[Résolu] Virus introuvable mais bel et bien présent

[Fatalize]

Désolé.

Modifié le 19 mars 2011 par Fatalize

[Fatalize]

Désolé.

Modifié le 19 mars 2011 par Fatalize

[Fatalize]

Désolé.

Modifié le 19 mars 2011 par Fatalize

[lance_yien]

Re,

 

Pas de problème pour le nombre de posts par contre je ne peux pas avoir ton rapport (il faut être inscrit). Mets-le ICI et donne-moi l'URL.

OTL extra.txt n'est généré que la 1ère fois d'utilisation de OTL et ne doit être pas loin de OTL.exe

Modifié le 19 mars 2011 par lance_yien

[Fatalize]

Voilà pour le rapport OTL : © CJoint.com, 2010

[lance_yien]

Brancher et allumer tous les médias amovibles disponibles (Disques externes, clés USB etc...) de préférence aux mêmes endroits que lors de l'analyse avec OTL.

Lancer OTL et copier la liste suivante (commençant par :OTL) et la coller dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très important, merci de vérifier).

 

:OTL

[2011/03/12 13:39:52 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Julien\AppData\Roaming\mozilla\Extensions

[2011/03/18 09:32:08 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\nzt8knjz.default\extensions

[2011/03/13 02:34:17 | 000,000,000 | ---D | M] (No name found) -- C:\Program Files (x86)\Mozilla Firefox\extensions

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.

O4 - HKLM..\Run: [] File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1

O18:64bit: - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found

O18:64bit: - Protocol\Handler\ms-help {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found

O18:64bit: - Protocol\Handler\ms-itss {0A9007C0-4076-11D3-8789-0000F8105754} - Reg Error: Key error. File not found

O18:64bit: - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found

O18:64bit: - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not found

O33 - MountPoints2\{233873a3-ce28-11df-9861-002713dce4b0}\Shell - "" = AutoRun

O33 - MountPoints2\{233873a3-ce28-11df-9861-002713dce4b0}\Shell\AutoRun\command - "" = G:\autoplay.exe

[2011/03/18 09:31:59 | 004,289,814 | ---- | M] () -- C:\Users\Julien\Desktop\ComboFix.exe

[2011/03/18 12:46:52 | 000,000,000 | R--D | C] -- C:\32788R22FWJFW

[2011/03/14 22:16:17 | 000,126,586 | ---- | M] () -- C:\Users\Julien\Desktop\TomsDownloader15149.exe

[2007/11/07 07:44:20 | 000,855,040 | ---- | M] (Microsoft Corporation) -- C:\install.exe

[2007/11/07 07:00:40 | 000,000,843 | ---- | M] () -- C:\install.ini

 

:Services

 

:Reg

 

:Files

C:\WINDOWS\tasks\*.job

C:\*.sqm

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

[RESETHOSTS]

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur Oui.

A la fin un rapport s'ouvre dans le bloc-note. Copier son contenu et le coller dans une nouvelle réponse. Fermer le rapport et OTL.

 

 

>>> Mises à jour: Toute ancienne version d'un programme quel qu'il soit peut comporter des vulnérabilités susceptibles d'être exploitées pour infecter un PC:

• Java: Utiliser, IMPÉRATIVEMENT, Internet Explorer pour téléchargez (sur le Bureau) la dernière version qui correspond à votre Système d'exploitation (le tien est un 64 bits): Téléchargements Java pour tous les systèmes d'exploitation.
   
  
  

  
   
  Avant l'installation il est important de commencer par supprimer TOUTES les anciennes versions dans votre machine parce qu'elles peuvent contenir des vulnérabilités de sécurité:
  Cliquer sur "Démarrer" => "Panneau de Configuration" => "Ajout/ Suppr des Programmes".
  Chercher, dans la liste les lignes concernant Java (J2SE Runtime Environment.... ) et repérables avec cette icône .
  Sélectionner une ligne à la fois et cliquer sur Modifier/ Supprimer.
  Quand il n'y en a plus fermez tout et installez la nouvelle version en cliquant sur le fichier que vous avez téléchargé.
   
