[Résolu] Malware, virus

[LFPO26]

Salut à tous !

 

Tout d'abord, merci pour les aides que vous donner bénévolement sur ce forum, c'est vraiment très gentil le support et l'aide que vous donnez à tous les membres ! Bravo !

 

Je vous explique mon problème (et comme d'autres sur ce forum ont également).

 

Ce matin, je me connecte et j'ai pleins de fenêtre Malware Defense, security alert qui s'ouvrent toutes les minutes.

J'ai rien fais depuis hier soir et c'est venu tout d'un coup.

 

Pouvez-vous m'aider afin de résoudre ce problème svp ?

 

Je reste à disposition pour télécharger et vous donner toutes les informations nécessaires.

 

Merci beaucoup !!!!!!

 

A+

JP

Modifié le 30 décembre 2009 par LFPO26

[Apollo]

Bonsoir,

 

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

Lien 1

Lien 2

Lien 3

Lien 4

 

Enregistrer le fichier sur le Bureau.

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

--------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

@++

[LFPO26]

Salut !

 

Merci de ta réponse.

 

Le lien de Malwarebytes' Anti-Malware (MBAM) ne fonctionne pas...

 

En aurais-tu un autre par hasard stp ?

 

Merci !

A+

JP

[Apollo]

Il fonctionne très bien mais je vais te l'héberger provisoirement; je te demande quelques minutes stp.

 

@++

[LFPO26]

Pas de souci, merci.

 

Pour info, j'ai essayé plus de 15 fois, il me dit "Page introuvable"...

 

Merci !

[Apollo]

C'est sûrement la vermine qui t'empêche d'y accéder.

 

http://senduit.com/13d589 enregistre ça sur ton bureau.

 

@++

[LFPO26]

J'ai fais comme tu as dis, installé et il est sur le bureau mais le logiciel ne se lance pas...peut-être que la vermine me le bloque ?!

 

Même Spybot ne s'allume pas pour info...

 

Si ça peut aider, je suis sur XP...

Modifié le 29 décembre 2009 par LFPO26

[Apollo]

Ok,

 

On va lui envoyer un Pershing dans les dents.

 

 

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci > grossbaf
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur grossbaf.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

 

@++

[LFPO26]

Merci beaucoup !

 

Voici le rapport. Je lance Malwarebytes' qui fonctionne maintenant.

 

A+

 

ComboFix 09-12-28.06 - Ma session 29/12/2009 18:51:21.4.1 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1022.662 [GMT 1:00]

Lancé depuis: C:\Documents and Settings\Jean pierre\Bureau\grossbaf.exe

AV: avast! antivirus 4.8.1296 [VPS 091229-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\DOCUME~1\JEANPI~1\LOCALS~1\Temp\wscsvc32.exe

C:\Program Files\outlook

C:\WINDOWS\system32\ceqxanuh.ini

C:\WINDOWS\system32\drivers\H8SRTfpymexeoew.sys

C:\WINDOWS\system32\H8SRTfvithwwkmr.dll

C:\WINDOWS\system32\H8SRTmotwlmrxif.dll

C:\WINDOWS\system32\H8SRTppkplvbrir.dat

C:\WINDOWS\system32\H8SRTsflnspibmq.dll

C:\WINDOWS\system32\krl32mainweq.dll

C:\WINDOWS\system32\psmfxfsw.ini

C:\WINDOWS\system32\srcr.dat

C:\WINDOWS\system32\wwtprsgs.ini

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_H8SRTd.sys

-------\Legacy_H8SRTd.sys

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-28 au 2009-12-29 ))))))))))))))))))))))))))))))))))))

.

 

2009-12-29 16:41:44 . 2009-12-03 15:14:06 38224 ----a-w- C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2009-12-29 16:41:40 . 2009-12-29 16:41:47 -------- d-----w- C:\Program Files\Malwarebytes' Anti-Malware

2009-12-29 16:41:40 . 2009-12-03 15:13:56 19160 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys

2009-12-29 13:31:50 . 2009-12-29 16:51:47 -------- d-----w- C:\Program Files\Malware Defense

2009-12-18 13:32:48 . 2009-12-18 13:32:48 -------- d-----w- C:\Program Files\Fichiers communs\Skype

2009-12-18 13:32:44 . 2009-12-18 13:32:48 -------- d-----r- C:\Program Files\Skype

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-29 18:08:34 . 2007-04-13 15:49:32 24 ----a-w- C:\WINDOWS\system32\DVCStateBkp-{00000002-00000000-00000001-00001102-00000002-80651102}.dat

