Redirection Google, WSCSVC désactivéRésolu/Fermé

Question

Bonjour, 

J'ai été infecté il y a quelques jours par un virus de redirection Google. J'ai bien vu qu'il existait déjà beaucoup de sujets postés là-dessus mais à chaque fois, il ne semble pas y avoir de solution précise, mais plutôt une solution par personne. Et les modérateurs semblent préférer qu'on crée un nouveau sujet plutôt que de poster sur celui d'un autre, même si ça a l'air d'être exactement le même problème.

Bref, les symptômes sont des redirections Google vers des pages publicitaires ou porteuses de virus. Et aussi, le centre de sécurité Windows s'arrête inopinément et définit tout seul son mode de démarrage à "désactivé" au lieu de "automatique".

Au début, j'utilisais l'antivirus AVG, qui ne trouvait rien. Puis en lisant des articles sur le sujet, en installant toutes sortes de programmes d'analyse, j'en suis venu à remplacer AVG par ESET NOD32 qui me signale de temps en temps une infection de rundll32.exe par une variante probable du cheval de troie Win32/Ponmocup.AA qu'il ne peut nettoyer. J'avais essayé TDSSkiller qui ne m'avait rien trouvé, et d'autres programmes. J'ai exécuté plusieurs programmes comme Hijackthis, ComboFix et aswMBR, mais je ne sais pas comment interpréter les logs. Je peux les fournir.

Merci de votre aide.

Configuration: Windows 7 / Safari 536.5

juju666 · Answer

Salut eh bien vas y poste tes rapports via cjoint.com que je matte ça ^^

Neptilo · Answer

Hijackthis :
https://www.cjoint.com/?0FBp5aPmdpu

ComboFix :
https://www.cjoint.com/?0FBp56N246P

aswMBR :
https://www.cjoint.com/?0FBp7g4kIAy

juju666 · Answer

Désinstalle RegUtility et Eset online scanner =================================== __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: File:: c:\windows\Tasks\XAHVYURNRW.job c:\program files (x86)\RegUtility c:\program files\ESET C:\windows\SysWow64\QQVistaHelper.dll c:\windows\SysWow64\FlashPlayerInstaller.exe C:\Users\Vic\AppData\Local\Temp\01net C:\ProgramData\Partner Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "TkBellExe"=- "QuickTime Task"=- "iTunesHelper"=- SRPeek:: C:\Windows\system32\wscsvc.dll Driver:: Partner Service RegLock:: [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{BEB3C0C7-B648-4257-96D9-B5D024816E27}\Version*Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib] [HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0003\AllUserSettings] [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt .::. Contributeur Sécurité .::.

Neptilo · Answer

Mon nouveau log : http://cjoint.com/data/0FBwEAuJOac.htm

J'ai bien désinstallé RegUtility et Eset au début, mais ComboFix a détecté des outils Eset encore activés. Pourtant je ne trouve plus rien dans mes programmes installés qui ressemble à "Eset", ni dans les processus en cours d'exécution, ni dans les services.

juju666 · Answer

Mmmmh


Télécharge ici : SystemLook sur ton Bureau : 


- Faire un clic droit sur SystemLook.exe pour le lancer et choisi "Exécuter en tant qu'administrateur".

- Copie le contenu en gras ci-dessous et colle-le dans la zone texte de SystemLook :

:filefind
wscsvc.dll /MD5

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

Neptilo · Answer

SystemLook 30.07.11 by jpshortstuff
Log created at 18:33 on 28/06/2012 by Vic
Administrator - Elevation successful

========== filefind ==========

Searching for "wscsvc.dll /MD5 "
No files found.

-= EOF =-

...ce qui expliquerait déjà une bonne partie de mon problème. ^^

juju666 · Answer

Ouep

Fais une réparation de windows : http://www.chantal11.com/2009/04/installer-reparer-windows-7-mise-a-niveau-sans-perte-donnees-et-logiciels-seven/

Neptilo · Answer

Je ne peux pas effectuer de réparation Windows, je ne dispose pas d'un DVD d'installation Windows 7.

N'y a-t-il pas un moyen de réparer juste wscsvc.dll ?

