Mon PC de nouveau infecté dans un dossier temp[Résolu]

[julien006]

Bonjour à tous

Je suis de nouveau très embêté avec mon PC

Je suis de nouveau infecté par des virus/spywares/cochonneries dans mon dossier C:\Users\jepa\AppData\Local\temp (jepa étant mon nom d'utilisateur PC)

Avira AntiVir m'a détecté plusieurs fichier .exe dans ce dossier en s'affolant et en m'ouvrant des fenêtes de partout. J'ai immédiatement éteint le PC
Depuis je n'ai plus d'alertes mais des embêtements commencent à se produire. Par exemple, quand je fais une recherche Google avec Firefox, ça me donne des résultats... d'Ask.com !!

Il y a quelques mois j'avais eu de l'aide ici (entre-temps j'ai perdu mes identifiants vu que j'en change souvent tellement je suis parano sur le net , j'y travaille!). C'est "bernard53" qui m'avait pris en charge

Est-ce que quelqu'un (Bernard ou un autre) peut me prendre en charge pour me débarasser de ça?

Je possède Avira AntiVir et Malwarebytes' Anti-Malware

Je vous remercie beaucoup

[bernard53]

Bonsoir julien006

Alors tu n'as pas été sérieux

Je plaisante, fait ceci dans cet ordre alors.


Télécharge >> TFC.exe << impérativement sur ton bureau

Ferme tous les programmes en cour de fonctionnement...

Valide START pour lancer TFC

Une demande va apparaitre pour te demander de redémarrer ton pc, cliques sur "YES" et laisse faire TFC.


Ensuite ::


Installe Malewarebytes' Antimalware,

http://www.malwarebytes.org/

Prends bien la version FREE
*** Met-le à jour puis choisi, Exécuter un examen complet

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

Poste le rapport final.


Puis ceci .


Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...
Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".


L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau




A la fin de l'installation ZHPDiag va se lancer....

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.
Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

Mets le rapport ici car il prend bien de la place.
http://www.cijoint.fr

[julien006]

Hello
Et non, je n'ai pas été sérieux . Non mais j'ai l'impression que les 2 fois c'est en visitant le même site que j'ai chopé des trucs, pourtant c'est un site qui, malgré ce qu'on y trouve, est hyper reconnu et fréquenté, et "qui fait référence"; je sais pas si je peux mettre l'adresse ici. Ceci dit, je ne suis pas sûr que ça soit là, mais il me semble que j'étais dessus quand j'ai eu les alertes (j'avais plusieurs fenêtres ouvertes en fait)

Merci pour ton aide en tout cas. La précédente avait été précieuse

Voilà. Désolé mais ça a été assez long (3 h rien que pour l'analyse Malwarebytes)

Pour TFC je l'avais lancé en double-cliquant, mais je l'ai refait "en tant qu'administrateur"
Pareil pour ZHPDiag je l'ai fait "en tant qu'administrateur"
Dans le doute... J'espère que j'ai bien fait

Voilà le rapport Malwarebytes:

http://www.cijoint.fr/cjlink.php?file=c ... ogHwyi.txt

Je le mets là aussi, je ne sais pas si c'est plus simple pour toi de le lire:

Malwarebytes' Anti-Malware 1.50.1.1100
http://www.malwarebytes.org

Version de la base de données: 6113

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

21/03/2011 00:20:12
mbam-log-2011-03-21 (00-20-12).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 433927
Temps écoulé: 2 heure(s), 58 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\Users\jepa\AppData\Local\nscher.dll (Trojan.Hiloti) -> Delete on reboot.
c:\Users\jepa\AppData\Local\temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Fzuqiwareheguri (Trojan.Hiloti) -> Value: Fzuqiwareheguri -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Metropolis (Trojan.Downloader) -> Value: Metropolis -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\jepa\AppData\Local\nscher.dll (Trojan.Hiloti) -> Delete on reboot.
c:\Users\jepa\AppData\Local\temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
c:\Users\jepa\AppData\Roaming\ntuser.dat (VirTool.Obfuscator) -> Quarantined and deleted successfully.

