Infection persistenteFermé

Question

Bonjour, 
Depuis cet automne, je suis pris avec une infection très tenace. J'ai reformaté mon parc informatique une dizaine de fois mais sans succès, c'est toujours de retour. J'ai tout essayé; Flash de bios, réécriture du mbr.

À l'occasion je réussi à déceler un win32 machin truc mais sinon rien. La seule preuve que ça tourne pas rond est que je ne suis pas capable de faire un scan de mon antivirus en mode sans échec... Eset nod 32 4

Si quelqu'un peu m'aider dans mon désastre, je vous parvenir mon premeir scan highjackthis initial, le deuxième après nettoyage ainsi que le résultat de combo fix. Ces rapport proviennent d'une machine récemment réinitialisée.

Premier scan highjack this;

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:50:05, on 2011-03-06
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Windows\SysWOW64\NOTEPAD.EXE
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: @%systemroot%\system32\appidsvc.dll,-100 (AppIDSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @appmgmts.dll,-3250 (AppMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (AudioSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\AxInstSV.dll,-103 (AxInstSV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\bdesvc.dll,-100 (BDESVC) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\bthserv.dll,-101 (bthserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\cscsvc.dll,-200 (CscService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\defragsvc.dll,-101 (defragsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\x86\ekrn.exe
O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\FntCache.dll,-100 (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\ListSvc.dll,-100 (HomeGroupListener) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\provsvc.dll,-100 (HomeGroupProvider) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-500 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\FirewallAPI.dll,-23090 (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32
etlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32
etman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32
etprofm.dll,-202 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32
lasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32
sisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\peerdistsvc.dll,-9000 (PeerDistSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\sysWow64\perfhost.exe,-2 (PerfHost) - Unknown owner - C:\Windows\SysWow64\perfhost.exe
O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpauto.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32asauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%Systemroot%\system32asmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\sensrsvc.dll,-1000 (SensrSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\ipnathlp.dll,-106 (SharedAccess) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppuinotify.dll,-103 (sppuinotify) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (stisvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\StorSvc.dll,-100 (StorSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32	apisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32	bssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32	ermsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32	hemeservice.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32	rkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\umrdp.dll,-1000 (UmRdpService) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wscsvc.dll,-200 (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
O23 - Service: @%SystemRoot%\System32\wwansvc.dll,-257 (WwanSvc) - Unknown owner - C:\Windows\system32\svchost.exe

moment de grace · Answer

bonjour

on va tenter de t'aider....

ce qui est troublant, c'est que tu dis avoir formaté et pourtant combofix montre des infections

1)

poste moi le rapport complet de combofix

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

________________

2)

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

EricJets · Answer

Merci Moment de Grâce!

Ton aide est très apprécié!
Voici les liens dont tu m'as précisé;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijlz5D7D7.txt 
http://www.cijoint.fr/cjlink.php?file=cj201101/cij9kjIT7v.txt 

Dois je faire un truc avec avec ZHPFix?

J'attends de tes nouvelles, encore merci!

moment de grace · Answer

vu

1)



/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::



File::

c:\windows\speedy.pif      
c:\windows\speedy.exe      
c:\windows\puta!!.exe     



* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

________________

2)

attention examen long

Téléchargez Dr.Web CureIt! sur ton Bureau : 
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan. 
Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite. 
Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration. 
Choisissez l'onglet Scanner, et décochez Analyse heuristique. 
De retour à la fenêtre principale : choisissez Analyse complète. 
 Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la. 
Cliquez Oui pour Tout si un fichier est détecté. 
A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine. 
Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport. 
Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv. 
Fermez Dr.Web CureIt! 
Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage. 
Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note 

Ensuite : 

Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/ 
Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier 
Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

EricJets · Answer

Voici le rapport ComboFix de ce soir;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijNJKb6RE.txt 

Je m'attaque maintenant à la deuxième portion de tes conseils.

Merci

EricJets · Answer

Salut Moment de Grâce.

Désolé du délai de réponse

Je ne peux pas te faire parvenir le Rapport Dr Web dans la façon que tu veux car le log est de 24 mo....

Il y avait 2 virus; Flash_Disinfector.exe

J'attends la suite

Merci!

moment de grace · Answer

c'est quoi le deuxième virus ? 

Télécharge OTL de OLDTimer  

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ 


enregistre le sur ton Bureau.  

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.  

 Coche les 2 cases Lop et Purity  

 Coche la case devant tous les utilisateurs  

 règle age du fichier sur "60 jours"  

 dans la moitié gauche , mets tout sur "tous"  

ne modifie pas ceci :  

"fichiers créés" et "fichiers Modifiés"  

Clic sur Analyse.  

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).  

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)  

NE LE POSTE PAS SUR LE FORUM  

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/  

 Clique sur Parcourir et cherche le fichier ci-dessus.  

Clique sur Ouvrir.  

 Clique sur "Cliquez ici pour déposer le fichier".  

Un lien de cette forme :  

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt  

est ajouté dans la page.  

 Copie ce lien dans ta réponse.  

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau. 




CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

EricJets · Answer

Les 2 Virus étaient Flash_Disinfector.exe mais dans des répertoires différents dont l'un dans le fichier quarantaine de Dr Web

J'ai fait une petite recherche sur le net à propos de Flash_ Disinfector... J'en conclu que tout mes clés usb et disques durs internes et externes sont touchés et c'est assurément eux qui m'ont infectés... Sauf que mon ordi sur lequel on travaille à juste le disque principal d'installé... Depuis la dernière réinitialisation, j'ai branché aucune périférique autre que internet écran clavier souris.

Voici le lien otl

http://www.cijoint.fr/cjlink.php?file=cj201101/cijksMQhKi.txt 

Voici le lien Extras

http://www.cijoint.fr/cjlink.php?file=cj201101/cijMg6hzr1.txt 

Merci de ton assiduité!!!
Vraiment très apprécié

J'attends de tes nouvelles!

moment de grace · Answer

pas d'infection visible (ni usb ni autre) 

juste regarde si ils sont encore là eux 

C:\Windows\speedy.pif     
C:\Windows\speedy.exe    
C:\Windows\puta!!.exe  

on peut vérifier tes usb si tu veux 


Téléchargez USBFIX de El Desaparecido, C_xx 

http://www.teamxscript.org/usbfixTelechargement.html 
ou 
http://teamxscript.changelog.fr/UsbFix.html 
/!\ Utilisateur de vista et windows 7 : 
 ne pas oublier de désactiver Le contrôle des comptes utilisateurs  
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac  

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir  

* Double clic sur le raccourci UsbFix présent sur le bureau .  

* Choisir l'option RECHERCHE  
(d'autres options disponibles, voir le tutoriel).  
* Laissez travailler l'outil.  

* Ensuite postez le rapport UsbFix.txt qui apparaîtra.  

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )  

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )  

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.  




CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

EricJets · Answer

Ok je vais faire le test demain pour le usb...

Je ne peux toujours pas faire de scan en mode sans échec...
Avec la commande cmd j'ai fait une recherche pour C:\Windows\Speedy.pif et ça m'écrit ceci...

"Cette version de C:\Windows\Speedy.pif n'est pas compatible avec la version de Windows actuellement exécutée. Vérifiez dans les informations système de votre ordinateur si une version x86 (32bits) ou x64 (64bits) du programme est requise,puis contactez l'éditeur de logiciel..."

Est-il encore présent???

Que puis-je faire d'autre sinon? Utillitaire supplémentaire?

Est-ce que j'avais à faire correction avec OTL???

Où se cache ces merde si j'ai tout effacé dans ma machine..?
De l'internet? D'une composante interne? Routeur?

Merci?

moment de grace · Answer

Je ne peux toujours pas faire de scan en mode sans échec... 

quel scan et pourquoi en mode sans echec ?

Est-il encore présent??? 

tu suis le chemin c, windows etc

C:\Windows\speedy.pif 
C:\Windows\speedy.exe 
C:\Windows\puta!!.exe 

et tu me dis si ces trois fichiers sont là

EricJets · Answer

Un scan avec mon antivirus (Eset Nod 32 4 legal)
Pour détecter le truc qui m'empoisonne la vie depuis cet automne...
De façon normal un antivirus doit fonctionner en mode sans échec, non???
Tu crois que je suis propre maintenant et que c'était juste les 3 trucs dans le répertoire windows + le Flash_Disinfector?

Et je n'ai rien vu dans le répertoire Windows même en activant l'affichage des dossiers cachés...

Auras-tu la patience de m'assister pour faire mes 2 autres PC?

Merci!!!

Lyonnais92 · Answer

Bonjour,

c'est quand même bizarre ces fichiers de mars 2011.

L'horloge interne de l'ordi est pourtant bien réglé sur la bonne date.

EricJets · Answer

Que veux-tu dire Lyonnais92?
Quel fichiers de mars 2011?

EricJets · Answer

Voici le rapport ComboFix de mon deuxième ordi qui me sert pour mon cours d'administration réseau...

http://www.cijoint.fr/cjlink.php?file=cj201101/cij99OW8ZC.txt

EricJets · Answer

Et voici mes Rapport UsbFix et ComboFix Final de mon ordinateur un.

http://www.cijoint.fr/cjlink.php?file=cj201101/cijobnMuPC.txt 

http://www.cijoint.fr/cjlink.php?file=cj201101/cijJibok7j.txt 


Merci beaucoup de m'aider!

EricJets · Answer

Ad ware vient de détecter ceci sur mon ordinateur 1

c:\qoobox\quarantine\c\windows\syswow64\flcss.bkp.vir

Trojan.Win32.Generic!BT

Il est maintenant en quarantaine

totobetourne · Answer

SALUT ERIC ET TOUT LE MONDE

eric tu pars dans tout les sens fait deja ce qui est demande pour le premier ordinateur et une fois que le helper t aura aider et fais tout le necessaire tu passeras au deuxieme
le helper t a dit qu il t aiderait pour les autres mais il ne t a jamais dit de passer combo fix pour le 2 eme ordi ? si il n a pas les memes infections il faut deja faire un diagnostic avant d essayer n importe quoi.

pour ce qu ad aware t a trouve(tien ad awre trouve quelquechose) c est la quarantaine de combo fix donc pas de soucis , je te dis comme les autres helpers te diront que ce programme est inutil ou presque.

EricJets · Answer

Merci et désolé...

Alors j'attendrai la réponse du helper pour le UsbFix...

Encore 1000 excuses...

moment de grace · Answer

hello tous et merci totobetourne, tout est dit

pour l'heure on reste sur le pc 1



1)

? Relance UsbFix 

? Dans le menu principale cette fois choisit l'option suppression
 

Si un message te demande de redémarrer l'ordinateur fais le ... 

? Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

? Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse



UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. 

Merci 

______________

2)

confirme moi de la présence ou pas de ces fichiers à cet endroit


C:\Windows\speedy.pif
C:\Windows\speedy.exe
C:\Windows\puta!!.exe 


_____________

3)

dis moi de plus si ce pc se comporte maintenant normalement

_________

4)

enfin

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

EricJets · Answer

Bonsoir Moment de Grâce
Bien reçu on reste sur l'ordinateur un

1)
J'ai fait se que tu m'as demandé, exactement pour UsbFix. La seule différence et je m'en excuse est qu'hier j'avais pas tout branché mes périfériques de stockage externe. Aujourd'hui, oui. Je'veux ajouter qu'à part hier j'avais rien branché d'autre comme périférique depuis ma dernière réinitialisation. Des nuisances ont été capturé...

