Virtool:Win32/obfuscator.Xz Résolu

Question

Bonjour, 


Mon antivirus (Microsoft Security Essentials) a détecter 2 virus :
-Virtool:Win32/Obfuscator.XZ
-Trojan:Win32/malgent

lors de la suppression des virus, l'antivirus reste bloquer au 3/4. Il semblerait qu'il n'arrive pas à supprimer les virus ? est ce qu'il y a une démarche à suivre afin de pouvoir les supprimer ?

Merci d'avance

Configuration: Windows 7 / Internet Explorer 10.0

Utilisateur anonyme · Answer

bonjour,

* Télécharge ZHPDiag sur ton bureau :
	
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 

 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur le tourne vis , sélectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

olivier70 · Answer

Tout d'abord, merci de m'aider

Voici le lien du résultat de l'analyse :

https://www.cjoint.com/?0EAjBUVTzGs

Utilisateur anonyme · Answer

installe la dernière version d'adobe reader et java depuis leurs sites dédiés !

attention aux barres d'outils et le P2P !

à part ça, tu dois t'en douter, ton pc est blindé de cr@ck et keygen !!!



*	/!\ Avertissement /!\,
*	ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage !

*	Lance ZHPFix via le raccourci sur ton Bureau

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur »

*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O43 - CFD: 21/04/2013 - 11:12:47 - [0] -SH-D C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}    
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}]   [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]   
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]   
O4 - HKUS\S-1-5-21-365594004-2303818731-2447722735-1003\..\Run: [HKCU] . (.Microsoft Corporation - Launcher.) -- C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe    
[HKCU\Software\953d98bbc69e842]    
[HKCU\Software\InstallCore]   [HKLM\Software\Wow6432Node\953d98bbc69e842]    
[HKCU\Software\InstallCore]   =>Adware.InstallCore
[HKLM\Software\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062}]   [HKLM\Software\Wow6432Node\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062}]   
[HKCU\Software\953d98bbc69e842]   
[HKCU\Software\953d98bbc69e842]:GUID="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"    
[HKCU\Software\953d98bbc69e842]:PROTECT_EXE_NAME="mngr.exe"   
[HKCU\Software\953d98bbc69e842]:version="2.5.911.18"   
[HKLM\Software\Wow6432Node\953d98bbc69e842]   
[HKLM\Software\Wow6432Node\953d98bbc69e842]:GUID="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"    
[HKLM\Software\Wow6432Node\953d98bbc69e842]:PROTECT_EXE_NAME="mngr.exe"    
[HKLM\Software\Wow6432Node\953d98bbc69e842]:version="2.5.911.18" 
Emptytemp
EmptyClsid
Firewallraz


---------------------------------------------------------- 

- Si tu ne trouves pas le bouton GO, clique sur l'icone représentant le presse-papier (L'icone entre l'appareil photo et le parchemin, en haut à gauche de la page d'outil)

- Clique sur le bouton « GO » pour lancer le nettoyage,
- confirme le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

olivier70 · Answer

oui je me doute mais je ne pensais pas que c'était aussi embêtant à nettoyer 

voici le rapport de ZHPFix :

Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-26-05-2013-12-51-12.txt
Run by PC at 26/05/2013 12:51:12
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Clé(s) du Registre ==========
ABSENT Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} \Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32
SUPPRIME Key: HKCU\Software\953d98bbc69e842
ABSENT Key: HKCU\Software\InstallCore [HKLM\Software\Wow6432Node\953d98bbc69e842
SUPPRIME Key: HKCU\Software\InstallCore
ABSENT Key: HKLM\Software\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062} \Software\Wow6432Node\Classes\AppID\{C3110516-8EFC-49D6-8B72-69354F332062}
SUPPRIME Key: HKLM\Software\Wow6432Node\953d98bbc69e842

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: HKCU
ABSENT [HKCU\Software\953d98bbc69e842]:GUID="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
ABSENT [HKCU\Software\953d98bbc69e842]:PROTECT_EXE_NAME="mngr.exe"
ABSENT [HKCU\Software\953d98bbc69e842]:version="2.5.911.18"
ABSENT [HKLM\Software\Wow6432Node\953d98bbc69e842]:GUID="{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}"
ABSENT [HKLM\Software\Wow6432Node\953d98bbc69e842]:PROTECT_EXE_NAME="mngr.exe"
ABSENT [HKLM\Software\Wow6432Node\953d98bbc69e842]:version="2.5.911.18"
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (Private) : {2C4A989C-DAED-406F-A673-D8B03632DCFA}
SUPPRIME FirewallRaz (Private) : {7E28BFB1-0A73-4870-A12B-A2B6508F1717}

