Virus Microsoft® Resource File To COFF Object Conversion Utility Résolu/Fermé

Question

Bonjour depuis aujourd'hui un virus infeste mon ordi. Il me semble que c'est un RAT car dans mon gestionnaire des taches : Microsoft® Resource File To COFF Object Conversion Utility utilise entre 79% et 80% de mon processeur. 
Je vous transmet une analyse ZHPDiag : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131228_o7b13c10g6t11
J'attend des réponses de votre part le plus rapidement possible je l'espère.
Merci d'avance

kingk06 · Answer

bonjour,

Tu as des adwares fais ce qui suit, dans l'ordre fais déjà ça !

 1)Télécharge ==> AdwCleaner (de Xplode) sur ton bureau 
 
Double-clique sur l'icône présente sur ton bureau pour le lancer (Vista/7/8 --> Clic droit et "Exécuter en tant qu'administrateur")
Clique sur le bouton "Scanner"

Lorsque l'analyse est terminée, il est indiqué "En attente. Veuillez décocher les éléments...." au dessus de la barre de progression
Clique sur le bouton Nettoyer

Accepte le message de fermeture des applications

Valide, après lecture, la fenêtre d'information sur les PUP/LPI
Accepte le message de redémarrage

Patiente durant la suppression
Le PC va redémarrer et un rapport s'ouvrira automatiquement dans le bloc-notes après redémarrage Copie/colle son contenu dans ta prochaine réponse

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 

___________________________________________________________>>>

On va utiliser un outil en complément à Adwcleaner:

==> 2) Télécharge ici ==>Junkware Removal Tool

si ça marche pas lien direct ici => http://thisisudax.org/downloads/JRT.exe 

==> (ne clique pas sur télécharger, le téléchargement va débuter automatiquement) 

==> Enregistre-le sur ton bureau.

==> Ferme toutes les applications en cours.

==> Ouvre JRT.exe et appuie sur Entrée : si tu es sous Windows Vista, 7 ou 8, ouvre-le en faisant : clic droit => Exécuter en tant qu'administrateur.

==> Patiente le temps que l'outil travaille : le bureau va disparaître quelques instants, c'est tout à fait normal.

-> À la fin de l'analyse, un rapport nommé JRT.txt va s'ouvrir. Héberge-le comme ceci http://www.forum-entraide-informatique.com/support/cjoint-com-tutoriel-t2939.html et poste le lien obtenu dans ta prochaine réponse.si le premier lien ne marche pas ici => http://pjjoint.malekal.com/ 

==>Tutoriel :=> ICI JRT   

 ==> Aide JRT ici <==

4WarPigs5 · Answer

Impossible d'installer adwcleaner, rien ne se lance... :/

kingk06 · Answer

Désactives smartscreen => https://forums.commentcamarche.net/forum/affich-37641559-desactiver-le-smartscreen-sous-windows

4WarPigs5 · Answer

Rien a changer, en faite je le voit dans le gestionnaire des taches mais aucune fenêtre est ouverte pour faire l'installation.

kingk06 · Answer

essais de télécharge ceci pour voire =>

 => Note Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge. 

=> Télécharge sur le bureau  => RogueKiller 

=> Quitte tous tes programmes en cours.

=> Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur

=> Sinon lance simplement RogueKiller.exe

NOTE: Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe 

=> Patiente pendant le pre-scan, puis clique sur le bouton Scan

=> Un rapport RKreport.txt a du se créer sur le bureau, poste-le.

=> Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

4WarPigs5 · Answer

Je n'arrive même pas à télécharger RogueKiller ça commence vraiment à m'énerver !

