[Réglé] Infections dont Malware 32 Gen • page 2

[dillidan]

Bonjour, Pre scan ne fonctionne pas. La premiere version a pour effet de tout effacer à l'ecran ( reste que le fond d'ecran) et rien n'est possible (ctrl + alt + supr n'a aucun effet...)

La deuxieme version se lance ( ouverture de al boite de dialogue rouge) et une fois cliqué sur kill scanner, même effet que précedement...

:( un rapport ZHP DIAG te serai peut etre utile?

J'ai l'impression que le pc se emt à ramer.. et malgré tous les virus enlevés avec les logiciels ca ne va pas mieux ...

[Yanis91270]

Peux tu me dire le nom du dossier où se cache le virus s'il te plait.

[dillidan]

avast me emt toujour ce fichier en quarantaine avec malware gen 32

c:\windows\installer\{0933efbf-ea2d-9e6a-9b99-b419583b72d2}\U

il le met en quarantaine toute les 5 minutes!!! :S

puis il bloque aussi une demande d'url eutomatique aussi sous le nom de service.exe

[Yanis91270]

• AVANT D' UTILISER COMBOFIX •

Tu utilises un logiciel d'émulation de CD, Daemon Tools peur gêner les outils de désinfection.
Utilises Defogger pour les désactiver temporairement :

• Télécharges Defogger sur ton Bureau.
• Lances le.
• Une fenêtre va apparaitre. Cliques sur Disable.
• Redémarres ton Ordinateur si Defogger te le demande.

• Désactives l' U.A.C. le temps de la désinfection.
• Fermes tous tes programmes et applications en cours.
• Deconnectes toi d' Internet.
• Désactives tous tes logiciels de protection (AntiVirus, AntiSpyware, AntiMalwara, PareFeu, ...)
• Pendant la durée de cette étape, ne te sert pas du pc et n'ouvres aucun programme.

• Fais un clique droit sur ComboFix et enregistres le sur Ton bureau sous un autre nom exemple « ton pseudo.exe ».

/!\ Utilisateur de Windows Vista et Windows Seven : Clique droit sur le logo de ComboFix, « Exécuter en tant qu'Administrateur » /!\

/!\ Acceptes l'installation de la console de récupération si ComboFix te le demande /!\

• Réponds Oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
• Il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

• En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection, laisses-le faire.
• ComboFix va ouvrir le bloc-notes et y copier le rapport d'analyse.
• Enregistres le rapport sur ton Bureau.
• Héberges le rapport ComboFix sur CJoint.com
• Postes le lien donné.

• APRÈS AVOIR UTILISER COMBOFIX •

• Ré-actives la protection de l' U.A.C.
• Réactives Daemon Tools en relançant Defogger et en cliquant sur Re-enable.

[dillidan]

Bon..............

Combo Fix s'est bien déroulé ... aprés avoir enelver Daemon Tools et Avast... il a même redemaré l'ordi et s'est relancé au démarrage...

Sauf que je n'ai aucun rapport! ni au démarrage ni dans le C:\ :(

Pendant le deroulement de Combofif il ya 6 fichier qu'il n'a pas pu ouvrir (des backup)...

Je comprend pas pourquoi je n'ai pas de rapport... et je l'ai relancé une fois mais il n'a pas fait redemarré le PC, et toujours sans rapport!

[Yanis91270]

/!\ Désactives ton antivirus afin de ne pas ralentir l'analyse et d'afficher des messages d'alerte ! /!\

• Télécharges Eset (Scan en Ligne) sur ton Bureau.

• Lances le fichier.
• Acceptes les conditions.
• « Autoriser le programme à accéder à Internet ».
• Cliques sur "Paramètre Avancées" pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement).
• Téléchargements des signatures.

• L'analyse débute dés la fin du téléchargement.
• Résultat: Si aucune menace n'est détectée, il vous affichera un message vert vous le précisant, dans le cas contraire voici le message.
• Générer le rapport: Cliquer sur liste des menaces détectées puis sur Exporter dans un Fichier Texte ...
• Postes le rapport.

[dillidan]

voici le rapport

C:\Qoobox\Quarantine\C\Windows\Installer\{0933efbf-ea2d-9e6a-9b99-b419583b72d2}\U\80000000.@.vir Win64/Sirefef.AE cheval de troie nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\Windows\Installer\{0933efbf-ea2d-9e6a-9b99-b419583b72d2}\U\800000cb.@.vir Win64/Sirefef.AH cheval de troie nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\Windows\Installer\{0933efbf-ea2d-9e6a-9b99-b419583b72d2}\U\trz5ACD.tmp.vir Win64/Sirefef.AE cheval de troie nettoyé par suppression - mis en quarantaine
C:\Qoobox\Quarantine\C\Windows\System32\services.exe.vir Win64/Patched.B.Gen cheval de troie supprimé - mis en quarantaine

[Yanis91270]

• Télécharges & Installes ZHPDiag sur ton Bureau.

