Infection par Windows Vista Recovery

[lionel.d397]

Bonsoir

 

Je suis infecté depuis quelques jours par je ne sais combien de virus/spywares. J'ai eu très peur car c'est allé en se dégradant. J'avais sans cesse des alertes comme quoi j'étais infecté, comme quoi mon disque dur allait être détruit, ma mémoire RAM était défaillante, mes clusters étaient danger, etc... Je ne pouvais quasiment plus rien faire, me connecter à internet était une galère

 

Le bureau est devenu noir, tout a disparu (raccourcis, données...) à l'exception du logo d'IE, qui en plus a été modifié

 

J'ai tant bien que mal réussi à installer MBAM et à faire une analyse de 5 minutes qui m'a permis de détecter et de virer des nuisibles (j'ai interrompu l'analyse au bout de 5 min car sinon le PC redémarrait et donc anulait l'analyse MBAM!!!). Les plantages ont diminué et j'ai pu faire correctement une analyse MBAM, avec 18 éléments détectés. MBAM a planté lors de leur suppression!! Et impossible de trouver le moindre log de l'analyse...

 

Un des logiciel malveillant qui a été installé s'appele Windows Vista Recovery et un fichier nuisible qui a été supprimé est le fichier tafwyfiw.dll qui se trouvait dans system32

 

Disons que maintenant je peux acceder correctement à Internet et j'ai pu m'inscrire sur le forum.

 

Par ailleurs, tous mes dossiers (données) avaient disparus du bureau, je les ai retrouvés en réactivant les "dossiers cachés". Et oui, apparaissent maintenant en dossiers cachés tous mes répertoires dans lesquels j'ai mes données (fichiers word, photos, vidéos, etc)

 

Est-ce que quelqu'un peut me prendre en charge afin d'éliminer tous ces virus/trojans qui se trouvent encore dans mon ordinateur? Par avance, je vous remercie beaucoup!!

Modifié le 25 mai 2011 par lionel.d397

[pear]

Bonjour,

 

Unhide va restaurer les éléments du Menu Démarrer et de la Barre de lancement rapide (Quick Launch) qui ont été supprimés

 

Télécharger unhide de Grinler

sur le bureau puis lancez le en mode administrateur

 

Téléchargez AD-Remover sur le bureau

 

Déconnectez-vous et fermez toutes les applications en cours

Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .

Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel

Cliquez sur "OUI"

Double cliquer sur l'icône Ad-remover sur le bureau

Au menu principal choisir l'optionScanner et Validez

 

Patientez pendant le travail de l'outil.

Poster le rapport qui apparait à la fin .

Il est sauvegardé aussi sous C:\Ad-report.log

 

Ensuite

 

Relancer Ad- remover , choisir l'option Nettoyer

 

Il y aura 2 rapports à poster après :Scanner et Nettoyer

 

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le prgramme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider

Nettoyage du registre Passer en Mode 2

Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine

Pour supprimer un proxy[/b] Passer en Mode 4

Pour corriger les Dns Passer en Mode 5

Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6[/color]

Lancez succesivement toutes les options

Un rapport (RKreport.txt) apparaitra sur le bureau

 

En Copier/Coller le contenu dans la réponse

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

[lionel.d397]

Bonjour pear, et merci beaucoup pour ton aide

 

Alors j'ai fait tout ce que tu m'as dit. Seul petit problème: j'avais désinstallé AD-R, et le rapport "Clean" avait disparu. Je l'ai donc résinstallé et fait un nouveau "nettoyage"

Tu as donc le rapport "Scan" qui date du début de la procédure (avant RogueKiller, MBAM...), et le rapport "Clean" qui date de la fin de toute la procédure

 

Voilà tous les rapports:

 

Le rapport SCAN de AD-R (date du début de l'après-midi):

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 15:13:56 le 26/05/2011, Mode normal

 

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)

simoncastagna@PC-DE-SIMONCAST (Hewlett-Packard HP ProBook 4515s)

 

============== RECHERCHE ==============

 

 

