virus win32/Smail.CA Résolu/Fermé

Question

Bonjour, 

Depuis quelques jours on m'affiche un message  [Ce problème a été provoqué par Win32/Small.CA, un virus ordinateur courant.]

lorsque je fais le scan avec mon anti virus il le trouve pas  , et impossible de faire  les mises à jours  , quelqu'un peut m'aider à supprimer ce virus ?  merci ..! 



Configuration: Windows 7 / Firefox 18.0

g3n-h@ckm@n · Answer

salut

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

figman · Answer

Salut pascal merci , 


quand je clique sur winlogon un msg d'erreur s'affiche  

Autolt Error 

Line 6758 (file " C:\users\mamoud\Desktop\winlogon.exe")

Error : Missing right bracket ')' in expression .

g3n-h@ckm@n · Answer

salut mamoud j'avais meme pas vu que c'était toi que je prenais en charge ^^

retelecharge-le j'avais oublié une parenthese et je l'ai envoyé à la va-vite , sûr de moi :)

figman · Answer

Re  , 


voici le rapport  , 


https://www.cjoint.com/c/CAoqB4t8c1G

@+++

g3n-h@ckm@n · Answer

tu sais que l'antivirus Trust CA ca vaut rien du tout ?

figman · Answer

oui , je sais j'avais pas le choix  , c'est le seul que j'ai pu installé  , tous les autres impossible de les installés  ,  si t'as un que je peux installé  , je suis preneur 

merci , 

@+++

g3n-h@ckm@n · Answer

ok on verra une fois tout ca fini ce qu on peut faire :)

relance l outil , clique sur diag , heberge le rapport pre_diag et donne le lien

figman · Answer

ok  voici le rapport , 

https://www.cjoint.com/c/CAoriXBDBRp

@+++

g3n-h@ckm@n · Answer

selectionne ce texte :

Kill::

File|Fold::
C:\windows.old 
C:\Windows\softwaredistribution.bak1 

Driver::
YTLCG9AC
1021B9C9
110C785E
111693FD
111A2AD5
113D48A4
117FB77B
11986DD1
130C517D
1328BB32
145DECE5
146C1013C
15F5830E
286330A9
35E3A30A
3J951YVP
432A79DC
4341C8FF
4511F0DE
45E2A982
519F960E974069EA
519F98FDA8C58F6A
BC5F4EF
C90360324
D5CBF00
DRWEBLWF
DRWEBWFP
ED441BE
F252FC3
F4EC41F
F6F8A9F
FBCA26E

Clean::

MBR::

Reboot::     
 
Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

figman · Answer

Re , 

impossible de terminer le scan , il se bloque  à [ Attempt to stop service ]
mais y a un rapport quand même ..https://www.cjoint.com/c/CAos45z1s1o

@+++

g3n-h@ckm@n · Answer

refais en mode sans echec

figman · Answer

c'est reussi cette fois  voici le rapport ,

https://www.cjoint.com/c/CAotU2bmnRO

g3n-h@ckm@n · Answer

desinstalle trust antivirus machin truc et refais un diag  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

figman · Answer

voilà c'est fait  ,

https://www.cjoint.com/c/CAousSCmOEz

g3n-h@ckm@n · Answer

c'est bon tu dois pouvoir installer avast maintenant

https://www.avast.com/fr-fr/free-antivirus-download

figman · Answer

oui , je l'ai installé mais il est pas en service , j'ai ouvert l'interface avast  on dit que le programme a été arreter ou est instable , veuiller le redemarrer pour redemarrer la protection  , c'est ce que j'ai fait mais ça change rien

g3n-h@ckm@n · Answer

mais tu l'as installé quand ?

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

figman · Answer

Re , 


les voici les deux rapports :

http://cjoint.com/?CApmeLb58ka
https://www.cjoint.com/c/CApmd0v3BIr

@+++

juju666 · Answer

Salut mamoud en attendant que Pascal revienne,

Peux-tu envoyer le fichier suivant sur https://www.virustotal.com/gui/ et nous coller le lien vers l'analyse :

C:\Users\mamoud\AppData\Local\Facebook\Messenger\2.1.4651.0\FacebookMessenger.exe

Merci

De plus, tu as beaucoup d'erreurs sur ton Windows, on regarde à ça après

@+

figman · Answer

Salut juju , 


impossible d'acceder au site  on m'affiche ça ...


