Bonsoir à tous, mon pc est infecté d'un virus malsain et sournois qui se prétend être un antivirus (plusieus icones apparaissent en bas à droite), de nouvelles fenêtres s'ouvrent toutes les 30 secondes me disant que mon ordi est en danger et comble du vice il s'éteind et redémarre tout seul.
Une âme charitable pourrait-elle m'aider ?
Forums Zebulon.fr: PC infecté - Forums Zebulon.fr
Connexion »
Nouvel utilisateur ? Inscrivez-vous !
Aide
Nouvel utilisateur ? Inscrivez-vous !
Aide
- (4 Pages)
-
- 1
- 2
- 3
- →
- Dernière »
PC infecté
Noter :
#2
Apollo 
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 17916
- Inscrit(e) : 21-novembre 04
Posté 23 septembre 2010 - 10:52
Bonsoir,
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits
>>>Tu peux héberger les deux rapports de RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.
Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.
@++
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits
- Double-clique sur RSIT.exe afin de lancer RSIT.
Important :
* Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
* Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
Valide par Appliquer.
- Clique Continue à l'écran Disclaimer.
- Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
>>>Tu peux héberger les deux rapports de RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.
Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.
@++
- Ne pas utiliser ComboFix sauf demande expresse d'un membre du groupe sécurité de Zébulon! Trouver le rapport d'Antivir.- Je ne réponds pas aux demandes d'aide par MP-Antispam 32/64 Bits. Créez votre propre sujet avec le bouton "Commencer un sujet". SOS Villages d'enfants- Vista-XP.fr- Ne postez pas sur plus d'un forum pour traiter le même sujet!. Restaurer le Hosts - Kaspersky Virus Removal Tool - Microsoft FixIt Center - Failles de niveau critique - Kaspersky Password Manager - Stocker mots de passe - A tenir à jour! - HEBERGEZ ICI VOS LONGS RAPPORTS! - ROGUES! -Impératif présent- Messages d'erreur divers: solutions- Pilotes Intel Menu Démarrer WIN8
#3
hernan
- Junior Member
-
- Groupe : Membres
- Messages : 18
- Inscrit(e) : 23-septembre 10
Posté 23 septembre 2010 - 11:07
Salut Apollo, merci de ta réponse rapide.
Voici ce que tu demandes :
Cijoint.fr - Service gratuit de dépôt de fichiers
Cijoint.fr - Service gratuit de dépôt de fichiers
Voici ce que tu demandes :
Cijoint.fr - Service gratuit de dépôt de fichiers
Cijoint.fr - Service gratuit de dépôt de fichiers
#4
Apollo
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 17916
- Inscrit(e) : 21-novembre 04
Posté 23 septembre 2010 - 11:36
Le pc est lourdement infecté.
1) Étape 1: rkill (de Grinler), téléchargement
Télécharger rkill depuis l'un des liens ci-dessous:
Lien 1
Lien 2
Lien 3
Lien 4
http://download.blee...er/eXplorer.exe
http://download.blee...er/iExplore.exe
Enregistrer le fichier sur le Bureau.
Étape 2: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus et celui de l'antispyware.
Étape 3: rkill (de Grinler), exécution
Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.
Si aucun des outils téléchargés depuis les six liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.
Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.
-----------------------------
Télécharge Malwarebytes' Anti-Malware (MBAM)
Ou ici: Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com
Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.
Ce logiciel est à garder.
Uniquement en cas de problème de mise à jour:
Télécharger mises à jour MBAM
Exécute le fichier après l'installation de MBAM
Si MBAM demande à redémarrer le pc, fais-le.
!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)
Malwarebytes Forum -> Malwarebytes' Anti-Malware Support
++
1) Étape 1: rkill (de Grinler), téléchargement
Télécharger rkill depuis l'un des liens ci-dessous:
Lien 1
Lien 2
Lien 3
Lien 4
http://download.blee...er/eXplorer.exe
http://download.blee...er/iExplore.exe
Enregistrer le fichier sur le Bureau.
Étape 2: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus et celui de l'antispyware.
Étape 3: rkill (de Grinler), exécution
Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.
Si aucun des outils téléchargés depuis les six liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.
Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.
-----------------------------
Télécharge Malwarebytes' Anti-Malware (MBAM)
Ou ici: Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com
Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.
Ce logiciel est à garder.
