Pc infecté: virtool:win32/obfuscator.XZ

TheJilano Messages postés 8 Statut Membre -  
TheJilano Messages postés 8 Statut Membre -
Bonjour,

Depuis quelque jour mon pc rame au bout d'une heure d'utilisation. J'ai donc lancé une analyse complète de mon système avec mon antivirus Microsoft Security Essentials et il a détecté trois logiciel malveillants:
-virtool:win32/obfuscator.XZ
-trojan:win32/urausy.C
-Hacktool:win32/keygen

Et évidemment impossible de les supprimer ni de les mettre en quarantaine avec Microsoft security...

J'ai écumé les sites et forums à la recherche d'un programme miracle pour tout éliminer mais à part me débarrasser quelques malwares pas trop malveillant je n'ai pas vraiment progresser dans le nettoyage de mon pc

voici le rapport ZHP diag de mon pc: https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131017_r1312n10j7k5

merci d'avance à ceux qui voudront bien m'aider, je continue les recherches de mon coté sur internet ^^'

13 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    [*] Télécharger sur le bureau RogueKiller (by tigzy) (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+

    1
  2. Utilisateur anonyme
     
    Re

    1)Tu commences par passer à l'option suppression de RogueKiller .
    tu postes son rapport ensuite.

    2)Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Scanner] puis patiente le temps du scan.
    Une fois le scan terminé clique sur le bouton [Nettoyer]
    Patiente durant le nettoyage. Lis le message qui apparaît, puis clique sur Ok . Le PC va être redémarré automatiquement et le rapport s'ouvrira à la fin du redémarrage.
    Poste le rapport

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    A lire :
    Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
    Les programmes potentiellement indésirables :
    https://forum.malekal.com/viewtopic.php?t=33776&start=
    https://www.malekal.com/adwares-pup-protection/

    @+

    1
  3. Utilisateur anonyme
     
    Bonjour

    Télécharge Malwaresbytes anti malware ici
    https://www.malwarebytes.com/

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+

    1
  4. TheJilano Messages postés 8 Statut Membre
     
    merci de m'aider (surtout aussi vite ^^)
    voici le rapport de roguekiller:

    RogueKiller V8.7.4 _x64_ [Oct 16 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.adlice.com/forum/
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Demarrage : Mode normal
    Utilisateur : gamer [Droits d'admin]
    Mode : Recherche -- Date : 10/17/2013 00:52:43
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 8 ¤¤¤
    [HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
    [HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
    [HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ DESK][PUM] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK][PUM] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

    ¤¤¤ Tâches planifiées : 0 ¤¤¤

    ¤¤¤ Entrées Startup : 0 ¤¤¤

    ¤¤¤ Navigateurs web : 0 ¤¤¤

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

    ¤¤¤ Ruches Externes: ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> %SystemRoot%\System32\drivers\etc\hosts

    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    127.0.0.1 100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - ST1000DM003-9YN162 +++++
    --- User ---
    [MBR] 4a7827f7680322fc9e5095b5d18eb02a
    [BSP] ca5c8f839826e286b6c31d136280cfbf : Windows 7/8 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953767 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[0]_S_10172013_005243.txt >>

    Plusieurs "PUM" sont detectés. je tente de les supprimer avec rogue killer?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. TheJilano Messages postés 8 Statut Membre
     
    voici le rapport:

    # AdwCleaner v3.008 - Rapport créé le 17/10/2013 à 01:09:48
    # Mis à jour le 17/10/2013 par Xplode
    # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
    # Nom d'utilisateur : gamer - GAMER-PC
    # Exécuté depuis : C:\Users\gamer\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CPHS3KQJ\adwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:\Program Files (x86)\BonanzaDeals
    Dossier Supprimé : C:\Users\gamer\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn
    Dossier Supprimé : C:\Users\gamer\AppData\Local\Google\Chrome\User Data\Default\Extensions\licjnkifamhpbaefhdpacpmihicfbomb
    Dossier Supprimé : C:\Users\gamer\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    ***** [ Navigateurs ] *****

    -\\ Internet Explorer v10.0.9200.16720

    -\\ Google Chrome v30.0.1599.101

    [ Fichier : C:\Users\gamer\AppData\Local\Google\Chrome\User Data\Default\preferences ]

    *************************

    AdwCleaner[R0].txt - [11846 octets] - [15/10/2013 22:53:32]
    AdwCleaner[R1].txt - [1414 octets] - [17/10/2013 01:08:42]
    AdwCleaner[S0].txt - [11049 octets] - [15/10/2013 22:56:29]
    AdwCleaner[S1].txt - [1341 octets] - [17/10/2013 01:09:48]

    ########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1401 octets] ##########

    je prie pour que le problème soir réglé mais j'avais déjà essayé adwcleaner dans mes tentatives précédentes et le virus avait été redétecté par Microsoft Security :/
    0
  7. TheJilano Messages postés 8 Statut Membre
     
    voici le rapport de malwerbytes:

    Malwarebytes Anti-Malware (Essai) 1.65.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.10.16.13

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    gamer :: GAMER-PC [administrateur]