Au début je pensais que le SystemLook faisait juste une recherche de l'existence du fichier. Mais le fichier existe bel et bien dans System32. Alors qu'est ce que SystemLook a-t-il fait précisément comme recherche ?

juju666 · Answer

Il cherchais le fichier en question mais avec les MD5 pour moi voir s'ils sont sains ou infectés.

Refais juste systemlook avec ça ?

:filefind
wscsvc.dll

Neptilo · Answer

SystemLook 30.07.11 by jpshortstuff
Log created at 22:06 on 28/06/2012 by Vic
Administrator - Elevation successful

========== filefind ==========

Searching for "wscsvc.dll"
C:\Windows\System32\wscsvc.dll	--a---- 97280 bytes	[23:48 13/07/2009]	[01:41 14/07/2009] E8B1FE6669397D1772D8196DF0E57A9E
C:\Windows\SysWOW64\wscsvc.dll	--a---- 73728 bytes	[18:44 28/06/2012]	[18:44 28/06/2012] 6F5D49EFE0E7164E03AE773A3FE25340
C:\Windows\winsxs\amd64_microsoft-windows-securitycenter-core_31bf3856ad364e35_6.1.7600.16385_none_76354f59cbc9dce8\wscsvc.dll	--a---- 97280 bytes	[23:48 13/07/2009]	[01:41 14/07/2009] E8B1FE6669397D1772D8196DF0E57A9E
C:\Windows\winsxs\amd64_microsoft-windows-securitycenter-core_31bf3856ad364e35_6.1.7600.16723_none_767435e5cb9af730\wscsvc.dll	--a---- 97280 bytes	[13:44 12/04/2011]	[13:44 12/04/2011] 8F9F3969933C02DA96EB0F84576DB43E
C:\Windows\winsxs\amd64_microsoft-windows-securitycenter-core_31bf3856ad364e35_6.1.7600.20862_none_76d192b6e4d9ed67\wscsvc.dll	--a---- 97280 bytes	[13:44 12/04/2011]	[13:44 12/04/2011] 34D280957E8681E4BD9492B3F1FC27B9
C:\Windows\winsxs\amd64_microsoft-windows-securitycenter-core_31bf3856ad364e35_6.1.7601.17514_none_78666321c8b86082\wscsvc.dll	--a---- 97280 bytes	[23:48 13/07/2009]	[01:41 14/07/2009] E8B1FE6669397D1772D8196DF0E57A9E

-= EOF =-

juju666 · Answer

mouahahahaha j'ai fail comme une merde là ^^

enfonce les touches windows et R 

tape ça dans la boite de dialogue: 

Regsvr32 C:\Windows\System32\wscsvc.dll

valide

Neptilo · Answer

Le module a été chargé mais le point d'entrée DllRegisterServer est introuvable.
Et on me demande de vérifier que wscsvc.dll est valide.

juju666 · Answer

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

Neptilo · Answer

Ok.
Bon, je verrai ça demain, il commence à y avoir de l'orage, là. hihi

Neptilo · Answer

Le scan s'est déroulé correctement. Et le programme ne m'a posé aucune question. Voici le lien du log : https://pjjoint.malekal.com/files.php?id=20120629_f9o10o8b9j9

Je ne sais pas ce qu'est Defogger et je ne sais pas si Pre_Scan l'a utilisé.

g3n-h@ckm@n · Answer

salut il faudrait confirmation qu il y ait bien un dual boot avec Linux

quand à son swap de 2Mo je le trouve relativement petit pour un linux ^^ ca consomme pas beaucoup mais quand meême !! ^^

Neptilo · Answer

Oui j'ai bien un dual boot avec Linux.
Que me conseilles-tu comme taille pour le swap alors ?
D'ailleurs puisqu'on en parle, y a-t-il moyen de réduire la taille de ma partition Windows pour laisser plus de place à Linux ? (Bon ok ce n'est pas du tout le sujet de la discussion.)

g3n-h@ckm@n · Answer

oui c'est faisable :)

en etant bien certain que ce soit ta partition de swap Linux tel que je le pense la troisieme partition...