Uniquement en cas de problème de mise à jour:
Télécharger mises à jour MBAM
Exécute le fichier après l'installation de MBAM
- Double clique sur le fichier téléchargé pour lancer le processus d'installation.
- Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
- Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
- Sélectionne "Exécuter un examen rapide"
- Clique sur "Rechercher"
- L'analyse démarre, le scan est relativement long, c'est normal.
- A la fin de l'analyse, un message s'affiche :
Citation
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. - Ferme tes navigateurs.
- Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
Si MBAM demande à redémarrer le pc, fais-le.
!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)
Malwarebytes Forum -> Malwarebytes' Anti-Malware Support
++
- Ne pas utiliser ComboFix sauf demande expresse d'un membre du groupe sécurité de Zébulon! Trouver le rapport d'Antivir.- Je ne réponds pas aux demandes d'aide par MP-Antispam 32/64 Bits. Créez votre propre sujet avec le bouton "Commencer un sujet". SOS Villages d'enfants- Vista-XP.fr- Ne postez pas sur plus d'un forum pour traiter le même sujet!. Restaurer le Hosts - Kaspersky Virus Removal Tool - Microsoft FixIt Center - Failles de niveau critique - Kaspersky Password Manager - Stocker mots de passe - A tenir à jour! - HEBERGEZ ICI VOS LONGS RAPPORTS! - ROGUES! -Impératif présent- Messages d'erreur divers: solutions- Pilotes Intel Menu Démarrer WIN8
#5
hernan
- Junior Member
-
- Groupe : Membres
- Messages : 18
- Inscrit(e) : 23-septembre 10
Posté 24 septembre 2010 - 12:00
Rapport RKILL :
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Mss test on 24/09/2010 at 0:57:12.
Services Stopped:
Processes terminated by Rkill or while it was running:
C:\Users\Mss test\AppData\Local\ilvaa.exe
C:\Users\Mss test\wuaucldt.exe
C:\Users\MSSTES~1\AppData\Local\Temp\dfrgsnapnt.exe
C:\Users\MSSTES~1\AppData\Local\Temp\wscsvc32.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\Mss test\Desktop\rkill.scr
Rkill completed on 24/09/2010 at 0:57:17.
This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Mss test on 24/09/2010 at 0:57:12.
Services Stopped:
Processes terminated by Rkill or while it was running:
C:\Users\Mss test\AppData\Local\ilvaa.exe
C:\Users\Mss test\wuaucldt.exe
C:\Users\MSSTES~1\AppData\Local\Temp\dfrgsnapnt.exe
C:\Users\MSSTES~1\AppData\Local\Temp\wscsvc32.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\Mss test\Desktop\rkill.scr
Rkill completed on 24/09/2010 at 0:57:17.
#6
Apollo
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 17916
- Inscrit(e) : 21-novembre 04
Posté 24 septembre 2010 - 12:06
Ok, tu peux poursuivre avec l'analyse MalwareBytes.
N'oublie pas de faire ce qui est noté en rouge.
@++
N'oublie pas de faire ce qui est noté en rouge.
@++
- Ne pas utiliser ComboFix sauf demande expresse d'un membre du groupe sécurité de Zébulon! Trouver le rapport d'Antivir.- Je ne réponds pas aux demandes d'aide par MP-Antispam 32/64 Bits. Créez votre propre sujet avec le bouton "Commencer un sujet". SOS Villages d'enfants- Vista-XP.fr- Ne postez pas sur plus d'un forum pour traiter le même sujet!. Restaurer le Hosts - Kaspersky Virus Removal Tool - Microsoft FixIt Center - Failles de niveau critique - Kaspersky Password Manager - Stocker mots de passe - A tenir à jour! - HEBERGEZ ICI VOS LONGS RAPPORTS! - ROGUES! -Impératif présent- Messages d'erreur divers: solutions- Pilotes Intel Menu Démarrer WIN8
#7
hernan
- Junior Member
-
- Groupe : Membres
- Messages : 18
- Inscrit(e) : 23-septembre 10
Posté 24 septembre 2010 - 12:29
Ok, maintenant voici celui de malwarebytes :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4678
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
24/09/2010 01:26:27
mbam-log-2010-09-24 (01-26-27).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139525
Temps écoulé: 11 minute(s), 25 seconde(s)
Processus mémoire infecté(s): 4
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 34
Processus mémoire infecté(s):
C:\Users\Mss test\AppData\Roaming\AnVi\avt.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\Users\Mss test\AppData\Local\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\Users\Mss test\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\Users\Mss test\wuaucldt.exe (Trojan.Agent) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
C:\Users\Mss test\AppData\Roaming\AnVi\avthook.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Users\Mss test\AppData\Local\Temp\eapp32hst.dll (Trojan.FakeAV) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wuaucldt (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ilvaa (Trojan.Agent.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\24d1ca9a-a864-4f7b-86fe-495eb56529d8 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://www.cherche.us/keyword/) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Users\Mss test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnVi (Rogue.AntiVirus) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Users\Mss test\Local Settings\Application Data\ilvaa_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Mss test\Local Settings\Application Data\ilvaa_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Mss test\Local Settings\Application Data\ilvaa.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Mss test\Local Settings\Application Data\ilvaa.exe (Adware.Navipromo.H) -> Delete on reboot.