    Protection: Activé

    16/10/2012 21:39:25
    mbam-log-2012-10-16 (21-39-25).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 215220
    Temps écoulé: 2 minute(s), 12 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 2
    HKLM\SOFTWARE\Boxore (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
    HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{006E6A46-8D55-4F10-BBA8-2C9653B4278B} (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{006E6A46-8D55-4F10-BBA8-2C9653B4278B}|Publisher (Adware.Boxore) -> Données: Boxore OU. -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    J'ai relancé une analyse avec microsft et malware (Je possédais déjà malwerebytes et ça avait pas marché non mais qui sais ^^) j'attend le resultat

    L'analyse complète de malwarebytes avait détecté des PUP venant de adw cleaner est 'ce normal? il n'était pas coché automatiquement je ne les ai donc pas supprimés
    0
  8. Utilisateur anonyme
     
    Bonsoir

    Tu ne disposes pas de la dernière version de malwaresbytes >>>1.75

    @+
    0
  9. TheJilano Messages postés 8 Statut Membre
     
    Bonsoir et merci de m'avoir prévenu

    J'ail lancé la mise à jour malwerbytes et je vais relancer une analyse complète je vous tient informé du résultat.

    En parallèle je voulais vous demandez si vous sauriez comment éliminer ces fenêtres qui apparaissent dès que je lance certains logiciels

    https://www.cjoint.com/?CJrwaFlMn9j

    elles apparaissent depuis hier. Je ne sais pas comment je les ai activée mais c'est horrible j'ai l'impression d'être de nouveau sous vista ^^'
    0
    1. Utilisateur anonyme
       
      Dans l'attente de ton rapport de Malwaresbytes
      0
  10. TheJilano Messages postés 8 Statut Membre
     
    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.10.17.07

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 10.0.9200.16721
    gamer :: GAMER-PC [administrateur]

    17/10/2013 21:49:59
    MBAM-log-2013-10-17 (23-02-17).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 445283
    Temps écoulé: 1 heure(s), 10 minute(s), 59 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 32
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Communicator\mgcommon.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Communicator\mgcommunication.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Communicator\mgsimcommon.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Communicator\mgxml_wrapper.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Communicator\SweetPacksUpdateManager.exe.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Communicator\resources\sqlite\mgSqlite3.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\ContentPackagesActivationHandler.exe.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgAdaptersProxy.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgArchive.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgcommon.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgcommunication.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgconfig.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgFlashPlayer.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mghooking.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgICQAuto.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgICQMessengerAdapter.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mglogger.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgMediaPlayer.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgMsnAuto.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgMsnMessengerAdapter.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgsimcommon.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgSweetIM.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgUpdateSupport.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgxml_wrapper.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgYahooAuto.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\mgYahooMessengerAdapter.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\SweetIM.exe.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Program Files (x86)\SweetIM\Messenger\resources\sqlite\mgSqlite3.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Users\gamer\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn\1.1.0.1_0\mgHelperGCFB.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Users\gamer\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj\1.1.0.1_0\mgHelperGC.dll.vir (PUP.Optional.SweetIM) -> Aucune action effectuée.
    C:\AdwCleaner\Quarantine\C\Windows\SysWOW64\jmdp\lmrn.dll.vir (PUP.Optional.Sweetpacks) -> Aucune action effectuée.
    C:\Users\gamer\AppData\Local\Temp\B0FD1807-BAB0-7891-8B80-DB33F81CD9F5\Latest\MyDokoTB.exe (PUP.Optional.DokoToolbar.A) -> Aucune action effectuée.

    (fin)
    0
  11. Utilisateur anonyme
     
    Re

    Tu as bien supprimé tout cela?

    @+
    0
  12. TheJilano Messages postés 8 Statut Membre
     
    j'ai supprimé tout les éléments présélectionné et j'attends toujours que vous me disiez si je dois supprimer les autres qui viennent d'adwcleaner
    0
  13. Utilisateur anonyme
     
    Re

    1)
    Tu vides la quarantaine de Malwaresbytes

    2) Télécharge DelFix de Xplode

    Lance le.
    Tu as 5 choix :

    Réactiver l'UAC
    Supprimer les outils de désinfection (cocher par défaut)
    Effectuer une sauvegarde du registre
    Purger la restauration de système
    Réinitialisation des paramètres usine

    Tu coches ceux qui sont en gras
    et tu exécutes
    Le rapport se trouve ici généralement
    C:\DelFix.txt

    3) Met à jour ton antivirus et lance une nouvelle analyse
    Merci

    Tiens moi informé

    @+
    0
  14. TheJilano Messages postés 8 Statut Membre
     
    Rapport de delfix:

    # DelFix v10.5 - Rapport créé le 18/10/2013 à 00:16:48
    # Mis à jour le 17/10/2013 par Xplode
    # Nom d'utilisateur : gamer - GAMER-PC
    # Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)

    ~ Suppression des outils de désinfection ...

    Supprimé : C:\AdwCleaner
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    Supprimé : C:\Users\gamer\Desktop\RK_Quarantine
    Supprimé : C:\Program Files (x86)\ZHPDiag
    Supprimé : C:\Users\gamer\Desktop\RKreport[0]_D_10172013_010706.txt
    Supprimé : C:\Users\gamer\Desktop\RKreport[0]_S_10172013_005243.txt
    Supprimé : C:\Users\gamer\Desktop\RKreport[0]_S_10172013_010818.txt
    Supprimée : HKLM\SOFTWARE\AdwCleaner
    Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ########## - EOF - ##########

    Merci de votre aide je relance une mise à jour pour vérifier si tout à bien été éliminé
    0