Infecté par Packed.Generic.202 sur portable

Question

Bonjour,
Je viens de détecter un virus sur mon PC portable : le Packed.Generic.202 fichier : C\WINDOWS\system 32\yayxvSLe.dll. Je possède une Live box avec wi-fi. Je suis vraiment novice en informatique, merci beaucoup de m'indiquer la procédure à suivre pour éliminer ce virus en permanence inscrit sur mon ordinateur.

neor · Answer

bonjour,

Télécharge HijackThis (outils de dignostic) ici :

-> Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
-> ftp://ftp.commentcamarche.com/download/HJTInstall.exe

-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

-> Clique sur Install ensuite sur I Accept

-> Clique sur Do a scan system and save log file

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

Dunly · Answer

Merci à Néor pour toutes ces indications mais par contre, j'ai du lancé un téléchargement. Je n'ose pas ouvrir le fichier dans le téléchargement, que me conseillez-vous? Est ce que le fait de le télécharger ou de l'ouvrir va l'installer ? N'étant pas allée plus loin dans la procédure, je n'ai pas trouvé Do a scan system and save log file.
Merci de votre réponse.

neor · Answer

il faut l'executer pour faire un scan

neor · Answer

--------------recherche----------------------

Télécharge Navilog1 sur ton bureau :

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

!! Déconnecte toi,désactive tes défenses( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe !!

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valide .
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***

Appuie sur une touche comme demandé, le bloc-note va s'ouvrir.
Copie-colle l'intégralité de son contenu dans ta prochaine réponse et attends la suite .

(Le rapport est en outre sauvegardé à la racine du disque "C\:fixnavi.txt" )

TUTO (aide) : http://www.malekal.com/Adware.Magic_Control.php#mozTocId595901

Lyonnais92 · Answer

Bonjour,

il n'y a pas un signe d'une infection par navipromo.

Passer navilog est inutile.

Fais ceci à la place :

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://download.cnet.com/Malwarebytes/3000-8022_4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet"  est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Lyonnais92 · Answer

Re,

comme je l'avais prévu, il ny a rien dans le rapport de navilog.

Tu fais ce que j'ai demandé au post 6

Lyonnais92 · Answer

Re,

OK,

tu cliques sur Download Now (vers le haut et vers la gauche).

Tu ignores le panneau suivant.

Tu cliques sur Enregistrer sur le pop-up qui va apparaître.

neor · Answer

tu ne l'a pas dans ajout suppr de programmes?

neor · Answer

clic sur Démarrer
panneau de configuration
ajout supr de programme

Lyonnais92 · Answer

Re,

double clic sur l'icone de MALWAREBYTES ANTI MALWARE

clic sur rapports/logs

clic sur le dernier pour le mettre en surbrillance

cmic sur ouvrir

dans la fenêtre qui s'ouvre clic sur Edition puis sélectionner tout.

appuye en même temps sur Ctrl et C

ouvre une réponse

appuye en même temps sur Ctrl et V

Envoye ta réponse en cliquant sur Ajouter.

Lyonnais92 · Answer

Bonjour,

Ouvre le gestionnaire des tâches (Ctrl, Alt, Suppr), clique sur Processus.

Cherche fxstaller.exe, fais un clic droit et "Terminer le processus".

Confirme quand on te prévient du risque.

=========
Relance HijackThis.

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe
O4 - HKLM\..\Run: [a455b989] rundll32.exe "C:\WINDOWS\system32\ftassdol.dll",b

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.
===============

Ouvre l'explorateur Windows, cherche 

C:_windows\fxstaller.exe fait un clic droit et supprimer

===============

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS\system32\ftassdol.dll
Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Lyonnais92 · Answer

Re,

saute cette étape.

Lyonnais92 · Answer

Re,

continue toujours.

Si les autres étapes ne donnent rien, poursuis.

A la fin, fais redémarrer l'ordi et remets un rapport Hijackthis.

