Goldust

Re, oui ca a commencé avec une première fournée de 70 Maj

Salut Apollo, L'analyse MBM est en train d'être effectuée. En ce qui me concerne, logiciels supprimés avec succès et je suis passé au SP3 Merci pour ton aide.

Re Appolo, J'ai parlé de tes exploits à ma meilleure amie et m'a dit que son PC, qui est absolument identique au mien hors le processeur, avait de grandes difficultés au démarrage et que des fois il se plantait. Elle est équipée de la suite Kaspersky. Je lui ai alors dit de faire un ZHPDiag pour voir un peu et tu vas surement lui dire la même chose qu'à moi : le PC n'est pas à jour ! (SP2, firefox 3...) J'ai aussi vu quelques Adware mais aussi Trojan Zlob sur exactement la même clé que moi ! Je te joins le rapport ZHP : Cijoint.fr - Service gratuit de dépôt de fichiers Que lui conseillerais tu de faire ? (On a lancé TDSSKiller, cela a fonctionné mais il n'a rien trouvé) PS : Je me suis permis de poster dans mon topic pour elle, vu qu'elle a le même trojan. Merci d'avance Apollo

Salut, Je passe faire un petit coucou, mon problème a maintenant été magnifiquement résolu par Apollo Voici le lien du sujet: http://forum.zebulon.fr/infections-multiples-t184862.html Cordialement,

Salut Apollo, Désolé de ne pas avoir répondu plus tôt, je révisais mes partiels qui approchent à grands pas. Oui l'analyse a mit environ 15 heures et rien n'a été détecté. Je pense que si on la fait en mode échec (ce qui était mon cas), l'analyse est beaucoup plus longue. J'avais d'ailleurs un message Kaspersky me proposant de redémarrer le PC pour passer en mode normal. Pour comparaison, Malwarebytes a analysé environ 200 000 fichiers en 20 mn, alors que l'analyse a mit 10 heures pour analyser le même nombre. Au fait, je voulais revenir sur un truc. Quand je devais utiliser la console de récupération, je devais allonger le temps de l'affichage au démarrage pour avoir le temps de la sélectionner. En fait je n'ai eu besoin de le faire, quand j'ai choisi mode sans échec, au moment de choisir le système d'exploitation, on m'a proposé de choisir également la console de récupération, cette fenêtre restant autant de temps que l'on veut. Sinon, encore un gros merci pour avoir résolu mon problème si vite. PS : La session de mise à jour a commencée PS2: J'ai copier sur un support le fichier PhysicalDisk0_MBR Bonne soirée

Si même le mode sans échec ne marche plus, cela va devenir compliqué. Je te conseille d'attendre les conseils d'un membre du groupe sécurité avant de faire quoi que ce soit.

Bonjour Apollo, L'analyse est extrêmement longue, 48 % effectués en 9 heures.

En effet, je saurai quoi leur répondre Quant à moi c'est un plaisir de suivre tes conseils avisés, sans lesquels je n'aurai jamais pu me débarrasser du virus. Je te tiendrai au courant de ce que va donner le rapport de KVRT et de mes mises à jour. Bonne nuit

Alors je vais aller me rassurer Les MAJ je peux t'assurer que je vais les faire, pas envie de rencontrer un nouveau virus... quoique si je me fais aider par quelqu'un d'aussi sympathique et serviable...