4WarPigs5 · Answer

ADWCleaner viens de se lancer enfin je fais un scan et je te redis sa

kingk06 · Answer

pas de panique tu est infecté par zeroaccess 

A transférer par clef USB :


A transférer par clef USB depuis un autre PC, tu ne vas pouvoir rien télécharger sur ton PC à cause de ZeroAccess :

Télécharge RogueKiller : https://forum.malekal.com/viewtopic.php?t=29444&start=
Lance le scan.
Une fois le scan terminé, clic sur suppression à droite (il devrait détecter ZeroAccess).
Donne le rapport de suppression.
Redémarre le PC, les téléchargements devraient être possibles. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!! 
 
Allez jusqu'au bout de votre désinfection, même si vous notez une amélioration après les premiers outils passés Joyeux Noël !

4WarPigs5 · Answer

Je suis entrain de faire un scan avec roguekiller je te transmet le rapport à la fin du scan.

4WarPigs5 · Answer

https://pjjoint.malekal.com/files.php?id=20131228_g14e13j14k6z9 voila après la suppression des problèmes trouver

kingk06 · Answer

ok super  fais ceci =>  Tutoriel TDSS Killer (Kaspersky Labs)
 
Allez jusqu'au bout de votre désinfection, même si vous notez une amélioration après les premiers outils passés Joyeux Noël !

4WarPigs5 · Answer

https://pjjoint.malekal.com/files.php?id=20131228_w9f12k9i9t8

kingk06 · Answer

ok ce bon de ce côté là  

fais le reste ici => https://forums.commentcamarche.net/forum/affich-29383047-virus-microsoft-r-resource-file-to-coff-object-conversion-utility#1

4WarPigs5 · Answer

Je n'arrive pas a ouvrir JRT

kingk06 · Answer

tu a fais le scan avec  AdwCleaner (de Xplode) si oui poste le rapport stp 
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 
 
Allez jusqu'au bout de votre désinfection, même si vous notez une amélioration après les premiers outils passés Joyeux Noël !

Utilisateur anonyme · Answer

Up !

kingk06 · Answer

Pas tant que ça !

4WarPigs5 · Answer

Tiens https://pjjoint.malekal.com/files.php?id=20131228_x13p712z11v5

4WarPigs5 · Answer

Pour JRT sa me met : Error during execution ""C:\Users\Antoine\AppDta\Local\Temp\jrt\get.bat""".
Le fichier spécifié est introuvable

kingk06 · Answer

Ensuite Fais ceci ==> 3)Télécharge =>> Malwarebytes'Antimalwares Procèdes à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware PRO" La mise à jour du programme va se faire directement ; si ce n'est pas le cas, clique sur Recherche de mises à jour ***Attention le scan peut durer assez longtemps environ 2h voire plus...*** =>Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.<= => Fais une analyse complète en cliquant sur Exécuter un examen complet Sélectionne les lecteurs à analyser et clique sur Lancer l'examen L'analyse peut durer un certain temps Lorsque l'analyse est terminée, => clique sur OK puis sur Afficher les résultats ***/!\"IMPORTANT "Assure-toi que tout est coché et clique sur "Supprimer"la sélection puis sur "OK"/!\*** Le bloc-note va s'ouvrir qui contiendra un rapport Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse /!\ Il est possible que certains fichiers devront être supprimés au redémarrage du PC. Il faut le faire en cliquant sur Oui à la question posée pour retrouver le rapport ouvre MBAM +> onglet rapports/logs l Le dernier en date => image ICI==> onglet rapports/logs =>Si tu as besoin d'aide regarde ce tutoriel ==>ICI tutoriel<== ou là==> malware-tutoriel<== (Garde Malwarebytes sur ton PC pour des scans réguliers de temps en temps)

4WarPigs5 · Answer

Il me met : Run time error'13 : Type mismatch 
Y'a rien qui marche x)

Utilisateur anonyme · Answer

laisse tomber tout ça !



je prends la suite  :D

est ce que tu peux me faire passer un nouveau rapport de Zhpdiag s'il te plait ?