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi et remets un rapport Hijackthis, qu'on voie où on en est.

Lyonnais92 · Answer

Re,

un fichier à contrôler :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\Program Files\adidas OM Widget\adidas OM Widget.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

Lyonnais92 · Answer

Re,

1) relance MBAM, mets le a jour et fais un scan rapide.

2) Fais redémarrer l'ordi.

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt 

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Lyonnais92 · Answer

Bonjour,

connais tu C:\WINDOWS	asks\zhvrzhyb.job ?

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier : C:\WINDOWS	asks\zhvrzhyb.job 

Clique sur Envoyer.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant 

==============

tu fais la même chose avec :
 
C:rrreet.exe 

===============

Ouvre l'explorateur Windows.

Cherche C:\WINDOWS	asks\zhvrzhyb.job 

Fais un clic droit et choisis Renommer.

Donne lui le nom de C:\WINDOWS	asks\zhvrzhyb.job.vir

Lyonnais92 · Answer

Re,

tu ne fais pas de double clic sur C:\WINDOWS	asks\zhvrzhyb.job 

fais ça et recommence (Virus Total et renommer):


=======================================
->Affiche tous les fichiers et dossiers :
clique sur démarrer/panneau de configuration (en affichage classique)/option des dossiers/affichage

[Coche] « afficher les dossiers et fichiers cachés »

[Décoche] la case « Masquer les fichiers protégés du système d'exploitation (recommandé) »

[Décoche] « masquer les extensions dont le type est connu »

Puis fais [appliquer] pour valider les changements.

Et [Ok]
.

=======================================

Lyonnais92 · Answer

Re,

Ou vre l'explorateur Windows, clique sur Outils.

Si tu as Options d'affichage, tu fais comme demandé.

Si tu n'as pas, tu dis.

Rien n'est sorti de Virus total ? 0 infecté sur 36 ou pas de rapport ?

Copie le rapport, il a des indications utiles pour moi.

Lyonnais92 · Answer

Re,

grave, peut être pas mais ça me gêne.

Renomme le de nouveau en job.vir.

La différence : vir.job va s'exécuter. je en sais pas quand ni dans quelles conditiosn mais il devrait le faire. Job.vir ne devrait pas.

Parce que, il n'est pas infecté, mais je ne sais pas ce qu'il fait. Ne cherche pas à savoir en l'exécutant.

=============

il y avait aussi ce fichier à analyser sur Virus Total (post 38) :

C:\rrrreet.exe 

 --
@+
Faites ce que l'on vous demande, ni plus, ni moins.
Ne créez pas de doublons, ni sur CCM ni sur un autre site. Merci

Lyonnais92 · Answer

Re,

alors on accélère.

1) tu scannes le fichier C:\rrrreet.exe sur Virus Total et tu postyes le rapport.

2) Tu cherches le fichier zhvrzhyb.vir.job par l'Explorateur, clic droit et Supprimer.

Si ça ne fonctionne pas, tu dis.

3) Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Ne le lance pas. 

3) Tu remets un rapport RSIT.

Dunly · Answer

Rapport RSIT.EXE
 et je t'adresse rrrset.exe dans un autre message car j'ai des problèmes avec ma messagerie. Merci