Ah ah, j'ai l'impression qu'on en voit le bout Dois je quand même passer au SP3 malgré le rapporte ZHP ? PS : Les cocognes je ne crois pas qu'il y en aura

Ahh le cinéma, une de mes activité préférées Ok pour les menaces réseau, cela me rassure. Cela donnait vraiment l'impression que le PC était une forteresse, Avast les remparts et les menaces une attaque ennemie, cela devenait inquiétant ! J'irai faire un tour sur ce forum une fois que le problème sera réglé D'ailleurs ZHP détecte toujours la même chose, c'est à dire ca: [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{754FF233-5D4E-11D2-875B-00A0C93C09B3}] =>Rogue.Multiple [HKCR\CLSID\{754FF233-5D4E-11D2-875B-00A0C93C09B3}] =>Rogue.Multiple [HKLM\Software\Classes\CLSID\{754FF233-5D4E-11D2-875B-00A0C93C09B3}] =>Rogue.Multiple [HKCR\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}] =>Trojan.Zlob [HKLM\Software\Classes\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}] =>Trojan.Zlob [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C533ADF1-0C80-11D1-8C54-00A02468F316}] =>Rogue.Multiple [HKCR\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}] =>Rogue.Multiple [HKLM\Software\Classes\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}] =>Rogue.Multiple

Finalement ce n'était pas si long que ca comparé au scan que j'ai effectué il y a 3 jours. Voici le rapport, un Trojan a été supprimé. Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org Version de la base de données: 6427 Windows 5.1.2600 Service Pack 2 (Safe Mode) Internet Explorer 6.0.2900.2180 23/04/2011 22:53:21 mbam-log-2011-04-23 (22-53-21).txt Type d'examen: Examen complet (C:\|) Elément(s) analysé(s): 271009 Temps écoulé: 23 minute(s), 59 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\system volume information\_restore{b279b519-de7c-44e7-9853-eb5936e6311b}\RP184\A0092963.sys (Trojan.Phobiq) -> Quarantined and deleted successfully.

Il est vrai qu'avec Kaspersky à jour je n'ai jamais vraiment eu de problème, mais il est payant, une dépense que je ne peux pas me permettre vu que je suis encore étudiant Il y a maintenant 2 ans, j'avais un PC portable équipé d'antivir qui a chopé un virus très embêtant, à tel point qu'encore à ce jour le problème n'est pas résolu (il empêchait l’installation de Windows sur le DD). J'ai donc opté pour Avast, avec qui je suis déjà équipé depuis 4 ans sur mes 2 autres PC, qui n'ont jamais eu de problèmes importants. D'ailleurs il y a un truc que je n'ai pas compris, j'ai 3 PC chez moi, les 3 ont avast. Pourquoi seul mon PC reçoit il des alertes avast dès lorsque je me connecte ? J'avais l'impression d'être visé spécifiquement. A chaque démarrage j''avais l'habitude d'avoir au moins 5 alertes de suite, toutes bloquées par avast. De plus il s'agissait de menace réseau et non de menace web (je n'avais même pas lancé Firefox). Y a t il une explication logique ? A propos de Norton j'en ai une bien bonne, c'était à peu près il y a 7 ans. J'avais acheté mon Windows XP avec Norton intégré et à peine je me suis connecté sur internet, j'ai eu une attaque qui a désactivé Norton et qui a infecté l'ordinateur, ceci lors des 30 premières secondes de connexion internet sur mon nouveau PC ! Depuis j'ai une mauvaise image de Norton ^^.

Re Apollo, Je suis en train de faire l'analyse, mais comme tu l'as dit, c'est long

Voila le rapport, apparemment 2 clés n'ont pas put être supprimée. Rapport de ZHPFix 1.12.3278 par Nicolas Coolman, Update du 21/04/2011 Fichier d'export Registre : Run by Administrateur at 23/04/2011 19:44:38 Windows XP Professional Service Pack 2 (Build 2600) Web site : ZHPFix Fix de rapport ========== Logiciel(s) ========== O42 - Logiciel: NetAssistant for Firefox - (.Freeze.com.) [HKCU] -- NetAssistant => Logiciel supprimé avec succès ========== Clé(s) du Registre ========== O42 - Logiciel: NetAssistant - (.Freeze.com.) [HKLM] -- {1266764D-FC4F-4FA7-B63B-884D53B1680F} => Clé supprimée avec succès [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NetAssistant] => Clé supprimée avec succès HKCR\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1} => Clé non supprimée HKLM\Software\Classes\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1} => Clé non supprimée ========== Valeur(s) du Registre ========== O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente ========== Dossier(s) ========== Dossiers temporaires Windows supprimés: 43 ========== Fichier(s) ========== Fichiers temporaires Windows supprimés : 222 ========== Récapitulatif ========== 4 : Clé(s) du Registre 2 : Valeur(s) du Registre 1 : Dossier(s) 1 : Fichier(s) 1 : Logiciel(s) End of the scan

Re, Je vais manger et je fais ca Ca fait toujours plaisir de recroiser une ancienne connaissance

Voila, le nettoyage est fini ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 ======= Mis à jour par TeamXscript le 12/04/11 Contact: AdRemover[DOT]contact[AT]gmail[DOT]com Site web: http://www.teamxscript.org C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:43:07 le 23/04/2011, Mode sans echec Microsoft Windows XP Professionnel Service Pack 2 (X86) Administrateur@ERIC ( ) ============== ACTION(S) ============== (!) -- Fichiers temporaires supprimés. Clé supprimée: HKLM\Software\Classes\Interface\{D6094FC6-821F-474C-8D73-C13066CD178D} Clé supprimée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom ============== SCAN ADDITIONNEL ============== **** Mozilla Firefox Version [4.0 (fr)] **** HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x) HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x) Searchplugins\bing.xml ( hxxp://www.bing.com/search) Components\browsercomps.dll (Mozilla Foundation) HKCU_Extensions|{1266764D-FC4F-4FA7-B63B-884D53B1680F} - C:\Documents and Settings\Administrateur\Application Data\NetAssistant\ -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\1rdpc0gm.default -- User.js - browser.startup.homepage, hxxp://www.megacours.com/mot2.php/ Prefs.js - browser.startup.homepage, hxxp://www.megacours.com/mot2.php/ Prefs.js - browser.startup.homepage_override.buildID, 20110318052756 Prefs.js - browser.startup.homepage_override.mstone, rv:2.0 ======================================== **** Internet Explorer Version [6.0.2900.2180] **** HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896 HKCU_Main|Start Page - hxxp://fr.msn.com/ HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896 HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKLM_Main|Start Page - hxxp://fr.msn.com/ HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll) BHO\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} (?) BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?) BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll) ======================================== C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s) C:\Program Files\Ad-Remover\Backup: 13 Fichier(s) C:\Ad-Report-CLEAN[1].txt - 23/04/2011 16:43:16 (482 Octet(s)) Fin à: 16:44:28, 23/04/2011 ============== E.O.F ============== TDSSKiller marche !!!! Il a analysé 220 objets et n'a rien trouvé d'anormal. Voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201104/cij52XW82I.txt Néanmoins le diagnostique ZHP détecte encore des choses: http://www.cijoint.fr/cjlink.php?file=cj201104/cijWXui4qI.txt

Re, Voila, j'ai effectué la manipulation, que dois je faire au redémarrage du PC ?

D'accord Apollo, je vais attendre un peu. J'en profite pour vous remerciez du temps que vous me consacrez. J'ai une question: vu que l'ordinateur marche à nouveau normalement malgré l'infection, puis je l'utiliser normalement ? Ou bien est ce plus prudent que je ne m'en serve que lorsque le problème sera entièrement résolu ? Note: J'ai édité mon message précédent.

Re, En fait dès que je double clique sur TDSSKiller pour le lancer, un chargement d'initialisation apparait et c'est à 80 % de ce chargement que l'outil plante. Je n'ai pas encore eu accès à une fenêtre m'invitant à lancer le scan. Du coup, juste après avoir cliqué sur TDSSKiller, j'ai cliqué sur KillSvchost une fenêtre s'est ouverte. A la fin de l'opération le PC à redémarrer. J'ai louper le coche pour démarrer en mode sans échec et me suis retrouvé en démarrage normal. La le PC à démarrer normalement et n'a pas planté, ce qui est une première depuis 2 jours ! Tu es sur la bonne voie apparemment. Tant que j'y étais, j'ai tenté de faire un TDSSKiller mais idem que sur le mode sans échec, l'outil plante au bout de 80% de l'initialisation.

J'ai comparer le nouveau ZHP diag avec l'ancien. En rouge gras ce qui est encore présent. ---\\ Scan Additionnel (O88) Database Version : 6152 - (21/04/2011) [HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom] =>PUP.OfferBox [HKLM\Software\mozilla\Firefox\Extensions]:offerboxffx@offerbox.com =>PUP.OfferBox [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}] =>Adware.AskTBar [HKCR\Interface\{6612afdd-34ad-4b89-a236-7e6d07c3fdcd}] =>Adware.AskSBar [HKLM\Software\Classes\Interface\{6612afdd-34ad-4b89-a236-7e6d07c3fdcd}] =>Adware.AskSBar [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{754FF233-5D4E-11D2-875B-00A0C93C09B3}] =>Rogue.Multiple [HKCR\CLSID\{754FF233-5D4E-11D2-875B-00A0C93C09B3}] =>Rogue.Multiple [HKLM\Software\Classes\CLSID\{754FF233-5D4E-11D2-875B-00A0C93C09B3}] =>Rogue.Multiple [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}] =>Trojan.Zlob [HKCR\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}] =>Trojan.Zlob [HKLM\Software\Classes\CLSID\{B1549E58-3894-11D2-BB7F-00A0C999C4C1}] =>Trojan.Zlob [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C533ADF1-0C80-11D1-8C54-00A02468F316}] =>Rogue.Multiple [HKCR\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}] =>Rogue.Multiple [HKLM\Software\Classes\CLSID\{C533ADF1-0C80-11D1-8C54-00A02468F316}] =>Rogue.Multiple [HKCR\TypeLib\{ed85aebe-f834-4088-b5d3-97eb2478a6cd}] =>Adware.AskSBar [HKLM\Software\Classes\TypeLib\{ed85aebe-f834-4088-b5d3-97eb2478a6cd}] =>Adware.AskSBar C:\Program Files\OfferBox =>PUP.OfferBox C:\Program Files\PriceGong =>Adware.PriceGong C:\Documents and Settings\Administrateur\Application Data\OfferBox =>PUP.OfferBox C:\Documents and Settings\Administrateur\Application Data\PriceGong =>Adware.PriceGong

Voila j'ai fait la manipulation, j'ai même du la faire 2 fois. La première fois la console de récupération n'a pas voulu se télécharger. 1er Rapport : Cijoint.fr - Service gratuit de dépôt de fichiers 2e Rapport: (Avec console): Cijoint.fr - Service gratuit de dépôt de fichiers Le problème vient d'ici non ? . Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, GMER - Rootkit Detector and Remover Windows 5.1.2600 Disk: STM3500418AS rev.CC38 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-8 . device: opened successfully user: MBR read successfully error: Read Un périphérique attaché au système ne fonctionne pas correctement. kernel: MBR read successfully detected disk devices: detected hooks: \Driver\atapi DriverStartIo -> 0x8AEB3332 user & kernel MBR OK J'espère que le rapport est significatif. Je te remercie pour ton aide Apollo

D'accord, donc je vais faire la manip. PS: J'ai édité mon message précédent.

Avant de me lancer dans la manipulation, est ce possible, que TDSSKiller n'ait pas fonctionné car j'étais en mode sans échec ? En lançant CF il me dit que avast et antivir sont en cours d'utilisation alors que c'est faux. J'ai désactivé Avast comme suivant le tuto et je n'ai même pas Antivir, je n'y comprends plus rien. Je continue quand même ? Un message me prévenant que l'action va se faire à mes risques et périls.

J'ai bien peur que le résultat ne soit négatif: VirusTotal - Free Online Virus, Malware and URL Scanner