Voici le rapport UsbFix Suppression;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijVpcSECj.txt 

2)
J'ai coché dans l'option des dossiers le choix pour voir les dossiers caché,  j'ai fait une recherche et regardé dans le répertoire et les 3 merdes speedy et puta n'y sont pas... Si ils y sont encore, ils sont bien cachés.

3)
Jusqu'à maintenant l'ordinateur se comporte bien. Je n'ai pas tout réinstallé, je suis en mode test.

4)
Voici le dernier rapport ZHPDiag tel que demandé

http://www.cijoint.fr/cjlink.php?file=cj201101/cijMXCwNcp.txt 

Questions;
Est-il bien d'installer Spybot Search & Destroy?
Eset Nod32 Security Smart 4 est-il un bon Antivirus?

Merci énormément!
J'attends de tes nouvelles!

moment de grace · Answer

ok on va finir celui ci ainsi pour Spybot, il est dépassé et freine inutilement le pc pour eset pas de soucis pour moi, la meilleure protection étant ton comportement avec l'ordi (voir plus bas) 1) IMPORTANT Purger les points de restauration système: Télécharge OneClick2RestorePoint http://www.multifa7.be/Laddy/OneClick2RP.exe Mirroirs si non accessible : http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe https://app.box.com/s/cqcsz5m0oz * Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Executer en tant qu'administrateur sous Vista/Seven) * Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir * Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan... * Rends toi dans l'onglet "Autres options" * Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer. * Les points de restauration système seront purgés sauf le dernier créé. Ensuite avec le même outil Créer un nouveau point de restauration reconnaissable ................. 2) pour supprimer les outils de désinfection : télécharge Delfix de Xplode http://www.teamxscript.org/too/Xplode/DelFix.exe choisis SUPPRESSION poste son rapport ............................................. Recommandations pour l'avenir Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes... - logiciels non à jour (windows, internet explorer, java, adobe reader etc) - installation de toolbar - fréquentation de sites piégés - P2P - Application de cracks - Supports usb Pour t'aider dans cette tâche, voici quelques pistes Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox http://www.mozilla-europe.org/fr/firefox/ Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus pour bloquer les publicités http://www.clubic.com/telecharger-fiche45912-adblock-plus.html ............................ WOT - Extension pour ton navigateur internet : Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp ........................ Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils ! .......................... Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) http://www.teamxscript.org/too/UsbFix.exe Au menu principal, choisis l'option 3 (Vaccination). ............................ garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ ....................... Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .......................... utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html ........................ A lire pour mieux comprendre l'environnement qui t'entoure http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf http://www.libellules.ch/...

EricJets · Answer

Salut Moment de Grâce. 1) J'ai fait la purge mais le logiciel ne veut pas créer de point de restauration, il m'indique; impossible de créer un nouveau point de restauration. J'ai bien fait la manip en mode administrateur pourtant. Sauf que j'ai fait en 2 étapes; Premier jet; Clic sur le bouton "Purger", l'outil de nettoyage de windows va s'ouvrir * Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan... Deuxième jet; Rends toi dans l'onglet "Autres options" * Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer. 2) Dommage je voulais garder ces utilitaires :) Voici le rapport; http://www.cijoint.fr/cjlink.php?file=cj201101/cijiqsCTCh.txt 3) Je vais vacciner mes clés et disque dur externe et défragmenter mon dd principal Questions; Comment tu fais pour analyser les log que je t'envoie? Dois-je installer un firewall logiciel en plus de mon routeur? Est-ce que le cd ou dvd d'un backup de clé usb est susceptible d'être infecté? La prochaine étape est? Merci!

totobetourne · Answer

hello

les utilitaires que tu as telecharge c est une fois que tu es infecte et ce sont des outils specifiques souvent mis a jour donc c est inutil de les garder sauf pour malwarebyte.

pour analyser les rapports c est avec le temps et il y a une formation si tu desires savoir les lire et aider les autres , voit avec eric si cela t interesse.

il faut un pare feu sur un ordi , celui du routeur existe mais il en faut un sur l ordi.
voit avec eric pour cela , je te deconseille d utiliser celui de windows car pas efficace d ailleurs c est le point commun de presque toutes les personnes infectees et cela peut importe l antivirus.c est tres important d avoir un pare feu efficace.

pour ta question du back up je ne sais pas , la voit avec eric.

EricJets · Answer

Ok merci...

J'attendrai Eric avec les précisions...

En attendant j'ai commencé à installer des trucs et soudain blue screen of death...

Pas eu le temps de voir le code de crash... L'ordinateur a redémarré pas lui même étrange...

moment de grace · Answer

hello

de qui parlez vous en citant éric ?

pour les utilitaires, en + plus des remarques justifiées ci dessus, tu seras embêté avec ton antivirus qui les détectera comme des virus ...

pour creer un point de restauration
http://www.chantal11.com/2009/04/creer-point-de-restauration-sous-windows/

enfin, je n'ai pas vu le rapport Delfix

En attendant j'ai commencé à installer des trucs et soudain blue screen of death... 

installé quoi ?

EricJets · Answer

Bon matin Moment de Grâce!

Je répondais juste à Totobetourne il me parlait de Eric, je croyais que c'était toi...

Revoici le rapport Delfix

http://www.cijoint.fr/cjlink.php?file=cj201101/cijq8OHaFG.txt

Je vais suivre les instructions pour le point de restauration.

