Pubs Intempestives et TR/Hijacker.Gen constamment par Avira (Resolu)

[JulienSurgères]

Antivir fait son boulot certes, mais j'aimerai qu'il arrête de me demander toutes les 5 minutes que faire du virus trouvé, je suis crevé de le mettre en quarantaine, de lui refuser l'accès, de le supprimer mais ca revient sans cesse, je ne peux plus travailler ..

[Falkra]

Désactive Antivir le temps des manips, sinon il va empêcher les suppressions. Réactive-le après.

[JulienSurgères]

Ok je viens de le faire, j'attends de voir si ca me signale à nouveau un problème, je devrai pas tarder à être fixé puisque ce message s'affiche toutes les 5 minutes en moyenne ..

[Falkra]

Fais moi signe si ça le fait encore maintenant.

SI oui, mets en quarantaine, ne demande pas à refuser l'accès, sans cela il te retrouvera très vite le fichier. On fera un scan complet après.

[JulienSurgères]

Bon, ca revient ..

 

"Dans le fichier 'C:\WINDOWS\Temp\kwwp.tmp\svchost.exe'

un virus ou un programme indésirable 'TR/Downloader.Gen' [trojan] a été détecté.

Action exécutée : Refuser l'accès"

 

J'ai pourtant désactiver, nettoyer avec AFT Cleaner, et réactiver Avira mais voila , ca revient ..

[JulienSurgères]

Et c'est rare mais des pages Eplorer s'ouvre aussi avec des pubs .. comme ca ..

[Falkra]

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau.

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes.

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Sections, IAT
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

[JulienSurgères]

Pour l'instant je n'ai plus de probleme, cela dit, je m'execute, je fais ce que tu me dis, je publierai le rapport dans quelques minutes

[JulienSurgères]

Et voici le rapport : (ca a mis relativement longtemps) :

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-04-21 18:41:08

Windows 5.1.2600 Service Pack 3

Running: y6rjo2gx.exe; Driver: C:\DOCUME~1\HP_PRO~1.PLA\LOCALS~1\Temp\pwlcapod.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT BA75C026 ZwCreateKey

SSDT BA75C01C ZwCreateThread

SSDT BA75C02B ZwDeleteKey

SSDT BA75C035 ZwDeleteValueKey

SSDT BA75C03A ZwLoadKey

SSDT BA75C008 ZwOpenProcess

SSDT BA75C00D ZwOpenThread

SSDT BA75C044 ZwReplaceKey

SSDT BA75C03F ZwRestoreKey

SSDT BA75C030 ZwSetValueKey

SSDT BA75C017 ZwTerminateProcess

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

Device -> \Driver\atapi \Device\Harddisk0\DR0 8A057AC8

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

 

---- EOF - GMER 1.0.15 ----

[Falkra]

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

Voilà le souci. Il y a certainement une bonne bestiole, et du genre bien coriace, en prime.

 

Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Tu peux voir ces opérations dans le guide officiel (seul autorisé) :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix