Sujet Précédent Sujet Suivant

Kaspersky se bloque, virus rootkill ?

samc75005 -  
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

J'ai un gros problème de virus depuis quelques jours et viens vers vous car ne trouve pas de solution. J'ai essaye Malwarebytes et Avast auparavant mais soient ils ne trouvaient rien, soit se bloquaient.

Je ne peux pas faire d'examen complet, Kaspersky se bloque vers la fin, généralement quand il inspecte le dossier C:/Windows/winsxs

Est-ce un rootkill ? J'ai télécharger TDSS Killer de Kaspersky mais il ne trouve rien...

Je peux vous envoyer un rapport ZPH Diag si nécessaire...

Merci d'avance pour votre aide, je suis un peu perdu...

A voir également:

18 réponses

Réponse 1 / 18
samc75005
 
En lisant le rapport je vois que Malwarebytes n'a pas été désinstallé.

Je n'arrive pas à le faire dans le Panneau de Configuration / Désinstaller un programme, un message d'erreur m'indique que le fichier suivant est introuvable :
unins000.mg

---
1
Réponse 2 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
Bonjour sam,

Oui, ok, fais un ZHPDiag (après mise à jour)

mais n'envoie pas le rapport, héberge le sur cijoint ou pjoint

A+
----------Contributeur Sécurité-----------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
0
Réponse 3 / 18
samc75005
 
Salut, merci beaucoup pour ton aide !

Le rapport ZHPDiag :

http://cjoint.com/?CDqqNNAaEnF
0
Réponse 4 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
OK sam, je regarde ton rapport.

Mais désinstalle tout de suite Adobe reader et java.
Ces versions ne sont pas à jour et présentent des failles de sécurité.

Je reviens avec des instructions pour la suite.

A+
0
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
Ton fournisseur d'accès ?
Israel Petah Tikva Partner Communications Ltd.
0
samc75005
 
oui je suis en Israel, c'est mon fournisseur d'acces
0
samc75005
 
Ok je désinstalle Adobe et Java. Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
Re,

Tu as eu une infection par disque amovible.

Et je vois que tu as passé plusieurs fois hier AdwCleaner.
As-tu encore sur C: le rapport AdwCleaner[S1].txt
J'aimerai le voir !

-----------------------------------------------

¶ Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
¶ Branche TOUTES tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
¶ Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
¶ Au menu principal, clique sur "Suppression"
¶ Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
¶ Laisse travailler l'outil jusqu'au bout
¶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse.

A+
0
samc75005
 
J'ai 3 clés USB dont je me sers pour sauvegarder des données au cas où.

L'une d'elle contient peut-être un virus, mais elles n'ont jamais été connectées à autre chose que mon ordi.

A part ça, je connecte souvent mon téléphone portable au port USB, et j'ai une clé 3G.

Je n'ai pas assez de prises USB pour ces 5 vérificationbs,, est-ce que je peux faire plusieurs rapports USB Fix ?
0
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
oui bien sur !
0
samc75005
 
Je commence par la cle 3g et le telephone...

L ordinateur commence a s eteindre mais se bloque a 14%


Si c est toujours bloque dans 20mn je redemarre
0
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
OK

Alors essaie en mode sans échec.
0
samc75005
 
Voici 3 rapports de clé USB :

http://cjoint.com/confirm.php?cjoint=3DqtyZvKG9R

http://cjoint.com/confirm.php?cjoint=3DqtAtY8WPO

http://cjoint.com/confirm.php?cjoint=3DqtBfL4seN


J'espère que ça va aider à trouver le problème !

J'ai aussi essayé avec mon téléphone portable, mais l'ordi a planté.
0
Réponse 6 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
Sam,

Bon, tes périph sont vaccinés c'est déjà ça !

mais rien de flagrant.

Quitte tous les programmes en cours !

---> Télécharge sur le bureau RogueKiller (créé par Tigzy)
https://www.luanagames.com/index.fr.html

---> Après le pre-scan, Lancer un Scan par le bouton Scan à droite.