Et voilà le rapport ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=c ... FMV2DR.txt

[bernard53]

OK ceci a suivre s.t.p


* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

G1 - GCS: Preference [User Data\Default] None
G0 - GCSP: Preference [User Data\Default][HomePage] http://vshare.toolbarhome.com
O4 - HKCU\..\Run: [Fzuqiwareheguri] C:\Users\jepa\AppData\Local\nscher.dll (.not file.)
O4 - HKUS\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [Fzuqiwareheguri] C:\Users\jepa\AppData\Local\nscher.dll (.not file.)
[MD5.00000000000000000000000000000000] [APT] [6eb693e0] (.Pas de propriétaire.) -- C:\Users\jepa\AppData\Local\Temp\setup749779168.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [CreateChoiceProcessTask] (.Pas de propriétaire.) -- (.not file.)
[MD5.00000000000000000000000000000000] [APT] [AppleSoftwareUpdate] (.Pas de propriétaire.) -- (.not file.)
[MD5.00000000000000000000000000000000] [APT] [Reminders - jepa] (.Pas de propriétaire.) -- (.not file.)
[MD5.00000000000000000000000000000000] [APT] [MP Scheduled Scan] (.Pas de propriétaire.) -- (.not file.)
[MD5.00000000000000000000000000000000] [APT] [MP Scheduled Signature Update] (.Pas de propriétaire.) -- (.not file.)
[HKCU\Software\3]
[HKLM\Software\OpenCandy]
O43 - CFD: 23/10/2009 - 19:17:42 - [1175253] -SH-D- C:\ProgramData\150f8
O53 - SMSR:HKLM\...\startupreg\Fzuqiwareheguri [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\jepa\AppData\Local\nscher.dll
O64 - Services: CurCS - (.not file.) - 2a22c128 (2a22c128) .(...) - LEGACY_2A22C128
O64 - Services: CurCS - (.not file.) - klmd21 (klmd21) .(...) - LEGACY_KLMD21
O64 - Services: CurCS - (.not file.) - klmd25 (klmd25) .(...) - LEGACY_KLMD25
O64 - Services: CurCS - (.not file.) - klmdb (klmdb) .(...) - LEGACY_KLMDB
O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS) .(...) - LEGACY_SYMDNS
O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent) .(...) - LEGACY_SYMEVENT
O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW) .(...) - LEGACY_SYMFW
O64 - Services: CurCS - (.not file.) - SYMIDS (SYMIDS) .(...) - LEGACY_SYMIDS
O64 - Services: CurCS - (.not file.) - SYMNDISV (SYMNDISV) .(...) - LEGACY_SYMNDISV
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV) .(...) - LEGACY_SYMREDRV
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI) .(...) - LEGACY_SYMTDI
O64 - Services: CurCS - (.not file.) - vhyot (vhyot) .(...) - LEGACY_VHYOT
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[MD5.379F986B9CBD7C1A318A16065EFE72B0] [SRI] (.Mozilla Foundation - User-Generated Microsoft C/C++ Runtime Library.) -- C:\ProgramData\150f8\mozcrt19.dll [710136]
O87 - FAEL: "TCP Query User{3D48B4AD-8F33-49BE-B591-10FCD12F8D36}C:\programdata\150f8\ws127.exe" |In - Private - P6 - TRUE | .(...) -- C:\programdata\150f8\ws127.exe (.not file.)
O87 - FAEL: "UDP Query User{FE18BA58-C46C-4440-9312-53B1CE62CC9B}C:\programdata\150f8\ws127.exe" |In - Private - P17 - TRUE | .(...) -- C:\programdata\150f8\ws127.exe (.not file.)
FirewallRaz
EmptyFlash
Emptytemp

Puis Lance ZHPFix depuis le raccourci du bureau.

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [H] ("coller les lignes Helper").

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment qui apparaitront.

Vérifie :
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
- que les lignes soient disposées les unes en dessous des autres.

* Puis clique sur le bouton [OK].
> À ce moment là, il apparaitra au début de chaque ligne une petite case vide. Ne touche plus à rien !

!! Déconnecte toi d'internet, désactive tes défenses (anti-virus, anti-spyware) et ferme bien toutes autres applications (navigateurs compris) !!


* Clique sur le bouton [Tous]. Vérifies que toutes les lignes soient bien cochées.

* Enfin clique sur le bouton [Nettoyer].


-> laisse travailler l'outil et ne touche à rien ...


Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)


Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !


Puis:


Télécharge load_tdsskiller de Loup Blanc sur ton Bureau
http://fradesch.perso.cegetel.net/trans ... killer.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

A cette fenêtre lance le scan.



Tu peux récupérer le rapport en validant Report

Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.