Fichier trouvé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk

Fichier trouvé: C:\Users\simoncastagna\AppData\Roaming\Mozilla\FireFox\Profiles\cw5elapu.default\searchplugins\web-search.xml

Dossier trouvé: C:\Users\simoncastagna\AppData\Roaming\CrazyLoader

Dossier trouvé: C:\Program Files\CrazyLoader

Dossier trouvé: C:\Program Files\Winsudate

Dossier trouvé: C:\Users\simoncastagna\AppData\Roaming\OfferBox

Dossier trouvé: C:\Program Files\OfferBox

 

-- Fichier ouvert: C:\Users\simoncastagna\AppData\Roaming\Mozilla\FireFox\Profiles\cw5elapu.default\Prefs.js --

Ligne trouvée: user_pref("extensions.vshare@toolbar.update.enabled", false);

Ligne trouvée: user_pref("keyword.URL", "hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=");

-- Fichier Fermé --

 

 

Clé trouvée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}

Clé trouvée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}

Clé trouvée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}

Clé trouvée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}

Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer

Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1

Clé trouvée: HKLM\Software\OfferBox

Clé trouvée: HKLM\Software\Winsudate

Clé trouvée: HKCU\Software\OfferBox

Clé trouvée: HKCU\Software\Winsudate

Clé trouvée: HKU\.DEFAULT\Software\OfferBox

Clé trouvée: HKU\S-1-5-18\Software\OfferBox

Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}

Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\OfferBox

Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox

Clé trouvée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

 

Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com

 

 

============== SCAN ADDITIONNEL ==============

 

**** Mozilla Firefox Version [3.5.19 (fr)] ****

 

HKCU_MozillaPlugins\@yahoo.com/BrowserPlus,version=2.6.0 (x)

Components\aboutCertError.js

Components\aboutPrivateBrowsing.js

Components\aboutRights.js

Components\aboutRobots.js

Components\aboutSessionRestore.js

Components\nsPostUpdateWin.js

Extensions - "talkback@mozilla.org" (?)

Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )

HKLM_Extensions|{3112ca9c-de6d-4884-a869-9855de68056c} - C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}

HKLM_Extensions|offerboxffx@offerbox.com - C:\Program Files\OfferBox\offerboxffx@offerbox.com

 

-- C:\Users\simoncastagna\AppData\Roaming\Mozilla\FireFox\Profiles\cw5elapu.default --

Extensions\DivXWebPlayer@divx.com (?)

Extensions\DivXWebPlayer@divx.com-trash (?)

Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)

Searchplugins\web-search.xml (?)

Searchplugins\YouGoo.xml (<SearchPlugin xmlns=hxxp://www.mozilla.org/2006/browser/search/<ShortNameYouGoo</ShortName <DescriptionMéta-annuaire Yo...)

Prefs.js - browser.download.dir, C:\\Users\\simoncastagna\\Downloads

Prefs.js - browser.search.defaultenginename, Web Search...

Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

Prefs.js - browser.search.selectedEngine, Google

Prefs.js - browser.startup.homepage, hxxp://www.google.fr

Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.19

Prefs.js - keyword.URL, hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=

 

========================================

 

**** Internet Explorer Version [9.0.8112.16421] ****

 

HKCU_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=all&pf=cmnb

HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKCU_Main|Start Page - hxxp://www.google.fr/

HKLM_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=all&pf=cmnb

HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Start Page - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=all&pf=cmnb

HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll) (x)

HKCU_SearchScopes\{652AE0B2-53A2-46B3-9D1D-6CA014D3AF03} - "Wikipedia (en)" (hxxp://en.wikipedia.org/w/index.php?title=Special:Search&search={searchTerms})

HKCU_SearchScopes\{CA6C2A15-1280-4AEA-A034-F2DC2310DC30} - "AlloCine" (hxxp://www.allocine.fr/recherche/?motcle={searchTerms})

HKCU_SearchScopes\{E45C4287-3DD6-451F-9C1A-566974DFB774} - "PriceMinister" (hxxp://www.priceminister.com/navigation/se/category/sa/opensearchversion/1/kw/{s...)

HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)

HKCU_ElevationPolicy\{D09C464F-07DE-4C04-ABB4-88C30329C02D} - C:\Users\simoncastagna\AppData\Local\Yahoo!\BrowserPlus\2.5.1\BrowserPlusCore.exe (x)

HKLM_ElevationPolicy\{1950F857-D7D8-4617-8A85-BF48A10483D8} - C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe (Hewlett-Packard)

HKLM_ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB} - C:\Program Files\OfferBox\OfferBox.exe (Secure Digital Services Limited)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{BB64A76C-9578-433f-949F-142997978A62} - c:\Program Files\Hewlett-Packard\IAM\Bin\asghost.exe (Bioscrypt Inc.)

HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)

HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)

BHO\{3134413B-49B4-425C-98A5-893C1F195601} - "BHO_Startup Class" (C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll)

BHO\{DF21F1DB-80C6-11D3-9483-B03D0EC10000} - "Credential Manager for HP ProtectTools" (c:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll)

BHO\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - "OfferBox" (C:\Program Files\OfferBox\OfferBoxBHO.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 26/05/2011 15:14:16 (7222 Octet(s))

 

Fin à: 15:15:15, 26/05/2011

 

============== E.O.F ==============

 

 

Le rapport CLEAN de AD-R (fait à la fin, c'est à dire après RogueKiller et MBAM):

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par TeamXscript le 12/04/11

Contact: AdRemover[DOT]contact[AT]gmail[DOT]com

Site web: http://www.teamxscript.org

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:43:01 le 26/05/2011, Mode normal

 

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)

simoncastagna@PC-DE-SIMONCAST (Hewlett-Packard HP ProBook 4515s)

 

============== ACTION(S) ==============

 

 

Dossier supprimé: C:\Users\simoncastagna\AppData\Roaming\OfferBox

 

(!) -- Fichiers temporaires supprimés.

 

 

 

 

============== SCAN ADDITIONNEL ==============

 

**** Mozilla Firefox Version [3.5.19 (fr)] ****

 

HKCU_MozillaPlugins\@yahoo.com/BrowserPlus,version=2.6.0 (x)

Components\aboutCertError.js

Components\aboutPrivateBrowsing.js

Components\aboutRights.js

Components\aboutRobots.js

Components\aboutSessionRestore.js

Components\nsPostUpdateWin.js

Extensions - "talkback@mozilla.org" (?)

Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )

HKLM_Extensions|{3112ca9c-de6d-4884-a869-9855de68056c} - C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}

 

-- C:\Users\simoncastagna\AppData\Roaming\Mozilla\FireFox\Profiles\cw5elapu.default --

Extensions\DivXWebPlayer@divx.com (?)

Extensions\DivXWebPlayer@divx.com-trash (?)

Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)

Searchplugins\YouGoo.xml (<SearchPlugin xmlns=hxxp://www.mozilla.org/2006/browser/search/<ShortNameYouGoo</ShortName <DescriptionMéta-annuaire Yo...)

User.js - browser.startup.homepage, hxxps://www.facebook.com

Prefs.js - browser.download.dir, C:\\Users\\simoncastagna\\Downloads

Prefs.js - browser.search.defaultenginename, Web Search...

Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

Prefs.js - browser.search.selectedEngine, Google

Prefs.js - browser.startup.homepage, hxxps://www.facebook.com

Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.19

 

========================================

 

**** Internet Explorer Version [9.0.8112.16421] ****

 

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896

HKCU_Main|Start Page - hxxp://fr.msn.com/

HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896

HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm

HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKLM_Main|Start Page - hxxp://fr.msn.com/

HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll) (x)

HKCU_SearchScopes\{652AE0B2-53A2-46B3-9D1D-6CA014D3AF03} - "Wikipedia (en)" (hxxp://en.wikipedia.org/w/index.php?title=Special:Search&search={searchTerms})

HKCU_SearchScopes\{CA6C2A15-1280-4AEA-A034-F2DC2310DC30} - "AlloCine" (hxxp://www.allocine.fr/recherche/?motcle={searchTerms})

HKCU_SearchScopes\{E45C4287-3DD6-451F-9C1A-566974DFB774} - "PriceMinister" (hxxp://www.priceminister.com/navigation/se/category/sa/opensearchversion/1/kw/{s...)

HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)

HKCU_ElevationPolicy\{D09C464F-07DE-4C04-ABB4-88C30329C02D} - C:\Users\simoncastagna\AppData\Local\Yahoo!\BrowserPlus\2.5.1\BrowserPlusCore.exe (x)

HKLM_ElevationPolicy\{1950F857-D7D8-4617-8A85-BF48A10483D8} - C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe (Hewlett-Packard)

HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)

HKLM_ElevationPolicy\{BB64A76C-9578-433f-949F-142997978A62} - c:\Program Files\Hewlett-Packard\IAM\Bin\asghost.exe (Bioscrypt Inc.)

HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)

HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)

BHO\{3134413B-49B4-425C-98A5-893C1F195601} - "BHO_Startup Class" (C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll)

BHO\{DF21F1DB-80C6-11D3-9483-B03D0EC10000} - "Credential Manager for HP ProtectTools" (c:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll)

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 1 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 26/05/2011 18:43:04 (4693 Octet(s))

 

Fin à: 18:44:40, 26/05/2011

 

============== E.O.F ==============

 

 

Voilà les 6 rapports (RKreport.txt) de RogueKiller:

 

Rapport 1:

 

 

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: simoncastagna [Droits d'admin]

Mode: Recherche -- Date : 26/05/2011 15:32:08

 

Processus malicieux: 1

[sUSP PATH] lsnfier.exe -- c:\users\simoncastagna\appdata\roaming\microsoft\notification de cadeaux msn\lsnfier.exe -> KILLED

 

Entrees de registre: 10

[bLACKLIST DLL] HKCU\[...]\Run : Mtebamal (rundll32.exe "C:\Users\simoncastagna\AppData\Local\mdmfalt.dll",Startup) -> FOUND

[bLACKLIST DLL] HKUS\.DEFAULT[...]\Run : Metropolis (rundll32.exe C:\windows\system32\sshnas21.dll,GetHandle) -> FOUND

[sUSP PATH] HKUS\.DEFAULT[...]\Run : SNJQ66R8MU (C:\windows\TEMP\Hlr.exe) -> FOUND

[bLACKLIST DLL] HKUS\S-1-5-21-922052643-1355534777-890176683-1004[...]\Run : Mtebamal (rundll32.exe "C:\Users\simoncastagna\AppData\Local\mdmfalt.dll",Startup) -> FOUND

[bLACKLIST DLL] HKUS\S-1-5-18[...]\Run : Metropolis (rundll32.exe C:\windows\system32\sshnas21.dll,GetHandle) -> FOUND

[sUSP PATH] HKUS\S-1-5-18[...]\Run : SNJQ66R8MU (C:\windows\TEMP\Hlr.exe) -> FOUND

[sUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\hls.exe -> FOUND

[sUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\hlq.exe -> FOUND

[sUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\hlr.exe -> FOUND

[sUSP PATH] Notification de cadeaux MSN.lnk : C:\Users\simoncastagna\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> FOUND

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1001namen.com

127.0.0.1 1001namen.com

127.0.0.1 www.100888290cs.com

127.0.0.1 100888290cs.com

[...]