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichier(s) ==========
SUPPRIME File: c:\users\olivier-hp\appdata\roaming\windir\svchost.exe 
SUPPRIME Temporaires Windows


========== Récapitulatif ==========
7 : Clé(s) du Registre
11 : Valeur(s) du Registre
1 : Dossier(s)
2 : Fichier(s)


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 21/12/2012 14:22:44 [7138]
C:\ZHP\ZHPFix[R2].txt - 21/12/2012 14:54:19 [429]
C:\ZHP\ZHPFix[R3].txt - 21/12/2012 14:54:44 [480]
C:\ZHP\ZHPFix[R4].txt - 21/12/2012 15:06:54 [1301]
C:\ZHP\ZHPFix[R5].txt - 21/12/2012 15:36:11 [1401]
C:\ZHP\ZHPFix[R6].txt - 26/05/2013 12:51:12 [2394]

Utilisateur anonyme · Answer

ok,

tu as déjà MBAM sur ton pc,

/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »
 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur édition en haut du boc notes, et puis sur sélectionner tous 
. tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

olivier70 · Answer

Le resultat de l'analyse :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Database version: v2013.04.04.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Olivier-HP :: PC-HP [limited]

26/05/2013 14:07:18
mbam-log-2013-05-26 (14-07-18).txt

Scan type: Full scan (C:\|D:\|E:\|Q:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 520280
Time elapsed: 2 hour(s), 31 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 2
HKCU\SOFTWARE\CYBER (Backdoor.Trace) -> Quarantined and deleted successfully.
HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> Delete on reboot.

Registry Values Detected: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|HKCU (Trojan.Agent) -> Data: C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe -> Quarantined and deleted successfully.
HKCU\Software\Cyber|FirstExecution (Backdoor.Trace) -> Data: 25/05/2013 -- 15:32 -> Quarantined and deleted successfully.

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 1
C:\ProgramData\IBUpdaterService (PUP.InstallBrain) -> Delete on reboot.

Files Detected: 4
C:\ZHP\Quarantine\autokms.exe.VIR (Trojan.AutoKMS) -> Quarantined and deleted successfully.
C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> Delete on reboot.
C:\ProgramData\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Delete on reboot.

(end)

Utilisateur anonyme · Answer

redémarre ton pc,

refais une nouvelle mise à jour de Mbam et repasse un nouveau scan complet

olivier70 · Answer

la recherche de mise à jour est griser je ne peux donc pas cliquer dessus, je passe directement au scan ?

Utilisateur anonyme · Answer

vas y pour voir, normalement, il devrait être à jour  :-)

olivier70 · Answer

voici le resultat du 2eme scan :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.04.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Olivier-HP :: PC-HP [limité]

26/05/2013 19:08:43
mbam-log-2013-05-26 (19-08-43).txt

Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 520147
Temps écoulé: 2 heure(s), 1 minute(s), 13 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SYSTEM\CurrentControlSet\Services\IBUpdaterService (PUP.InstallBrain) -> Suppression au redémarrage.
HKCU\SOFTWARE\CYBER (Backdoor.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|HKCU (Trojan.Agent) -> Données: C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\Cyber|FirstExecution (Backdoor.Trace) -> Données: 26/05/2013 -- 18:53 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\ProgramData\IBUpdaterService (PUP.InstallBrain) -> Suppression au redémarrage.

Fichier(s) détecté(s): 3
C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\IBUpdaterService\ibsvc.exe (PUP.InstallBrain) -> Suppression au redémarrage.
C:\ProgramData\IBUpdaterService\repository.xml (PUP.InstallBrain) -> Suppression au redémarrage.

(fin)

Utilisateur anonyme · Answer

redémarre le pc,


*	Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

*  Clique sur [Start Scan] pour démarrer l'analyse. 

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

*  Un rapport s'ouvrira au redémarrage du PC. 

*  Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note : 
 Conserve l'action proposée par défaut par l'outil :

- Si TDSS.tdl2 : l'option Delete sera cochée. 
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D

olivier70 · Answer

Aucun élément n'a été trouvé.

Utilisateur anonyme · Answer

ok,

 *	[*] Télécharger et enregistre RogueKiller sur le bureau 
https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si RogueKiller ne se lance pas, change son nom en Winlogon.	