Logfile of random's system information tool 1.04 (written by random/random)
Run by guy at 2008-12-04 19:20:41
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 42 GB (73%) free of 57 GB
Total RAM: 502 MB (19% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:52, on 04/12/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE
C:\PROGRA~1\Wanadoo\GestionnaireInternet.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Toaster.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\Wanadoo\Watch.exe
C:\PROGRA~1\Wanadoo\WOOBrowser\WOOBrowser.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Outlook Express\msimn.exe
C:\PROGRA~1\Wanadoo\WOOBRO~1\DownloadManager.exe
C:\DOCUME~1\guy\MESDOC~1\NELLYB~1\rsit.exe
C:\guy.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Orange
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: (no name) - {69e28003-fe67-454e-bc6b-ed55b77c8fa8} - C:\WINDOWS\system32\zisuruhi.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [pegalewine] Rundll32.exe "C:\WINDOWS\system32\yomoviya.dll",s
O4 - HKLM\..\Run: [a455b989] rundll32.exe "C:\WINDOWS\system32\funugipi.dll",b
O4 - HKLM\..\Run: [CPMa7668a15] Rundll32.exe "C:\WINDOWS\system32\hiyokovu.dll",a
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [WOOKIT] C:\Program Files\Wanadoo\Shell.exe appLaunchClientZone.shl|PARAM= cnx
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX7400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDE.EXE /FU "C:\WINDOWS\TEMP\E_S11E.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: adidas OM Widget.lnk = C:\Program Files\adidas OM Widget\adidas OM Widget.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Orange - {1462651F-F4BA-4C76-A001-C4284D0FE16E} - https://www.orange.fr/portail (file missing) (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O20 - AppInit_DLLs: sjcuce.dll C:\WINDOWS\system32\sesotoja.dll c:\windows\system32\hiyokovu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hiyokovu.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hiyokovu.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

Lyonnais92 · Answer

Re,

Clique sur ce lien
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: (no name) - {69e28003-fe67-454e-bc6b-ed55b77c8fa8} - C:\WINDOWS\system32\zisuruhi.dll
O4 - HKLM\..\Run: [pegalewine] Rundll32.exe "C:\WINDOWS\system32\yomoviya.dll",s
O4 - HKLM\..\Run: [a455b989] rundll32.exe "C:\WINDOWS\system32\funugipi.dll",b
O4 - HKLM\..\Run: [CPMa7668a15] Rundll32.exe "C:\WINDOWS\system32\hiyokovu.dll",a
O20 - AppInit_DLLs: sjcuce.dll C:\WINDOWS\system32\sesotoja.dll c:\windows\system32\hiyokovu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hiyokovu.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hiyokovu.dll

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

=====================

 Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

(n'oublie pas les : avant files

:files
C:\WINDOWS\system32\zisuruhi.dll 
C:\WINDOWS\system32\yomoviya.dll 
C:\WINDOWS\system32\sesotoja.dll
C:\WINDOWS\system32\lodssatf.ini   
C:\WINDOWS\system32\af767df7-.txt  
C:\WINDOWS\system32\ssqOFULc.dll  
C:\WINDOWS\system32\hiyokovu.dll       
C:\WINDOWS\system32\funugipi.dll

:Commands 
[Reboot]  


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Lyonnais92 · Answer

Ren

As tu une icône jaune marquée OTMoveIt ton Bureau ?

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi.

Elle y est encore ?

Lyonnais92 · Answer

Re,

Double-clique sur cette icône jaune de OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

(n'oublie pas les : avant files

:files
C:\WINDOWS\system32\zisuruhi.dll
C:\WINDOWS\system32\yomoviya.dll
C:\WINDOWS\system32\sesotoja.dll
C:\WINDOWS\system32\lodssatf.ini
C:\WINDOWS\system32\af767df7-.txt
C:\WINDOWS\system32\ssqOFULc.dll
C:\WINDOWS\system32\hiyokovu.dll
C:\WINDOWS\system32\funugipi.dll

:Commands
[Reboot]


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Lyonnais92 · Answer

Re,

remets un rapport RSIT.

Lyonnais92 · Answer

Bi jour,

Run by guy at 2008-12-04 19:26:19 

c'est un rapport RSIT avant le passage de OTMoveIt ?

Je voudrais un rapport avec la situation actuelle.

Lyonnais92 · Answer

Bonjour,

ces erreurs de chargement sont de bonne nouvelles. ca veut dire que le fichier a été éliminé (ils sont nocifs tous les 2). Par contre, certaines cls de registre n'ont pas été supprimées. On verra ça.

Tu continues.

