url bloqué par avast Résolu/Fermé

Question

Bonjour,
J'ai un probleme depuis hier j'ai un message  tres tres reguliere de Avast qui me signal une url bloqué, dans le repertoire Windows\systeme32\ svchost.exe.

Mon antivirus a trouvé un fichier infecté dans reboot, il en quarantaine.
De plus je ne plus accedé a certains site car certificat révoqué, impossible de telecharger des logiciel, car echec cela ne fonctionne pas? meme en mode sans echec cela ne fonctionne pas.

Malware Bytes ne trouve rien.
Je vous remericie.
Cordialement.

juju666 · Answer

Salut

Passe un coup de Pre_scan et poste le rapport.

Cordialement

pipo63 · Answer

Bonjour,
Quand j'essaye de telecharger, resultat (echec de l'analyse) ceci est valable pour 
tout, meme en mode sans echec.
Merci.
Cordialement.

juju666 · Answer

Tu as un autre pc ou un voisin qui pourrait te télécharger ceci ?
Ainsi tu le lance par clé usb et pose nous le résultat merci

pipo63 · Answer

Bien le bonjour,
J'ai fait comme tu as dis mais je pense que j'ai pas trop compris l'utilisation de pre scan car je n'ai pas de .rapport.
Merci.
Cordialement

juju666 · Answer

Salut,

Regarde à C:\Pre_Scan_Date_Heure.txt

pipo63 · Answer

Bonjour,
J'ai je pense reussi voici deux liens.
Merci.
https://www.cjoint.com/?0Ftmtuyn1n7
https://www.cjoint.com/?0Ftmv0YIoZD

juju666 · Answer

Heuuuuuuuuuuuuuuuuuuuuu

J'ai jamais demandé de rapport AdwCleaner

Je t'ai pas, non plus, demandé un Diag avec Pre_Scan ...

pipo63 · Answer

Effectivement,  mais je  quoi avec pre scan, se serai bien de me le dire, comme je te l'ai dis je ne sais pas m'en servir.

juju666 · Answer

Normalement suffisait de le lancer et son scan démarre tout seul, si tu as eu un menu lors du premier lancement c'est que tu n'as pas terminé ta précédente désinfection, il faut dès lors cliquer sur Scan|Kill 

Si le scan|kill a déjà été réalisé, je répète : le rapport est à C:\Pre_Scan_Date_Heure.txt

pipo63 · Answer

Le voici, peut etre.
https://www.cjoint.com/?0Ftm3v6zb6Q

juju666 · Answer

Aaaaaaaaaah ben oui ça c'est bon :)

On continue :

&#9654 Télécharges ici:  mbar 
&#9654 Décompresses le contenu du dossier vers le bureau.
&#9654 Ouvrir le dossier et exécuter mbar.exe (Sous Vista/7 : exécuter en tant qu'administrateur)
&#9654 La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur.
&#9654 Clic sur Next
&#9654 La nouvelle fenêtre te propose de faire la mise a jour. Clic sur Update et une fois terminé clic sur next
&#9654 Pour lancer l'analyse clic sur scan
&#9654 Cliques sur le bouton Nettoyage (cleanup) pour supprimer toutes les menaces et redémarrer si tu es invité à le faire.
&#9654 Patiente pendant le processus de nettoyage qui peut être long.
&#9654 Lorsque terminé, envois les deux rapports qui se trouvent dans le dossier MBAR : mbar-log.txt et log.txt

juju666 · Answer

Laisse tomber tu as déjà utilisé MBAR hier je vois !!!

&#9654 Télécharge ici :  RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

pipo63 · Answer

Je l'avais deja voici le resultat
https://www.cjoint.com/?0FtnyF8NVbf

juju666 · Answer

Y'a une différence entre Malwarebytes AntiMalware (MBAM) et Malwarebytes AntiRootkit (MBAR).
Que soit, j'ai demandé roguekiller, merci. 
 