  

• Ta version de Adobe Acrobat Reader n'est pas à jour. La désinstaller et télécharger la dernière version ici (Décocher la case Inclure dans votre téléchargement).

 

 

Rapports demandés:

• OTL.txt

Encore des soucis avec ta machine?

[Fatalize]

Voilà le rapport :

 

 

All processes killed

========== OTL ==========

C:\Users\Julien\AppData\Roaming\mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384} folder moved successfully.

C:\Users\Julien\AppData\Roaming\mozilla\Extensions folder moved successfully.

C:\Users\Julien\AppData\Roaming\mozilla\Firefox\Profiles\nzt8knjz.default\extensions folder moved successfully.

Folder C:\Program Files (x86)\Mozilla Firefox\extensions\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop not found.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\livecall\ not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{828030A1-22C1-4009-854F-8E305202313F}\ not found.

File {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ms-help\ not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{314111c7-a502-11d2-bbca-00c04f8ec294}\ not found.

File {314111c7-a502-11d2-bbca-00c04f8ec294} - Reg Error: Key error. File not found not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ms-itss\ not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0A9007C0-4076-11D3-8789-0000F8105754}\ not found.

File {0A9007C0-4076-11D3-8789-0000F8105754} - Reg Error: Key error. File not found not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msnim\ not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{828030A1-22C1-4009-854F-8E305202313F}\ not found.

File {828030A1-22C1-4009-854F-8E305202313F} - Reg Error: Key error. File not found not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\wlmailhtml\ not found.

64bit-Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{03C514A3-1EFB-4856-9F99-10D7BE1653C0}\ not found.

File {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - Reg Error: Key error. File not found not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{233873a3-ce28-11df-9861-002713dce4b0}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{233873a3-ce28-11df-9861-002713dce4b0}\ not found.

Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{233873a3-ce28-11df-9861-002713dce4b0}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{233873a3-ce28-11df-9861-002713dce4b0}\ not found.

File G:\autoplay.exe not found.

File C:\Users\Julien\Desktop\ComboFix.exe not found.

Folder C:\32788R22FWJFW\ not found.

File C:\Users\Julien\Desktop\TomsDownloader15149.exe not found.

File C:\install.exe not found.

File C:\install.ini not found.

========== SERVICES/DRIVERS ==========

========== REGISTRY ==========

========== FILES ==========

File\Folder C:\WINDOWS\tasks\*.job not found.

File\Folder C:\*.sqm not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Administrator

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Julien

->Temp folder emptied: 149770 bytes

->Temporary Internet Files folder emptied: 56661594 bytes

->Java cache emptied: 2190818 bytes

->FireFox cache emptied: 46245701 bytes

->Flash cache emptied: 1892 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32 (64bit) .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 47147757 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 158984 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 145,00 mb

 

 

[EMPTYFLASH]

 

User: Administrator

 

User: All Users

 

User: Default

 

User: Default User

 

User: Julien

->Flash cache emptied: 0 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.22.3 log created on 03192011_200627

 

Files\Folders moved on Reboot...

C:\Users\Julien\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

 

Registry entries deleted on Reboot...

 

Files\Folders moved on Reboot...

File\Folder C:\Users\Julien\AppData\Local\Temp\FXSAPIDebugLogFile.txt not found!

 

Registry entries deleted on Reboot...

 

 

 

La première fois que j'ai lancé, le pc a reboot tout seul pendant l'execution sans rien me demander. J'ai relancé une deuxième fois. Le pc a redémarré comme l'a demandé OTL, puis après avoir affiché le bureau/rapport il a reboot tout seul. Le rapport posté est celui rendu après le troisième reboot de ce résumé. J'ai encore le processus WmiPrvSE.exe qui me bouffe tout mon UC et que je suis obligé de suspendre. (Je ne le suspendais pas quand je faisais toute les manips).