---> Clique sur [Suppression]

---> Puis clique sur [Rapport] une fois le scan terminé, et copie/colle le rapport dans ta réponse.

---> Redémarre ton ordinateur.

(le rapport est également sur le bureau)

* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe

Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.
====================
Aide ici : https://www.malekal.com/demarrer-windows-mode-sans-echec/

A+
0
samc75005
 
Voilà, j'espère voir le bout du tunnel ! :)

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Samuel [Droits d'admin]
Mode : Suppression -- Date : 16/04/2013 22:50:02
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤
[TASK][SUSP PATH] AllmyappsUpdateTask : c:\users\samuel\appdata\roaming\allmyapps\allmyappsupdater.exe check startup [x] -> SUPPRIMÉ
[DNS] HKLM\[...]\ControlSet001\Services\Tcpip\Interfaces\{C24FA59B-9469-41EF-86D5-DC946DFAD19B} : NameServer (82.102.139.10 82.102.139.20) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[DNS] HKLM\[...]\ControlSet003\Services\Tcpip\Interfaces\{C24FA59B-9469-41EF-86D5-DC946DFAD19B} : NameServer (82.102.139.10 82.102.139.20) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
--- User ---
[MBR] 36d353e7526d4bb92bdba188fe8ea595
[BSP] 0cce4006b687368535689167a6ef6281 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 122844 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254658560 | Size: 114130 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_16042013_225002.txt >>
RKreport[1]_S_16042013_224852.txt ; RKreport[2]_D_16042013_225002.txt


-----



A quoi correspondent tous ces liens bizarres ?
0
samc75005
 
Je viens de faire DNS RAZ
0
samc75005
 
Et voici le dernier rapport, tout à l'air OK :)

Je relance Kaspersky pour voir...


RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Samuel [Droits d'admin]
Mode : Suppression -- Date : 16/04/2013 23:35:08
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[TASK][SUSP PATH] AllmyappsUpdateTask : c:\users\samuel\appdata\roaming\allmyapps\allmyappsupdater.exe check startup [x] -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
--- User ---
[MBR] 36d353e7526d4bb92bdba188fe8ea595
[BSP] 0cce4006b687368535689167a6ef6281 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 122844 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 254658560 | Size: 114130 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4]_D_16042013_233508.txt >>
RKreport[1]_DN_16042013_233123.txt ; RKreport[2]_DN_16042013_233225.txt ; RKreport[3]_S_16042013_233341.txt ; RKreport[4]_D_16042013_233508.txt
0
Réponse 7 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
Voilà, j'espère voir le bout du tunnel ! :)

Peut être mais en matière de désinfection on n'est jamais sur de rien !
Et la pratique du P2P est à risque.

A quoi correspondent tous ces liens bizarres ?

Quels liens ? ceux du fichier Hosts ?
Pas grave https://fr.wikipedia.org/wiki/Hosts

Ce script va cibler certains éléments à supprimer :

* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C

[MD5.00000000000000000000000000000000] [APT] [Desk 365 RunAsStdUser] (...) -- C:\Program Files\Desk 365\desk365.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [Your File Updater] (...) -- C:\Program Files\YourFileDownloader\YourFileUpdater.exe (.not file.) [0]
[HKCU\Software\SweetIM]
[HKLM\Software\SweetIM]
O87 - FAEL: "{367637DB-6797-485D-98CC-27BB82AAFE83}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\YourFileDownloader\Downloader.exe (.not file.)
O87 - FAEL: "{F2250F71-0644-45BA-852C-A3860D07E55F}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\YourFileDownloader\Downloader.exe (.not file.)
O87 - FAEL: "{3EEB336C-5DAF-4E71-829A-AF1EF2DA3169}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\YourFileDownloader\YourFile.exe (.not file.)
O87 - FAEL: "{AE1A009A-E890-4E25-83FF-7D242211C779}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\YourFileDownloader\YourFile.exe (.not file.)
O87 - FAEL: "{0F16C8DB-A402-48A3-8F12-11582E77D115}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)
O87 - FAEL: "{892CD9E1-87BF-462A-8627-30C439FC99C8}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)
[HKLM\Software\Classes\CLSID\{35b8892d-c3fb-4d88-990d-31db2ebd72bd}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{fee1002d-90a5-4a5d-aabe-01803ffbcf7a}]
[HKCU\Software\SweetIM]
[HKLM\Software\SweetIM]
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\desksvc]
[MD5.00000000000000000000000000000000] [APT] [{5892B039-4761-4667-BF5F-0EC4EB7C5E2E}] (...) -- E:\Games\Mortal Kombat 4\Setup.exe (.not file.) [0] => Empty File not necessary
[MD5.00000000000000000000000000000000] [APT] [{59197C0B-CAE8-4819-BB19-6F06BEED6464}] (...) -- C:\Users\Samuel\Desktop\Jimmy\AZon\ioncube_loaders_setup.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{5F5024A8-C8F7-42F6-99C4-CC9980351BFB}] (...) -- C:\Users\Samuel\AppData\Local\Temp\Temp1_road_rash.zip\roadrash.part01.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{80761EAA-6A50-4A85-A6C8-B5E1588C6325}] (...) -- C:\Windows\Pacman 2002 demo\uninstall.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{FE825C4F-A494-4627-A99B-CA137687D5A5}] (...) -- C:\Users\Samuel\Documents\Jeux\road_rash\roadrash.part01.exe (.not file.) [0]
O44 - LFC:[MD5.C2E82881EB115EC5D58D8E1B6C11A95C] - 15/04/2013 - 21:09:36 ---A- . (...) -- C:\Windows\msxml4-KB2758694-enu.LOG [267598]
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\14355118.sys . (...) -- C:\Windows\System32\Drivers\14355118.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\14355118.sys . (...) -- C:\Windows\System32\Drivers\14355118.sys (.not file.)
O51 - MPSK:{14adc422-85aa-11de-91cb-00238bca2795}\AutoRun\command. (...) -- C:\Windows\system32\D:\RavMonE.exe (.not file.)
[MD5.A042C0EB991CC4F5ACB2448FD9AEE0C5] [SPRF][02/04/2007] (.Windows 2000 DDK provider - Windows Setup API.) -- C:\Users\Samuel\AppData\Local\Temp\DeviceSetup.exe [19456]
[MD5.CB0107FDE27B05772F79977D05DEFA6E] [SPRF][14/04/2013] (...) -- C:\Users\Samuel\AppData\Local\Temp\mlv_ar_qvo6.exe [93776]
O51 - MPSK:{46e70f0e-ef16-11de-9b25-0022fadf5b1a}\AutoRun\command. (...) -- D:\autorun.exe (.not file.)
O51 - MPSK:{46e70f0f-ef16-11de-9b25-0022fadf5b1a}\AutoRun\command. (...) -- D:\autorun.exe (.not file.)
O51 - MPSK:{60527e07-cf9c-11de-9c22-002258e9354e}\AutoRun\command. (...) -- D:\autorun.exe (.not file.)
O51 - MPSK:{60527e0c-cf9c-11de-9c22-002258e9354e}\AutoRun\command. (...) -- D:\autorun.exe (.not file.)
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ

* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton «GO » pour lancer le nettoyage
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFix[R1].txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou pjoint
-------------------------------------------------------------
Lors de l'utilisation de Zhpfix le processus "explorer exe" peut se fermer.
Ton bureau apparaitra sans icones et sans barre des taches.
Pour relancer "explorer.exe" appuie simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches.
Cliques sur "fichier" et sur "nouvelle tâche" et dans le champ de saisie, tu tapes explorer.exe et cliques sur OK.

