[Vista] Infection virus

[Pataplop]

Bonsoir à vous,
Mon frère est actuellement victime d'une infection similaire au problème de ce post : virus-failed-to-save-all-vt-60196.html .
Comme je pense que chaque procédure est unique suivant les cas, je me permets d'ouvrir un nouveau sujet.

Concernant les symptômes, son bureau à un fond noir et tout les icônes et programmes ont disparus du menu démarrer.
Un grand nombre de fenêtre d'erreur s'ouvre également, le message d'erreur est le suivant : "Failed is components for the the file //System32//0000169d. The file is corrupted or unreadable. This error may be caused by a PC hardware problem"
Une fenêtre s'ouvrant en bas à droite indique :

Files indexation process failed

Indexation process faillure may cause :
! File may became unreadable
! Files and documents can be lost
! Operation System may slow down dramatically

Des faux antivirus se sont également ouvert et ont lancés des faux scans (avec forcément plein de virus trouvés) incitant à acheter les versions complètes.

Pour le moment la connexion internet est coupée pour éviter d'autres infections malencontreuses. Je réactiverai la connexion si des téléchargements de logiciel s'imposent.

Voili, voilou, merci d'avance à ceux qui prendront le temps de se pencher sur le problème.

[Del-crosseur]

Bonsoir ,

En Mode Sans Échec avec prise en Charge du Réseau:

• Télécharger sur le bureau RogueKiller de Tigzy
• Quitter tous les programmes en cours
• Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
• Sinon lancer simplement RogueKiller.exe
• Une fois ouvert , taper 2 et valider
• Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), poste moi le rapport...
• Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

Relance RogueKiller puis tape cette fois si 6
Poste-le rapport


Ensuite :::



Télécharge puis installe :

par Marcin Kleczynski

*** Met-le à jour(très important ) , puis coche, "Exécuter un examen complet"

*** Si une infection est trouvée, coche la case à coté et valide avec l’Onglet Supprimer la sélection

*** Après la suppression , l'outil va surement te demander de redémarrer l'ordinateur -->accepte<--

*** il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

Poste le rapport final.

Ps:Au cas ou tu n'a pas le rapport suite à une erreur de manipulation ; relance Malwarebytes puis rends toi dans l'onglet "rapports/Logs" selectionne le dernier puis Copier/Coller dans ta réponse

Une fois tous ceci effectué , reviens en Mode Normale pour me poster les rapports demandé , ainsi me dire si le pc
fonctionne ( correctement )

Bonne soirée !

[Pataplop]

1ère étape : je poste comme indiqué , je ferai le reste de la manip demain

Premier rapport :

RogueKiller V6.1.9 [16/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Paul [Droits d'admin]
Mode: Suppression -- Date : 17/11/2011 23:56:11

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt





Je constate, avec plaisir, que certain de mes icones sont revenus.
Second rapport :




RogueKiller V6.1.9 [16/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Paul [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 17/11/2011 23:59:27

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 798 / Fail 0
Lancement rapide: Success 10 / Fail 0
Programmes: Success 67833 / Fail 0
Menu demarrer: Success 67 / Fail 0
Dossier utilisateur: Success 9775 / Fail 0
Mes documents: Success 4131 / Fail 0
Mes favoris: Success 33 / Fail 0
Mes images: Success 48 / Fail 0
Ma musique: Success 478 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 72723 / Fail 5
Sauvegarde: [FOUND] Success 13 / Fail 1

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[E:] \Device\HarddiskVolume3 -- 0x3 --> Restored

¤¤¤ Infection : Fake HDD ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt


Voila, je poursuivrai la manipulation demain dès que j'aurai le temps.
Merci pour la rapidité de l'assistance

Edit : 2ième étape :