c:\Users\Mss test\wuaucldt.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
c:\Users\Mss test\AppData\Local\ilvaa.exe (Trojan.Agent.H) -> Delete on reboot.
C:\Users\Mss test\AppData\Roaming\AnVi\avthook.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Users\Mss test\AppData\Local\Temp\eapp32hst.dll (Trojan.FakeAV) -> Delete on reboot.
C:\Users\Mss test\AppData\Roaming\AnVi\avt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monmvr32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\~TMC401.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\~TMCBED.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\~TMDED5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\dhdhtrdhdrtr5y (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\tmp5DB2.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\tmpC50B.tmp.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\topwesitjh (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\jar_cache1427958728356924448.tmp (Redir.ChercheUs) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\NS3C63.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\xosnamecrw.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Mss test\majwinternet.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Roaming\apiqfw.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\nudetube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\pornotube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\spam001.exe (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\spam003.exe (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\troj000.exe (Malware.Trave) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\youporn.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antivirus.lnk (Rogue.AntiVirus) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\0.045459421546773515.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Mss test\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4678
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
24/09/2010 01:26:27
mbam-log-2010-09-24 (01-26-27).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 139525
Temps écoulé: 11 minute(s), 25 seconde(s)
Processus mémoire infecté(s): 4
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 6
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 34
Processus mémoire infecté(s):
C:\Users\Mss test\AppData\Roaming\AnVi\avt.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\Users\Mss test\AppData\Local\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\Users\Mss test\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\Users\Mss test\wuaucldt.exe (Trojan.Agent) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
C:\Users\Mss test\AppData\Roaming\AnVi\avthook.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Users\Mss test\AppData\Local\Temp\eapp32hst.dll (Trojan.FakeAV) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wuaucldt (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ilvaa (Trojan.Agent.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\24d1ca9a-a864-4f7b-86fe-495eb56529d8 (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://www.cherche.us/keyword/) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Users\Mss test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnVi (Rogue.AntiVirus) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\Users\Mss test\Local Settings\Application Data\ilvaa_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Mss test\Local Settings\Application Data\ilvaa_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Mss test\Local Settings\Application Data\ilvaa.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.
C:\Users\Mss test\Local Settings\Application Data\ilvaa.exe (Adware.Navipromo.H) -> Delete on reboot.
c:\Users\Mss test\wuaucldt.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
c:\Users\Mss test\AppData\Local\ilvaa.exe (Trojan.Agent.H) -> Delete on reboot.
C:\Users\Mss test\AppData\Roaming\AnVi\avthook.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Users\Mss test\AppData\Local\Temp\eapp32hst.dll (Trojan.FakeAV) -> Delete on reboot.
C:\Users\Mss test\AppData\Roaming\AnVi\avt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monmvr32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\~TMC401.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\~TMCBED.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\~TMDED5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\dhdhtrdhdrtr5y (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\tmp5DB2.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\tmpC50B.tmp.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\topwesitjh (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\jar_cache1427958728356924448.tmp (Redir.ChercheUs) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\NS3C63.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\xosnamecrw.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Mss test\majwinternet.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Roaming\apiqfw.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\nudetube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\pornotube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\spam001.exe (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\spam003.exe (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\troj000.exe (Malware.Trave) -> Quarantined and deleted successfully.
C:\Users\Mss test\Desktop\youporn.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antivirus.lnk (Rogue.AntiVirus) -> Quarantined and deleted successfully.