4WarPigs5 · Answer

Voilà : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131228_g7p15f8g12h14

Utilisateur anonyme · Answer

attention, uTorrent tourne sur ton pc !

tu as du chopé l'infection par là !

installe la dernière version de java et adobe reader depuis leurs sites dédiés !

attention à l'installation des barres d'outils !






* /!\ Avertissement /!\, 
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage ! 

* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » 

Clique sur « importer » 

Tu vas voir apparaitre un message d'avertissement, clique sur Ok. 


* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix : 
--------------------------------------------------------- 

Script Zhpfix
[HKLM\Software\Google\Chrome\Extensions\dbpebffoameokfhnaaedmefjncfboino] 
[HKCU\Software\DC3_FEXEC]  
[HKLM\Software\Wow6432Node\SweetIM]   
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011221158}]   
C:\Users\Antoine\AppData\Local\Google\Chrome\User Data\Default\Extensions\dbpebffoameokfhnaaedmefjncfboino   
C:\ProgramData\FileDownloader   
C:\ProgramData\InstallMate   
[HKCU\Software\iVIDI Plugin] 
C:\Users\Antoine\Downloads\cacaoweb.exe   
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] Load: Modified    
[MD5.6FA7330ECC34171EA2920F6F1D3CCB15] - (.Microsoft Corporation - Microsoft® Resource File To COFF Object Con.) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe   [32856] [PID.1868]    
G2 - GCE: Preference [User Data\Default] [dbpebffoameokfhnaaedmefjncfboino] SecretSauce v.1.0.0 (Désactivé) 
[HKCU\Software\DC3_FEXEC] 
[HKCU\Software\iVIDI Plugin] 
[HKLM\Software\Wow6432Node\SweetIM] 
O43 - CFD: 28/01/2012 - 11:23:06 - [0,735] ----D C:\ProgramData\FileDownloader 
O43 - CFD: 05/11/2013 - 17:31:06 - [1,901] ----D C:\ProgramData\InstallMate 
O43 - CFD: 23/03/2012 - 18:19:09 - [1,115] ----D C:\Users\Antoine\AppData\Roaming\WinDir    
O69 - SBI: SearchScopes [HKCU] {11A9F7EE-5F39-3EE6-AD87-1044C194EB97} - (Mysearchdial) - http://start.mysearchdial.com 
Firewallraz
ShortcutFix 
Emptytemp 
EmptyClsid 




---------------------------------------------------------- 
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- confirme le nettoyage 
- Héberge le rapport ZHPFIX.txt sur 
https://up2sha.re/ 
, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 




Tuto en bas de cette page : 
http://nicolascoolman.webs.com/tutorials.htm

4WarPigs5 · Answer

https://up2sha.re/file?f=0kIs9tlRE15K

Utilisateur anonyme · Answer

* Rends-toi sur cette page :
https://www.virustotal.com/gui/
* Clique sur  "choisir un fichier"
* Vas sur ton disque chercher ce fichier à cet emplacement :

C:\WINDOWS\autoclk.exe


un rapport va s'élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.






 
 
O.o°*Membre, Staff sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø

4WarPigs5 · Answer

https://www.virustotal.com/gui/file/68e28a9070b44dbc7966c22a436329d24b39e97e8a74c05ccae7a2d97dce1795

Utilisateur anonyme · Answer

super,

redémarre le pc pour voir s'il fonctionne normalement !

4WarPigs5 · Answer

Le virus est encore la... :(

4WarPigs5 · Answer

Impossible de remettre mon Windows Defender aussi :/ le virus l'a bloqué

Utilisateur anonyme · Answer

remets moi un nouveau rapport de Zhpdiag pour voir !

4WarPigs5 · Answer

https://up2sha.re/file?f=xtIiGDOwnjs2

Utilisateur anonyme · Answer

je le vois !

relance Rogeukiller en mode recherche pour voir s'il trouve la clé de registre qui le relance !


poste son rapport

4WarPigs5 · Answer

Voilà : https://up2sha.re/file?f=3Bc06mL7eEgc

Utilisateur anonyme · Answer

on va essayer de le chasser !



suis ces étapes :


1/


* /!\ Avertissement /!\, 
* ce script est seulement valable pour ce pc, en cours du nettoyage, à ne pas utiliser sur un autre pc, risque de plantage ! 

