactivant justement la mise en veille de l'ordinateur.

deadpool_az · Answer

Ce que je ne m'explique pas par contre, c'est pourquoi le pc est aussi lent depuis hier. Une simple logiciel comme Word met dans les 15 secondes à s'ouvrir, et je ne parle même pas de Firefox...

Cela viendrait du virus ? Je n'ai pas eu de soucis de ce genre les jours précédents.

g3n-h@ckm@n · Answer

t'aurais pas du annuler c'etait la derniere....

reesssaie en mode sans echec sans prise en charge reseau

deadpool_az · Answer

J'ai relancé en mode sans échec.

Etape 48... Je vais pas me faire avoir cette fois ;)

deadpool_az · Answer

L'analyse est finie.

Néanmoins, peut-être dû à mes redémarrages successifs pour lancer le mode sans échec, l'ordinateur ne veut pas se redémarrer normalement et affiche un écran bleu.

Windows me propose la réparation de démarrage, qui est en train de travailler actuellement.

deadpool_az · Answer

L'outil de réparation au démarrage n'a rien donné. Le même écran bleu s'affiche et m'empêche de démarrer Windows. C'est la même chose en mode sans échec avec prise en charge réseau. Seul le mode sans échec fonctionne.

J'ai relancé l'outil de réparation au démarrage. Celui-ci n'a pas trouvé de solution, et l'ordinateur refuse toujours de s'allumer normalement.

Auparavant, j'ai pu récupérer l'analyse de Combofix mais j'essaye tant bien que mal de jongler entre les ports usb et les clés usb pour le poster ici. Dès que j'arrive à le mettre sur ce pc je le poste.

deadpool_az · Answer

Voila :