 

Donc pas l'impression que le problème soit parti. Je sais pas encore pour les pubs parce que c'était relativement rare, je repréciserai donc. Je procède aux mises à jours demandées.

 

EDIT : Mon pc a completement crashé puis rebooté automatiquement pendant que je désinstallais Acrobat.

 

EDIT 2 : J'ai toujours des pubs de temps en temps.

Modifié le 19 mars 2011 par Fatalize

[lance_yien]

Bonjour,

 

Le processus que tu indiques n'apparait pas dans tes rapports. On approfondit la recherche.

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• SystemLook (par jpshortstuff) depuis ici ou ici.
  
• TDSSKiller.zip depuis ici et le dé-zipper (clic-droit => "Extraire ici").

 

 

>>> TDSSKiller: Dézipper TDSSKiller.zip (clic-droit dessus => "Extraire ici". Glisser TDSSKiller.zip dans la corbeille pour le supprimer.

• Fermer toutes les applications ouvertes et désactiver antivirus et tout autre programme de protection. Cliquer-droit sur TDSSKiller.exe => "Exécuter en tant qu'administrateur" pour lancer le programme.
   
  
• Cliquer sur le bouton Start Scan et patienter jusqu'à la fin de l'analyse.
   
  
• Si un fichier infecté est détecté, l'action par défaut sera Cure. Cliquer sur le bouton Continue Sans rien changer.
   
  
• Si un fichier suspect est détecté, l'action par défaut sera Skip. Cliquer sur le bouton Continue Sans rien changer.

Si vous êtes invité à redémarre la machine pour finir le processus (reboot the computer to complete the process), cliquez sur le bouton Reboot Now. Le rapport sera sauvegardé à la racine de la partition système, là où Windows est installé (généralement C:\); son format est du type "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" (par exemple, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt). Poster son contenu.

Si aucun redémarrage n'est requis, cliquer sur Report. Un fichier texte s'ouvre et sera sauvegardé de la même manière, poster son contenu.

 

>>> SystemLook: Cliquer-droit sur SystemLook.exe => "Exécuter en tant qu'administrateur" et y copier/ coller le texte suivant (commençant par :filefind).

 

:filefind
*WmiPrvSE*
:regfind
WmiPrvSE

 

Cliquer sur le bouton Look et attendre que l'analyse se termine.

A la fin, un rapport s'ouvre dans le bloc-note et sera enregistré sur le Bureau sous le nom de "SystemLook.txt". Copier/ coller son contenu dans la prochaine réponse.

 

 

Rapports demandés:

• TDSSKiller_log.txt
• SystemLook.txt

[Fatalize]

Rapport TDSSKiller : © CJoint.com, 2010

 

Rapport SystemLook :

 

 

SystemLook 04.09.10 by jpshortstuff

Log created at 13:14 on 20/03/2011 by Julien

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "*WmiPrvSE*"

C:\Windows\Prefetch\WMIPRVSE.EXE-1628051C.pf --a---- 36726 bytes [18:34 15/03/2011] [12:13 20/03/2011] 66D93443D3A23CF74596ADD5CD6A1DC6

C:\Windows\System32\wbem\WmiPrvSE.exe --a---- 368640 bytes [23:47 13/07/2009] [01:39 14/07/2009] 64D757051B5B273E55C93E4503EA4F3E

C:\Windows\SysWOW64\wbem\WmiPrvSE.exe --a---- 254976 bytes [23:30 13/07/2009] [01:14 14/07/2009] 203C3380A744CA5B9B1A9CAEB57F7D57

C:\Windows\winsxs\amd64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.1.7600.16385_none_6c57b032a516106e\WmiPrvSE.exe --a---- 368640 bytes [23:47 13/07/2009] [01:39 14/07/2009] 64D757051B5B273E55C93E4503EA4F3E