Cette connexion n'est pas certifiée
      
      
      
      
        
          Vous avez demandé à Firefox de se connecter de manière sécurisée à virustotal.com, mais nous ne pouvons pas confirmer que votre connexion est sécurisée.
          Normalement, lorsque vous essayez de vous connecter de manière sécurisée, les sites présentent une identification certifiée pour prouver que vous vous trouvez à la bonne adresse. Cependant, l'identité de ce site ne peut pas être vérifiée.
        
        
        
          Que dois-je faire ?
          
            Si vous vous connectez habituellement à ce site sans problème, cette erreur peut signifier que quelqu'un essaie d'usurper l'identité de ce site et vous ne devriez pas continuer.
            

@+++

juju666 · Answer

oh ben passe sur https://www.virustotal.com/gui/ si ça peut lui faire plaisir à firefox :-)

juju666 · Answer

Il y est pourtant : 

C:\Users\mamoud\AppData\Local\Facebook\Messenger\2.1.4651.0\FacebookMessenger.exe 

Affiche les fichiers cachés si nécessaire : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/#sous-vista-7

figman · Answer

Re , 


voilà c'est fait il etait caché 


https://www.virustotal.com/gui/file/43bbdca194ecd71b5b31a8eb18af6f74a0d0db3f009d3ccd107132e110c29a8d

juju666 · Answer

Re,

Attends le retour de Pascal maintenant, il est connecté :)

g3n-h@ckm@n · Answer

re

les rapports OTL ne sont pas comme demandé

figman · Answer

ah ! bon  quelle est l'erreur ?

g3n-h@ckm@n · Answer

la config n'est pas suivie ^^

figman · Answer

voilà j'ai refait le scan  , mais j'ai trouvé un seul rapport 


https://www.cjoint.com/c/CApopc75iQV

g3n-h@ckm@n · Answer

config non suivie recommence

figman · Answer

Bonjour Pascal ,

désolé j'ai pas vu qu'il fallait configurer OTL , mais  je crois que cette fois ci c'est bon ,

http://cjoint.com/?CAqhXGXB5L6
https://www.cjoint.com/c/CAqhW23KPs5

@+++

g3n-h@ckm@n · Answer

salut mamoud

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error.
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-2966155982-2050055570-2136736412-1001\..\SearchScopes,DefaultScope = 
FF - user.js - File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found     
O4 - Startup: C:\Users\mamoud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk
O34 - HKLM BootExecute: (tpnative) 
SafeBootNet: avasdmft - Driver 
SafeBootNet: avas_service - Service 
SafeBootNet: avmgma_service - Service 
SafeBootNet: avss_service - Service 
SafeBootNet: tpavdrw_service - Service 
SafeBootNet: tpmgma_service - Service 
SafeBootNet: gozer - Service 

:Files
C:\Program Files\Common Files\TrustPort     
C:\END     

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

figman · Answer

re ,

impossible de faire la manip il se plante à 034HKLM BootExecute:(tpnative)

j'ai essayé 3 fois 

@+

g3n-h@ckm@n · Answer

en mode sans echec ?

g3n-h@ckm@n · Answer

va falloir s'en occuper à la main

touche windows + R

tape regedit 

déplie avec les petits "+"

HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Control
\Session Manager

clic gauche sur SessionManager

fenetre de droite à la valeur "BootExecute" double-clique dessus puis enlève tout ce qui est à droite de autochk *

il ne doit rester que ca sur la ligne :

autocheck autochk *

ensuite , valide , ferme , et redemarre le pc

figman · Answer

voilà c'est fait  , t'es fort on dirait que t'es rentrer dans ma machine mdrr..!!  il restait  que 

autocheck autochk *  c'est vrai  , 


Bonne nuit pascal ..., @ 2main ,

g3n-h@ckm@n · Answer

ok tu pourras refaire le script sans cette ligne :