2    2    82-LxSwap   2M   No    No   531,533,824        4,096 


perso linux je l'ai installé sur un disque dur externe comme ca quand je vais chez des amis j'utilise pas leur windows ^^

le swap ? bah 512 Mo ....

bref revenons à nos moutons

=================

mozilla à mettre à jour 13 => 14
Google Chrome 19 => 20
desinstalle TENCENT
desinstalle searchweb 
desinstalle hijackthis
desinstalle Java 6 Update 24 

=================

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Windows\Installer\{AB5C933E-5C7D-4D30-B314-9C83A49B94BE}\_4ae13d6c.exe 
C:\Windows\Installer\{B480904D-F73F-4673-B034-8A5F492C9184}\NewShortcut1.D5A09942_925E_44C9_979D_D78D19ABF629.exe 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

=============


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BFExNti1nOb

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

g3n-h@ckm@n · Answer

regarde dans tes points de restauration systeme tu en as un du nom de pre_script

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

g3n-h@ckm@n · Answer

ok qu'est-ce qui nous reste comme soucis? on peut faire le menage sinon ?

g3n-h@ckm@n · Answer

@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGdxS6CUJb4

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Neptilo · Answer

Une suppression de partition ! Wow, je ne m'y attendais pas.
La prochaine fois tu peux expliquer ce que font les scripts que tu me donnes, pour que je sache un minimum à quoi m'attendre ?

Voici le log :

€€€€€€€€€€€€€€€ Pre_Script | 2.629 €€€€€€€€€€€€€€€

Vic : Windows 7 Home Premium (64 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 18:53:22

€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€€


€€€€€€€€€€ | Suppression Partition(s)

 Disk: 0   Size=715G
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    0    07-NTFS    250G   Yes   No         2,048  512,000,000
  1    1    83-Linux   9.5G   No    No   512,002,048   19,531,776
  2    3    0F-EXTEND  456G   No    No   531,537,920  933,607,424


€


explorer.exe -> Processus redémarré

Fin : 18:53:25

€€€€€€€€€€ ( EOF ) €€€€€€€€€€

g3n-h@ckm@n · Answer

ok le pc a redemarre ?

toujours tes redirections ?

Neptilo · Answer

Oui le PC a redémarré.

Je n'ai pas observé de redirection récemment. Le problème serait résolu ? Par contre, le centre de sécurité Windows se désactive toujours.

g3n-h@ckm@n · Answer

peut etre à cause de ceci ?

http://cjoint.com/12ju/BGfbaYu7yvU.htm

g3n-h@ckm@n · Answer

non mais tu as TENCENT et voilà à quoi ca correspond...

si tu ne sais pas ce qu'est un ADWARE :

https://fr.wikipedia.org/wiki/Publiciel

g3n-h@ckm@n · Answer

si tu comptes le garder il est inutile de desinfecter 

les ADWARES ramenent d'autres choses dans les pc , ce ne sont que le debut d'une longue serie d'infections qui arrivent par la suite 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ok on reprend à zero ===== ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ============ /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<< ===================================================== Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Combofix Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Neptilo · Answer

J'ai suivi à la lettre tes indications.

Voici le compte-rendu de DelFix :


# DelFix v8.8 - Rapport créé le 07/07/2012 à 19:40:41
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Vic - KOYUBI (Administrateur)
# Exécuté depuis : C:\Users\Vic\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.7.40.0_20.06.2012_19.04.05_log.txt
Supprimé : C:\TDSSKiller.2.7.40.0_20.06.2012_20.16.45_log.txt
Supprimé : C:\Users\Vic\Downloads\aswMBR.exe
Supprimé : C:\Users\Vic\Downloads\ComboFix.exe
Supprimé : C:\Users\Vic\Downloads\SystemLook.txt
Supprimé : C:\Users\Vic\Downloads\SystemLook_x64.exe
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ASWMBR

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1447 octets] - [07/07/2012 19:40:41]

########## EOF - C:\DelFix[S1].txt - [1571 octets] ##########


Voici le log de Combofix : http://cjoint.com/data/0Ghu237jPRr.htm

À la fin, j'ai installé AVG avant de me reconnecter à Internet.

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

Neptilo · Answer

Dès le démarrage de Windows, AVG a détecté un cheval de Troie : Agent3.BRTH dans C:/Windows/SysWOW64/perfmonm.dll. Je l'ai tout de suite placé en quarantaine comme conseillé par AVG. Et j'ai bien l'impression que cela a résolu mes problèmes !