Et tu finis avec le rapport RSIT.

Lyonnais92 · Answer

Choisis Do a scan only

Coche la case devant les lignes suivantes

O2 - BHO: (no name) - {69e28003-fe67-454e-bc6b-ed55b77c8fa8} - C:\WINDOWS\system32\zisuruhi.dll
O4 - HKLM\..\Run: [pegalewine] Rundll32.exe "C:\WINDOWS\system32\yomoviya.dll",s
O4 - HKLM\..\Run: [a455b989] rundll32.exe "C:\WINDOWS\system32\funugipi.dll",b
O4 - HKLM\..\Run: [CPMa7668a15] Rundll32.exe "C:\WINDOWS\system32\hiyokovu.dll",a
O20 - AppInit_DLLs: sjcuce.dll C:\WINDOWS\system32\sesotoja.dll c:\windows\system32\hiyokovu.dll
O21 - SSODL: SSODL - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hiyokovu.dll
O22 - SharedTaskScheduler: STS - {EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4} - c:\windows\system32\hiyokovu.dll

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

=====================

 Télécharge OTMoveIt3 de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTMoveIt3.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".

(n'oublie pas les : avant files

:files
C:\WINDOWS\system32\ipigunuf.ini
C:\WINDOWS\system32\zisuruhi.dll 
C:\WINDOWS\system32\yomoviya.dll 
C:\WINDOWS\system32\sesotoja.dll
C:\WINDOWS\system32\lodssatf.ini   
C:\WINDOWS\system32\af767df7-.txt  
C:\WINDOWS\system32\ssqOFULc.dll  
C:\WINDOWS\system32\hiyokovu.dll       
C:\WINDOWS\system32\funugipi.dll

:Commands 
[Reboot]  


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Remets un rapport Hijackthis.

Lyonnais92 · Answer

Bonjour,

remets un rapport RSIT.

Lyonnais92 · Answer

Bonsoir,

Logfile of random's system information tool 1.04 (written by random/random)
Run by guy at 2008-12-04 19:26:19 

J'en voudrai un du 2008-12-08 merci.

Lyonnais92 · Answer

Re,

double clic sur RSIT sur ton Bureau.

Lyonnais92 · Answer

Bonjour,

pas encore parfait mais on avance;

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"notification packages"=hex(7):"scecli "
[HKEY_USERS\S-1-5-19\..\Run]
"pegalewine"=-  "C:\WINDOWS\system32\yomoviya.dll",
:files
C:\WINDOWS\system32\yomoviya.dll
C:\WINDOWS\system32\sesotoja.dll
:commands
[reboot]   


Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Remets aussi un nouveau rapport RSIT.

Lyonnais92 · Answer

Re,

tant pis pour le rapport OTMoveIt.

Fais ceci :

Double clic sur c:\guy.exe (c'est Hijackthis)

Choisis Do a scan only

Coche la case devant les lignes suivantes

O4 - HKUS\S-1-5-19\..\Run: [pegalewine] Rundll32.exe "C:\WINDOWS\system32\yomoviya.dll",s (User 'SERVICE LOCAL')

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.

Clique sur fix checked.

Ferme Hijackthis.

=============

fais redémarrer l'ordi.

Double clic sur c:\guy.exe (c'est Hijackthis)

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Lyonnais92 · Answer

Bonsoir,

mets à jour Internet Explorer

Lyonnais92 · Answer

Re,

Démarrer, Aide et support, Maintenez votre ordinateur à jour ...

Et tu suis les instructions.

Tu cherches Internet Explorer 7 si on ne te conduis pas vers cette mise à jour.

Lyonnais92 · Answer

Bonsoir,

on nettoie les outils :

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Lyonnais92 · Answer

Re,

Supprime Toolscleaner sur ton Bureau et c:\TCleaner.txt

On prend un point de restauration propre :

Ouvre ce lien :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20020830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

=============

Si tu ne l'as pas, télécharge CCleaner :

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html
Tuto :
https://www.vulgarisation-informatique.com/nettoyer-windows-ccleaner.php

Lors de l’installation, [décoche] l’option qui t’installerait la barre Yahoo !

