Bonjour,

je préferais que tu commences par ceci :

Ouvre ce lien et télécharge ZHPDiag :

http://telechargement.zebulon.fr/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
@+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauver. Ne formatez pas !

Salut,
ok je ferais ça, mais demain en fin d'après-midi car ce n'est qu'à ce moment là que j'aurais accès au pc infecté. Tu penses que ZHPDIAG réussira à fonctionner en mode normale, (alors que hijack this ne peux pas s'exécuter à cause du virus), ou bien je dois le lancer en mode sans échec ?

VIVE LINUX, quand je vois les complications avec les malwares sur windows...!

Re,

tu essayes en mode normal.

Si ça ne fonctionne pas, mode sans échec.

Il y a des chances que ZHPDiag fonctionne. @+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauv­er. Ne formatez pas !

Merci , à demain !

Bonjour, voici le lien http://www.cijoint.fr/cjlink.php?file=cj200906/cijtATINt0.tx­t

Re,

on va bien se servir de SmitfaudFix.

Ouvre ce lien (merci a S!RI pour ce programme). http://siri.urz.free.fr/Fix/SmitfraudFix.php
et télécharge SmitfraudFix.exe.

Regarde le tuto
Exécute le en choisissant l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.

======

Je voudrais aussi avoir des informations sur un fichier.

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\Documents and Settings\All Users\Application Data\11985984\11985984.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant @+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauv­er. Ne formatez pas !

Salut lyonnais92,

je ferais ça demain en fin d'après-midi de nouveau, merci de suivre l'évolution de l'affaire.

pour info j'ai tenté l'opération "Instructions de suppression automatique de System Security 2009" sur le lien proposé par arteu99 , http://www.assure-le.com/system-security-2009 (smitfraudfix choix 2) mais ça n'a rien donné, le virus s'accroche.

A demain

Ps : tu as l'air d'être disponible à partir de 20h le soir c'est ça ? dans ce cas ça vaudrais peut-être le coup que j'aille chez mes amis à cette heure là demain pour qu'on travaille en direct ?

Re,

je suis disponible de 9 h à 23h en général, mais je ne suis pas forcément là tout le temps. @+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauv­er. Ne formatez pas !

Alors on verra si tu es dispo vers 17-18h

Bonne soirée et encore merci .

Bonjour,
voilà pour virus total :

Fichier 11985984.exe_ reçu le 2009.06.12 15:56:10 (UTC)Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.18 2009.06.12 Trojan.Win32.Winwebsec!IK
AhnLab-V3 5.0.0.2 2009.06.12 -
AntiVir 7.9.0.187 2009.06.12 -
Antiy-AVL 2.0.3.1 2009.06.12 -
Authentium 5.1.2.4 2009.06.12 -
Avast 4.8.1335.0 2009.06.11 -
AVG 8.5.0.339 2009.06.12 Downloader.Small.GBM
BitDefender 7.2 2009.06.12 -
CAT-QuickHeal 10.00 2009.06.12 -
ClamAV 0.94.1 2009.06.12 -
Comodo 1320 2009.06.12 -
DrWeb 5.0.0.12182 2009.06.12 Trojan.Fakealert.4362
eSafe 7.0.17.0 2009.06.11 Win32.FakeAlert.Dx
eTrust-Vet 31.6.6555 2009.06.12 -
F-Prot 4.4.4.56 2009.06.12 -
F-Secure 8.0.14470.0 2009.06.12 FraudTool.Win32.SystemSecurity.mf
Fortinet 3.117.0.0 2009.06.12 W32/FakeAV.AX!tr
GData 19 2009.06.12 -
Ikarus T3.1.1.59.0 2009.06.12 Trojan.Win32.Winwebsec
K7AntiVirus 7.10.762 2009.06.12 -
Kaspersky 7.0.0.125 2009.06.12 not-a-virus:FraudTool.Win32.SystemSecurity.mf
McAfee 5643 2009.06.11 FakeAlert-WinwebSecurity.a
McAfee+Artemis 5643 2009.06.11 FakeAlert-WinwebSecurity.a
McAfee-GW-Edition 6.7.6 2009.06.12 Trojan.LooksLike.Backdoor.Hupigon
Microsoft 1.4701 2009.06.12 -
NOD32 4151 2009.06.12 -
Norman 6.01.09 2009.06.12 -
nProtect 2009.1.8.0 2009.06.12 -
Panda 10.0.0.14 2009.06.12 -
PCTools 4.4.2.0 2009.06.12 -
Rising 21.33.44.00 2009.06.12 -
Sophos 4.42.0 2009.06.12 Mal/FakeAV-AX
Sunbelt 3.2.1858.2 2009.06.12 FraudTool.Win32.RogueSecurity (v)
Symantec 1.4.4.12 2009.06.12 Trojan.Fakeavalert
TheHacker 6.3.4.3.344 2009.06.11 -
TrendMicro 8.950.0.1092 2009.06.12 -
VBA32 3.12.10.7 2009.06.12 -
ViRobot 2009.6.12.1783 2009.06.12 -