J'ai tout de même fait le scan demandé :
https://pjjoint.malekal.com/files.php?id=20120708_y14i9d9j8s6
https://pjjoint.malekal.com/files.php?id=20120708_l12h14d9r15u11

Je vais encore attendre un peu avant d'affirmer que le problème est définivement résolu.

g3n-h@ckm@n · Answer

hou les vilaines bebettes !!! ^^

https://www.cjoint.com/?BGiaRKBvJPA

g3n-h@ckm@n · Answer

ca sent le ramnit je sais pas pourquoi....

suis ce tutoriel

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel

Neptilo · Answer

J'ai commencé par désinstaller Tencent QQ, puis j'ai effectué les scans comme indiqué dans le tutoriel. Le premier scan (rapide) n'a rien trouvé. Voici le rapport de la deuxième analyse (complète et sans le mode heuristique) :
copyright.txt;C:\Documents and Settings\Vic\AppData\Local\BrightBreezeSA\bin\3.0.5.0;Adware.Zango.15;;
OTL.exe;C:\Documents and Settings\Vic\Desktop;Trojan.Siggen4.8915;Irréparable.Quarantaine.;
OTL.exe;C:\Documents and Settings\Vic\DoctorWeb\Quarantine;Trojan.Siggen4.8915;Irréparable.Quarantaine.;
copyright.txt;C:\Users\Vic\AppData\Local\BrightBreezeSA\bin\3.0.5.0;Adware.Zango.15;;

À la fin, j'ai placé le premier Adware.Zango en quarantaine (il était indiqué comme irréparable). Le deuxième Adware.Zango était introuvable.

g3n-h@ckm@n · Answer

et toujours ennuyé par AVG au demarrage je suppose....

g3n-h@ckm@n · Answer

je me demande si ta réponse à un rapport avec ma question

Neptilo · Answer

Alors je n'ai peut-être pas compris ta question.
AVG ne m'a jamais ennuyé...

Quand j'ai dit qu'AVG avait détecté un cheval de Troie, il ne l'a fait qu'une fois, pas à chaque démarrage de Windows. Je n'ai peut-être pas été bien clair là-dessus.

Et je répète qu'AVG a résolu mes problèmes initiaux. A priori je n'attendais plus qu'à finaliser le nettoyage, avant de marquer le problème comme résolu. Mais comme tu découvres encore des Adwares, j'attends tes directives.

g3n-h@ckm@n · Answer

ok

et paf !!

https://gen-hackman.kanak.fr/

Neptilo · Answer

Et voilà. Je n'ai pas tout fait non plus mais j'ai fait le principal.
Voici la dernière ligne du log PureRa comme demandée dans le tutoriel :
Total space cleaned: 245.87 MB

Et le log DelFix :
# DelFix v8.8 - Rapport créé le 13/07/2012 à 22:52:34
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Vic - KOYUBI (Administrateur)
# Exécuté depuis : C:\Users\Vic\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\Users\Vic\DoctorWeb

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Users\Vic\Downloads\victor.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\Users\Vic\Downloads\drweb-cureit.exe
Supprimé : C:\Users\Vic\Downloads\JavaRa.zip
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1568 octets] - [07/07/2012 19:40:41]
DelFix[S2].txt - [1377 octets] - [13/07/2012 22:52:34]

########## EOF - C:\DelFix[S2].txt - [1501 octets] ##########

Neptilo · Answer

Ce sujet arrive donc à sa fin. :D

Merci d'avoir passé autant de temps sur mon problème, et de m'avoir permis de trouver l'adware BrightBreezeSA qui n'avait rien à faire là.
Merci à AVG d'avoir fini par résoudre mes problèmes de départ en détectant ce mystérieux cheval de Troie perfmonm.dll (alors que ses premières analyses ne trouvaient rien).
Et merci à juju666 pour avoir commencé à m'aider au début du post.

g3n-h@ckm@n · Answer

:)

il est en vacances mais verra ton msg à son retour :)

juju666 · Answer

hello content que ça soit résolu et merci à g3n ^^

Redirection Google, WSCSVC désactivé

43 réponses

Discussions similaires

Newsletters