Rapport Malwarebyte :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8186

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

18/11/2011 12:37:45
mbam-log-2011-11-18 (12-37-45).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 424701
Temps écoulé: 2 heure(s), 49 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Paul\AppData\Local\Temp\F4CE.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Paul\AppData\Local\Temp\0.036104530595940876fdrgs.exe (Exploit.Drop.GTYE) -> Quarantined and deleted successfully.
c:\Users\Paul\AppData\Local\Temp\0.624295566233221gtye.exe (Exploit.Drop.GTYE) -> Quarantined and deleted successfully.
c:\Users\Paul\AppData\Local\Temp\2AA6.tmp (Backdoor.IRCBot.kf) -> Quarantined and deleted successfully.
c:\Users\Paul\AppData\Local\Temp\~!#FF2B.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Paul\AppData\Local\Temp\msimg32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Paul\AppData\Local\Temp\wmupdate.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\Users\Paul\AppData\LocalLow\Sun\Java\deployment\cache\6.0\27\1837775b-7a2fb9af (Exploit.Drop.GTYE) -> Quarantined and deleted successfully.
c:\Users\Paul\AppData\Roaming\microsoft\Windows\start menu\Programs\security shield.lnk (Rogue.SecurityShield) -> Quarantined and deleted successfully.
c:\Users\Paul\AppData\Roaming\microsoft\Windows\start menu\Programs\security tool.lnk (Rogue.SecurityTool) -> Quarantined and deleted successfully.
c:\Users\Paul\local settings\application data\windows server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.

Je n'ai pas encore regardé si tout marchait bien je verrai ça ce soir.

[Del-crosseur]

Bonsoir ,

Se n'est pas terminé

Fais ceci :



Télécharge ZHPDiag par Nicolas Coolman et sauvegarde-le sur le Bureau.

• Laisse toi guider lors de l'installation, le programme se lancera automatiquement à la fin.
  
• /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag:
  « exécuter en tant qu'Administrateur »/!\
  
• Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
  
• /!\Ne touche pas au pc lors du Scan ,celui-ci provoquerait un Gel du programme/!\
  
• Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette
  
• Va sur le site http://cjoint.com/
  
• Clique sur le bouton Parcourir et sélectionne le dernier rapport ZHPDiag.txt qui est sur ton bureau.
  
• Clique ensuite sur Créer le lien Cjoint pour déposer le fichier
  
• Patiente puis copie/colle dans ta réponse le lien qui apparait

Note: pour les utilisateurs d'Avast : Cet antivirus génère des alertes, il s'agit de faux positif (fausses alertes) délivrés par l'antivirus lorsqu'il rencontre une base de donnée PARADOX Delphi Borland.

Bonne fin de journée !

[Pataplop]

Voici ci-dessous le lien demandé :

http://cjoint.com/11nv/AKsttw7WRI9.htm

[Del-crosseur]

Bonsoir ,

A partir du raccourci sur le Bureau
Lance-le par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur" sous Vista et Seven.
/!\Fermer toutes applications en cours/!\

• Lance ZHPFix en fonction de ton système d'exploitation.
• Copie/colle toutes les lignes en Bleu que tu vois dans cette citation:
  
  

  
  [HKLM\Software\Classes\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
  O51 - MPSK:{33ee73c1-b5a7-11de-8545-00256957970c}\AutoRun\command. (...) -- F:\autorun.exe (.not file.)
  [MD5.B7F4787840532CCFC18025C383E83644] [SPRF][07/11/2011] (.Electronic Arts, Inc. - Origin.) -- C:\Users\Paul\AppData\Local\Temp\Setup.exe [47020208]
  
  FirewallRaz
  EmptyFlash
  Emptytemp
  

  
  
  (Ctrl+A pour tout sélectionner, Ctrl+C pour copier) ou avec la souris tout sélectionner, clic droit =>copier
• Clique sur l'icône représentant la lettre (« coller les lignes Helper »)
  les lignes se placent dans la fenêtre de ZHPFix => tu ne dois voir que celles-là
• Valide par "OK"
• Clique sur « Tous », puis sur « Nettoyer » Ne touche pas au pc pendants la suppression(Risque de plantage) Le temps varie en fonctions des lignes à supprimer
• Héberge le sur cijoint.fr et poste moi le lien fourni

Puis :::

Va sur VirusTotal
puis analyse cette ligne:
=> C:\Users\Paul\AppData\Local\Temp\EAD13FC.exe

Poste-moi le rapport

Bonne soirée !

[Pataplop]

Voici le lien menant au rapport de ZHPfix :

http://cjoint.com/11nv/AKsvwafE0AD.htm

Concernant virus total si tu pouvais m'indiquer la procédure pour faire analyser la ligne (je suis assez paumé on va dire).

[Del-crosseur]

Consulte se tuto
=> http://forum.malekal.com/virustotal-com ... t9828.html

[Pataplop]

Me revoilà, désolé de l'absence un peu longue, je n'ai pas au accès au pc et à internet de la semaine.

Après avoir cherché le fichier pour le faire scanner, je n'ai pas réussi à le trouver, le fichier semble ne plus être à l'emplacement correspondant, et la recherche n'a rien donnée non plus.
Cela est-il gênant pour la procédure ? ou est ce qu'il y a moyen de passer cette étape / trouver un autre moyen équivalent ?

Merci encore et désolé pour l'absence sans nouvelle.

[Del-crosseur]

Bonsoir ,

Pas grave :

Nous allons effectuer un Scan avec NOD32

*** Scan en ligne ->

_->Cliquez sur le bouton

_->Accepter les conditions d’utilisation, pour cela, cochez la case « Oui, j’accepte les termes du contrat de licence »
_->Cliquez ensuite sur le bouton Start
_->Acceptez l’installation de l’ActiveX NOD32
_->Le téléchargement des définitions virales s’effectuent, cela peut prendre du temps selon la vitesse de connexion.
_->Cocher la case "Supprimer les menaces détectées"
_->Clique sur le bouton Démarrer pour lancer le scan
_->Le scan du PC se lance, les menaces détectées apparaissent dans la liste en dessous de la barre de progression.
_->Laissez l’analyse s’effectuer entièrement
_->Cliquer sur le bouton « liste des menaces » permettant d’exporter la liste dans un fichier texte
_->Enregistrer celui-ci sur votre bureau par exemple

Poste moi le rapport

[Pataplop]

Hum j'avais lancé un premier scan mais les plombs ont sauté pile à la fin du scan...
Du coup j'ai relancé le scan mais comme aucun résultat positif n'a été décelé, je n'ai pas vu de bouton "Listes des menaces" disponible à la fin du scan.

S'il y a d'autres choses à faire j'essayerai de m'en occuper au plus vite.

Merci encore pour l'assistance

[Del-crosseur]

Bonsoir ,

Ok , fais ceci:

Attention , se Script a étais spécialement crée en fonction des infections présente sur se pc , il ne doit être en aucun cas utiliser/reproduit sur un autre ordinateur

