Fab7827

Ok, c'est fait. J'aime beaucoup le alors que je t'ai pris tout ton dimanche !!!! Mille merci pour cette résolution de l'infection, ce forum est bien à la hauteur de sa réputation. Encore bravo.

Voici le rapport OTL avec la ligne de script proposé : OTL logfile created on: 24/07/2011 18:59:43 - Run 2 OTL by OldTimer - Version 3.2.26.1 Folder = C:\Users\Fabrice\Desktop 64bit- Home Premium Edition Service Pack 1 (Version = 6.1.7601) - Type = NTWorkstation Internet Explorer (Version = 9.0.8112.16421) Locale: 0000040c | Country: France | Language: FRA | Date Format: dd/MM/yyyy 5,99 Gb Total Physical Memory | 4,32 Gb Available Physical Memory | 72,03% Memory free 11,98 Gb Paging File | 10,11 Gb Available in Paging File | 84,36% Paging File free Paging file location(s): c:\pagefile.sys 6135 6135 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\Windows | %ProgramFiles% = C:\Program Files (x86) Drive C: | 97,73 Gb Total Space | 49,82 Gb Free Space | 50,98% Space Free | Partition Type: NTFS Drive D: | 824,09 Gb Total Space | 36,36 Gb Free Space | 4,41% Space Free | Partition Type: NTFS Computer Name: FABRICE-PC | User Name: Fabrice | Logged in as Administrator. Boot Mode: Normal | Scan Mode: Current user | Include 64bit Scans Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days ========== Custom Scans ========== < HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt /s > "DisplayName" = @%Systemroot%\system32\wbem\wmisvc.dll,-205 "ImagePath" = %systemroot%\system32\svchost.exe -k netsvcs -- [2009/07/14 03:14:41 | 000,020,992 | ---- | M] (Microsoft Corporation) "Description" = @%Systemroot%\system32\wbem\wmisvc.dll,-204 "ObjectName" = localSystem "ErrorControl" = 0 "Start" = 2 "Type" = 32 "DependOnService" = RPCSS [binary data] "ServiceSidType" = 1 "FailureActions" = 80 51 01 00 00 00 00 00 00 00 00 00 03 00 00 00 14 00 00 00 01 00 00 00 C0 D4 01 00 01 00 00 00 E0 93 04 00 00 00 00 00 00 00 00 00 [binary data] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop" = 1 "ServiceDll" = %SystemRoot%\system32\wbem\WMIsvc.dll "ServiceMain" = ServiceMain < End of report > Pour info, l'ordi me parait plus réactif, c'est déjà ça de pris. A +

En fait, je l'avais relancé depuis services.msc J'ai éteind complétement l'ordi pendant 1h et là, à l'ouverture, il est toujours ouvert, de même que l'antivirus. Esc-ce que je fais quand même cette manip ?

J'ai supprimé puis réinstallé Microsoft Essential Security et il s'est parfaitement mis à jour et a fait un scan. Il est de nouveau en veille en bas à gauche de ma barre de tâche Un grand merci à toi, je n'aurai rien pu faire sans ton aide précieuse Comment peut-on faire croitre ta Réputation dans ton profil, de mon point de vue, tu le mérites bien, tant pour le temps passé que pour le résultat obtenu. Un grand bravo. Fab. PS : je ne mettrai à "Résolu" que lorsque tu m'aura assuré que tout est bien nickel selon toi et qu'aucun parasite n'est resté selon le dernier rapport Combofix.

et voilà le rapport Combofix : ComboFix 11-07-23.04 - Alors docteur, tout est beau ??? J'ai des scrupules à te prendre tout ton dimanche.

Il ne m'a pas demandé de reboot. Voici le log ouvert à la fin (l'analyse fut très rapide)

Et voilà le rapport : Autre nouvelle intéressante : l'icone Micosoft Security est réapparue sans disparaitre quand je passe ma souris dessus. Il est encore impossible de l'activer, j'ai le message suivant : "Le service ne peut pas être démarrer parce qu'il est désactivé ou qu'aucun périphérique activé ne lui est associé." Le centre de sécurité, quant à lui, est toujours arrêter dans les services et ne veut pas démarrer quanq on clique sur le message au droit du petit drapeau d'alerte de la barre des tâches. Je sens qu'on progresse, heureusement qu'il y a des gens comme toi

En complément, je viens de constater que le fameux SampleRes1.dll est présent dans un sous-dossier de C:\_OTL. C'est surement ta manip. qui a du le déplacer ?!