ComboFix 12-03-02.01 - Micazeve 03/03/2012  13:05:03.1.2 - x86 MINIMAL
Microsoft Windows 7 Professionnel   6.1.7600.0.1252.33.1036.18.2048.1597 [GMT 1:00]
Lancé depuis: C:\david.exe
AV: avast! Antivirus *Enabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Enabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Micazeve\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dxdiag.exe
c:\users\Micazeve\Desktop\Internet Explorer.lnk
c:\windows\system32\oobe\audit.exe
c:\windows\system32\oobe\msoobe.exe
c:\windows\system32\oobe\oobeldr.exe
c:\windows\system32\oobe\Setup.exe
c:\windows\system32\oobe\setupsqm.exe
c:\windows\system32\oobe\windeploy.exe
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-02-03 au 2012-03-03  ))))))))))))))))))))))))))))))))))))
.
.
2012-03-03 23:54 . 2012-03-03 23:54	--------	d-----w-	c:\users\Micazeve\AppData\Local	emp
2012-03-03 23:54 . 2012-03-03 23:54	--------	d-----w-	c:\users\Default\AppData\Local	emp
2012-03-03 23:53 . 2012-03-03 23:53	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{AD43C3B3-346E-442F-AD6C-EACD2DE36D69}\offreg.dll
2012-03-02 13:13 . 2012-03-02 13:13	--------	d-----w-	c:\windows\system32\SPReview
2012-03-02 12:57 . 2012-03-02 12:58	--------	d-----w-	c:\windows\system32\EventProviders
2012-03-02 12:55 . 2012-02-08 06:03	6552120	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{AD43C3B3-346E-442F-AD6C-EACD2DE36D69}\mpengine.dll
2012-03-02 10:08 . 2012-03-02 16:43	--------	d-----w-	C:\Pre_Scan
2012-02-29 08:30 . 2012-02-23 16:10	44376	----a-w-	c:\windows\system32\drivers\aswRdr2.sys
2012-02-29 08:30 . 2012-02-23 16:12	610648	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2012-02-29 08:30 . 2012-02-29 08:46	--------	d-----w-	c:\programdata\AVAST Software
2012-02-28 19:12 . 2012-02-28 19:12	162664	----a-w-	c:\programdata\Microsoft\Windows\Sqm\Manifest\Sqm10140.bin
2012-02-28 15:26 . 2012-02-28 15:26	--------	d-----w-	c:\programdata\Local Settings
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-02-23 16:23 . 2010-07-29 16:48	41184	----a-w-	c:\windows\avastSS.scr
2012-02-23 16:23 . 2010-07-29 16:48	201352	----a-w-	c:\windows\system32\aswBoot.exe
2012-02-23 16:12 . 2010-07-29 16:49	337112	----a-w-	c:\windows\system32\drivers\aswSP.sys
2012-02-23 16:10 . 2010-07-29 16:49	53848	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2012-02-23 16:10 . 2010-07-29 16:49	57688	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2012-02-23 16:10 . 2010-07-29 16:49	20696	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2012-01-29 04:10 . 2010-01-25 14:23	237072	------w-	c:\windows\system32\MpSigStub.exe
2011-12-05 20:05 . 2011-12-05 20:05	414368	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="e:\program files\Steam\Steam.exe" [2011-08-02 1242448]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-07-14 1173504]
"Raptr"="c:\progra~1\Raptraptrstub.exe" [2011-12-20 53160]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="e:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"TkBellExe"="c:\program files\Real\RealPlayer\updateealsched.exe" [2011-07-24 273544]
"hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-07-22 150528]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
.
c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2009-9-20 270336]
McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux3"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages	REG_MULTI_SZ   	kerberos msv1_0 schannel wdigest tspkg pku2u livessp
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus DX7400 Series]
2007-04-12 05:00	182272	----a-w-	c:\windows\System32\spool\drivers\w32x86\3\E_FATICDE.EXE
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSTray]
2009-12-18 09:52	557056	----a-w-	c:\program files\SiS VGA Utilities\SiSTray.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2009-09-02 14:27	25623336	----a-r-	e:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2010-01-25 18:58	39408	----a-w-	c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\uTorrent]
2012-02-27 19:05	740216	----a-w-	e:\program files\uTorrent\uTorrent.exe
.
R0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2010-10-23 642560]
R1 aswSnx;aswSnx; [x]
R1 aswSP;aswSP; [x]
R2 3033;3033;c:\users\Micazeve\AppData\Local\Temp\3033.sys [x]
R2 aswFsBlk;aswFsBlk; [x]
R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2012-02-23 57688]
R2 BBSvc;Bing Bar Update Service;c:\program files\Microsoft\BingBar\BBSvc.EXE [2011-10-21 196176]
R2 BBUpdate;BBUpdate;c:\program files\Microsoft\BingBar\SeaPort.EXE [2011-10-13 249648]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-25 135664]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision
vSCPAPISvr.exe [2010-07-09 248936]
R3 EverestDriver;Lavalys EVEREST Kernel Driver;e:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt [x]
R3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [2010-01-25 135664]
R3 jfdcd;jfdcd;c:\users\Micazeve\AppData\Local\Temp\jfdcd.sys [x]
R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2010-07-19 259440]
R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]
R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-12-16 3453712]
R3 SiS6350;SiS6350;c:\windows\system32\DRIVERS\SISGRKMD.sys [2009-12-16 465920]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2010-07-09 1343400]
R3 WPRO_40_1340;WinPcap Packet Driver (WPRO_40_1340);c:\windows\system32\drivers\WPRO_40_1340.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc
.
Contenu du dossier 'Tâches planifiées'
.
2012-02-29 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2010-01-25 17:18]
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-25 18:59]
.
2012-03-03 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-01-25 18:59]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - e:\progra~1\MICROS~1\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.1.1
FF - ProfilePath - c:\users\Micazeve\AppData\Roaming\Mozilla\Firefox\Profiles\flx53v7g.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://ganaches.forum-actif.net
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{ba14329e-9550-4989-b3f2-9732e92d17cc} - (no file)
WebBrowser-{BA14329E-9550-4989-B3F2-9732E92D17CC} - (no file)
ShellIconOverlayIdentifiers-{472083B0-C522-11CF-8763-00608CC02F24} - d:\program files\Alwil Software\Avast5\ashShell.dll
HKLM-Run-avast - d:\program files\Alwil Software\Avast5\avastUI.exe
MSConfigStartUp-Adobe ARM - c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
MSConfigStartUp-Adobe Reader Speed Launcher - e:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe
MSConfigStartUp-PWRISOVM - e:\program files\PowerISO\PWRISOVM.EXE
MSConfigStartUp-QuickTime Task - c:\program files\QuickTime\QTTask.exe
MSConfigStartUp-SpybotSD TeaTimer - e:\program files\Spybot - Search & Destroy\TeaTimer.exe
MSConfigStartUp-SunJavaUpdateSched - c:\program files\Common Files\Java\Java Update\jusched.exe
AddRemove-avast - d:\program files\Alwil Software\Avast5\aswRunDll.exe
AddRemove-EVEREST Ultimate Edition_is1 - e:\program files\Lavalys\EVEREST Ultimate Edition\unins000.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\EverestDriver]
"ImagePath"="\??\e:\program files\Lavalys\EVEREST Ultimate Edition\kerneld.wnt"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\DbgagD\1*]
"value"="?\0a\02\12\07%6\11"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2012-03-04  00:57:16
ComboFix-quarantined-files.txt  2012-03-03 23:57
.
Avant-CF: 20 416 626 688 octets libres
Après-CF: 21 012 873 216 octets libres
.
- - End Of File - - 438DBB0D114BDE438AE4BC7228523B33

g3n-h@ckm@n · Answer

qu'est-ce qui s'affiche exactement sur l ecran bleu ?

deadpool_az · Answer

L'écran ne dure qu'une ou deux secondes, voici une photo :

http://imageshack.us/f/843/img0821ei.jpg/

g3n-h@ckm@n · Answer

tu viens d'installer un nouveau materiel ?

deadpool_az · Answer

Non aucun, c'est arrivé après l'envoi du rapport lorsque je voulais redémarrer le pc en mode normal.