>Lance CCleaner.

Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]

Suppression des incohérences du registre

• Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].

Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrées cochées pour les restaurer ultérieurement.
========================================
->Vide ta Corbeille.
========================================

Lyonnais92 · Answer

Re,

tu ne trouves vraiment pas d'icône ToolsCleaner sur ton Bureau ?

De toute manière, fais la suite.

Lyonnais92 · Answer

Bonsoir,

Voici quelques conseils pour mieux protéger ton ordi des malwares : 
 
1) Mets à jour Windows en consultant régulièrement le site de mise à jour :
http://www.update.microsoft.com/windowsupdate/v6/default.aspx
2) pour réduire les risques de réinfection, je te recommande fortement d'installer ces programmes gratuits :

- SpywareBlaster protège des ActiveX malicieux  : http://www.commentcamarche.net/telecharger/telecharger 226 spyware blaster

- SpywareGuard offre une protection en temps réel contre les tentatives d'installation des spywares. Prends garde à n'avoir qu'un seul anti-spyware en garde active pour éviter les risques de conflit : http://www.commentcamarche.net/telecharger/telecharger 34055277 spywareguard .

- Sécurise Internet Explorer
         * Clique sur Démarrer puis Exécuter
         * Tape Inetcpl.cpl dans la zone de saisie puis OK
         * Clique sur l'onglet Sécurité
         * Clique sur "Rétablir toutes les zones au niveau par défaut"
         * Sélectionne Zone Internet et clique sur "Personaliser le niveau"
         * Dans la section sur les ActiveX, règle sur "Demander" les téléchargements des ActiveX sognés et non sognés et règle sur "Désactivé" "Contrôles d'initialisation et de script ActiveX non marqués comme sécurisés" 

- ATF Cleaner nettoye les fichiers temporaires d'Internet Explorer et Windows (et Firefox), vide la corbeille et effectue quelques autres actions de nettoyage. Il améliore la vitesse et élimine les fichiers malveillants logés dans les fichiers temporaires : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

- Noscript est un "Addon" pour Firefox qui empêche l'exécution de scripts en provenance des sites Web. il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net

- Conserve une sauvegarde des fichiers importants. Ceco devient de plus en plus important. Cet article, en anglais, est rempli d'informations sur les solutions possibles : http://www.geekstogo.com/559/options-for-home-computer-data-backup-part-1/

- MVPS Hosts replace le fichier Hosts par un fichier contenantles sites de pub et autres sites dangereux. Fondamentalement, cela empêche l'ordi de se connecter à ces sites en redirigeant l'appel vers 127.0.0.1 qui correspond à ton ordi. Ceci rend plus difficile d'infecter l'ordi.

- Il vaut mieux utiliser un navigateur alternatif à Internet Explorer. Je recommande celui de Mozilla, Firefox, très agréable, mieux sécurisé et doté d'un très bon bloqueur de pop-ups. lien de téléchargement : http://www.commentcamarche.net/telecharger/telecharger 111 firefox

3) Si tu lis l'anglais, cet article de Tony Klein comporte d'excellentes suggestions : http://www.geekstogo.com/how-did-i-get-infected-in-the-first-place

4)ERUNT (Emergency Recovery Utility NT) permet de prendre une sauvegarde de la base de registre et de la restaurer en cas de besoin. La copie de sauvegarde du registre effectuée par Windows n'est pas complète : http://www.commentcamarche.net/telecharger/telecharger 34055395 erunt

5)Console de récupération Face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution. Un tutoriel ici : https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm . N'hésite pas à poser des questions si nécessaire.

Infecté par Packed.Generic.202 sur portable

41 réponses

Votre réponse

Discussions similaires

Newsletters