Information additionnelle
File size: 368675 bytes
MD5...: 8f6f65e296032be424ea4671003a5061
SHA1..: d613e11429a62a0afc99b6df7395779494c5c3f7
SHA256: cd1e46f815be96dca17aef7618840084448fff54c7f09daaec38e3309d97­67ee
ssdeep: -<BR>
PEiD..: -
TrID..: File type identification<BR>Win32 Dynamic Link Library (generic) (55.4%)<BR>Win16/32 Executable Delphi generic (15.1%)<BR>Generic Win/DOS Executable (14.6%)<BR>DOS Executable Generic (14.6%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1197<BR>timedatestamp.....: 0x4a2edc65 (Tue Jun 09 22:04:21 2009)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x559c8 0x55a00 7.90 56dada6876809d5a19e9ec30b64ff528<BR>.rdata 0x57000 0x126 0x200 3.15 90cec9653a43480c9c8c678c1e0ad5ac<BR>.data 0x58000 0x50008 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rsrc 0xa9000 0x3ef0 0x4000 6.01 39fad5cca6c90239fdd83f296b6dba76<BR><BR>( 1 imports ) <BR>> KERNEL32.dll: GetModuleHandleW, VirtualAlloc, EnterCriticalSection, LeaveCriticalSection, GetCurrentThreadId, WideCharToMultiByte, DeleteCriticalSection, GetLastError<BR><BR>( 0 exports ) <BR>
PDFiD.: -
RDS...: NSRL Reference Data Set<BR>-
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=8f6f65e296032be424ea4671003a5061' target='_blank'>http://www.threatexpert.com/report.aspx?md5=8f6f65e296032be424ea4671003a5061</a>

Et smitfraudfix:

SmitFraudFix v2.422

Rapport fait à 18:05:12,10, 12/06/2009
Executé à partir de C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\Administrateur\Bureau\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte D-Link DFE-530TX PCI Fast Ethernet (rev.A) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C34BC978-CE27-4488-8301-8DF69F198D24}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C34BC978-CE27-4488-8301-8DF69F198D24}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C34BC978-CE27-4488-8301-8DF69F198D24}: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

Bonjour,

pas le bon outil.

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_­4-10804572.html

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter une analyse rapide" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse
@+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauver. Ne formatez pas !

Bonjour,
je fais ça dans le week-end , merci et bonne soirée.

Bonjour,
voici le rapport crée par MBAM après anlyse et suppression :

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2275
Windows 5.1.2600 Service Pack 3

14/06/2009 15:54:53
mbam-log-2009-06-14 (15-54-53).txt

Type de recherche: Examen rapide
Eléments examinés: 86914
Temps écoulé: 4 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion­\Uninstall\SystemSecurity2009 (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\11985984 (Rogue.Multiple.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\91995976 (Rogue.Multiple.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\11985984 (Rogue.Multiple.H) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\91995976 (Rogue.Multiple.H) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\all users\application data\11985984\11985984.exe (Rogue.Multiple.H) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\11985984\11985984.glu (Rogue.Multiple.H) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\11985984\pc11985984cnf (Rogue.Multiple.H) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\11985984\pc11985984ins (Rogue.Multiple.H) -> Quarantined and deleted successfully.
c:\documents and settings\all users\application data\91995976\91995976.exe (Rogue.Multiple.H) -> Quarantined and deleted successfully.
c:\documents and settings\Gege\Bureau\System Security 2009.lnk (Rogue.SystemSecurity) -> Quarantined and deleted successfully.

Bonjour,

bon, l'outil semble avoir bien nettoyé.

Refais tourner ZHPDiag et remets le rapport en lien cijoint. @+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauv­er. Ne formatez pas !

Bonjour,

voici pour Lyonnais92 le lien vers le résultat d'analyse ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj200906/cij0BM44Ju.tx­t

Petite question maintenant: le virus s'est vraissemblablement transmis par une clé usb qui transite entre ce pc et un pc professionnel de mon ami qui est connecté à internet par 3G (avec une carte SIM dans le PC, je ne connaissais pas ce système). Hors sur ce pc professionnel, impossible d'installer de protection pour le net(le pc refuse d'installer le pare-feu windows: non autorisé, voir l'administrateur du réseau !). Donc je pense que mon ami va systématiquement réinfecter son pc perso, s'il y envoie des données de son pc professionnel: clé usb ou même mail (?) .
Donc ma question est : Si je lui installe ubuntu sur son pc personnel, le virus provenant de son pc professionnel et transmis par sa clé usb ne pourra pas attaquer ubuntu (incompatibilité entre le virus et ubuntu) et mon ami peut donc continuer à faire transiter des choses d'un pc vers l'autre, est-ce exact ?
Parce que je crois que mon ami n'est pas prêt d'avoir l'autorisation de protéger son pc professionnel...
Linux est-il une bonne alternative pour remédier à ce problème ?

PS: merci iM12 pour le lien, même s'il arrive après la résolution du problème.

Up !

Bonsoir,

le passage à Linux va bloquer les infections.

par contre, elles vont réapparaître si on réutilise Windows sur cet ordi (sauf si on ne copie que des fichiers sains).

Si l'ordi professionnel est infecté, il est vraiment impossible de convaincre son responsable qu'il faut désinfecter et protéger ? Arguer des risques pour les clients ?

====

Pour continuer :

Télécharge et installe [url=http://sd-1.archive-host.com/membres/up/127028005715545­653/UsbFix.exe] [COLOR="Blue"][B]UsbFix/B/COLOR/url de C_XX & Chiquitine29

Branche tes [B]sources de données externes/B à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisie l'[B]option 1/B ( Recherche )

# Laisse travailler l'outil.

# Ensuite [B]poste/B le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. @+
Avez vous une sauvegarde de vos données personnelles ?
Même si Windows ne démarre plus, nous savons encore les sauver. Ne formatez pas !