A+
0
samc75005
 
Voilà ;)

http://cjoint.com/confirm.php?cjoint=3Dqw6kn4c0A

Alors c'est grave doc ?
0
samc75005
 
Merci pour ces conseils !

J'ai arreté le p2p depuis qques temps déjà et ne télécharge plus que très rarement et seulement sur des sites officiels.

Une petite question : à quoi as-tu vu au début que j'ai été infecté par une clé USB ?
0
samc75005
 
Voici la situation avant d'aller me coucher :

Kaspersky continue à bloquer mon ordinateur en cours d'analyse, au niveau de C:/ Windows/winxs/ (fichier Memo.jpl je crois je ne suis pas sûr de l'extension).

En mode sans échec, l'ordinateur crash complètement.


J'ai depuis quelques temps du mal à démarrer en mode sans échec (même avec prise en charge réseau), il se bloque au niveau de CRCDISK




----

Sinon j'ai trouvé un fchier txt IpAdrLog bizarre dans le dossier Users/Sam/AppData/Local/Temp

Voilà par quoi il commence :

00004719
2013-04-17 00:14:14.394 [NDSTray.exe:00002052] iasGetDefaultConnectionEntry in
2013-04-17 00:14:15.829 [NDSTray.exe:00002052] iasGetActiveConnectionEntries in
2013-04-17 00:14:15.829 [NDSTray.exe:00002052] Line 5206 : RasEnumConnections() in
2013-04-17 00:14:15.829 [NDSTray.exe:00002052] Line 5209 : RasEnumConnections() out
2013-04-17 00:14:15.845 [NDSTray.exe:00002052] Line 5230 : RasEnumConnections() in

...



Est-ce un signe de trojan ? C'est ce que j'ai vu sur Google...


Sur ce bonne nuit, ou bonne journée !
0
Réponse 8 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
Bonjour Sam,

Plusieurs infections :

Exemples :
Hijacker.Qvo6
cf/ voir cet article : http://cleanbytes.net/how-to-remove-qvo6-com-virus

Pour l'infection USB
cf/ C:\Windows\system32\D:\RavMonE.exe (.not file.)
C'est caractéristique d'une infection par disque amovible même si le fichier a été détruit.

-----------------------------------------------

On va restaurer ton fichier Hosts.
? Télécharge RstHosts (de Xplode) sur ton Bureau.
? Lance le et clique sur Restaurer
? Un message t'indiquera de la réussite de l'opération, clique sur [OK] puis clique sur Créer un rapport.
? Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\RstHosts.txt )

---------------------------------------------

Puis on va réutiliser MalwareByte :
* Télécharge Malwaresbytes anti malware ici
* Choisis la version -Download Now-
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
* Tu as un tuto si tu en as besoin : tuto

* Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.

* /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
* Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
* Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
* Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
* Lorsque le scan est terminé clique sur "Afficher les résultats"
* Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

PS : Redémarre ta machine pour achever le nettoyage.

* Enregistre-le rapport de Suppression (onglet "rapport/log", le dernier en date) dans un endroit approprié pour le retrouver et héberge-le sur cijoint ou pjoint

* Envoie-moi le lien fourni dans ta prochaine réponse.

A+

----------Contributeur Sécurité-----------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
0
Réponse 9 / 18
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut,
Concernant le fichier hosts c'est un reste de Spybot :)
A+
0
samc75005
 
Merci.

C est donc des traces laissees par le logiciel Spybot c est bien ca ? Et non des traces laissees par un logiciel espion?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Exactement :)
0
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
Sam,

Exact et un fichier hosts bien rempli ralentit ta machine.

Vois sur ton rapport ZHPDiag :
---\\ Redirection du fichier Hosts (O1)
~ Le fichier hosts est sain (The hosts file is clean).
~ Hosts File: Scanned in 00mn 07s
~ Nombre de lignes (Lines number): 13621

Tu as fait le nouveau MBAM ?
0
Réponse 10 / 18
samc75005
 
Bonsoir !