J'ai installé Catalyst le soft qui vient avec ma carte graphique ATI, Microsoft Office 2007 sans crack, et Zone Alarm... Mais j'ai aussi un firewall avec eset, 2 c'est peut être trop...

J'attends de tes nouvelles!

J'habite Montréal au Québec et je serais intéressé par le cours de détection virus par log...

Merci!

moment de grace · Answer

ca parait bien..

si plus de soucis

on passe au 2 avec un ZHP et me dire si il y a des soucis avec

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

EricJets · Answer

Pc 2)

Même symptômes que Pc 1 ordinateur au fonctionnement lent et navigation lente sur internet...

Voici le rapport ZHPDiag;

http://www.cijoint.fr/cjlink.php?file=cj201101/cij35LzBO8.txt

Pc1)

Je t'en avais parlé sommairement, j'ai 2 disques durs de stockage de 500 gigs sata que j'avais retiré de l'ordi quand je m'étais aperçu de l'insalubrité de ma machine. Et j'ai aussi un autre disque dur principal avec win 7 installé dessus que j'ai retiré pour le remplacer avec celui qui roule présentement. J'ai en ma possession un adaptateur usb @ sata. J'imagine quand on fera le teste usb sur pc 2 on en profitera pour nettoyer ces dd aussi? Qu'en penses-tu? Bien entendu j'ai des datas importants sur ces dd.

Merci beaucoup, Moment de Grâce pour ta patience!

J'attends de tes nouvelles!

moment de grace · Answer

vu

rien à reprocher à celui ci

pas d'infection visible

adobe à mettre à jour

1)

Téléchargez USBFIX de El Desaparecido, C_xx

http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html
/!\ Utilisateur de vista et windows 7 :
 ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

* Double clic sur le raccourci UsbFix présent sur le bureau . 

* Choisir l'option RECHERCHE 
(d'autres options disponibles, voir le tutoriel). 
* Laissez travailler l'outil. 

* Ensuite postez le rapport UsbFix.txt qui apparaîtra. 

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

______________________

2)


DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

EricJets · Answer

Re bonjour!

Alors voici les 3 rapports UsbFix de mes disques dur interne vérifié de façon externe;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijVQ5xii1.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijm9jJxoz.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijcTyZkcW.txt

Voici les rapports Kil'em;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijnENYqNt.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijMP6TJWn.txt

J'attends la suite!

Merci!

moment de grace · Answer

rien côté usbfix et killem 

1) 

relance USBfix avec tous tes usb branchés 
et fais l'option vaccination 

__________ 

2) 

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.  
mais cette fois-ci :  

choisis l'option CLEAN 
  

laisse travailler l'outil.  

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,  

colle le contenu dans ta reponse 


----------------------------- 

3) 

Télécharge OTL de OLDTimer  

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ 


enregistre le sur ton Bureau.  

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.  

 Coche les 2 cases Lop et Purity  

 Coche la case devant tous les utilisateurs  

 règle age du fichier sur "60 jours"  

 dans la moitié gauche , mets tout sur "tous"  

ne modifie pas ceci :  

"fichiers créés" et "fichiers Modifiés"  

Clic sur Analyse.  

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).  

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)  

NE LE POSTE PAS SUR LE FORUM  

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/  

 Clique sur Parcourir et cherche le fichier ci-dessus.  

Clique sur Ouvrir.  

 Clique sur "Cliquez ici pour déposer le fichier".  

Un lien de cette forme :  

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt  

est ajouté dans la page.  

 Copie ce lien dans ta réponse.  

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau. 



CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

EricJets · Answer

... Étonnant que DD3 n'a rien c'était vraiment une configuration buggé...
Vaccination fait!

Voici le rapport Kil'em

http://www.cijoint.fr/cjlink.php?file=cj201101/cijXVZR5GC.txt

Voici OTL

http://www.cijoint.fr/cjlink.php?file=cj201101/ciji34S3aR.txt

Voici Extras

http://www.cijoint.fr/cjlink.php?file=cj201101/cijNcWjQna.txt

J'attends la suite!

Merci!!!

moment de grace · Answer

non troisième diagnostic et vraiment rien

pour les lenteurs, un coup de ménage peut être

Télécharge :ATF Cleaner par Atribune 
http://www.atribune.org/ccount/click.php?id=1

Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. 
Sous l'onglet Main, choisis : Select All 
Clique sur le bouton Empty Selected 
Si tu utilises le navigateur Firefox : 
Clique Firefox au haut et choisis : Select All 
Clique le bouton Empty Selected a 
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. 
Si tu utilises le navigateur Opera : 
Clique Opera au haut et choisis : Select All 
Clique le bouton Empty Selected 
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. 
Clique Exit, du menu prinicipal, afin de fermer le programme. 
Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. 

_____________

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 
* Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) 

-----------------------

Note : si tu as un utilitaire pour défragmenter , utilises le à la place 

pour ce faire Defraggler est proposé 
https://www.clubic.com/telecharger-fiche44314-defraggler.html

EricJets · Answer

Ok tout est fait il reste Defraggler à être complété...

Je veux juste dire qu'au scan de Kill la fenêtre Dos a flashé rouge... 

Là le bordel est dans Firefox, il ne veut plus affiché correctement! :)

Mis à part ça, on peut considérer que Pc2 est terminé?

Quel est la prochaine étape?

moment de grace · Answer

pour firefox réinstalle éventuellement

pour ce pc là je ne peux pas vraiment plus


pour supprimer les outils de désinfection : 

télécharge Delfix de Xplode

http://www.teamxscript.org/too/Xplode/DelFix.exe


choisis SUPPRESSION

EricJets · Answer

Por Firefox se qui est étrange, c'est seulement la page Comment ça marche qui est juste en lettrage, tout le graphique est disparu...

