[Réglé] rapport infection virus sacem • page 2

[jeanmimigab]

J'ai trouvé firefox en faisant "recherche"

je pense que tu es tombé sur un firefox.exe du pc infecté et non celui d'OTLPE

je lance OTLPE chez moi pour voir ou se trouve exactement firefox(il me semble qu'il est dans le menu démarrer) et te dis ensuite comment faire

[flore]

Victoire j'ai pu copier le rapport sur une clé USB.Je te le mets à l'endroit que tu m'as indiqué.
Merci pour ta patience!
flore

[flore]

voici le lien, j'ai réussi à le créer

Code: Tout sélectionner

http://cjoint.com/?3EgtFfR8i9n

[jeanmimigab]

whaouuu, c'est chaud...

i va me falloir une bonne heure pour te préparer le script...

@tout à l'heure

[flore]

Sincèrement Désolée! Bon courage
Au moins à " patouiller" pendant toute l 'aprés-midi avec cet ordi infecté de malheur, j'aurai appris quelque chose
flore

[jeanmimigab]

plop,

ça y est...

Copie le contenu du cadre ci dessous dans un fichier.txt (clic-droit sur ton bureau et tu choisis nouveau >> document.txt )

:OTL
SRV - [2012/01/04 07:15:06 | 003,015,168 | ---- | M] () [Auto] -- C:\Users\Usuario\AppData\Local\MAJTuto\MAJTuto.exe -- (MAJTuto)
SRV - [2011/10/01 07:34:12 | 000,034,320 | ---- | M] (MyWebSearch.com) [Auto] -- C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSSVC.EXE -- (MyWebSearchService)
IE - HKU\Usuario_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT2653012
IE - HKU\Usuario_ON_C\..\URLSearchHook: {00A6FAF6-072E-44cf-8957-5838F569A31D} - Reg Error: Key error. File not found
IE - HKU\Usuario_ON_C\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - Reg Error: Key error. File not found
FF - HKLM\Software\Wow6432Node\MozillaPlugins\@mywebsearch.com/Plugin: C:\Program Files (x86)\MyWebSearch\bar\1.bin\NPMYWEBS.DLL (MyWebSearch.com)
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\offerboxffx@offerbox.com: C:\Program Files (x86)\OfferBox\offerboxffx@offerbox.com
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Program Files (x86)\ClickPotatoLite\bin\10.0.666.0\firefox\extensions [2011/03/07 16:48:04 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\wow6432node\mozilla\Firefox\Extensions\\m3ffxtbr@mywebsearch.com: C:\Program Files (x86)\MyWebSearch\bar\1.bin [2011/10/02 07:39:40 | 000,000,000 | ---D | M]
O2 - BHO: (MyWebSearch Search Assistant BHO) - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSSRCAS.DLL (MyWebSearch.com)
O2 - BHO: (mwsBar BHO) - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O2 - BHO: (ShoppingReport2) - {258C9770-1713-4021-8D7E-1F184A2BD754} - File not found
O2 - BHO: (PCTBHO Class) - {293A63F7-C3B6-423a-9845-901AC0A7EE6E} - C:\Program Files (x86)\PCTuto\pctutoBHO.dll (PCTUTO)
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O2 - BHO: (Messenger Plus FR Toolbar) - {3d4d238c-9c48-47cd-a95c-53259acf9e56} - C:\Program Files (x86)\Messenger_Plus_FR\prxtbMess.dll (Conduit Ltd.)
O2 - BHO: (Veoh Web Player Toolbar) - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Program Files (x86)\Veoh_Web_Player\prxtbVeoh.dll (Conduit Ltd.)
O2 - BHO: (MyVideo Toolbar) - {d1e96ee9-8227-4791-adb9-c3d4bb586a8b} - C:\Program Files (x86)\MyVideo\prxtbMyV0.dll (Conduit Ltd.)
O2 - BHO: (Facetheme) - {de4e75d3-60aa-4f02-a0e4-c8a40576574c} - C:\Program Files (x86)\Object\bho_project.dll (InternetEngine)
O2 - BHO: (OfferBox) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files (x86)\OfferBox\OfferBoxBHO.dll (Secure Digital Services Limited)