Et la prochaine fois évite de balancer des outils au hasard, tu masque les infections, c'est galère maintenant pour s'en sortir et comprendre quelque chose !

pipo63 · Answer

Je connaissais pas le deuxième MBAR
voici le rapport
https://www.cjoint.com/?CFtnZzlAiMw

juju666 · Answer

Ok clique suppression dans roguekiller, poste le rapport

pipo63 · Answer

voici le rapport de suppression
https://www.cjoint.com/?3FtoG7F6OUU

juju666 · Answer

mmmmmmmmmh

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

 C:\Windows\system32\drivers\cdrom.sys.dump

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

pipo63 · Answer

connexion internet  de mon poste  hs du fait de cette saloperie, plutot risquer de mettre ce fichier sur ma clef, a moins d'aller dans un café.

juju666 · Answer

ça craint rien de le mettre sur ta clé, le fichier sera inactif ...

pipo63 · Answer

https://www.virustotal.com/gui/file/8b6f2f9b9c2c4795355c50a952ac94a84eabe5d917e5b84ca09d731927069e69

juju666 · Answer

OK il est bien patché par sirefef

Copie ce texte en gras:

Search::
cdrom.sys 

Relance Pre_Scan, clique sur Script
Une page va s'ouvrir, normalement le texte copié apparait donc ferme la page.
Si le texte n'apparait pas, colle-le, puis fichier -> enregistrer (ET PAS ENREGISTRER SOUS!) 

Pre_Script commence son boulot, colle le rapport dans ta prochaine réponse

pipo63 · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 3.0615 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Administrator : Windows 7 Ultimate (32 bits)

Switchs : http://www.sosvirus.net/tutoriels/switchs-pre-script-t312.html

New restorepoint created

Script : 16:15:10

Boot : Normal  

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤ | End : 16:15:10

juju666 · Answer

Heu t'es sûr que le texte était inscrit dans la page après avoir appuyé sur Script ?

juju666 · Answer

&#9654 Télécharge ici :SEAF.exe de C_XX 

&#9654 Lance-le, une fenêtre va s'ouvrir . 

&#x25CF Tape cdrom.sys dans cette fenêtre  

&#x25CF Dans "[Options des fichiers]", choisis l'option MD5 pour "Calculer le checksum" et coche le bouton radio devant "Informations supplémentaires" 

&#x25CF Dans "[Options du registre]", ne coche rien

&#9654 Clique sur "Lancer la rechercher" 
Patiente pendant la recherche. 
Une fenêtre avec un log.txt va s'afficher. 
&#9654 Copie/colle ce rapport dans ta prochaine réponse.

juju666 · Answer

heu ... refais roguekiller en scan pour voir ? 
 
 .::. Contributeur Sécurité .::.

juju666 · Answer

scrogneugneu ... :p

on va vérifier s'il est vraiment patché ou si roguekiller disjoncte.
parce que sur le rapport de SEAF il a l'air clean ... !

&#9654 Télécharge ici : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau 

Désactive toutes tes protections le temps du scan de gMer ! 

Double clique sur gmer.exe si tu es sur Windows XP, si tu es sous Vista ou Seven il faut le lancer en clic droit => exécuter en tant qu'administrateur. 

&#9654 Dans GMER, développe les onglets avec ">>>" ( illustration ) 

&#9654 Rends-toi à Files, développe C:\Windows\System32\drivers et tu mets en surbrillance cdrom.sys  puis clique sur Copy, il va te demander où tu veux l'enregistrer et sous quel nom. Indique "testcdrom.sys" (avec les guillemets) et enregistre-le sur ton bureau. ( Illustration )  

&#9654 Envoie testcdrom.sys sur https://www.virustotal.com/gui/ 
Si un message te dit que le fichier à déjà été analysé, ré-analyse le 
Copie-colle l'url affichée dans la barre d'adresse de ton navigateur dans ta réponse.

juju666 · Answer

le bougre, il ne se laisse pas faire ...

on va essayer avec tdsskiller sinon on le fera "à la main".

&#9654 Télécharge et lance TDSSKiller.

&#9654 Clique sur Change parameters
&#x25CF Cocher la case Loaded modules. Le message Reboot is required s'affiche.
&#x25CF Il faut le valider en cliquant sur Reboot now.
&#x25CF Le système redémarre. Au redémarrage, valider la demande "Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs)".
&#x25CF L'outil TDSSKiller se relance.