Quand tu dis que tu ne peux pas faire plus, est-ce que tu crois qu'il y a encore des merdes?

On passe au Pc 3 ?

Merci?

moment de grace · Answer

Quand tu dis que tu ne peux pas faire plus, est-ce que tu crois qu'il y a encore des merdes? 

je parlais des lenteurs

pour firefox, redemarre le pc

pour le pc3

=> ZHP tu connais maintenant

EricJets · Answer

Voici le rapport ZHPDia;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijDzFH4Ou.txt

J'attends tes nouvelles et merci encore!

moment de grace · Answer

rien à signaler

désinstaller

- C:\Program Files\ESET
- C:\Program Files (x86)\SpywareBlaster (mettre MalwareByte's Anti-Malware)
C:\Program Files (x86)\Conduit 

Mets à jour Adobe Reader (désinstalle avant la version antérieure) 
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

EricJets · Answer

Ah ouain, c'était mon ordinateur 2 quand vous m'avez dit de rester sur le premier et vous m'avez dit que les virus étaient différents... Étrange cette ordi est buggé à mort... Ou presque :)

Peut-être que le combo fix à fait la job...

Je vais faire se que vous me suggérer...

On se reparle bientôt!

moment de grace · Answer

j'ai relu le combo du PC2

il a effectué un certain nombre de suppressions

d'ailleurs sur ce PC2

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


c:\windows\system32\vnetlib64.dll


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

EricJets · Answer

Bonjour Moment de Grâce!

Merci d'être encore là

J'ai suivi à la lettre toutes tes indications... Sauf que quand je passe par le site et j'essaie de l'envoyer, je le vois pas dans le répertoire C:\windows\system32... Quand je fais une recherche dans le menu démarrer il me dit bien qu'il est présent... 

Étrange, comment je pourrais procéder??? Surement un processus qui le rend inaccessible...

J'attends de tes nouvelles

Merci!

EricJets · Answer

J'ai réussi!!!

Yes :) en passant par Internet Explorer!!!

Voici le lien;

http://www.virustotal.com/file-scan/report.html?id=ea3c12daf2b1ae5f921ede80b4a54ce4a630fb3662d973e7a80fc43af6ae19ca-1295805888

Tient moi au courant!!!

moment de grace · Answer

il est bon...

comme l'ensemble de tes trois pc qui ne montrent pas d'infection

encore des soucis ?

EricJets · Answer

J'aimerais essayé Pc1 avec DD 3; la configuration que j'avais avant de vous contacter pour être vraiment sûr que je suis débarrassé complètement de ces merdes. Quand j'essayais de faire rouler Combofix sur cette configue. Combofix disparaissait et exécutait rien... J'enlèverais le dd principal actuel et je le remplacerais par DD3. Est-ce une bonne idée?

J'ai deux autres questions; est-ce que les merdes rencontrés sur mes configs peuvent avoir infecté un Mac? Un iPhone? Car j'ai branché mes clé usb sur le mac. Et par la suite branché mon iPhone sur le Mac...

Et mon imprimante laser réseau fait de drôle de bruit et cet automne, se peut-il qu'une merde s'y cache? Elle est présentement branché en mode usb.

EricJets · Answer

Bonsoir Moment de Grâce!

Voici rapport ZHPDiag de Pc1 DD3;

http://www.cijoint.fr/cjlink.php?file=cj201101/cijZAYvajn.txt

Tu ne m'as pas répondu sur mes questions Mac, si tu as un réponse, n'hésite pas!

Merci!

moment de grace · Answer

le zhp est propre, rien à signaler

pour ton mac, pas de soucis, aucun rapport ne montrait d'infection usb

EricJets · Answer

Eee désolé mais le Mac ainsi que le iPhone ne font pas parti de l'inventaire testé jusqu'à présent...

EricJets · Answer

Alors mon cher ami Moment de Grâce, nos échanges tire à sa fin. J'ai une dernière faveur à te demander;

Si tu pouvais jeter un coup d'oeil sur ce log ComboFix:

http://www.cijoint.fr/cjlink.php?file=cj201101/cijNvAHGGe.txt

Deuxièmement, j'aimerais bien devenir aussi maitre que toi dans la détection et désinfection de virus. Y'a t'il un cours, site tutoriel qui pourrait m'initier à ce grand art de traduire les différents log que les logiciels utilisés produisent?

Merci sincèrement et infiniment de ton aide et ta patience. Tu as remis sur pied quelques milliers de dollars de matos informatique sur pied...

moment de grace · Answer

supprime ca  c:\windows\SysWow64\lgfwunis.exe 

_____________ 

perso je suis là, comme plein d'autres 

http://www.security-domain.be/helper-formation/

 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

édit : lien.

EricJets · Answer

Salut Moment de Grâce et à tous!!!

Oui j'avoue je m'ennuyais!

Eh non j'ai encore des soucis!!!

PC2 est fraichement réinstallé depuis ce matin Après toute une épopée. Comodo a détecté 2 trucs style Heur.suspicious@43003326. Après cette événement je suis allé chercher mon bon ami ComboFix qui a détecté une activité rootkit pendant son scan. Internet Explorer bloque www.cijoint.fr je vous reviens aussitôt que je puisse atteindre le site pour le rapport.

Mais d'où vient ces merdes, suis-je tagué sur le web?

EricJets · Answer

Bon je crois que www.cijoint.fr est down, y'a t'il un autre moyen de vous faire parvenir le rapport?