O3 - HKLM\..\Toolbar: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Messenger Plus FR Toolbar) - {3d4d238c-9c48-47cd-a95c-53259acf9e56} - C:\Program Files (x86)\Messenger_Plus_FR\prxtbMess.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Veoh Web Player Toolbar) - {cd90bf73-20f6-44ef-993d-bb920303bd2e} - C:\Program Files (x86)\Veoh_Web_Player\prxtbVeoh.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (MyVideo Toolbar) - {d1e96ee9-8227-4791-adb9-c3d4bb586a8b} - C:\Program Files (x86)\MyVideo\prxtbMyV0.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKU\Usuario_ON_C\..\Toolbar\WebBrowser: (My Web Search) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSBAR.DLL (MyWebSearch.com)
O3 - HKU\Usuario_ON_C\..\Toolbar\WebBrowser: (Messenger Plus FR Toolbar) - {3D4D238C-9C48-47CD-A95C-53259ACF9E56} - C:\Program Files (x86)\Messenger_Plus_FR\prxtbMess.dll (Conduit Ltd.)
O3 - HKU\Usuario_ON_C\..\Toolbar\WebBrowser: (Veoh Web Player Toolbar) - {CD90BF73-20F6-44EF-993D-BB920303BD2E} - C:\Program Files (x86)\Veoh_Web_Player\prxtbVeoh.dll (Conduit Ltd.)
O3 - HKU\Usuario_ON_C\..\Toolbar\WebBrowser: (MyVideo Toolbar) - {D1E96EE9-8227-4791-ADB9-C3D4BB586A8B} - C:\Program Files (x86)\MyVideo\prxtbMyV0.dll (Conduit Ltd.)
O3 - HKU\Usuario_ON_C\..\Toolbar\WebBrowser: (SweetPacks Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [comnetwork] C:\Users\Usuario\AppData\Local\comnetwork\comnetwork.exe ()
O4 - HKLM..\Run: [My Web Search Bar Search Scope Monitor] C:\Program Files (x86)\MyWebSearch\bar\1.bin\M3SRCHMN.EXE (MyWebSearch.com)
O4 - HKLM..\Run: [MyWebSearch Email Plugin] C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKLM..\Run: [PCTuto] C:\Program Files (x86)\PCTuto\pctuto.exe (PCTUTO)
O4 - HKLM..\Run: [SweetIM] C:\Program Files (x86)\SweetIM\Messenger\SweetIM.exe (SweetIM Technologies Ltd.)
O4 - HKU\Usuario_ON_C..\Run: [d31ybB8YFv9cUxg] C:\Users\Usuario\AppData\Roaming\itunes_service01.exe ()
O4 - HKU\Usuario_ON_C..\Run: [MyWebSearch Email Plugin] C:\Program Files (x86)\MyWebSearch\bar\1.bin\MWSOEMON.EXE (MyWebSearch.com)
O4 - HKLM..\RunOnce: [autoupdater] C:\Users\Usuario\AppData\Roaming\PCtuto\UpdatePCTuto\autoupdater.exe (PCTuto)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O7 - HKU\Usuario_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Usuario_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Usuario_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O8:64bit: - Extra context menu item: Buscar en la web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
O8 - Extra context menu item: Buscar en la web - C:\Program Files (x86)\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
O9 - Extra Button: ShopperReports - Compare product prices - {DB38E21A-0133-419d-92AD-ECDFD5244D6D} - File not found
O9 - Extra Button: ShopperReports - Compare travel rates - {EB620C54-E229-4942-87CE-E717109FC8C6} - File not found
O20 - HKU\Usuario_ON_C Winlogon: Shell - (C:\Users\Usuario\AppData\Roaming\itunes_service01.exe) - C:\Users\Usuario\AppData\Roaming\itunes_service01.exe ()
O20 - HKU\Usuario_ON_C Winlogon: UserInit - (C:\Users\Usuario\AppData\Roaming\itunes_service01.exe) - C:\Users\Usuario\AppData\Roaming\itunes_service01.exe ()
[1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
@Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:E07230CC
@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:D1B5B4F1
O20 - HKU\Usuario_ON_C Winlogon: Shell - (C:\Users\Usuario\AppData\Roaming\itunes_service01.exe) - C:\Users\Usuario\AppData\Roaming\itunes_service01.exe ()
O20 - HKU\Usuario_ON_C Winlogon: UserInit - (C:\Users\Usuario\AppData\Roaming\itunes_service01.exe) - C:\Users\Usuario\AppData\Roaming\itunes_service01.exe ()