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

Rapport 2:

 

 

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: simoncastagna [Droits d'admin]

Mode: Suppression -- Date : 26/05/2011 15:33:08

 

Processus malicieux: 0

 

Entrees de registre: 7

[bLACKLIST DLL] HKCU\[...]\Run : Mtebamal (rundll32.exe "C:\Users\simoncastagna\AppData\Local\mdmfalt.dll",Startup) -> DELETED

[bLACKLIST DLL] HKUS\.DEFAULT[...]\Run : Metropolis (rundll32.exe C:\windows\system32\sshnas21.dll,GetHandle) -> DELETED

[sUSP PATH] HKUS\.DEFAULT[...]\Run : SNJQ66R8MU (C:\windows\TEMP\Hlr.exe) -> DELETED

[sUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\hls.exe -> DELETED

[sUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\hlq.exe -> DELETED

[sUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\hlr.exe -> DELETED

[sUSP PATH] Notification de cadeaux MSN.lnk : C:\Users\simoncastagna\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> DELETED

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1001namen.com

127.0.0.1 1001namen.com

127.0.0.1 www.100888290cs.com

127.0.0.1 100888290cs.com

[...]

 

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

Rapport 3:

 

 

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: simoncastagna [Droits d'admin]

Mode: HOSTS RAZ -- Date : 26/05/2011 15:33:26

 

Processus malicieux: 0

 

Fichier HOSTS:

127.0.0.1 localhost

::1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1001namen.com

127.0.0.1 1001namen.com

127.0.0.1 www.100888290cs.com

127.0.0.1 100888290cs.com

[...]

 

 

Nouveau fichier HOSTS:

127.0.0.1 localhost

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

Rapport 4:

 

 

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: simoncastagna [Droits d'admin]

Mode: Proxy RAZ -- Date : 26/05/2011 15:33:43

 

Processus malicieux: 0

 

Entrees de registre: 0

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

Rapport 5:

 

 

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: simoncastagna [Droits d'admin]

Mode: DNS RAZ -- Date : 26/05/2011 15:34:15

 

Processus malicieux: 0

 

Entrees de registre: 0

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

Rapport 6:

 

 

RogueKiller V5.1.6 [21/05/2011] par Tigzy

contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/23)

 

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur: simoncastagna [Droits d'admin]

Mode: Raccourcis RAZ -- Date : 26/05/2011 15:45:41

 

Processus malicieux: 0

 

Attributs de fichiers restaures:

Bureau: Success 2 / Fail 1

Lancement rapide: Success 0 / Fail 0

Programmes: Success 13 / Fail 0

Menu demarrer: Success 2 / Fail 0

Dossier utilisateur: Success 205 / Fail 44101

Mes documents: Success 25 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 216 / Fail 108394

Sauvegarde: [FOUND] Success 18 / Fail 0

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

 

 

Et voilà le rapport MBAM:

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de données: 6684

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 9.0.8112.16421

 

26/05/2011 18:28:19

mbam-log-2011-05-26 (18-28-19).txt

 

Type d'examen: Examen complet (C:\|D:\|F:\|)

Elément(s) analysé(s): 381262

Temps écoulé: 2 heure(s), 21 minute(s), 36 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 11

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{E3EE6235-CD54-4268-19E5-F325D0B6B717} (Trojan.ZbotR.Gen) -> Value: {E3EE6235-CD54-4268-19E5-F325D0B6B717} -> Delete on reboot.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

c:\newdnswatch (Trojan.SpyEyes) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

c:\programdata\47177464.exe (Rogue.WindowsRecoveryConsole) -> Quarantined and deleted successfully.

c:\Users\simoncastagna\AppData\Local\Temp\tmp858F.tmp (Trojan.FakeMS.Gen) -> Quarantined and deleted successfully.

c:\Users\simoncastagna\downloads\plugin-vlc-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

c:\captura.bmp (Malware.Traces) -> Quarantined and deleted successfully.

c:\codigo1.bmp (Malware.Traces) -> Quarantined and deleted successfully.

c:\codigo2.bmp (Malware.Traces) -> Quarantined and deleted successfully.

c:\codigo3.bmp (Malware.Traces) -> Quarantined and deleted successfully.

c:\codigo4.bmp (Malware.Traces) -> Quarantined and deleted successfully.

c:\error.bmp (Malware.Traces) -> Quarantined and deleted successfully.

c:\newdnswatch\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.

c:\Users\simoncastagna\AppData\Roaming\Afgiq\poyxu.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

 

 

Merci encore!! :love:

Modifié le 26 mai 2011 par lionel.d397

[lionel.d397]

Hello

 

Il y a une suite à la procédure je suppose?