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

Rootkit::
c:\users\Micazeve\AppData\Local\Temp\jfdcd.sys

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"TkBellExe"=-
"HP Software Update"=-

Driver::
jfdcd

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

deadpool_az · Answer

On parle bien du fichier Combofix renommé par mon prénom et présent sur C:/ ?

deadpool_az · Answer

Je viens de l'exécuter, mais avant de se lancer le programme me signale qu'il a un problème avec Avast qui agit toujours en tant qu'antivirus et antispyware.

Pourtant, devant ma difficulté à le désactiver complétement hier (il se relançait à chaque fois), je l'ai carrément supprimé. Il n'existe plus ni sur le disque dur ni dans les programmes installés du panneau de configuration. Je lance quand même l'analyse ?

g3n-h@ckm@n · Answer

oui passe outre

deadpool_az · Answer

C'est lancé. Ça va effectuer la même analyse qu'auparavant ?

g3n-h@ckm@n · Answer

oui avec quelques corrections

deadpool_az · Answer

Voici les résultats de l'analyse :

http://pjjoint.malekal.com/files.php?id=20120304_o56r12r6j12

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

Rootkit::
c:\users\Micazeve\AppData\Local\Temp\jfdcd.sys

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"TkBellExe"=-
"HP Software Update"=-

Driver::
jfdcd

RegLock::
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

deadpool_az · Answer

Voici le rapport :

http://pjjoint.malekal.com/files.php?id=20120304_f14m7s6n15n8

g3n-h@ckm@n · Answer

tu peux zipper ce fichier et l'heberger ?

C:\Windows\system32\c_7265151.nls

deadpool_az · Answer

Je l'héberge avec quoi ?

deadpool_az · Answer

Google est mon ami, voici le fichier :

http://www.terafiles.net/v-128020.html

g3n-h@ckm@n · Answer

fais-le analyser sur Virus total , laisse faire l analyse puis donne le lien de la page une fois finie

https://www.virustotal.com/gui/

deadpool_az · Answer

Voila :

https://www.virustotal.com/file/1689682c432fa4fa0e3cb0d93dec737d081bee883895000bd164eb0865e1d687/analysis/1330887504/

g3n-h@ckm@n · Answer

KillAll::

File::
C:\Windows\system32\c_7265151.nls 

Reboot::

deadpool_az · Answer

Voila le rapport :

http://pjjoint.malekal.com/files.php?id=20120304_i6j11z13w15x15

g3n-h@ckm@n · Answer

ah zut !!!

refais en mode sans echec stp

deadpool_az · Answer

Ça a été fait en mode sans échec, c'est le seul mode qui veut bien se lancer.

Je relance quand même ?

g3n-h@ckm@n · Answer

Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Files to Delete:
C:\Windows\system32\c_7265151.nls 

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

deadpool_az · Answer

A priori ça n'a pas marché, voila le rapport :

http://pjjoint.malekal.com/files.php?id=20120304_c65k9x6f8

g3n-h@ckm@n · Answer

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Replace::
"C:\Windows\system32\c_7265151.nls" "C:\Pre_scan\Quarantine\c_7265151.nls.X"

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

deadpool_az · Answer

g3n-h@ckm@n · Answer

ce fichier est toujours present ?

C:\Windows\system32\c_7265151.nls

deadpool_az · Answer

Oui.

g3n-h@ckm@n · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

deadpool_az · Answer

Le voila :

http://pjjoint.malekal.com/files.php?id=20120304_h8n13b7k14b10

g3n-h@ckm@n · Answer

relance gmer , onglet "Files" en haut , tu parcours jusqu'au fichier avec l explorateur puis clique dessus puis clique sur delete

deadpool_az · Answer

Erreur : "le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus"

g3n-h@ckm@n · Answer

alors va falloir y aller avec un live cd...

deadpool_az · Answer

Ok, je vais tenter de réinstaller Windows Seven demain sur C:/, comme le DD est compartimenté je ne devrais pas perdre mes autres données.

g3n-h@ckm@n · Answer

ca sert plus à rien de le faire en plusieurs parties maintenant , la plupart des infections se promenent sur les disques mise à part les ADWARES , ..... 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

deadpool_az · Answer

Merci de l'info ! Bon ben on va réinstaller tout ça, merci pour l'aide en tout cas !

g3n-h@ckm@n · Answer

:)

"Activité illicite détectée" - Virus

56 réponses

Votre réponse

Discussions similaires

Newsletters