Je voulais aussi vous dire que le firewall de Comodo m'a demandé la permission de laisser passer svchost.exe sur le net. Je sais que c'est un processus de Windows. Est-ce que le pépin pourrait venir de là?

Merci

moment de grace · Answer

en cas de blocage sur ci joint. fr tenter ici  https://www.cjoint.com/

EricJets · Answer

Voici finalement le rapport;

http://www.cijoint.fr/cjlink.php?file=cj201102/cijNB2ZzL8.txt

Merci!

moment de grace · Answer

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau. 
* Merci à Malekal pour le tutoriel 
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
* Double clique sur mbr.exe 
* Un rapport sera généré : mbr.log 
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: 

=>  Sous XP : "%userprofile%\Bureau\mbr" -f 

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f


* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK

EricJets · Answer

J,ai vraiment de la misère avec cijoint.fr... Vraiment étrange!

Voici le rapport;

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: WDC_WD2000JB-32FUA0 rev.15.05R15 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3 

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

Je referai la suite

moment de grace · Answer

le site est encombré aujourd'hui, ce n'est pas toi

et c'est bon ^pour gmer...comme pour combo

EricJets · Answer

Salut Moment de Grâce!

Je te fais parvenir un log de ZHPD de PC2, désolé mais je suis un peu parano

http://www.cijoint.fr/cjlink.php?file=cj201102/cijTKsrgtm.txt

Qu'est-ce qui fait que ces merdes reviennent sans cesse? Me collent au fesses? Où se situe le problème si mes ordis sont désinfectés et que je fais une utilisation sécuritaire? Le routeur?

moment de grace · Answer

parano..oui je confirme

rien à signaler sur ton rapport

EricJets · Answer

Salut Moment de Grâce!

Est-ce qu'il serait possible que tu me regardes mon log svp?

Merci!

http://www.cijoint.fr/cjlink.php?file=cj201102/cijb0gSpQn.txt

moment de grace · Answer

salut

arrête de jouer avec combofix

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


c:\windows\system32\GEARAspi64.dll


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

EricJets · Answer

Salut Moment de Grâce,

Oui je sais encore moi...

PC 1 est fraichement installé mais bogue ponctuellement. Ce soir c'est la souris qui est instable. J'ai fait un scan négatif de Malwarebytes. J'ai fait un scan ZHPDiag. Si tu pouvais y jeter un coup d'oeil se serait apprécié. 

Merci beaucoup de ta patience....

http://www.cijoint.fr/cjlink.php?file=cj201102/cijWpWs0uP.txt

hariel11 · Answer

bjour, pour ce probleme cherches a voir si ton disque dur nest pas endommage par hazar; parce que cest bien possible.
courage

EricJets · Answer

Bonjour!

Est-ce qu'il serait possible que  quelqu'un puisse regarder ce log ZHPDialog svp? Je crois avoir fait une boulette.

Merci beaucoup, c'est grandement apprécié.

http://www.cijoint.fr/cjlink.php?file=cj201102/cijRdFm2gb.txt

EricJets · Answer

Suite à l'envoi de mon log, précédent à ce message, j'ai fait un scan avec Malwarebytes et il a intercepté un Spyware Pws...

Je crois que je vais avoir besoin d'aide...

Merci de votre patience!

moment de grace · Answer

comme d'habitude ton zhp est impeccable

c'est quoi ton soucis ?

EricJets · Answer

Salut Moment de Grâce!

Merci de me répondre et de ta très grande patience, c'est très apprécié. Je t'explique. Étant étudiant j'avais besoin de mes documents session 1 que j'avais gravé sur un dvd à l'époque où j'étais infecté...

Alors pour faire un test, j'ai inséré le dvd dans un ordi (PC2) que je me sers quand les manips sont risquées. J'ai fait un scan avec mon antivirus Comodo. Le scan était négatif alors j'ai consulté le dvd. Quand j'ai vu que le dvd était d'évidence propre, je l'ai inséré dans mon portable... Erreur...

Quand j'ai éteint mes machines (PC2 et Portable) qui avaient été en contact avec ce foutu dvd, dans la fenêtre de fermeture Windows, elles se sont mises à installer des trucs comme si c'était des mises à jour Windows même si auparavant j'avais vérifié les mises à jour au prêt de Microsoft...

Ce matin j'ai fait un nouveau test de machine pc2 et portable. Pc2 avec Malwarebytes il a découvert Spyware pws... Et sur mon portable avec Combofix il y a eu des suppressions de fichiers... Je n'ai pas encore fait de manip sur PC1. Je te remémore que j'ai 3 ordinateurs Windows... PC1 n'a pas fait ce genre d'installation à sa fermeture... Avant hier j'avais fait mes mise à jour service pack 1 pour windows7 sur les ordis concernés (PC1 et Portable)

Dernier point; je sais que tu n'apprécies pas que je fasse des manips avec Combofix, mais j'ai tenté ce matin de faire un scan avec ce dernier sur Pc2 (Win XP familiale) et Combofix refuse de s'exécuter. Tout ces symptômes ressemblent étrangement à la période quand j'étais vérolé...

Merci de vouloir m'aider!

EricJets · Answer

Salut Moment de Grâce.

Merci d'être encore là!

Désolé du délai, j'étais en examen aujourd'hui. J'ai réussi à faire un scan Combofix sur Pc2. Combofix à détecté un rootkit, voici le rapport;

http://www.cijoint.fr/cjlink.php?file=cj201102/cijXxaZYtr.txt

Voici le rapport Malwarebytes fait précédemment;

http://www.cijoint.fr/cjlink.php?file=cj201102/cij8PbPfP3.txt

Je vais t'envoyer dans un autre poste pour les logs portable si tu veux bien!