 

Le PC n'a pas l'air désinfecté. Par exemple, quand je l'éteins, il se rallume et je suis obligé de l'éteindre une 2e fois...

[jeanmimigab]

Bonjour Lionel,

 

Pear a un petit souci et ne peux intervenir sur le forum en ce moment, en attendant je vais t'assister...

 

Le rogue "WindowsRecovery" qui t'a infecté a la mauvaise idée de faire planter un PC sur trois en fin de désinfection.

 

Donc avant de continuer fais une sauvegarde de tous ce qui est important sur un support externe (Disque dure/ DVD etc...)

Ensuite dis moi si en cas de problème tu as de quoi Réparer/restaurer le PC (DVD de Windows ou DVD de restauration)

 

ensuite je te donne la suite de la procédure

[lionel.d397]

Bonsoir

 

Je pensais bien qu'il y avait un souci; j'espère que ce n'est pas un souci de santé et que ce n'est pas grave

 

J'ai sauvegardé mes données les plus importantes (pas toutes, mais les plus sensibles). Hélas, je n'ai pas de DVD de restauration. Et mon DVD de Windows, je ne le trouve plus, j'ai passé une heure à le chercher; je pense qu'il est chez mon frère; peut-être vaut-il mieux que j'attende de l'avoir pour continuer??

 

Merci à toi en tout cas

[jeanmimigab]

Salut,

 

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

 

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

 

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

 

%temp%\1\*. /s

%temp%\2\*. /s

%temp%\4\*. /s

%temp%\1\*.* /s

%temp%\2\*.* /s

%temp%\4\*.* /s

nslookup www.google.fr /c

SAVEMBR:0

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

netsvcs

%SYSTEMDRIVE%\*.exe

/md5start

dwm.exe

taskhost.exe

taskeng.exe

wscntfy.exe

ctfmon.exe

rdpclip.exe

volsnap.sys

sptd.sys

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

tcpip.sys

Sfloppy.sys

Changer.sys

cdrom.sys

disk.sys

ndis.sys

usbscan.sys

usbprint.sys

tdtcp.sys

tdpipe.sys

swmidi.sys

splitter.sys

rdpwd.sys

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

RASACD.SYS

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

 

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).

* Copie et colle les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL

 

@++

[lionel.d397]

Bonjour jeanmimigab

 

Juste pour te dire que j'attends demain soir d'avoir un autre DD externe pour sauvegarder toutes mes données, ainsi que tous mes CDs, qui sont chez mon frangin

 

J'espère que ça ne te dérange pas

 

Dès que j'ai tout ça, je continue la procédure et je poste les rapports ici

 

Là j'écris d'un autre PC car le mien plante de plus en plus, je te mettrai tout demain dans la réponse

 

Merci encore de ton aide

[jeanmimigab]

hello,

 

Pas de soucis, prend ton temps

[lionel.d397]

Bonjour jeanmimigab

 

Alors voilà où en sont les choses

 

Ca s'est agravé. Je n'arrive plus à démarrer l'ordinateur.

 

J'ai le choix entre "démarrer Windows normalement" et "démarrer en utilisant l'outil de redémarrage système" (1)

 

-Quand je choisis "démarrer Windows normalement", l'ordi se met en marche, puis revient au choix précédent (1)

 

-Quand je choisis "démarrer en utilisant l'outil de redémarrage système", ça finit par me lancer "HP Recovery Manager" qui me propose de restaurer les paramètres d'origine, donc en effaçant mes données (!!!)

 

-Même si je choisis le "Mode sans échec", je reviens inlassablement au choix (1)

 

Je n'arrive donc ni à démarrer le PC, encore moins à sauvegarder mes données

 

PS: je t'écris d'un autre PC, mais j'ai les 2 PCs côte à côte et je peux mettre ma connexion internet sur l'un ou sur l'autre...

 

Merci

Modifié le 5 juin 2011 par lionel.d397