Tuto :
http://tigzyrk.blogspot.fr/2012/10/fr-roguekiller-tutoriel-officiel.html

olivier70 · Answer

Rien n'a encore été supprimé, dois-je le faire ? Voici le rapport : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : PC [Droits d'admin] Mode : Recherche -- Date : 27/05/2013 20:15:59 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 2 ¤¤¤ [Microsoft][HJNAME] explorer.exe -- C:\Windows\SysWOW64\explorer.exe [7] -> TUÉ [TermProc] [SERVICE] IBUpdaterService -- C:\ProgramData\IBUpdaterService\ibsvc.exe [7] -> STOPPÉ ¤¤¤ Entrees de registre : 6 ¤¤¤ [RUN][HJNAME] HKUS\S-1-5-21-365594004-2303818731-2447722735-1003[...]\Run : HKCU (C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe) [-] -> TROUVÉ [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : 41F85F62-A7EE-4EED-8509-CAEF26D900F7 (cmd.exe /C start /D "C:\Users\PC\AppData\Local\Temp" /B 41F85F62-A7EE-4EED-8509-CAEF26D900F7.exe -postboot) [x] -> TROUVÉ [Services][BLSVC] HKLM\[...]\ControlSet001\Services\IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE) -> TROUVÉ [Services][BLSVC] HKLM\[...]\ControlSet002\Services\IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST640LM000 HM641JI +++++ --- User --- [MBR] 2c0f6269ccf3675db97442548c1e9497 [BSP] 5c9f397303f0b8f7b3bef8003214d7e1 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 588253 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1205151744 | Size: 21923 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1250050048 | Size: 103 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_27052013_201559.txt >> RKreport[1]_S_27052013_201559.txt

Utilisateur anonyme · Answer

[*] Quitter tous les programmes 
[*] Relancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Supprimer. Cliquer sur Rapport et copier coller le contenu du notepad

olivier70 · Answer

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : PC [Droits d'admin] Mode : Recherche -- Date : 27/05/2013 20:29:02 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST640LM000 HM641JI +++++ --- User --- [MBR] 2c0f6269ccf3675db97442548c1e9497 [BSP] 5c9f397303f0b8f7b3bef8003214d7e1 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 588253 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1205151744 | Size: 21923 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1250050048 | Size: 103 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[5]_S_27052013_202902.txt >> RKreport[1]_S_27052013_201559.txt ; RKreport[2]_D_27052013_202216.txt ; RKreport[3]_S_27052013_202322.txt ; RKreport[4]_S_27052013_202442.txt ; RKreport[5]_S_27052013_202902.txt

Utilisateur anonyme · Answer

tu peux me poste juste ce rapport ?


 RKreport[2]_D_27052013_202216.txt

olivier70 · Answer

Se serait donc celui la : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : PC [Droits d'admin] Mode : Suppression -- Date : 27/05/2013 20:22:16 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 2 ¤¤¤ [Microsoft][HJNAME] explorer.exe -- C:\Windows\SysWOW64\explorer.exe [7] -> TUÉ [TermProc] [SERVICE] IBUpdaterService -- C:\ProgramData\IBUpdaterService\ibsvc.exe [7] -> STOPPÉ ¤¤¤ Entrees de registre : 6 ¤¤¤ [RUN][HJNAME] HKUS\S-1-5-21-365594004-2303818731-2447722735-1003[...]\Run : HKCU (C:\Users\Olivier-HP\AppData\Roaming\WinDir\Svchost.exe) [-] -> SUPPRIMÉ [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : 41F85F62-A7EE-4EED-8509-CAEF26D900F7 (cmd.exe /C start /D "C:\Users\PC\AppData\Local\Temp" /B 41F85F62-A7EE-4EED-8509-CAEF26D900F7.exe -postboot) [x] -> SUPPRIMÉ [Services][BLSVC] HKLM\[...]\ControlSet001\Services\IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE) -> SUPPRIMÉ [Services][BLSVC] HKLM\[...]\ControlSet002\Services\IBUpdaterService ("C:\ProgramData\IBUpdaterService\ibsvc.exe" /SERVICE) -> SUPPRIMÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: ST640LM000 HM641JI +++++ --- User --- [MBR] 2c0f6269ccf3675db97442548c1e9497 [BSP] 5c9f397303f0b8f7b3bef8003214d7e1 : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 588253 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1205151744 | Size: 21923 Mo 3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1250050048 | Size: 103 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_27052013_202216.txt >> RKreport[1]_S_27052013_201559.txt ; RKreport[2]_D_27052013_202216.txt

Utilisateur anonyme · Answer

super,

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 


	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

/!\Utilisateur de Vista & Windows7 : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de Combofix.txt dans ton prochain message.

olivier70 · Answer

Le resultat de combofix :

https://www.cjoint.com/?0EBvALZNDIx

Utilisateur anonyme · Answer

ok,

je vois un peu mieux la chose :

tu as infecté "volontairement" ton pc en utilisant un cr@ck le 24/05/2013, à 18h30 !!