INFO::

http://support.kaspersky.com/viruses/so ... =208280684

[julien006]

Il n y a pas certains retours à la ligne dans ZHPFix

Par exemple, dans ton post, ça donne ceci:

O4 - HKUS\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [Fzuqiwareheguri] C:\Users\jepa\AppData\Local\nscher.dll (.not file.)

Et dans ZHPFix, j'ai une seule ligne, avec le C: dans la continuité de [Fzuqiwareheguri], sans retour à la ligne

Que dois-je faire dans ce cas là?

[julien006]

Voilà

Alors pour ZHPFixReport, comme je le disais dans mon post précédent, j'avais des problèmes de retours de ligne

Je t'ai fait une copie d'écran pour que tu vois:

http://i56.tinypic.com/20u22ci.jpg



Le rapport:

Rapport de ZHPFix 1.12.3260 par Nicolas Coolman, Update du 11/03/2011
Fichier d'export Registre :
Run by jepa at 21/03/2011 15:57:55
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\3 => Clé supprimée avec succès
HKLM\Software\OpenCandy => Clé supprimée avec succès
O53 - SMSR:HKLM\...\startupreg\Fzuqiwareheguri [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\jepa\AppData\Local\nscher.dll => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 2a22c128 (2a22c128) .(...) - LEGACY_2A22C128 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - klmd21 (klmd21) .(...) - LEGACY_KLMD21 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - klmd25 (klmd25) .(...) - LEGACY_KLMD25 => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - klmdb (klmdb) .(...) - LEGACY_KLMDB => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMDNS (SYMDNS) .(...) - LEGACY_SYMDNS => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SymEvent (SymEvent) .(...) - LEGACY_SYMEVENT => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMFW (SYMFW) .(...) - LEGACY_SYMFW => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMIDS (SYMIDS) .(...) - LEGACY_SYMIDS => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMNDISV (SYMNDISV) .(...) - LEGACY_SYMNDISV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMREDRV (SYMREDRV) .(...) - LEGACY_SYMREDRV => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SYMTDI (SYMTDI) .(...) - LEGACY_SYMTDI => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - vhyot (vhyot) .(...) - LEGACY_VHYOT => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKCU\..\Run: [Fzuqiwareheguri] C:\Users\jepa\AppData\Local\nscher.dll (.not file.) => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1431605009-1662845966-2266027222-1000\..\Run: [Fzuqiwareheguri] C:\Users\jepa\AppData\Local\nscher.dll (.not file.) => Valeur absente
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente
TCP Query User{3D48B4AD-8F33-49BE-B591-10FCD12F8D36}C:\programdata\150f8\ws127.exe => Valeur supprimée avec succès
UDP Query User{FE18BA58-C46C-4440-9312-53B1CE62CC9B}C:\programdata\150f8\ws127.exe => Valeur supprimée avec succès
FirewallRaz : Aucune valeur présente dans la clé de registre "Domain Profile"
FirewallRaz (Public) : {3815E209-4DF2-4CF0-964F-63927FBFE08A} => Valeur supprimée avec succès
FirewallRaz (Public) : {0C32ACE3-DA1F-469C-8D0C-C4C84671DB56} => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{4F0C0F2F-FB73-45D9-AB5E-ECE9D91B1833}C:\emule\emule.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{9FA2A73C-326B-4CAB-BB1B-AD2339FEDF45}C:\emule\emule.exe => Valeur supprimée avec succès
FirewallRaz (None) : {B26DFF27-52EA-4813-9B45-C36E27F7686F} => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{8DF00B57-F79B-48E2-9AAD-0890AB45F8E4}C:\program files\easyphp 3.0\mysql\bin\mysqld.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{FD406A57-7712-49E9-9C15-7FC79129F086}C:\program files\easyphp 3.0\mysql\bin\mysqld.exe => Valeur supprimée avec succès
FirewallRaz (Private) : TCP Query User{F35B6DDF-B4DC-45FB-90C0-ED97FC510345}C:\users\jepa\appdata\local\temp\rsxeocanwm.exe => Valeur supprimée avec succès
FirewallRaz (Private) : UDP Query User{B1BFE3F2-8839-430A-8295-0C78DAAF10C4}C:\users\jepa\appdata\local\temp\rsxeocanwm.exe => Valeur supprimée avec succès

========== Préférences navigateur ==========
G0 - GCSP: Preference [User Data\Default][HomePage] http://vshare.toolbarhome.com => Valeur supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 8

