Impossible de supprimer un Win32:Malware-Gen Fermé

Question

Bonjour, 

J'ai un problème depuis ce matin avec une infection classée "haute dangerosité". 
Avast a détecté un malware de type Win32 depuis ce matin localisé dans /C:Windows/Installer dont le processus est services.exe et qui tente sans arrêt de me connecter à un site malveillant.
MBAM et Avast le détecte simultanément toutes les 5 minutes depuis plusieurs heures et le bloque sans arrêt, mais pas moyen de m'en débarrasser. 
De plus il s'accumule dans la zone de quarantaine et je ne sais pas si c'est toujours le même ou bien d'autres qui s'ajoutent.
Quelqu'un pourrait-il me venir en aide s'il vous plaît ?


voici trois captures si ça peut servir:
 

http://img11.hostingpics.net/pics/455732malware.png
http://img11.hostingpics.net/pics/242326quarantaine.png
http://img11.hostingpics.net/pics/575193malwareMBAM.png

Merci d'avance 

Configuration: Windows 7 / Firefox 14.0.1

g3n-h@ckm@n · Answer

salut desinstalle avast

==========

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Valar · Answer

d'accord je vais faire ça
par contre ça va me prendre du temps donc je posterai ça ce soir je pense
sinon tu crois que c'est grave ?
et merci d'avoir répondu rapidement et si précisément

g3n-h@ckm@n · Answer

je pense oui mais cet outil est fait pour "normalement" eradiquer le souci ou alors bien l'amocher ^^

Valar · Answer

voilà j'ai téléchargé pre_scan.exe et .pif
maintenant je vais désinstaller avast.
N'est ce pas dangereux d'ouvrir mon ordinateur à toute attaque ?

g3n-h@ckm@n · Answer

lol la question.....t'es deja infecté ^^

as-tu ete protégé jusqu'à maintenant ?

on le reinstallera en fin de desinfection ne t'inquiete pas

Valar · Answer

oui j'étais protégé par avast + pare feu comodo et mbam

g3n-h@ckm@n · Answer

c'est fou ce que ca t'a protégé ^^

en fait c'est parce que Java doit pas etre à jour

si la sandbox de comodo est activée , desactive la aussi en meme temps que le parefeu

Valar · Answer

daccord donc dois je faire la maj maintenant ou bien après ?
tout est désactivé pour comodo

g3n-h@ckm@n · Answer

la màj de quoi ?

lance winlogon

Valar · Answer

de java ^^

Valar · Answer

Bonjour

alors voilà je suis de retour mais sur un autre ordinateur car le mien est planté
hier en fin d'aprem j'ai lancé comme tu m'as dit pre_scan.exe
il a planté l'ordi pendant 4-5h sur "fermeture de session"
j'ai donc lancé pre_scan.pif et là ça a fonctionné sauf qu'en ouvrant ma session
apparence windows changée (plus 7 donc) tout en blanc, connexion internet impossible, stratégie de diagnostic des problèmes non activée, restauration du système impossible, protection du système désactivée etc etc
résultat: peut plus rien faire

alors comment suis je censé sauver mon ordinateur gen-hackman ?

g3n-h@ckm@n · Answer

salut une question avais-tu desactivé la sandbox d'avast ou pas ?

Valar · Answer

javais tout désactivé normalement mais vu que j'y connais rien c'est peut être ma faute si mon ordi est planté 
jai le rapport .txt si ça peut servir ? 
http://pjjoint.malekal.com/files.php?id=20120812_j7e7p15c9k8

g3n-h@ckm@n · Answer

au premier post je t'ai demandé de desinstaller Avast... il tourne encore.. == ton pc est une poubelle numerique == Télécharge et enregistre ADWcleaner sur ton bureau : ADWCleaner (Merci à Xplode) Lance le, (Pour vista et seven => clic droit "executer en tant qu'administrateur") clique sur suppression et poste son rapport. === /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Valar · Answer

j'ai téléchargé combofix sur un autre ordi que le mien et je l'ai nommé "cequejeveux" avant de le télécharger, je peux le mettre sur clé maintenant, c'est bon ?

ps: je n'ai pas avg ça c'est certain.

g3n-h@ckm@n · Answer

oui et ok et fais adwcleaner avant comme indiqué

Valar · Answer

daccord je vais procéder étape par étape et te donner le compte rendu de chacune je ne veux pas faire d'erreur

Valar · Answer

alors voilà  
j'ai totalement désinstallé avast avec aswclear  
jai passé adwcleaner et l'ordi a redémarré  
j'ai 4 rapports différents notés [S1] [S2] [R1] [R2]  
dois je tous les héberger sur pjjoint malekal ?

j'ai lancé defogger et il a désactivé ce qu'il fallait sans redémarrer l'ordi
maintenant je suis prêt à lancer combofix renommé puisqu'avast est supprimé et mbam désactivé il ne me reste plus rien qui puisse interférer.

g3n-h@ckm@n · Answer

allez fait peter combo !! ^^

Valar · Answer

cest parti !

g3n-h@ckm@n · Answer

passe outre le message

Valar · Answer

daccord normalement il y a aucun risque jai tout viré et je ne trouve aucune trace d'avast sur mon ordi.
donc j'appuie sur "ok" ?

g3n-h@ckm@n · Answer

oué

Valar · Answer

voilà c'est fini l'apparence de windows 7 est revenue 
le son est réactivé et le diagnostic + restauration système refonctionnent 
je n'ai pas encore reconnecté l'ordi à internet 

que dois je faire maintenant pour être sûr que tout soit redevenu normal et sans infection ?

g3n-h@ckm@n · Answer

ben j aimerais bien lire le rapport comme demandé

Valar · Answer

ah oui euh attend faut que je le trouve et que je le mette sur clé car je l'ai pas vu sur le bureau le rapport.

edit: je n'ai trouvé aucun rapport nul part
est ce normal ? sous quel nom dois je chercher ?

g3n-h@ckm@n · Answer

c'est ecrit....faut tout lire jusqu'au bout avant de lancer un outil

c:\combofix.txt

Valar · Answer

jai bien lu sauf qu'il n'y a pas de combofix.txt, nul part....

g3n-h@ckm@n · Answer

tu serais pas tombé dans une session temporaire ? tous tes documents sont là ?

Valar · Answer

oui tout est là sauf ce rapport, je comprends pas je crois que je suis maudit ^^
je relance combofix pour voir si jai un rapport cette fois?

g3n-h@ckm@n · Answer

en mode sans echec alors

Valar · Answer

voilà je suis de retour sur mon ordi, j'ai démarré en mode sans échec mais aucun rapport n'apparaît
dois je repasser combofix pour qu'il me fasse un rapport ?

g3n-h@ckm@n · Answer

fais...

Valar · Answer

voilà enfin le fameux rapport
http://pjjoint.malekal.com/files.php?id=20120814_i10v10v15n10y11
visiblement il restait des infections

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

Folder::
c:\users\Brice\AppData\Roaming\Icaxxi
c:\users\Brice\AppData\Roaming\Ecbyn
c:\users\Brice\AppData\Roaming\Rykyyd

Firefox::
FF - prefs.js: network.proxy.http - 110.138.146.30
FF - prefs.js: network.proxy.http_port - 8080

RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Valar · Answer

daccord je fais ça
sinon pour le malware situé dans c:/windows/installer combofix l'a supprimé ?

Valar · Answer

voilà le rapport demandé après avoir réalisé ce que tu as demandé

http://pjjoint.malekal.com/files.php?id=20120814_z9c9o9o15m14

Impossible de supprimer un Win32:Malware-Gen

37 réponses

Discussions similaires