 O34 - HKLM BootExecute: (tpnative)

figman · Answer

Bonjour , 

 il s'est bloqué aussi  je l'ai laissé presque 3/4 heure et il a redémarrer quand même  et voici le rapport :



Files\Folders moved on Reboot...
File move failed. C:\Windows	emp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


@+++

g3n-h@ckm@n · Answer

t'as bien enlevé la ligne 034 du script ?

figman · Answer

oui ,

g3n-h@ckm@n · Answer

ok on va y aller par episodes 

refais -en un juste avec ca : 

:OTL 
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = Reg Error: Value error. 
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-2966155982-2050055570-2136736412-1001\..\SearchScopes,DefaultScope = 
FF - user.js - File not found 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found 
O2 - BHO: (AVG Safe Search) - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll File not found 
O4 - Startup: C:\Users\mamoud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk 
SafeBootNet: avasdmft - Driver 
SafeBootNet: avas_service - Service 
SafeBootNet: avmgma_service - Service 
SafeBootNet: avss_service - Service 
SafeBootNet: tpavdrw_service - Service 
SafeBootNet: tpmgma_service - Service 
SafeBootNet: gozer - Service 
  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

figman · Answer

ok , c'est fait 


========== OTL ==========
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\Secondary Start Pages| /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
HKEY_USERS\S-1-5-21-2966155982-2050055570-2136736412-1001\Software\Microsoft\Internet Explorer\SearchScopes\DefaultScope| /E : value set successfully!
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\ not found.
File C:\Users\mamoud\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Facebook Messenger.lnk not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avasdmft\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avas_service\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avmgma_service\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\avss_service\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network	pavdrw_service\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network	pmgma_service\ not found.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\gozer\ not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 01172013_121240

g3n-h@ckm@n · Answer

re

maintenant avec ca :

:Files
C:\Program Files\Common Files\TrustPort
C:\END

figman · Answer

re , 

d'acc... voilà c'est fait 

========== FILES ==========
File\Folder C:\Program Files\Common Files\TrustPort not found.
File\Folder C:\END not found.
 
OTL by OldTimer - Version 3.2.69.0 log created on 01172013_161208


Ps : depuis qu'on commencé la désinfection un msg  s'affiche au demarrage ou lorsque je supprime  ,

le voici :  La corbeille sur C :/est endommagée . voulez vous vider la corbeille pour ce lecteur 
                                                             oui_______________non 

je clic sur oui ,  Acces au dossier refusé voudevez disposer d'une autorisation pour effectuer cette action ...etc...


@++

g3n-h@ckm@n · Answer

Si tu fais Démarrer/Poste de Travail/puis clic droit sur C:/Propriétés/clic sur Nettoyage du disque, la Corbeille n'apparaît pas dans la liste ?

figman · Answer

je l'ai fait en mode sans echec par ce que il a bloqué en mode normal , 



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0114 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

mamoud : Windows 7 Professional (32 bits)

Switchs : https://gen-hackman.kanak.fr/

New restorepoint created

Script : 17:36:09

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Stopped Processes

(1340) -- explorer.exe
(1388) -- ctfmon.exe
(1324) -- firefox.exe

Folder Moved to quarantine successfully : |SHD| - C:\$Recycle.bin


End : 17:36:09

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

toujours le probleme du message ?

figman · Answer

et maintenant la corbeille est normale le msg ne s'affiche plus

g3n-h@ckm@n · Answer

et ben c'est bon ca a l'air réparé ^^  

fais un document texte bidon sur ton bureau et supprime-le
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ok il est dans la corbeille donc , vide la corbeille ?

g3n-h@ckm@n · Answer

bien avast toujours inoperationnel  ?

figman · Answer

si il est actif maintenant

g3n-h@ckm@n · Answer

donc tout est bon ? on peut faire le menage ?

g3n-h@ckm@n · Answer

bon ben tu connais la chanson

https://gen-hackman.kanak.fr/

g3n-h@ckm@n · Answer

Pas de soucis Mamoud et au fait

bonne année chez toi :)

Virus win32/Smail.CA

55 réponses

Discussions similaires

Newsletters