C:\Users\Mss test\AppData\Local\Temp\0.045459421546773515.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Mss test\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.
#8
Apollo
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 17916
- Inscrit(e) : 21-novembre 04
Posté 24 septembre 2010 - 12:35
Belle collection ^^
Si le pc a redémarré, ça va sinon fais-le avant de passer à la suite.
MBAM devra être relancé en analyse complète avec les supports amovibles (usb) branchés, mais tu feras ça plus tard.
Télécharge TDSSKiller.zip de Kaspersky sur ton bureau.
Décompresse-le. (clic droit/extraire ici).
Besoin d'un utilitaire de décompression? 7Zip
Télécharger le fichier non-compressé: http://support.kaspe.../tdsskiller.exe
Ouvre le dossier si la décompression a donné un répertoire TDSSKiller.
Double-clique sur TDSSKiller.exe
L'écran de TDSSKiller s'affiche:
Cliquer sur Start scan pour lancer l'analyse.
Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,
vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now.
Envoyer en réponse:
*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:] .
@++
Corr: orthographe
Si le pc a redémarré, ça va sinon fais-le avant de passer à la suite.
MBAM devra être relancé en analyse complète avec les supports amovibles (usb) branchés, mais tu feras ça plus tard.
Télécharge TDSSKiller.zip de Kaspersky sur ton bureau.
Décompresse-le. (clic droit/extraire ici).
Besoin d'un utilitaire de décompression? 7Zip
Télécharger le fichier non-compressé: http://support.kaspe.../tdsskiller.exe
Ouvre le dossier si la décompression a donné un répertoire TDSSKiller.
Double-clique sur TDSSKiller.exe
L'écran de TDSSKiller s'affiche:
Cliquer sur Start scan pour lancer l'analyse.
Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,
vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now.
Envoyer en réponse:
*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:] .
@++
Corr: orthographe
Ce message a été modifié par Apollo - 24 septembre 2010 - 12:40 .
- Ne pas utiliser ComboFix sauf demande expresse d'un membre du groupe sécurité de Zébulon! Trouver le rapport d'Antivir.- Je ne réponds pas aux demandes d'aide par MP-Antispam 32/64 Bits. Créez votre propre sujet avec le bouton "Commencer un sujet". SOS Villages d'enfants- Vista-XP.fr- Ne postez pas sur plus d'un forum pour traiter le même sujet!. Restaurer le Hosts - Kaspersky Virus Removal Tool - Microsoft FixIt Center - Failles de niveau critique - Kaspersky Password Manager - Stocker mots de passe - A tenir à jour! - HEBERGEZ ICI VOS LONGS RAPPORTS! - ROGUES! -Impératif présent- Messages d'erreur divers: solutions- Pilotes Intel Menu Démarrer WIN8
#10
Apollo
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 17916
- Inscrit(e) : 21-novembre 04
Posté 24 septembre 2010 - 01:05
C'est bien si TDSSKiller n'a plus rien trouvé comme rootkit.
Je vais te laisser des instructions, à faire dans l'ordre stp.
Tu devras me poster tous les rapports; il s'agit de vérifier si MBAM n'a rien laissé traîner.
Demain, nous ferons le nécessaire pour sécuriser un peu mieux ton ordinateur.
1) Télécharge Navilog1 (par IL-MAFIOSO) Enregistre-le sur ton bureau.
http://perso.orange....ix/Navilog1.exe
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.
Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.
< Ne fais pas le choix 2 >
Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.
Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.
PS : le rapport est aussi sauvegardé à la racine du disque dur C:\cleannavi.txt
----------------------------------
2) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.
Ferme toutes les applications ouvertes pour l'installer.
Sous Vista/7: Désactiver provisoirement l'UAC comme expliqué ICI
Double-clique (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.
Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.
Clique sur Scanner.
Le rapport se trouve aussi sous C:\Ad-Report.
Copie/colle-le dans ta réponse stp.
-----------------------------------------------------------------------------------------------
3) Double-clique (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.
Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.
Clique sur Nettoyer.
Le bureau va disparaitre, c'est normal!
Le rapport se trouve aussi sous C:\Ad-Report Clean.
Copie/colle-le dans ta réponse stp.
Réactiver l'UAC de Vista/7. (Si Vista/7 bien sûr!).
La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.