*	/!\AVERTISSEMENT :
ce script n'est à utiliser que pour ce pc infecté et sur ce topic, il n'est valable pour aucun autre pc.


	
Télécharge OtmoveIT (de Old_Timer) sur ton Bureau 

http://general-changelog-team.fr/fr/outils/67-otm


* Double-clique sur OTMoveIt.exe pour le lancer. 
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de OtmoveIT, « exécuter en tant qu'Administrateur »

* Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move. 



:files 
c:\users\PC\AppData\Roaming\SpeedAnalysis2
c:\users\PC\AppData\Roaming\SpecialSavings
c:\programdata\IBUpdaterService
c:\program files\Cracked Steam
c:\users\PC\AppData\Roaming\File Scout
c:\users\PC\AppData\Roaming\PerformerSoft
c:\program files (x86)\Uninstall Information\Ib\97\3867\ib_uninstall.exe
:Commands 
[emptytemp] 
[purity] 
[Reboot] 

# clique sur MoveIt! pour lancer la suppression. 

# Le résultat apparaitra dans le cadre "Results". 

# Clique sur Exit pour fermer. 

# Poste le rapport situé dans C:\_OTMoveIt\MovedFiles. 

# Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

olivier70 · Answer

Resultat de OTM :

https://www.cjoint.com/?0ECnfcvP7Wb

Utilisateur anonyme · Answer

super,

tu as déjà MBAM sur ton pc,

relance le,

/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur édition en haut du boc notes, et puis sur sélectionner tous 
. tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

olivier70 · Answer

Rapport de MBAM :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.04.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Olivier-HP :: PC-HP [limité]

28/05/2013 18:05:24
MBAM-log-2013-05-28 (20-11-46).txt

Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 519524
Temps écoulé: 1 heure(s), 59 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CYBER (Backdoor.Trace) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 1
HKCU\Software\Cyber|FirstExecution (Backdoor.Trace) -> Données: 26/05/2013 -- 21:38 -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Utilisateur anonyme · Answer

pourquoi tu n'as pas viré la clé ?

Aucune action effectuée.

olivier70 · Answer

après l'analyse de MBAM, j'ai supprimer les éléments qu'il a détecté, la clé a donc été supprimer au passage non ?

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.04.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16576
Olivier-HP :: PC-HP [limité]

28/05/2013 18:05:24
mbam-log-2013-05-28 (18-05-24).txt

Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 519524
Temps écoulé: 1 heure(s), 59 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CYBER (Backdoor.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\Software\Cyber|FirstExecution (Backdoor.Trace) -> Données: 26/05/2013 -- 21:38 -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

je ne sais pas,

ouvre MBAM, clique sur l'onglet rapport,

ouvre le dernier rapport en date et fais un copier coller du contenu sur ton prochain message


 
 
O.o°*Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manièr claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø

olivier70 · Answer

je l'ai mis sur mon dernier message

Utilisateur anonyme · Answer

ok, je te demande juste, pour la vérification finale, de repasser un nouveau scan complet,

si MBAM ne trouve rien, on finalise le nettoyage  :D

olivier70 · Answer

MBAM n'a effectivement rien trouvé

Utilisateur anonyme · Answer

ok, redémarre le pc et donne moi des nouvelles de son fonctionnement avant de lancer la suit et fin !

olivier70 · Answer

il a l'air de fonctionner correctement les programmes démarre rapidement !

Utilisateur anonyme · Answer

* pour désinstaller les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
 

	Coche les cases suivantes :
	=> Réactive l'Uac (juste pour Vista, Seven et W8)
	=> Supprimer les outils de désinfection (coché par défaut)
=> Purger la restauration système 
=> Réinitialisation des paramètres système
	

* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport
** le rapport est stocké à cet emplacement : C:\DelFix.txt
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.

olivier70 · Answer

Rapport de DelFix

# DelFix v10.2 - Rapport créé le 29/05/2013 à 20:30:28
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : PC - PC-HP
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : \Qoobox
Supprimé : \_OTM
Supprimé : \ZHP
Supprimé : \TDSSKiller_Quarantine
Supprimé : C:\Users\PC\Desktop\RK_Quarantine
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : \ComboFix.txt
Supprimé : \PhysicalDisk0_MBR.bin
Supprimé : \TDSSKiller.2.8.16.0_27.05.2013_18.29.41_log.txt
Supprimé : \TDSSKiller.2.8.16.0_27.05.2013_20.03.41_log.txt
Supprimé : \TDSSKiller.2.8.16.0_27.05.2013_20.10.56_log.txt
Supprimé : C:\Users\PC\Desktop\ZHPDiag.txt
Supprimé : C:\Users\PC\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\SED.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\Zip.exe
Supprimée : HKLM\SOFTWARE\OldTimer Tools
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~ Purge de la restauration système ...