J'ai donc lancé MBAM en suivant tout à la lettre, malheureusement l'ordi s'est bloqué au bout de 6 heures de scan.

Décidément, Kaspersky et MBAM sont complètement alergiques aux scans complets sur mon ordi...
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut,
Déjà constaté par un ami (afideg, présent sur ce forum).
Je suppose que tu as activé la version d'essai pro de MBAM ? :)
0
samc75005
 
Oui exact
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Ben vire cette version d'essai, ça entre en conflit avec Kaspersky.
0
Réponse 11 / 18
samc75005
 
J'ai donc désinstallé Malwarebytes, et essaye de faire un scan avec Kaspersky (dernière version, à jour)

L'analyse complète Kaspersky prend désormais beaucoup plus de temps qu'avant... il reste 8 heures....
0
Réponse 12 / 18
samc75005
 
Ca a été poussif au début puis plus rapide, l'analyse complète était à 92%, toujours dans ce fameux dossier winsxs, et l'ordi s'est complètement bloqué.

Bref, toujours impossible de faire une analyse complète avec les principaux logiciels anti-virus.

Je veux simplement pouvoir utiliser mon ordi normalement en étant sûr qu'il n'y a plus de malware...
0
Réponse 13 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
samc,

Je veux simplement pouvoir utiliser mon ordi normalement en étant sûr qu'il n'y a plus de malware...

C'est ce que je suis en train d'essayer de te faire faire depuis le début. Ce n'est pas moi qui ait installé des malwares sur ta machine et sache que nous ne sommes que des bénévoles....alors si tu t'impatiente tu vas voir le pro du coin et tu sors ta carte bleue !

Redémarre en mode sans échec .
* Télécharge Dr Web CureIt sur ton Bureau :

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique <drweb-cureit.exe> et ensuite clique sur <Analyse>;

- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
- De retour à la fenêtre principale : clique pour activer <Analyse complète>
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse

A+
----------Contributeur Sécurité-----------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
0
samc75005
 
Salut l'ami cabrier :)

Il y a un malentendu, au contraire je te suis infiniment reconnaissant pour ton aide, je suis tes conseils avec minutie depuis le début. Grâce à cette "expérience" et aux outils que tu m'as donné, je saurai mieux comment nettoyer les malwares et je pourrai aider les autres à mon tour.

Je vais appliquer la dernière méthode et te tiens au courant :)
0
samc75005
 
Re,

J'ai essayé plusieurs fois de faire l'analyse rapide avec DrWeb. L'ordi plante à chaque fois en fin de scan.
0
Réponse 14 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
sam,

On va sortir l'artillerie lourde.

Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection (antivirus et pare-feu) et ferme toutes les fenêtres ouvertes avant de l'utiliser.

¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.

Ne touche à rien pendant le scan.

¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

A+
0
samc75005
 
Re,

Lorsque je vais sur la page pour télécharger ComboFix, Google Chrome me met un signal d'avertissement me disant que ce site diffuse des logiciels malveillants.

Je n'ai donc rien téléchargé pour l'instant... y aurait-il un autre lien ?
0
Réponse 15 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
sam,

Non aucun souci, force le téléchargement.
Il n'y a pas de risque.

A+
0
samc75005
 
Hello,

Ca a marché du premier coup :)

Voici le rapport :

http://cjoint.com/confirm.php?cjoint=3Dvtjhf4O9E
0
Réponse 16 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
Parfait sam,

Refais un scan avec ZHPDiag pour vérification.

* A l'ouverture du programme vérifie en haut à droite si le texte "Version à jour" apparait. Si ce n'est pas le cas cliques sur l'icône de la flèche verte pointant vers le bas (la nouvelle version sera téléchargée et installée).
* Maintenant clique en haut à droite sur l'icône du tournevis et choisis "Tous"
Puis clique à coté du tournevis sur la loupe .