Merci beaucoup!

EricJets · Answer

Voici les rapports du Portable

Combofix;

http://www.cijoint.fr/cjlink.php?file=cj201102/cijt6zOQUi.txt

Et Malwarebytes

http://www.cijoint.fr/cjlink.php?file=cj201102/cijfPkgNQq.txt

Merci beaucoup, j'attends de tes nouvelles!

moment de grace · Answer

PC2

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau. 
* Merci à Malekal pour le tutoriel 
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
* Double clique sur mbr.exe 
* Un rapport sera généré : mbr.log 
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: 

=>  Sous XP : "%userprofile%\Bureau\mbr" -f 

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f


* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK


portable

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

c:\windows\system32\vnetlib64.dll
c:\windows\system32\drivers	susbflt.sys


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.(l'url de la page des résultats)

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

EricJets · Answer

Salut Moment de Grâce

PC2

Merci de ton aide encore un fois. Voici le rapport Mbr.exe pour Pc 2. Je n'ai pas eu à faire les commandes que tu décrivais. Il m'a tout de suite fait un rapport négatif.

http://www.cijoint.fr/cjlink.php?file=cj201102/cijkemWTby.txt

Hier soir j'ai refait un scan antivirus et Malwarebytes, j'ai redétecté un Spyware. pws plus un autre truc par l'antivirus qui a été supprimé sur le champs...

Voici un scan de ZHPD;

http://www.cijoint.fr/cjlink.php?file=cj201102/cij1SU5LUS.txt

Quand j'aurai ta confirmation que tout est propre sur cet ordi je me remettrai à la tâche pour la réinstallation... :)

Je te fait parvenir un poste pour mon portable dans quelques instants
Merci!

EricJets · Answer

Portable

Impossible de faire le test sur Virustotal même si je remplis la condition suivante;

Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK 

Quand j'y vais avec l'explorateur Windows je les vois, sinon quand je passe par Virustotal ils ne sont pas affichés...

Que faire?

EricJets · Answer

Portable

Avec l'explorateur Windows j'atteins les fichiers et clique droit dessus pour les scanner avec mon antivirus et un message s'affiche; accès refusé...

moment de grace · Answer

pc2 ok

_________

portable

fais un scan en ligne ici 

copie colle le rapport final 

http://www.kaspersky.com/kos/eng/partner/default/pages/default/check.html?n=1263916919335 

tuto pout t'aider 

https://www.commentcamarche.net/faq/17751-scanner-en-ligne-avec-kaspersky#analyse-de-l-ordinateur

EricJets · Answer

PC2 déjà réinstallé et a repris ça vigueur initiale.

Pour Portable c'est tout autre. Kaspersky online ne fonctionne pas. J'ai essayé avec Kaspersky Rescue Disk et par 2 fois il a inscrit qu'il y avait des fichiers protégé par des mots de passes... Ça sent pas bon!

As tu une autre stratégie à me proposer?

Merci de ta patience.

moment de grace · Answer

essaie de vérifier les deux fichiers ici  https://virusscan.jotti.org/fr


c:\windows\system32\vnetlib64.dll
c:\windows\system32\drivers	susbflt.sys

EricJets · Answer

Salut Moment de Grâce!

Y'a rien à faire, je ne suis pas capable d'atteindre ces fichiers...

On dirait que la bébittes m'empêche d'afficher et d'avoir accès à ces fichiers en mode recherche internet...

À mon humble avis faut tuer ce processus avant... Qu'en penses tu? Quel utilitaire serait plus efficace pour cette tâche?

Merci beaucoup!!!!

moment de grace · Answer

bon

crée un nouveau point de restauration

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

puis

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


File::

c:\windows\system32\vnetlib64.dll 
c:\windows\system32\drivers	susbflt.sys






* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

EricJets · Answer

:)

... La restauration est désactivé et impossible de la réactiver!

Vraiment puissant comme truc!

Je passe à l'étape 2 et advienne que pourra...

Je t'envoie le résultat sous peu

Merci de ta patience...

EricJets · Answer

Salut Moment de Grâce!

Le portable est toujours vivant! :)

Voici le rapport Combofix;

http://www.cijoint.fr/cjlink.php?file=cj201102/cijIkH9ykZ.txt

J'attends la suite!!!

Entretemps je vais vérifier si je peux remettre la restau sur pied!

Merci beaucoup, C'est apprécié!

moment de grace · Answer

arf

on a pas supprimer le service

avant de le faire, passe ces trois là sur virus total

c:\windows\SysWow64\sqlctr90.dll      
c:\windows\SysWow64\sqlncli.dll      
c:\windows\system32\sqlncli.dll

EricJets · Answer

Maintenant que la resto est activé (elle s'est réactivé par elle-même après le redémarrage), impossible de la désactiver! Message d'erreur!

Les 3 rapports;

http://www.virustotal.com/file-scan/report.html?id=271a7120096f1341cdf0e5532cae6d7ef458153d8b7cafb8845911bd86c52780-1298748808

http://www.virustotal.com/file-scan/report.html?id=a104f2443949ce82adee5f614a2c68194569b8e2e9860eb962

http://www.virustotal.com/file-scan/report.html?id=a104f2443949ce82adee5f614a2c68194569b8e2e9860eb9621b9a19537d95c2-12987493181b9a19537d95c2-1298748980

Merci beaucoup!

moment de grace · Answer

il y a rien au bout de tes liens

copies l'url de la page des résultats

pour vouloir desactiver la resto?