* Lance ZHPFix via le raccourci sur ton Bureau, l'icône est sous forme de seringue. 

/!\Utilisateur de Vista, Seven et W8 : 

* Clique droit sur le logo de ZHPfix, « exécuter en tant qu'Administrateur » 

Clique sur « importer » 

Tu vas voir apparaitre un message d'avertissement, clique sur Ok. 


* * Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans la fenêtre de Zhpfix : 
--------------------------------------------------------- 

Script Zhpfix
[HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] Load: Modified    
[MD5.6FA7330ECC34171EA2920F6F1D3CCB15] - (.Microsoft Corporation - Microsoft® Resource File To COFF Object Con.) -- C:\Windows\Microsoft.NET\Framework\v2.0.50727\cvtres.exe   [32856] [PID.1780]    
Emptytemp 
EmptyClsid 




---------------------------------------------------------- 
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- confirme le nettoyage 
- Héberge le rapport ZHPFIX.txt sur 
https://up2sha.re/ 
, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum. 




Tuto en bas de cette page : 
http://nicolascoolman.webs.com/tutorials.htm

 

2/



Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://fr.malwarebytes.com/mwb-download/
ou :

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger ! 


/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

4WarPigs5 · Answer

Tiens pour Zhpfix : https://up2sha.re/file?f=E5VkS4qMmAgY

Utilisateur anonyme · Answer

ok, on verra s'il survit à tout ça !

4WarPigs5 · Answer

Bah la je fais le scan MalwareBytes mais sa risque d'être très long x) je te  retiens au courant des résultats :)

Utilisateur anonyme · Answer

ok  :D

4WarPigs5 · Answer

MBAM : https://up2sha.re/file?f=5BAPeCkIJ1Nm
ZHPDiag : https://up2sha.re/file?f=4fESEIonjM85
Le problème persiste toujours --'

Utilisateur anonyme · Answer

il y a pas mal de fichiers système patchés !

cette infection arrive par les réseaux sociaux, donc on va essayer de le virer autrement !


* Télécharge USBFIX sur ton bureau (De El Desaparecido)



 http://general-changelog-team.fr/fr/downloads/viewdownload/15-outils-de-el-desaparecido/79-usbfix




/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton : 
« Recherche » 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 
- puis clique sur OK 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\UsbFix [Scan 1] NOM-************.txt 
Note : A la fin de l'option nettoyage, il est recommandé de redémarrer le pc
 
 
O.o°*Membre, Staff sécurité CCM o°.Oø¤º°'°º¤ø
=>>Réspire à fond, Rédige ton message en bon français et de manière claire. Cà va bien se passer, tu verras, enfin on essaie !!! o°Oø

4WarPigs5 · Answer

Voilà le résultat : https://up2sha.re/file?f=iPm0J43zeT32

4WarPigs5 · Answer

J'ai redémarrer mon pc et le virus est encore la :(

Utilisateur anonyme · Answer

relance usbfix,

clique sur suppression poste son rapport et redémarre le pc !

4WarPigs5 · Answer

Mon virus est TrustedInstaller, c'est un virus qui s'accapare à 100% le processeur

Utilisateur anonyme · Answer

à mon avis, ton antivirus, ainsi que certains programmes sont morts, on verra ça après !

as tu passé usbfix en mode suppression ?

4WarPigs5 · Answer

https://up2sha.re/file?f=RWtyoH0Ozdko tiens

Utilisateur anonyme · Answer

redémarre le pc pour voir cette fois ci !

Virus Microsoft® Resource File To COFF Object Conversion Utility

48 réponses

Discussions similaires