==========================================

• Copie/colle toutes les lignes en Bleu que tu vois si-dessous
  
  
  [MD5.AD1017B2AFBC7028CB5B59B67CDAF0C6] [SPRF][17/11/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD13FC.exe [14336]
  [MD5.64DE6D6FFEDD88DC68742175716C90AB] [SPRF][04/11/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD2C4D.exe [16384]
  [MD5.D6F8E02AAADCC44110FB2F3D92E7835F] [SPRF][28/08/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD31F8.exe [4096]
  [MD5.D7976CEB2AA1904E3074B90CF8B94268] [SPRF][02/09/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD362C.exe [24576]
  [MD5.FE99E00694CA3DCC37A109A8244D83EC] [SPRF][08/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD3EB4.exe [18432]
  [MD5.523084F65F74E2BA58F48CA2B639C107] [SPRF][10/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD5234.exe [22528]
  [MD5.AAF9F0EE37B6524C4D9C96253F5BBC30] [SPRF][10/09/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD58E8.exe [40960]
  [MD5.80F04024A2B872D8284A37193DCABE7B] [SPRF][28/08/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD5AFB.exe [38912]
  [MD5.4B3CAEA7682FF5570C62861B888D904F] [SPRF][20/08/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD6D81.exe [32768]
  [MD5.1C8F11FAC33CFF39E015BE151399439A] [SPRF][11/09/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD6E3C.exe [16384]
  [MD5.DA34A92DC778ED524CB38330D1269021] [SPRF][18/11/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD753E.exe [55296]
  [MD5.3D8D6E607CD682ACD08AF2403D80F3F8] [SPRF][16/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD7A4D.exe [49152]
  [MD5.0F9C4C2586F8C9D5EF364B6E40733E4B] [SPRF][20/08/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD7BD3.exe [4096]
  [MD5.D53537B90B149EA265B193A2B19BDA24] [SPRF][25/08/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD7D79.exe [16384]
  [MD5.DCF95BEA03023858300785E51E8C6DB4] [SPRF][19/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD7DD6.exe [28672]
  [MD5.5341BC400686F8F0897E6F0CC1E03326] [SPRF][31/08/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD8046.exe [6144]
  [MD5.B9A4B410503A830129DFDE8C16D97B93] [SPRF][04/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD87C5.exe [53248]
  [MD5.F1F1847BABF1A4B819876415B6E23B51] [SPRF][15/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EAD95C9.exe [26624]
  [MD5.E219E88C605AA95C5B6EE1890FAA437E] [SPRF][17/11/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADA3BD.exe [45056]
  [MD5.641C44DD050BB355D74AE3381DAF17C3] [SPRF][02/11/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADAFBE.exe [24576]
  [MD5.1233E40D4A11265E42EB84E5510F1EA4] [SPRF][10/09/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADBECC.exe [20480]
  [MD5.AC3CEDBB326B9BACC33FB7FDB5212659] [SPRF][23/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADC541.exe [10240]
  [MD5.857FA6A5C8F546FCCC9B2FFEB7CB545C] [SPRF][22/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADCE27.exe [16384]
  [MD5.951848639C8F68503D656B6FEFB966D6] [SPRF][08/11/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADD586.exe [26624]
  [MD5.89A28F187D11EB89F65060D28238B99D] [SPRF][16/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADDD05.exe [45056]
  [MD5.72D682761BBA4A5B61B80091C8BA5B22] [SPRF][19/08/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADE214.exe [26624]
  [MD5.0A2703B1328F9E9208F97D400491F897] [SPRF][08/10/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADF565.exe [43008]
  [MD5.AD1017B2AFBC7028CB5B59B67CDAF0C6] [SPRF][18/11/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADF92C.exe [14336]
  [MD5.5632B3BC71DF0A251CF7B916C43B4556] [SPRF][18/11/2011] (...) -- C:\Users\Paul\AppData\Local\Temp\EADFF54.exe [16384]
  
  Emptytemp
  
• A partir du raccourci sur le Bureau
• Lance ZHPFix par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur" sous Vista et Seven.
  /!\Fermer toutes applications en cours/!\
• Clique sur l'icône représentant la lettre (« coller les lignes Helper »)
  les lignes se placent dans la fenêtre de ZHPFix => tu ne dois voir que celles-là
• Valide par "OK"
• Clique sur « Tous », puis sur « Nettoyer » Ne touche pas au pc pendants la suppression(Risque de plantage) Le temps varie en fonctions des lignes à supprimer
• Héberge le sur Cjoint.com et poste moi le lien fourni (Consulte le tuto si besoin)

Comment se comporte votre pc à présent ??

Bonne soirée !

[Pataplop]

Voici le lien du rapport :

http://cjoint.com/11nv/AKExpPM3GsT.htm

Je testerai le pc un peu plus tard et j'éditerai le message pour dire comment il se porte ^^

[Del-crosseur]

Bonsoir ,

Pas de soucis

@ +

[Pataplop]

Après tests, il semblerait que le pc soit de nouveau normal.
Si jamais des résidus refont surface je ré-uperai le post pour décrire les nouveaux symptômes.

Merci beaucoup pour l'assistance .