2009-12-29 18:08:34 . 2007-04-13 15:49:32 24 ----a-w- C:\WINDOWS\system32\DVCState-{00000002-00000000-00000001-00001102-00000002-80651102}.dat

2009-12-29 16:01:13 . 2007-04-16 16:41:35 -------- d-----w- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2009-12-29 15:54:45 . 2007-10-10 17:27:53 -------- d-----w- C:\Documents and Settings\Jose\Application Data\Skype

2009-12-29 15:37:00 . 2008-08-03 09:10:55 -------- d-----w- C:\Documents and Settings\Jose\Application Data\skypePM

2009-12-28 23:54:59 . 2007-04-16 17:13:43 -------- d-----w- C:\Documents and Settings\Jean pierre\Application Data\Skype

2009-12-28 23:45:46 . 2008-06-22 21:37:16 -------- d-----w- C:\Documents and Settings\Jean pierre\Application Data\skypePM

2009-12-18 13:32:39 . 2007-04-16 17:13:06 -------- d-----w- C:\Documents and Settings\All Users\Application Data\Skype

2009-11-24 23:54:29 . 2007-04-13 15:31:39 1280480 ----a-w- C:\WINDOWS\system32\aswBoot.exe

2009-11-24 23:51:09 . 2007-04-13 15:31:45 93424 -c--a-w- C:\WINDOWS\system32\drivers\aswmon.sys

2009-11-24 23:50:59 . 2007-04-13 15:31:45 94160 ----a-w- C:\WINDOWS\system32\drivers\aswmon2.sys

2009-11-24 23:50:12 . 2008-06-18 17:48:55 114768 ----a-w- C:\WINDOWS\system32\drivers\aswSP.sys

2009-11-24 23:50:00 . 2008-06-18 17:48:56 20560 ----a-w- C:\WINDOWS\system32\drivers\aswFsBlk.sys

2009-11-24 23:49:07 . 2007-04-13 15:31:46 48560 ----a-w- C:\WINDOWS\system32\drivers\aswTdi.sys

2009-11-24 23:48:57 . 2007-04-13 15:31:46 23120 ----a-w- C:\WINDOWS\system32\drivers\aswRdr.sys

2009-11-24 23:47:54 . 2007-04-13 15:31:46 27408 ----a-w- C:\WINDOWS\system32\drivers\aavmker4.sys

2009-11-24 23:47:28 . 2007-04-13 15:31:39 97480 -c--a-w- C:\WINDOWS\system32\AVASTSS.scr

2009-11-12 12:57:56 . 2009-11-12 12:57:56 -------- d-----w- C:\Documents and Settings\Jose\Application Data\Research In Motion

2009-11-09 19:59:05 . 2009-11-09 19:49:44 256 ----a-w- C:\WINDOWS\system32\pool.bin

2009-11-09 19:49:40 . 2009-11-09 19:49:40 -------- d-----w- C:\Documents and Settings\Jean pierre\Application Data\Research In Motion

2009-11-09 19:49:19 . 2009-11-09 19:49:19 -------- d-----w- C:\Program Files\Unlock-Blackberry

2009-11-09 19:48:04 . 2009-11-09 19:46:47 -------- d-----w- C:\Program Files\Fichiers communs\Research In Motion

2009-11-09 09:44:25 . 2009-11-09 09:44:25 -------- d-----w- C:\Program Files\MSXML 6.0

2009-10-25 11:33:57 . 2006-03-02 12:00:00 74138 -c--a-w- C:\WINDOWS\system32\perfc00C.dat

2009-10-25 11:33:57 . 2006-03-02 12:00:00 467648 -c--a-w- C:\WINDOWS\system32\perfh00C.dat

2007-04-16 21:00:27 . 2007-04-16 21:00:27 90 -csh--w- C:\WINDOWS\cnerolf.dat

2009-03-05 14:47:50 . 2009-03-05 14:47:50 84992 --sha-r- C:\WINDOWS\system32\hyxxavf.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe" [2006-09-13 09:12:52 139264]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 16:24:37 1694208]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="C:\Program Files\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 14:28:32 790528]

"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 15:56:00 24576]

"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-10 23:00:00 90112]

"Jet Detection"="C:\Program Files\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-28 23:00:00 28672]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 23:51:40 81000]

"NeroFilterCheck"="C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 14:40:44 155648]

"LanguageShortcut"="C:\Program Files\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 09:29:00 49152]