EricJets · Answer

J'ai pourtant bien copier l'adresse du navigateur pour chaque scan...

http://www.virustotal.com/file-scan/report.html?id=271a7120096f1341cdf0e5532cae6d7ef458153d8b7cafb8845911bd86c52780-1298763743

http://www.virustotal.com/file-scan/report.html?id=a104f2443949ce82adee5f614a2c68194569b8e2e9860eb9621b9a19537d95c2-1298763923

http://www.virustotal.com/file-scan/report.html?id=a104f2443949ce82adee5f614a2c68194569b8e2e9860eb9621b9a19537d95c2-1298764212

Comme la première fois les scans sont négatifs!!!

Merci de ta patience j'attends la suite!

Merci!!!

moment de grace · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


Driver::

TsUsbFlt




File::

c:\windows\system32\drivers\fr-FR	susbflt.sys.mui
c:\windows\system32\drivers	susbflt.sys



* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

EricJets · Answer

Bonjour Moment de Grâce!

En espérant que notre démarche porte fruit cette fois...

Voici le rapport Combofix;

http://www.cijoint.fr/cjlink.php?file=cj201102/cijn8B64zX.txt

Merci de ta générosité, à tout de suite!!!

moment de grace · Answer

as tu encore des soucis avec ce pc ?

passe ceux là sur VT

c:\windows\system32\drivers\fr-FRdpwd.sys.mui      
c:\windows\system32\drivers\fr-FR\serscan.sys.mui      
:\windows\system32\drivers\fr-FR	susbflt.sys.mui

EricJets · Answer

Le portable semble ramer au démarrage...

La peste semble évolutive alors je ferme le portable tout de suite après les tests...

J'ai le même problème qu'hier malgré la configue dossier qui doit me faire voir tout les dossiers...

Vraiment vorace cette merde. Y'a une merde qui est encore active qui nous empêche de faire le nettoyage... Root kit??? Je me souviens qu'on avait utilisé DrWeb et l'utillitaire OTL lors de ma première vague d'infection. Crois tu que ça pourrait nous aider cette fois-ci?

EricJets · Answer

Une réinstallation oui mais j'aimerais bien être capable de faire un back up de mes notes de cours avant... Pour ne pas perpétrer mon cauchemar et aussi de faire en sorte que je sois pris avec cette bestiole au redémarrage après réinitialisation vu la voracité...

Donc voici ma démarche;

je viens de faire un ccleaner.

J'ai remplacé Eset Security Smart par Comodo Internet Security qui semble un peu plus robuste. Un scan complet est en cours...

Je vais faire OTL et Dr Web selon les indication dans les postes antérieurs.

Je vais faire aussi un usb fix pour faire un backup pseudo clean. Si tu as une autre option, ne te gène pas...

Tout autre option et/ou utilitaire pour tuer le processus sera le bienvenue pour tuer le peut-être Root Kit... Aimerais-tu avoir une image des processus en cours d'exécution du portable?

Je te ferai parvenir les logs avant reformatage et attendre ta réponse si il y a une dernière option disponible...

Merci beaucoup de ta patience!

moment de grace · Answer

télécharges The Avenger

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Coches la case (option Automatically disable any rootkits found)

Execute le scan de recherche

Redémarres s'il te le demande

Postes le rapport ici

EricJets · Answer

Bonjour Moment de Grâce.

Désolé de mon absence...

Voici un résumé des choses que j'ai fait

Un demi scan DrWeb qui à prit une demi journée, sans infection..

Voici avenger, le rapport j'ai du le faire 3 fois avant qu'il me ponde le rapport...

http://www.cijoint.fr/cjlink.php?file=cj201102/cijbAt9Y9C.txt

J'attends la suite...

Merci de ton aide...

moment de grace · Answer

une réinstallation est à envisager

as tu acces à tes données ?

EricJets · Answer

Oui le portable fonctionne, j'ai accès à mes données,  mais comment je peux les sauvegarder sans sauvegarder la bestiole??

Merci de ton aide...

moment de grace · Answer

Il est impératif de ne sauvegarder AUCUN fichier exécutable, aucun documents zippé (.zip) compressé (.rar) aucun .scr aucun .DLL et aucun .HTML

EricJets · Answer

tu considères un .doc comme un exécutable..?

EricJets · Answer

Salut Moment de Grâce...

Je te donne un peu de nouvelles; je vais faire ma réinitialisation portable d'ici le weekend. Je te reviendrai là dessus pour voir si je suis propre.

En attendant est-ce que tu pourrais jeter un oeil là dessus, c'est Pc1

http://www.cijoint.fr/cjlink.php?file=cj201103/cijlnakkPj.txt

Merci beaucoup!

moment de grace · Answer

c'est ok pour zhp

comodo est ce bien utile

les parefeu sont délicats à manier et celui de seven tient la route

EricJets · Answer

Salut Moment de Grâce...

Encore moi :)

Il est rendu temps de remonter mon portable qui ne tient plus la route...

Mais avant, pourriez vous me vérifiez ça?

http://www.cijoint.fr/cjlink.php?file=cj201104/cijluKR1a7.txt

Merci

EricJets · Answer

Bonjour Moment de Grâce

Me revoilà donc en format réinstallé avec mon portable...

J'ai fait un scan Combo, pourrais-tu regarder si il y a quelque chose qui cloche?

Merci beaucoup!!!

http://www.cijoint.fr/cjlink.php?file=cj201104/cijYgnvvPR.txt

EricJets · Answer

Bonsoir,

Je sais encore moi... Toujours le même truc... Je viens tout juste de réinitialiser et j'ai encore des signes d'infection...

http://www.cijoint.fr/cjlink.php?file=cj201104/cijLOkpKhD.txt

Merci de votre aide!

Infection persistente

100 réponses

Discussions similaires

Newsletters