:Files
C:\ProgramData\bike bat bat.*
C:\Users\Usuario\AppData\Local\MAJTuto
C:\Program Files (x86)\MyWebSearch
C:\Program Files (x86)\OfferBox
C:\Program Files (x86)\ClickPotatoLite
C:\Program Files (x86)\PCTuto
C:\Program Files (x86)\ConduitEngine
C:\Program Files (x86)\Messenger_Plus_FR\prxtbMess.dll
C:\Program Files (x86)\Veoh_Web_Player\prxtbVeoh.dll
C:\Program Files (x86)\MyVideo\prxtbMyV0.dll
C:\Program Files (x86)\Object\bho_project.dll
C:\Program Files (x86)\SweetIM
C:\Users\Usuario\AppData\Local\comnetwork
C:\Users\Usuario\AppData\Roaming\itunes_service01.exe
C:\Users\Usuario\AppData\Roaming\PCtuto
C:\Users\Usuario\AppData\Local\dzxmk_navps.dat
C:\Users\Usuario\AppData\Local\dzxmk_nav.dat
C:\Users\Usuario\AppData\Local\dzxmk.dat
C:\Users\Usuario\AppData\Local\cmwqgoo.bat
C:\Users\Usuario\AppData\Roaming\FissaSearch
C:\Users\Usuario\AppData\Roaming\OfferBox
C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
C:\ProgramData\ClickPotatoLiteSA
C:\ProgramData\comp two long internet
C:\ProgramData\Games-Attack
C:\ProgramData\SweetIM

:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\\WINDOWS\\\system32\\\userinit.exe,"
"Shell"="explorer.exe"

:Commands
[emptytemp]

tu enregistre ce document.txt et tu le met sur ta clef USB

Tu branches ta clef USB sur le PC infecté et tu ouvres le document.txt.
Tu copie l'intégralité du document...
tu relances OTL sur le pc infecté
OTL se lance tu arrives sur cette fenêtre



Tu colle le contenu que tu as copiés sous" Custom Scan box" comme indiqué sur l'image du dessus

et tu cliques cette fois-ci sur Run Fix

laisse OTL travaillé (ça peut prendre plusieurs minutes) jusqu'a ce qu'il te demande de redémarrer le PC

Une fois que le bureau disparait et que le PC entame son redémarrage, tu éjectes le CD d'OTLPE et avec un peu de chance Windows devrait redémarrer

[flore]

Sincèrement Merci!
Je vais suivre les instructions.Je te dirai demain si cela a marché!
Bonne soirée!
florence

[jeanmimigab]

Bonne soirée à toi aussi

[flore]

C est encore moi .
C'est bon windows a redémarré! . Par contre les icônes ont disparu notamment la corbeille.J'ai supprimé de suite un jeu téléchargé que mon fils soupçonne comme le coupable.Mais je voulais vider la corbeille ensuite pour éliminer définitivement. Ou se trouve la corbeille? Bête comme question sûrement!
En tout cas Bravo pour le boulot!
Flore

[jeanmimigab]

hello,

je te réponds ce soir car même si il a redémarré, il est loin d'être clean

en attendant ne te sert pas du pc et ne le connectes pas au web stp...

@++

[flore]

OK pour ce soir ,pas de problémes.
Bonne journée!
Flore

[jeanmimigab]

Bonsoir Flore

on est repartis pour un tour...

On a des risques de présence d'un rootkit TDSS....

Télécharge >> TDSSKiller << (Kapersky Lab) sur ton bureau.
Fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur pour l'exécuter
Si une détection apparait après le scan, suis les instructions et autorise le redémarrage du pc
/!\ ne change pas l'action proposée par TDSSKiller en fin de scan (skip, quarantine, cure ) /!\
Poste le rapport "C:\TDSSKiller_Quarantine\DATE_HEURE"

Si tu as des difficultés, il y a un tuto sur cette page

ensuite...

• télécharge Malwarebytes.
• tuto de Danakil en cas de besoin
• Installe Malwarebyte et une fois lancé, choisis "exécuter un examen rapide" et à la fin du scan , coches tous les éléments trouvés,et cliques sur supprimer la sélection.
• Postes moi le rapport stp.

[flore]

Bonsoir ,
Oups encore tout ça . Bon je vais suivre tes instructions pas à pas, je te tiens au courant,
Flore

[jeanmimigab]

ben c'est du lourd comme infection, ça va va être plus facile maintenant

[flore]

Deja le scan de TDSSKiller me dit qu'il a scanné 230 objects et qu'il n'a rien trouvé, Infection: no found.
Donc pas de rapport aprés. J'ai bien mis executer comme administrateur.
Je continue alors?