PC infecté

[hernan]

Bonsoir à tous, mon pc est infecté d'un virus malsain et sournois qui se prétend être un antivirus (plusieus icones apparaissent en bas à droite), de nouvelles fenêtres s'ouvrent toutes les 30 secondes me disant que mon ordi est en danger et comble du vice il s'éteind et redémarre tout seul.

 

Une âme charitable pourrait-elle m'aider ?

[Apollo]

Bonsoir,

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT.
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

>>>Tu peux héberger les deux rapports de RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.

 

Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.

 

@++

[hernan]

Salut Apollo, merci de ta réponse rapide.

Voici ce que tu demandes :

 

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Cijoint.fr - Service gratuit de dépôt de fichiers

[Apollo]

Le pc est lourdement infecté.

 

1) Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

Lien 1

Lien 2

Lien 3

Lien 4

 

http://download.bleepingcomputer.com/grinler/eXplorer.exe

http://download.bleepingcomputer.com/grinler/iExplore.exe

 

 

Enregistrer le fichier sur le Bureau.

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les six liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

-----------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Malwarebytes Anti-Malware - Reviews and free Malwarebytes Anti-Malware downloads at Download.com

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

 

++

[hernan]

Rapport RKILL :

 

 

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Mss test on 24/09/2010 at 0:57:12.

 

 

Services Stopped:

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Users\Mss test\AppData\Local\ilvaa.exe

C:\Users\Mss test\wuaucldt.exe

C:\Users\MSSTES~1\AppData\Local\Temp\dfrgsnapnt.exe

C:\Users\MSSTES~1\AppData\Local\Temp\wscsvc32.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\Mss test\Desktop\rkill.scr

 

 

Rkill completed on 24/09/2010 at 0:57:17.

[Apollo]

Ok, tu peux poursuivre avec l'analyse MalwareBytes.

N'oublie pas de faire ce qui est noté en rouge.

 

@++

[hernan]

Ok, maintenant voici celui de malwarebytes :

 

 

 

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4678

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18943

 

24/09/2010 01:26:27

mbam-log-2010-09-24 (01-26-27).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 139525

Temps écoulé: 11 minute(s), 25 seconde(s)

 

Processus mémoire infecté(s): 4

Module(s) mémoire infecté(s): 2

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 6

Elément(s) de données du Registre infecté(s): 6

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 34

 

Processus mémoire infecté(s):

C:\Users\Mss test\AppData\Roaming\AnVi\avt.exe (Trojan.FakeAlert) -> Unloaded process successfully.

C:\Users\Mss test\AppData\Local\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Unloaded process successfully.

C:\Users\Mss test\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Unloaded process successfully.

C:\Users\Mss test\wuaucldt.exe (Trojan.Agent) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

C:\Users\Mss test\AppData\Roaming\AnVi\avthook.dll (Trojan.FakeAlert) -> Delete on reboot.

C:\Users\Mss test\AppData\Local\Temp\eapp32hst.dll (Trojan.FakeAV) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Live-Player (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wuaucldt (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ilvaa (Trojan.Agent.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antivirus (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\24d1ca9a-a864-4f7b-86fe-495eb56529d8 (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\7bde84a2-f58f-46ec-9eac-f1f90fead080 (Malware.Trace) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://www.cherche.us'>http://www.cherche.us'>http://www.cherche.us'>http://www.cherche.us'>http://www.cherche.us/keyword/'>http://www.cherche.us/keyword/) Good: (http://www.google.com'>http://www.google.com'>http://www.google.com'>http://www.google.com'>http://www.google.com'>http://www.google.com) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\Users\Mss test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AnVi (Rogue.AntiVirus) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Users\Mss test\Local Settings\Application Data\ilvaa_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Users\Mss test\Local Settings\Application Data\ilvaa_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Users\Mss test\Local Settings\Application Data\ilvaa.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Users\Mss test\Local Settings\Application Data\ilvaa.exe (Adware.Navipromo.H) -> Delete on reboot.

c:\Users\Mss test\wuaucldt.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

c:\Users\Mss test\AppData\Local\ilvaa.exe (Trojan.Agent.H) -> Delete on reboot.