/!\ Utilisateur de Windows Vista et Windows Seven : Clique droit sur le logo de ZHPDiag, « Exécuter en tant qu'Administrateur » /!\

• Lances ZHPDiag.
• Cliques sur la Fléche Verte pour mettre à jour ZHPDiag.
• Cliques sur Option qui est représenté par l'icône d' un tournevis, et cliques sur Tous.
• Cliques sur l'icône représentant une loupe « Lancer Le Diagnostic ».
• Patientes le temps de l'analyse.
• A la fin de l'analyse, enregistres le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.
• Héberges le rapport ZHPDiag sur CJoint.com
• Postes le lien donné.

/!\ Note: Pour éviter de figer l'analyse ZHPDiag, laisses le travailler sans toucher à ton PC /!\

[dillidan]

et voici

http://cjoint.com/?BFvpnNHlFgi

[HexCrunch]

plop

je prends le relais de ta désinfection..
di moi comment va le PC pendant que j'analyse ton rapport
EDIT
Attention , ce Script a étais spécialement crée en fonction des infections présente sur se pc , il ne doit être en aucun cas utiliser/reproduit sur un autre ordinateur

==========================================

• Copie/colle toutes les lignes en Bleu que tu vois si-dessous
  
  
  
  R3 - URLSearchHook: (no name) [64Bits] - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (...) (No version) -- (.not file.)
  O4 - HKCU\..\Run: [KiesPDLR] C:\Windows\system32\External\FirmwareUpdate\KiesPDLR.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [Launch 17795] (...) -- C:\Program Files (x86)\Orange\Logiciel de Synchronisation Orange\Voxsync.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [{6075F95C-91A2-4098-B9B5-5B3C8F1174B3}] (...) -- c:\program files (x86)\internet explorer\iexplore.exemlevelpresent (.not file.)
  O43 - CFD: 09/02/2012 - 19:52:47 - [0,313] ---AD C:\ProgramData\Temp
  O43 - CFD: 16/12/2010 - 11:26:37 - [33,621] ----D C:\ProgramData\{23D58E70-3B83-4B83-A227-68770F84F5EC}
  O43 - CFD: 14/03/2010 - 21:14:17 - [19,334] ----D C:\ProgramData\{657095DF-DBDB-4B17-8245-B38845C97069}
  O43 - CFD: 25/03/2012 - 10:57:45 - [45,653] ----D C:\ProgramData\{A8DA1505-E615-42BB-BB77-74D5CC91FE7E}
  O43 - CFD: 22/08/2009 - 06:23:04 - [5,393] --H-D C:\ProgramData\{ADCBF7A8-716E-4B21-AF03-E3F11C06C309}
  O43 - CFD: 14/09/2011 - 13:15:43 - [45,266] ----D C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
  O43 - CFD: 11/05/2010 - 20:09:40 - [20,236] ----D C:\ProgramData\{DA06AA03-DF24-4ECE-939E-1B0939235C66}
  O43 - CFD: 07/06/2012 - 21:16:53 - [0,002] -SH-D C:\Users\guillaume\AppData\Local\{0933efbf-ea2d-9e6a-9b99-b419583b72d2}
  [MD5.259BB147A4B09E774BD8DA07C514C801] [SPRF][11/06/2012] (...) -- C:\Users\guillaume\AppData\Local\Temp\Uninst.bat [641]
  
  proxyfix
  FirewallRaz
  EmptyFlash
  Emptytemp
  
• A partir du raccourci sur le Bureau
• Lance ZHPFix par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur" sous Vista et Seven.
  /!\Fermer toutes applications en cours/!\
• Clique sur l'icône représentant la lettre (« coller les lignes Helper »)
  les lignes se placent dans la fenêtre de ZHPFix => tu ne dois voir que celles-là
• Valide par "OK"
• Clique sur « Tous », puis sur « Nettoyer » Ne touche pas au pc pendants la suppression(Risque de plantage) Le temps varie en fonctions des lignes à supprimer
• Héberge le sur Cjoint.com et poste moi le lien fourni (Consulte le tuto si besoin)

amicalement

[dillidan]

merci beaucoup pour votre aide!!

le Pc est un peu lent parfois, je n'ai plus eu les alertes avast toute les 5 min pour url malveillante (service.exe) et Malware 32 gen car j'ai desactivé l'antivirus et j'avoue que depuis 2 jours je n'ai pas pensé à le reactivé ( je viens de le faire ... et les alertes sont toujours là!!)

et voici

http://cjoint.com/?BFvrUA6NXNS

amicalement.

[HexCrunch]

salut
coriace ce morpion mais traitable
nous allons utiliser un autre outil de diagnostic

pourrais-tu e dire si c'est service.exe ou bien services.exe
fais moi stp une imprim. écran sur l'alerte

fais moi un NOUVEAU OTL stp avec le scan personnalisé suivant

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s
%temp%\smtmp\1\*.* /s
%temp%\smtmp\2\*.* /s
%temp%\smtmp\4\*.* /s
nslookup http://www.google.fr /c
SAVEMBR:0
NetSvcs
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
/md5start
dwm.exe
taskhost.exe
taskeng.exe
wscntfy.exe
ctfmon.exe
rdpclip.exe
volsnap.sys
sptd.sys
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
services.exe
service.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

PUIS


Télécharge load_tdsskiller de Loup Blanc sur ton Bureau
http://fradesch.perso.cegetel.net/trans ... killer.exe
ou la:
http://support.kaspersky.com/downloads/ ... killer.zip

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

A cette fenêtre lance le scan.



Tu peux récupérer le rapport en validant Report

Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.

INFO::
http://support.kaspersky.com/viruses/so ... =208280684

Si TDSS.tdl2 est détecté l'option "delete" sera cochée par défaut.
• Si TDSS.tdl3 est détecté assure toi que "Cure" est bien cochée.
• Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que "Cure" est bien cochée.
• Si Suspicious file est indiqué, laisse l'option cochée sur "Skip"
• Clique sur Continue puis sur Reboot now pour redémarrer le PC.

amicalement

[dillidan]

Voici le rapport OTL

http://cjoint.com/?BFwmAiO3tbR

1 detection avec tds killer: 1 objet suspect verouillé (SKIP)

Merci

[HexCrunch]

salut

courage cette fois on le tient de bon bout

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE:64bit: - HKLM\..\SearchScopes\{420EF844-F749-4AB0-8C55-4515669ED071}: %µ£URL%µ£ = http://slirsredirect.search.aol.com/sli ... 156&query={searchTerms}&invocationType=tb50hpcndtie7-fr-fr
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes\{420EF844-F749-4AB0-8C55-4515669ED071}: %µ£URL%µ£ = http://slirsredirect.search.aol.com/sli ... 156&query={searchTerms}&invocationType=tb50hpcndtie7-fr-fr
IE - HKU\S-1-5-21-1029564177-2171347870-3638830632-1001\..\SearchScopes,DefaultScope = {FE0C2CED-3D6E-4112-8078-3FC7BD7A4AA5}
[2012/02/08 13:42:16 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA}
O3:64bit: - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\S-1-5-21-1029564177-2171347870-3638830632-1001\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKLM..\Run: [] File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O20:64bit: - HKLM Winlogon: VMApplet - (/pagefile) - File not found
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O28:64bit: - HKLM ShellExecuteHooks: {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - C:\PROGRA~1\MICROS~2\Office14\GROOVEEX.DLL (Microsoft Corporation)
O28 - HKLM ShellExecuteHooks: UPB:{B5A7F190-DDA6-4420-B3BA-52453494E6CD} - No CLSID value found.
[2012/06/18 17:25:42 | 000,022,016 | ---- | C] () -- C:\Windows\Installer\{0933efbf-ea2d-9e6a-9b99-b419583b72d2}\U\800000cb.@
[2012/06/18 17:25:41 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{0933efbf-ea2d-9e6a-9b99-b419583b72d2}\U\80000000.@
[2012/01/11 19:19:52 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{0933efbf-ea2d-9e6a-9b99-b419583b72d2}\@
[2011/12/23 11:08:05 | 000,000,085 | -HS- | C] () -- C:\ProgramData\.zreglib

:files
C:\Windows\Installer\{0933efbf-ea2d-9e6a-9b99-b419583b72d2}
C:\ProgramData\.zreglib
C:\Windows\SysWow64\bandoolmx.dll

:commands
[emptytemp]
[emptyflash]
[reboot]

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.
http://cjoint.com/


dis moi comment vont ces alertes

amicalement

[dillidan]

Bonjour, les alertes sont revenues :( avant lutilisation d'OTL!!!!

voici la capture:
http://cjoint.com/?BFzjBtrn6DL

J'ai realisé la procedure:

voici le rapport OTL

http://cjoint.com/?BFzjYo0AzVU

Pour le moment pas d'alertes...

amicalement.