ordi lent, pub intempestives et virus

[nikigabal]

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6665

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

24/05/2011 20:46:53

mbam-log-2011-05-24 (20-46-53).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 152268

Temps écoulé: 9 minute(s), 16 seconde(s)

 

Processus mémoire infecté(s): 2

Module(s) mémoire infecté(s): 3

Clé(s) du Registre infectée(s): 12

Valeur(s) du Registre infectée(s): 3

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 11

 

Processus mémoire infecté(s):

c:\WINDOWS\Temp\yuwr\setup.exe (Spyware.Passwords.XGen) -> 6000 -> Unloaded process successfully.

c:\WINDOWS\Fsykea.exe (Trojan.Downloader.VCP) -> 3592 -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader.VCP) -> Delete on reboot.

c:\WINDOWS\rexcr7.dll (Trojan.Hiloti.Gen) -> Delete on reboot.

c:\WINDOWS\system32\xgmcfllx.dll (IPH.GenericBHO) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMService (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SETUP.EXE (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{397F4981-9943-1C8F-4B30-BE2D0C61E225} (IPH.GenericBHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Whuyitdj (IPH.GenericBHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{397F4981-9943-1C8F-4B30-BE2D0C61E225} (IPH.GenericBHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{397F4981-9943-1C8F-4B30-BE2D0C61E225} (IPH.GenericBHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\NtWqIVLZEWZU (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\OO1310T0QS (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\SNJQ66R8MU (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Yjewucowoziq (Trojan.Hiloti.Gen) -> Value: Yjewucowoziq -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OO1310T0QS (Trojan.Downloader.VCP) -> Value: OO1310T0QS -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SNJQ66R8MU (Trojan.Downloader.VCP) -> Value: SNJQ66R8MU -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader.VCP) -> Delete on reboot.

c:\WINDOWS\rexcr7.dll (Trojan.Hiloti.Gen) -> Delete on reboot.

c:\WINDOWS\Temp\yuwr\setup.exe (Spyware.Passwords.XGen) -> Delete on reboot.

c:\WINDOWS\Fsykea.exe (Trojan.Downloader.VCP) -> Delete on reboot.

c:\Documents and Settings\Bauzon\Local Settings\Temp\Frx.exe (Trojan.Downloader.VCP) -> Delete on reboot.

c:\WINDOWS\system32\xgmcfllx.dll (IPH.GenericBHO) -> Delete on reboot.

c:\documents and settings\Bauzon\local settings\Temp\Fry.exe (Trojan.Downloader.VCP) -> Quarantined and deleted successfully.

c:\documents and settings\Bauzon\local settings\Temp\mncxsraeow.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.

[nikigabal]

Help, help, help

 

J'ai lancé l'analyse complète de mbam. En plein milieu de l'analyse l'ordi s'arrête, redémarre et maintenant je ne peux plus activer mon antivirus avira.

 

J'ai un icone MS REMOVAL TOOL VERSION 2.20 qui se met sans cesse et me dit que mon antivirus ne peut être activé.

 

Au secours, du coup je ne suis plus protégé.

[nikigabal]

En cherchant sur le net je viens de me rendre compte que ce fameux ms removal était un virus.

 

Pouvez vous m'aider à le supprimer svp.

 

Pfff j'en ai ras le bol de ces virus....

[pear]

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 2 et valider

Un rapport (RKreport.txt) apparaitra sur le bureau

montrant les processus infectieux tués

Lancez successivement toutes les options

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[nikigabal]

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Bauzon [Droits d'admin]

Mode: Suppression -- Date : 25/05/2011 14:30:31

 

Processus malicieux: 1

[sUSP PATH] gF28601GjOfP28601.exe -- c:\documents and settings\all users\application data\gf28601gjofp28601\gf28601gjofp28601.exe -> KILLED

 

Entrees de registre: 2

[sUSP PATH] HKCU\[...]\RunOnce : gF28601GjOfP28601 (C:\Documents and Settings\All Users\Application Data\gF28601GjOfP28601\gF28601GjOfP28601.exe) -> DELETED

[bLACKLIST] HKLM\[...]\Root : LEGACY_SSHNAS () -> DELETED

 

Fichier HOSTS:

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

[nikigabal]

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6673

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

25/05/2011 15:31:28

mbam-log-2011-05-25 (15-31-28).txt

 

Type d'examen: Examen complet (C:\|)

Elément(s) analysé(s): 232523

Temps écoulé: 49 minute(s), 21 seconde(s)

 

Processus mémoire infecté(s): 3

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 9

 

Processus mémoire infecté(s):

c:\WINDOWS\Temp\Frv.exe (Trojan.Downloader.VCP) -> 3716 -> Unloaded process successfully.

c:\WINDOWS\Temp\Frw.exe (Trojan.Downloader.VCP) -> 2068 -> Unloaded process successfully.

c:\WINDOWS\Temp\Frx.exe (Trojan.Downloader.VCP) -> 1592 -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4ECYTQ9SIC (Trojan.Downloader.VCP) -> Value: 4ECYTQ9SIC -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\WINDOWS\Temp\Frv.exe (Trojan.Downloader.VCP) -> Delete on reboot.

c:\WINDOWS\Temp\Frw.exe (Trojan.Downloader.VCP) -> Delete on reboot.

c:\WINDOWS\Temp\Frx.exe (Trojan.Downloader.VCP) -> Delete on reboot.

c:\documents and settings\all users\application data\gf28601gjofp28601\gf28601gjofp28601.exe (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.

c:\documents and settings\Bauzon\Bureau\rk_quarantine\gf28601gjofp28601.exe.vir (Rogue.MSRemovalTool) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\WINDOWS\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.

c:\documents and settings\Bauzon\Bureau\Winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

[pear]

Bien.

Ca va mieux ?

 

Téléchargez TFC par OldTimer sur votre Bureau

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..

S'il ne le faisait pas,faites redémarrer manuellement le PC

[nikigabal]

Mille merci tout marche, plus de virus à priori.

 

Merci encore

[nikigabal]

Tout remarche normalement, mais mon antivirus vient de m'avertir qu'il y avait 2 logiciels malveillants de détecter.

 

Que faire ???

[pear]

mon antivirus vient de m'avertir qu'il y avait 2 logiciels malveillants de détecter.

 

Que faire ???

 

Les bloquer.Normalement, votre antivirus les mettra en quarantaine où ils seront inoffensifs.

Cela dit, il faudrait peut-être faire attention aux sites que vous fréquentez, les malwares ne venant généralement pas sans intervention de votre part.

Avant d'installer quelque chose sur votre machine , vérifier qu'il n'y a pas de case malicieuse à décocher( une toolbar, par exemple et c'est le moindre)