C:\Windows\winsxs\wow64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.1.7600.16385_none_76ac5a84d976d269\WmiPrvSE.exe --a---- 254976 bytes [23:30 13/07/2009] [01:14 14/07/2009] 203C3380A744CA5B9B1A9CAEB57F7D57

 

========== regfind ==========

 

Searching for "WmiPrvSE"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1F87137D-0E7C-44d5-8C73-4EFFB68962F2}\LocalServer32]

@="%systemroot%\system32\wbem\wmiprvse.exe -secured"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1F87137D-0E7C-44d5-8C73-4EFFB68962F2}\LocalServer32]

"ServerExecutable"="%systemroot%\system32\wbem\wmiprvse.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32]

@="%systemroot%\system32\wbem\wmiprvse.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32]

"ServerExecutable"="%systemroot%\system32\wbem\wmiprvse.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{1F87137D-0E7C-44d5-8C73-4EFFB68962F2}\LocalServer32]

@="%systemroot%\sysWOW64\wbem\wmiprvse.exe -secured"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{1F87137D-0E7C-44d5-8C73-4EFFB68962F2}\LocalServer32]

"ServerExecutable"="%systemroot%\sysWOW64\wbem\wmiprvse.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32]

@="%systemroot%\sysWOW64\wbem\wmiprvse.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32]

"ServerExecutable"="%systemroot%\sysWOW64\wbem\wmiprvse.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{1F87137D-0E7C-44d5-8C73-4EFFB68962F2}\LocalServer32]

@="%systemroot%\sysWOW64\wbem\wmiprvse.exe -secured"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{1F87137D-0E7C-44d5-8C73-4EFFB68962F2}\LocalServer32]

"ServerExecutable"="%systemroot%\sysWOW64\wbem\wmiprvse.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32]

@="%systemroot%\sysWOW64\wbem\wmiprvse.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Classes\CLSID\{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}\LocalServer32]

"ServerExecutable"="%systemroot%\sysWOW64\wbem\wmiprvse.exe"

 

-= EOF =-

 

 

TDSSKiller a trouvé un suspicious et a cure un malicious. Pas de changements vis à vis du processus WmiPrvSE, pour les pubs et les reboots je repréciserai.

Modifié le 20 mars 2011 par Fatalize

[lance_yien]

Re,

 

Le fichier suspect est légitime et l'autre est un rootkit (nettoyé).

Pour ton "WMIPRVSE.EXE" (normalement légitime),

- Tu peux supprimer celui-ci (en gras) C:\Windows\Prefetch\WMIPRVSE.EXE-1628051C.pf (en mode sans échec si nécessaire)

 

- On fait analyser les autres.

 

>>> Analyse de fichier(s):

• Copier la 1ère ligne de la liste suivante et aller sur le site Jotti.
   

  C:\Windows\System32\wbem\WmiPrvSE.exe
  C:\Windows\SysWOW64\wbem\WmiPrvSE.exe
  C:\Windows\winsxs\amd64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.1.7600.16385_none_6c57b032a516106e\WmiPrvSE.exe
  C:\Windows\winsxs\wow64_microsoft-windows-wmi-core-providerhost_31bf3856ad364e35_6.1.7600.16385_none_76ac5a84d976d269\WmiPrvSE.exe

   
  
• Cliquer sur Parcourir....
  
• Dans la nouvelle fenêtre, cliquer-droit dans "Nom du fichier" => "Coller" puis cliquer sur "Ouvrir".
  
• Cliquer sur Envoyer et laisser faire l'analyse.
  
• A la fin cliquer-droit sur le bouton Votre lien permanent... => "Copier l'adresse du lien".
  Ouvrir le bloc-note et cliquer-droit => "Coller"
  
  

  
  

• Recommencer avec l'autre ligne de ma liste en cliquant sur le bouton "Prochain fichier" et coller l'adresse dans le bloc-note.
  

Copier le contenu du bloc-note et le coller dans la prochaine réponse.

 

Si Jotti est surchargé, aller sur Virustotal,