"LVCOMS"="C:\Program Files\Fichiers communs\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 15:54:04 127022]

"LogitechGalleryRepair"="C:\Program Files\Logitech\ImageStudio\ISStart.exe" [2002-12-10 16:32:12 155648]

"LogitechImageStudioTray"="C:\Program Files\Logitech\ImageStudio\LogiTray.exe" [2002-12-10 16:31:34 61440]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2007-04-28 12:00:03 185784]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06:32 40048]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2009-05-26 15:18:30 413696]

"BlackBerryAutoUpdate"="C:\Program Files\Fichiers communs\Research In Motion\Auto Update\RIMAutoUpdate.exe" [2009-03-19 10:57:56 615696]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 02:00:36 132496]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 12:00:00 15360]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"F:\\Documents_JeanPierre\\Bearshare\\BearShare.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"C:\\WINDOWS\\system32\\dpnsvr.exe"=

"C:\\Program Files\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=

"C:\\Program Files\\IVAO\\IvAp\\ivapnetint.exe"=

"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=

"C:\\Program Files\\BearShare\\BearShare.exe"=

"C:\\Program Files\\MessengerDiscovery\\MessengerDiscovery Live.exe"=

"F:\\Documents_JeanPierre\\PES 2009\\pes2009.exe"=

"F:\\Documents_JeanPierre\\SopCast\\SopCast.exe"=

"F:\\Documents_JeanPierre\\SopCast\\adv\\SopAdver.exe"=

"F:\\Documents_JeanPierre\\TVAnts\\a\\Tvants.exe"=

"C:\\Program Files\\Skype\\Plugin Manager\\skypePM.exe"=

"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"18101:TCP"= 18101:TCP:DebugResources registrationShell

"33616:UDP"= 33616:UDP:DebugResources IMEDefinitions

"7734:TCP"= 7734:TCP:DebugResources PagesWeb

"23140:UDP"= 23140:UDP:DebugResources KernelInternet

 

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [18/06/2008 18:48:55 114768]

R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\drivers\aswFsBlk.sys [18/06/2008 18:48:56 20560]

R3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\system32\drivers\LV551AV.sys [16/04/2007 20:31:52 220079]

S2 Remoteman;Task Helper;C:\WINDOWS\system32\svchost.exe -k netsvcs [02/03/2006 13:00:00 14336]

S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;C:\WINDOWS\system32\DRIVERS\ManyCam.sys --> C:\WINDOWS\system32\DRIVERS\ManyCam.sys [?]

S3 MOSUMAC;MosChip USB-Ethernet Driver;C:\WINDOWS\system32\drivers\MOSUMAC.SYS [13/04/2007 10:51:28 21925]

S3 qcusbmdm;Qualcomm Proprietary USB Driver (PID 3197);C:\WINDOWS\system32\drivers\qcusbmdm.sys [23/10/2007 19:06:28 59632]

S4 sptd;sptd;C:\WINDOWS\system32\drivers\sptd.sys [05/02/2009 13:11:47 717296]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

Remoteman

.

------- Examen supplémentaire -------

.

IE: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: {DAF7E6E6-D53A-439A-B28D-12271406B8A9} - hxxp://mobileapps.blackberry.com/devicesoftware/AxLoader.cab

FF - ProfilePath - C:\Documents and Settings\Jean pierre\Application Data\Mozilla\Firefox\Profiles\61xnweel.default\

FF - prefs.js: browser.search.selectedEngine - Wikipédia (fr)

FF - prefs.js: browser.startup.homepage - hxxp://www.msn.fr

FF - plugin: C:\Program Files\Mozilla Firefox\plugins\npmozax.dll

FF - plugin: F:\Documents_JeanPierre\CyberLink\DivX\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: F:\Documents_JeanPierre\CyberLink\DivX\DivX Web Player\npdivx32.dll

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: content.max.tokenizing.time - 200000

FF - user.js: content.notify.interval - 100000

FF - user.js: content.switch.threshold - 650000

FF - user.js: nglayout.initialpaint.delay - 300

.

- - - - ORPHELINS SUPPRIMES - - - -

 

BHO-{41041000-2F2F-479D-90AE-FD791EFAF73A} - (no file)

BHO-{6CCD5406-5D18-4069-9512-776DD867119B} - (no file)

HKCU-Run-Malware Defense - C:\Program Files\Malware Defense\mdefense.exe

[Apollo]

Ok

 

Pense bien à faire ce qui est indiqué en rouge dans les explications de MBAM.

 

@++