C:\Users\Mss test\AppData\Roaming\AnVi\avthook.dll (Trojan.FakeAlert) -> Delete on reboot.

C:\Users\Mss test\AppData\Local\Temp\eapp32hst.dll (Trojan.FakeAV) -> Delete on reboot.

C:\Users\Mss test\AppData\Roaming\AnVi\avt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\dfrgsnapnt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\wscsvc32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monmvr32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\~TMC401.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\~TMCBED.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\~TMDED5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\dhdhtrdhdrtr5y (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\tmp5DB2.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\tmpC50B.tmp.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\topwesitjh (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\jar_cache1427958728356924448.tmp (Redir.ChercheUs) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\NS3C63.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\xosnamecrw.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Users\Mss test\majwinternet.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Roaming\apiqfw.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Users\Mss test\Desktop\nudetube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.

C:\Users\Mss test\Desktop\pornotube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.

C:\Users\Mss test\Desktop\spam001.exe (Malware.Trace) -> Quarantined and deleted successfully.

C:\Users\Mss test\Desktop\spam003.exe (Malware.Trace) -> Quarantined and deleted successfully.

C:\Users\Mss test\Desktop\troj000.exe (Malware.Trave) -> Quarantined and deleted successfully.

C:\Users\Mss test\Desktop\youporn.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antivirus.lnk (Rogue.AntiVirus) -> Quarantined and deleted successfully.

C:\Users\Mss test\AppData\Local\Temp\0.045459421546773515.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Users\Mss test\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

[Apollo]

Belle collection ^^

 

Si le pc a redémarré, ça va sinon fais-le avant de passer à la suite.

MBAM devra être relancé en analyse complète avec les supports amovibles (usb) branchés, mais tu feras ça plus tard.

 

Télécharge TDSSKiller.zip de Kaspersky sur ton bureau.

 

Décompresse-le. (clic droit/extraire ici).

 

Besoin d'un utilitaire de décompression? 7Zip

 

Télécharger le fichier non-compressé: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

 

Ouvre le dossier si la décompression a donné un répertoire TDSSKiller.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

 

Cliquer sur Start scan pour lancer l'analyse.

 

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now.

 

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

 

 

@++

 

Corr: orthographe

Modifié le 23 septembre 2010 par Apollo

[hernan]

J'ai ceci qui apparaît :

 

[Apollo]

C'est bien si TDSSKiller n'a plus rien trouvé comme rootkit.

 

Je vais te laisser des instructions, à faire dans l'ordre stp.

Tu devras me poster tous les rapports; il s'agit de vérifier si MBAM n'a rien laissé traîner.

Demain, nous ferons le nécessaire pour sécuriser un peu mieux ton ordinateur.

 

1) Télécharge Navilog1 (par IL-MAFIOSO) Enregistre-le sur ton bureau.

 

http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

 

Ensuite double clique sur navilog1.exe pour lancer l'installation.

Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.

 

Laisse-toi guider. Appuie sur une touche quand on te le demande.

Au menu principal, choisis 1 et valide.

 

< Ne fais pas le choix 2 >

 

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.

Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.

 

Patiente jusqu'au message "Scan terminé le......"

Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.

Copie-colle l'intégralité dans ta réponse. Referme le bloc-notes.

 

PS : le rapport est aussi sauvegardé à la racine du disque dur C:\cleannavi.txt

 

----------------------------------

2) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous Vista/7: Désactiver provisoirement l'UAC comme expliqué ICI

 

Double-clique (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

3) Double-clique (Clic droit/exécuter comme administrateur pour Vista/7) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

Réactiver l'UAC de Vista/7. (Si Vista/7 bien sûr!).

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

--------------------------------

Refais alors un nouveau log RSIT (il n'y aura qu'un seul log cette fois).

N'hésite pas à faire plusieurs réponses pour poster les rapports parce que le forum plante encore bien si on charge un post avec de longs rapports.

 

L'administrateur fait son possible pour régler ce souci mais ce n'est pas si simple.

 

Je regarderai tout cela demain.

Ton pc doit déjà se sentir mieux je pense.

Bonne nuit.

 

@++