Mission accomplie mais pas de rapport. A la place, j'ai une pop-up qui me dit : Le système doit redémarrer pour finir le nettoyage des fichiers. Cliquez sur OK pour redemarrer maintenant. Je n'ai pas cliqué, j'attends tes instructions. Je suis allé voir dans l'explorateur dans C:_OTL et j'ai trouvé un fichier log daté d'il y a quelques minutes, je pense que c'est ce que tu attends : All processes killed ========== OTL ========== HOSTS file reset successfully OTL by OldTimer - Version 3.2.26.1 log created on 07242011_145439

J'ai bien lancé GMER, mais le fichier SampleRes1.dll n'apparait pas dans la liste. Je vois uniquement le SampleRes.dll, écris en noir. Je viens d'aller voir via l'explorateur Windows et je ne vois plus non plus le SampleRes1, malgré les réglages effectués précedemment pour tout voir.

petit souci, Virus Total ne peut pas ouvrir le fichier en question. J'ai tenté avec le SampleRes sans le 1 et là, pas de problème. En fait, celui le SampleRes1 à une icone de couleur moins marquée que les autres. J'attends tes recommandations....

Extra.txt < End of report > J'avoue que toutes ces données me dépassent, j'espère que cela va te permettre d'identifier le nid de l'infection. Merci pour le temps passé,

OTL.txt OTL logfile created on: 24/07/2011 11:47:49 - Run 1 < End of report >

Les rapports sont faits, mais j'ai une question "stupide" : je les copie colle, ce qui donnera un post très long ou y-a-t-il une méthode pour joindre les 2 fichiers .txt en pièces jointes ? Désolé, mais je ne suis pas un spécialiste des forums, je me sors généralement de mes difficultés tout seul grace à la communauté. Merci de ta coompréhension.

Bonjour et merci pour ta réponse. 1) Je n'ai jamais utilisé RogueKiller 2) La sauvegarde des données est faite, même si elles sont sur une 2ème partition du disque dur. 3) Voici le dernier rapport MalwareBytes signalant une infection, les suivants étant à 0 partout : Malwarebytes' Anti-Malware 1.51.1.1800 www.malwarebytes.org Version de la base de données: 7253 Windows 6.1.7601 Service Pack 1 Internet Explorer 9.0.8112.16421 23/07/2011 19:40:04 mbam-log-2011-07-23 (19-40-04).txt Type d'examen: Examen rapide Elément(s) analysé(s): 38241 Temps écoulé: 1 minute(s), 29 seconde(s) Processus mémoire infecté(s): 3 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 3 Processus mémoire infecté(s): c:\Users\Fabrice\AppData\Local\Temp\Dgy.exe (Trojan.FraudPack.Gen) -> 6324 -> Unloaded process successfully. c:\Windows\Dhypea.exe (Trojan.FraudPack.Gen) -> 5368 -> Unloaded process successfully. c:\Users\Fabrice\AppData\Local\Temp\Dgx.exe (Trojan.FraudPack.Gen) -> 8060 -> Unloaded process successfully. Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\8DDYX0ZBPZ (Trojan.FraudPack.Gen) -> Value: 8DDYX0ZBPZ -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\Users\Fabrice\AppData\Local\Temp\Dgy.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully. c:\Windows\Dhypea.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully. c:\Users\Fabrice\AppData\Local\Temp\Dgx.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully. Je m'occupe d'OTL tout de suite... Merci.

Bonjour, je n'arrive plus à ouvrir le centre de sécurité Windows (message d'erreur systématique), ni mon antivirus (Microsoft Essential Sécurity). De plus, lorsque je clique sur un lien depuis une page de résultats Google, je suis systématiquement redirigé vers des pages de pubs, seule une ouverture "en cache" me permet d'accéder correctement aux pages désirées. J'ai pu redémarrer le centre en allant dans services.msc mais ce dernier se referme presque instantanément tout seul. MalwareBytes a trouvé des trojans : Trojan.Fraudpack.gen, Trojan.Downloader, Trojan.FakeAlert.SA, Hijak.Zones --> ils sont tous en quarantaine et après plusieurs relances, il ne trouve plus rien. Je suis à 2 doigts, après de multiples recherches, de lancer Combofix, mais les messages d'alertes des différents experts m'amènent à vous solliciter. Je suis loin d'être un spécialiste en informatique et je suis complétement perdu Merci d'avance pour votre aide.