Supprimé : RP #103 [Windows Update | 05/22/2013 17:41:24]
Supprimé : RP #104 [Windows Update | 05/24/2013 12:38:43]
Supprimé : RP #105 [Supprimé Prototype(TM) | 05/24/2013 17:28:25]
Supprimé : RP #106 [Installé Steam | 05/24/2013 18:41:05]
Supprimé : RP #107 [Supprimé Steam | 05/24/2013 18:52:38]
Supprimé : RP #108 [Installé Steam | 05/24/2013 18:54:53]
Supprimé : RP #109 [Supprimé Steam | 05/24/2013 19:16:41]
Supprimé : RP #110 [Windows Update | 05/27/2013 16:37:09]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

Utilisateur anonyme · Answer

super,

* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

olivier70 · Answer

D'accord, il est lancé. cependant je m'interroge sur certaine chose.

Tout d'abord cette démarche est elle utilisable sur d'autre ordinateur? mise a part les étapes ou il est préciser qu'il ne faut l'utiliser que sur ce pc.

Ensuite, est-il impératif de supprimer les outils de désinfection ?

Utilisateur anonyme · Answer

Tout d'abord cette démarche est elle utilisable sur d'autre ordinateur? mise a part les étapes ou il est préciser qu'il ne faut l'utiliser que sur ce pc.

non, chaque cas est différant, donc à voir cas par cas  :D
 

Ensuite, est-il impératif de supprimer les outils de désinfection ? 


oui, la mise à jour de certains outils ne se fait pas de manière automatique, donc après chaque utilisation, il faut les désinstaller pour avoir la dernière version !


d'autre part, les antivirus n'aiment pas trop les outils !

olivier70 · Answer

ok. je me suis aperçu que nettoyer correctement le pc nécessitait tout de même quelque connaissance en informatique. J'aimerais savoir si c'est à la porté d'un débutant ? si c'est le cas, aurais tu des conseils ou recommandation à me donner ?

Utilisateur anonyme · Answer

un nettoyage simple, c'est facile, en général, les outils sont programmés pour le faire automatiquement, avec un peu de connaissances  :D

pour un nettoyage poussé, il faut avoir une petite formation  :D

les conseils et recommandations, tu trouveras sur pas mal de forums, à chacun sa sauce  :D

tout dépend sur quel type d'infections peut on tomber et quel outil pourrait le traiter !

olivier70 · Answer

D'accord. en tous cas, un grand merci pour le temps que tu m'a accorder et l'aide précieux que tu m'a apporté.
Sa fait plaisir de savoir que l'on peux compter sur des gens comme toi.

Utilisateur anonyme · Answer

je ne fais que partager ma passion  :D

à toi d'en tirer une leçon  ;D

olivier70 · Answer

Mon antivirus a trouver une menace de niveau moyen :

-Hacktool:Win32/keygen

Utilisateur anonyme · Answer

il a tilté sur tes keygen !

il faut vraiment virer ces keygen et cr@ck de ton pc !

olivier70 · Answer

Ces fichier sont à supprimer manuellement ? car lors du nettoyage de l'antivirus il m'affiche 

Statut : Erreur rencontrer

Security Essentials a rencontré l'erreur suivante : Code d'erreur : 0x800700df. Impossible d'enregistrer le fichier car sa taille dépasse la limite autorisée.

Utilisateur anonyme · Answer

supprime les manuellement, enfin de ce qu'il en reste !


redémarre ton pc et lance un scan de MSE !

olivier70 · Answer

Aucun élément détecter

Utilisateur anonyme · Answer

super,  sur ce, bon surf  ;-)

olivier70 · Answer

Parfait ! Encore une fois, merci beaucoup pour ton aide ! :)

Utilisateur anonyme · Answer

;-)

Virtool:Win32/obfuscator.Xz

49 réponses

Votre réponse

Discussions similaires

Newsletters