&#9654 Cliquer de nouveau sur Change parameters.
&#x25CF Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
&#x25CF Valider par OK 

&#9654 Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.

&#x25CF Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
&#x25CF Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
&#x25CF Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
&#x25CF Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
&#x25CF Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
&#x25CF Si TDSS File System est détecté, sélectionner l'option Delete
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut. 

&#9654 Si l'outil te le demande, redémarre pour finir le nettoyage.

&#9654 Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.

&#9654 Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.

juju666 · Answer

Toujours pas ... 

On sort l'artillerie lourde :

&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


Clic droit "executer en tant que...." sur combofix renommé pour le lancer

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

pipo63 · Answer

Par contre ma connexion n'est pas revenu
https://forums-fec.be/upload/www/?a=d&i=5150939115

juju666 · Answer

Re,

Redémarre à nouveau, et refais un scan RogueKiller

juju666 · Answer

Je pige plus là.

Vire le testcdrom.sys qu'il y a sur ton bureau, et refais ça : https://forums.commentcamarche.net/forum/affich-28045533-url-bloque-par-avast?page=2#32

juju666 · Answer

Re,

Ouais bah encore plus bizarre que fichier dans system32\drivers soit détecté et pas son dump ! 

Enfin d'après roguekiller ça serait ok ... ?!
Et combofix ne semble pas broncher !

Tu as encore des symptômes ?

pipo63 · Answer

Bonjour,
Je n'arrive plus à me connecter à internet et il y a pas mal d'erreur systeme dans windows, par contre plus aucune alarme intempestive de AVAST.
Qu'en pense tu? suis je clean? faut il reparer windows et comment.?
Que me conseil tu comme logiciel pour l'avenir pour eviter si possible un tel desagrement.
Je te remercie

juju666 · Answer

Extrait du tuto de ComboFix : 

Réparer manuellement la connexion Internet

Si, par malchance, vous n'avez plus accès à votre connexion Internet après avoir fait tourner ComboFix, la première chose à essayer est de faire redémarrer votre ordinateur. Cette seule manip devrait corriger la grande majorité des problèmes de non-connexion à Internet après l'utilisation de ComboFix. Si vous n'avez toujours pas de connexion Internet après avoir redémarré, exécutez les étapes suivantes:

    Cliquez sur le bouton Démarrer.
    Cliquez sur l'option de menu Paramètres.
    Cliquez sur l'option Panneau de configuration.
    Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau. Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.
    Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.
    Vous verrez alors un menu similaire à celui de l'image ci-dessous. Cliquez simplement sur l'option de menu Réparer.

    Laissez le processus de réparation se dérouler, et lorsqu'il a terminé, votre connexion Internet devrait être de nouveau opérationnelle.

Sinon, si une icône de votre réseau apparaît aussi dans la barre des tâches Windows, vous pouvez la réparer en faisant un clic droit sur l'icône et en choisissant Réparer comme le montre l'image ci-dessous:

https://www.bleepstatic.com/combofix/fr/tray-repair-fr.png

pipo63 · Answer

sa ne fonctionne pas, aucun réseau trouvé, mais j'avais pas de connexion avant le passage de combo fix.

juju666 · Answer

Bon on va faire un diagnostic y'a sûrement autre chose qui traine toujours sur ta machine.

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections : 

&#9654 Télécharge ici :OTL

&#9654 Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

&#9654 Clique ici pour voir la configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%LocalAppData%\*
%LocalAppData%\*. 
%SYSTEMDRIVE%\*.*
/md5start
cdrom.sys
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig 
netsvcs 
BASESERVICES
safebootminimal
safebootnetwork 
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C 

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange  

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

pipo63 · Answer

https://forums-fec.be/upload/www/?a=d&i=7609625454
https://forums-fec.be/upload/www/?a=d&i=4213731605

juju666 · Answer

Y'a plus de malware actif sur ta machine (en même temps vu le nombre d'outils passés ^^)
J'espère que tu feras gaffe à l'avenir.

Pour ta connexion internet c'est en wifi ou en ethernet ?

juju666 · Answer

mets ton adresse ipv4 en auto et pas avec une IP :

Url bloqué par avast

40 réponses

Discussions similaires