--------------------------------
Refais alors un nouveau log RSIT (il n'y aura qu'un seul log cette fois).
N'hésite pas à faire plusieurs réponses pour poster les rapports parce que le forum plante encore bien si on charge un post avec de longs rapports.
L'administrateur fait son possible pour régler ce souci mais ce n'est pas si simple.
Je regarderai tout cela demain.
Ton pc doit déjà se sentir mieux je pense.
Bonne nuit.
@++
Je vais te laisser des instructions, à faire dans l'ordre stp.
Tu devras me poster tous les rapports; il s'agit de vérifier si MBAM n'a rien laissé traîner.
Demain, nous ferons le nécessaire pour sécuriser un peu mieux ton ordinateur.
1) Télécharge Navilog1 (par IL-MAFIOSO) Enregistre-le sur ton bureau.
http://perso.orange....ix/Navilog1.exe
Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.
Laisse-toi guider. Appuie sur une touche quand on te le demande.
Au menu principal, choisis 1 et valide.
< Ne fais pas le choix 2 >
Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.
Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.
PS : le rapport est aussi sauvegardé à la racine du disque dur C:\cleannavi.txt
----------------------------------
2) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.
Ferme toutes les applications ouvertes pour l'installer.
Sous Vista/7: Désactiver provisoirement l'UAC comme expliqué ICI
Double-clique (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.
Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.
Clique sur Scanner.
Le rapport se trouve aussi sous C:\Ad-Report.
Copie/colle-le dans ta réponse stp.
-----------------------------------------------------------------------------------------------
3) Double-clique (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.
Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.
Clique sur Nettoyer.
Le bureau va disparaitre, c'est normal!
Le rapport se trouve aussi sous C:\Ad-Report Clean.
Copie/colle-le dans ta réponse stp.
Réactiver l'UAC de Vista/7. (Si Vista/7 bien sûr!).
La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.
--------------------------------
Refais alors un nouveau log RSIT (il n'y aura qu'un seul log cette fois).
N'hésite pas à faire plusieurs réponses pour poster les rapports parce que le forum plante encore bien si on charge un post avec de longs rapports.
L'administrateur fait son possible pour régler ce souci mais ce n'est pas si simple.
Je regarderai tout cela demain.
Ton pc doit déjà se sentir mieux je pense.
Bonne nuit.
@++
- Ne pas utiliser ComboFix sauf demande expresse d'un membre du groupe sécurité de Zébulon! Trouver le rapport d'Antivir.- Je ne réponds pas aux demandes d'aide par MP-Antispam 32/64 Bits. Créez votre propre sujet avec le bouton "Commencer un sujet". SOS Villages d'enfants- Vista-XP.fr- Ne postez pas sur plus d'un forum pour traiter le même sujet!. Restaurer le Hosts - Kaspersky Virus Removal Tool - Microsoft FixIt Center - Failles de niveau critique - Kaspersky Password Manager - Stocker mots de passe - A tenir à jour! - HEBERGEZ ICI VOS LONGS RAPPORTS! - ROGUES! -Impératif présent- Messages d'erreur divers: solutions- Pilotes Intel Menu Démarrer WIN8
- (4 Pages)
-
- 1
- 2
- 3
- →
- Dernière »
| Sujet | Commencé par | Statistiques | Infos sur le dernier message | |
|---|---|---|---|---|
 |
Ordi infecté !
|
basti |
|
|
 |
PC infecté
|
libellule70 |
|
|
|
[Résolu] Infecté par « System Care Antivirus »
|
Katan |
|
|
|
XP Home infecté
Slow au démarrage, son distorsionné et Internet slow |
delabro |
|
|
|
Infecté par « System Doctor 2014 »
Lors d'un téléchargement – ordinateur complètement bloqué ... |
bbmebi |
|
|
|
Ordinateur infecté ?
|
Nath_alie |
|
|
|
Suspicion MBR infecté : SOS
Ordinateur fantôme et pagaille dans structure / gestion des dossiers |
mayline |
|
|
|
[Résolu] Portable très lent - peut-être infecté
|
qqqq |
|
|
|
[Résolu] PC Infecté
Fonctionnement anormal - Impossible démarrer en mode sans échec |
Fullzx14r |
|
|
|
[Résolu] Nouveau PC apparemment infecté
PC qui rame et dont la mémoire serait saturée |
Elicia789 |
|
|