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 41

========== Tache planifiée ==========
Task : 6eb693e0 => Tâche supprimée avec succès
Task : CreateChoiceProcessTask => Tâche supprimée avec succès
Task : AppleSoftwareUpdate => Tâche supprimée avec succès
Task : Reminders - jepa => Tâche supprimée avec succès
Task : Reminders - jepa => Tâche supprimée avec succès
Task : MP Scheduled Scan => Tâche supprimée avec succès
Task : MP Scheduled Signature Update => Tâche supprimée avec succès

========== Autre ==========
(.not file.) => Format Non supporté
(.not file.) => Format Non supporté
(.not file.) => Format Non supporté
(.not file.) => Format Non supporté
(.not file.) => Format Non supporté


========== Récapitulatif ==========
15 : Clé(s) du Registre
16 : Valeur(s) du Registre
1 : Dossier(s)
1 : Fichier(s)
1 : Préférences navigateur
7 : Tache planifiée
5 : Autre


End of the scan

Pour load_tdsskiller, il m'a détecté un objet, mais je n'avais pas l'option "Cure", j'ai donc choisi "Delete" qui remplaçait "Cure"

J'avais ceci dans la fenêtre load_tdsskiller:

HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot
HKLM\SYSTEM\ControlSet003\services\sptd - will be deleted after reboot
C:\Windows\system32\Drivers\sptd.sys - will be deleted after reboot

[bernard53]

HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot
HKLM\SYSTEM\ControlSet003\services\sptd - will be deleted after reboot
C:\Windows\system32\Drivers\sptd.sys - will be deleted after reboot

Veux dire que la suppression sera faite dès que tu auras redémarre le pc, donc a faire de suite s.t.p

[julien006]

HKLM\SYSTEM\ControlSet001\services\sptd - will be deleted after reboot
HKLM\SYSTEM\ControlSet003\services\sptd - will be deleted after reboot
C:\Windows\system32\Drivers\sptd.sys - will be deleted after reboot

Veux dire que la suppression sera faite dès que tu auras redémarre le pc, donc a faire de suite s.t.p

Je ne sais pas du tout

J'ai juste copié-collé ce qu'il y avait dans la fenêtre et redémarré le PC (en cliquant sur "reboot" il me semble...)

[bernard53]

si tu as fait ceci.

J'ai juste copié-collé ce qu'il y avait dans la fenêtre et redémarré le PC (en cliquant sur "reboot" il me semble...)

C'est ok

Fait un nouveau rapport ZHP pour contrôle s.t.p

[julien006]

si tu as fait ceci.

J'ai juste copié-collé ce qu'il y avait dans la fenêtre et redémarré le PC (en cliquant sur "reboot" il me semble...)

C'est ok

Fait un nouveau rapport ZHP pour contrôle s.t.p

En re-copiant-collant dans ZHPFix ce que tu avais mis tout à l'heure ?

Ou c'est un scan ZHPDiag que tu veux, comme au début?

[bernard53]

Comme au tout début s.t.p

[julien006]

Comme au tout début s.t.p

Voilà:

http://www.cijoint.fr/cjlink.php?file=c ... QYdJUg.txt

Ca a été plus long que prévu parce que pendant l'analyse je suis allé faire autre chose, et à mon retour le PC avait redémarré!! J'ai donc recommencé

[bernard53]

OK pour le rapport c'est OK

De ton coté comment va ton pc s.t.p

[julien006]

Bonjour

Ca a l'air OK. Je n'ai plus d'alertes quand je vais dans le dossier "temp", tout est redevenu normal au niveau de Firefox...

Ca l'air d'aller...

[bernard53]

ok alors si tout va bien.


Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

Télécharge << DelFix >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.


* Lance-le.

* A l'invite, [Suppression] ()

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]


Puis:


Bon maintenant on va mettre la restauration du système propre.
Pour cela:

1- Valides les touches Windows et Pause en même temps.

Puis Protection du système

Sur cette fenêtre décoches la case concernant le DD ou est installé ton système normalement C:

Valide et acceptes les demandes suivantes.

***Pour Windows 7** il faut valider l'onglet Configurer puis valider la désactivation de la restauration.

**Toujours sur cette même fenêtre : Il te faut donc maintenant recrée un nouveau point de restauration.

Coche cette même case et valides cela par l’onglet APPLIQUER puis onglet « CREER »

Nommes ce point PC- Clean: Valides.

Vous pouvez maintenant fermer toutes les fenêtres.