A+
0
samc75005
 
Merci,

Voici le rapport :

http://cjoint.com/?3DvudcQWWZF
0
Réponse 17 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
Voila qui est mieux,

- Désinstalle java 6 v 6 et télécharge la dernière version https://www.java.com/fr/

- Vide le cache de ton navigateur chrome


Ce script va cibler certains éléments à supprimer :

* Copie tout le texte ci-dessous (en gras et italique) tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C

O45 - LFCP:[MD5.E1E8E232CA55F7DD0651A3415D54C933] - 14/04/2013 - 16:55:05 ---A- - C:\Windows\Prefetch\EXQ.EXE-A731CCF6.pf
O45 - LFCP:[MD5.DEAFE8300D12550C251C48579C3105C1] - 14/04/2013 - 16:55:11 ---A- - C:\Windows\Prefetch\DESK365.EXE-9A46C2A9.pf
O45 - LFCP:[MD5.622B21E63487F31715779043790713E7] - 14/04/2013 - 17:01:25 ---A- - C:\Windows\Prefetch\DESKSVC.EXE-EC84F846.pf
[MD5.626A24ED1228580B9518C01930936DF9] [APT] [GoogleUpdateTaskMachineCore] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe [133104]
[MD5.626A24ED1228580B9518C01930936DF9] [APT] [GoogleUpdateTaskMachineUA] (.Google Inc..) -- C:\Program Files\Google\Update\GoogleUpdate.exe [133104]
[HKLM\Software\Amazon]
[HKCU\Software\YahooPartnerToolbar]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
EmptyTemp
EmptyFlash
EmptyCLSID
FirewallRAZ

* Double-clic droit sur le raccourci portant le nom "ZHPFix" (sur ton bureau).
/ !\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPFix.exe, « exécuter en tant qu'Administrateur »/ !\
* Clique sur la 2ème icône en haut à gauche ("coller le presse-papier")
Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
* Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
* Clique sur le bouton «GO » pour lancer le nettoyage
* Le rapport s'ouvre automatiquement après l'exécution du script. Il se trouve aussi sous C:\ZHP\ZHPPFix[R1].txt
* Transmets-moi le lien du fichier comme indiqué en préambule "Dépôt de fichier"
*Rappel des dépôts : cijoint ou pjoint
-------------------------------------------------------------
Lors de l'utilisation de Zhpfix le processus "explorer exe" peut se fermer.
Ton bureau apparaitra sans icones et sans barre des taches.
Pour relancer "explorer.exe" appuie simultanément sur les touches ctrl+alt+suppr pour ouvrir le gestionnaire de tâches.
Cliques sur "fichier" et sur "nouvelle tâche" et dans le champ de saisie, tu tapes explorer.exe et cliques sur OK.

- Redémarre et dis moi si tout est OK

A+
0
samc75005
 
Merci

Petit souci : Je n'arrive pas à désinstaller la précédente version de Java, ni à travers le panneau de configuration, ni avec Javara pas exemple.

Puis j'ai essayé de télécharger directement la dernière version de Java : message d'erreur : le dossier C://user/appdata/LocalLow/Sun... est corrompu

Une solution ?
0
samc75005
 
Je pensais avoir réussi à désinstaller Java grâce à Revo Uninstaller (en tout cas Java n'apparait plus dans le panneau de configuration des programmes)

Mais lorsque je souhaite installer la nouvelle version de Java, le même message d'erreur apparait : dossier corrompu C/appdata/locallow/sun/java/nom/nom.dll
0
samc75005
 
Je n'ai donc pas installé Java. (est-il vraiment utile ?)

Rapport ZHPFix :

http://cjoint.com/?3DvwIUcU5Mq
0
Réponse 18 / 18
cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
 
sam

Je n'ai donc pas installé Java. (est-il vraiment utile ?)

Non, pas forcément. Mais bizarre.

Pour le reste c'est ok ?
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses