Centre de sécurité et antivirus inactifs [RESOLU]

[Fab7827]

Bonjour,

 

je n'arrive plus à ouvrir le centre de sécurité Windows (message d'erreur systématique), ni mon antivirus (Microsoft Essential Sécurity).

 

De plus, lorsque je clique sur un lien depuis une page de résultats Google, je suis systématiquement redirigé vers des pages de pubs, seule une ouverture "en cache" me permet d'accéder correctement aux pages désirées.

 

J'ai pu redémarrer le centre en allant dans services.msc mais ce dernier se referme presque instantanément tout seul.

 

MalwareBytes a trouvé des trojans : Trojan.Fraudpack.gen, Trojan.Downloader, Trojan.FakeAlert.SA, Hijak.Zones

--> ils sont tous en quarantaine et après plusieurs relances, il ne trouve plus rien.

 

Je suis à 2 doigts, après de multiples recherches, de lancer Combofix, mais les messages d'alertes des différents experts m'amènent à vous solliciter.

 

Je suis loin d'être un spécialiste en informatique et je suis complétement perdu

 

Merci d'avance pour votre aide.

Modifié le 24 juillet 2011 par Fab7827

[jeanmimigab]

hello,

 

Par précaution sauvegarde tous tes documents important avant de faire ce qui suis...

Si tu as utilisé RogueKiller (même si c'est il y a plusieurs semaines/mois) dis le moi impérativement et ne fait pas la suite de la procédure.

 

Poste le dernier rapport Malwarebyte stp...

 

ensuite...

 

 

• Télécharge

>> OTL <<sur ton bureau.
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Assure toi d'avoir fermé toutes les applications en court de fonctionnement.
Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.
Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".
Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

 

NetSvcs

%systemroot%\system32\drivers\*.sys /lockedfiles

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%ALLUSERSPROFILE%\Application Data\*.

%ALLUSERSPROFILE%\Application Data\*.exe /s

%APPDATA%\*.

%APPDATA%\*.exe /s

%SYSTEMDRIVE%\*.exe

netsvcs

%SYSTEMDRIVE%\*.exe

/md5start

dwm.exe

taskhost.exe

taskeng.exe

wscntfy.exe

ctfmon.exe

rdpclip.exe

volsnap.sys

explorer.exe

userinit.exe

winlogon.exe

wininit.exe

tcpip.sys

Sfloppy.sys

Changer.sys

cdrom.sys

disk.sys

ndis.sys

usbscan.sys

usbprint.sys

tdtcp.sys

tdpipe.sys

swmidi.sys

splitter.sys

rdpwd.sys

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

RASACD.SYS

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

/md5stop

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

 

• Cliques sur l'icône "Analyse" (en haut à gauche) .
  
• Laisses le scanne aller à son terme sans te servir du PC
  
• A la fin du scanne deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
  
• Postes les rapports dans ta réponse stp...
  
• Au cas où, tu peux les retrouver dans le dossier C:\OTL
  

 

@++

[Fab7827]

Bonjour et merci pour ta réponse.

 

1) Je n'ai jamais utilisé RogueKiller

 

2) La sauvegarde des données est faite, même si elles sont sur une 2ème partition du disque dur.

 

3) Voici le dernier rapport MalwareBytes signalant une infection, les suivants étant à 0 partout :

 

Malwarebytes' Anti-Malware 1.51.1.1800

www.malwarebytes.org

 

Version de la base de données: 7253

 

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

 

23/07/2011 19:40:04

mbam-log-2011-07-23 (19-40-04).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 38241

Temps écoulé: 1 minute(s), 29 seconde(s)

 

Processus mémoire infecté(s): 3

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

c:\Users\Fabrice\AppData\Local\Temp\Dgy.exe (Trojan.FraudPack.Gen) -> 6324 -> Unloaded process successfully.

c:\Windows\Dhypea.exe (Trojan.FraudPack.Gen) -> 5368 -> Unloaded process successfully.

c:\Users\Fabrice\AppData\Local\Temp\Dgx.exe (Trojan.FraudPack.Gen) -> 8060 -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\8DDYX0ZBPZ (Trojan.FraudPack.Gen) -> Value: 8DDYX0ZBPZ -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\Users\Fabrice\AppData\Local\Temp\Dgy.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.

c:\Windows\Dhypea.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.

c:\Users\Fabrice\AppData\Local\Temp\Dgx.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.

 

 

Je m'occupe d'OTL tout de suite...

 

Merci.

[Fab7827]

Les rapports sont faits, mais j'ai une question "stupide" : je les copie colle, ce qui donnera un post très long ou y-a-t-il une méthode pour joindre les 2 fichiers .txt en pièces jointes ?

 

Désolé, mais je ne suis pas un spécialiste des forums, je me sors généralement de mes difficultés tout seul grace à la communauté.

 

Merci de ta coompréhension.

[jeanmimigab]

hello,

 

Si ils sont très long, poste les en deux messages distincts

 

Dans le premier tu mets "OTL.txt"

Dans le deuxième tu mets "Extrat.txt"

 

[Fab7827]

OTL.txt

 

OTL logfile created on: 24/07/2011 11:47:49 - Run 1

 

 

< End of report >

Modifié le 24 juillet 2011 par Fab7827

[Fab7827]

Extra.txt

 

 

 

 

< End of report >

 

 

 

J'avoue que toutes ces données me dépassent, j'espère que cela va te permettre d'identifier le nid de l'infection.

 

Merci pour le temps passé,

Modifié le 24 juillet 2011 par Fab7827

[jeanmimigab]

hello,

 

je suis en train de faire le script...en attendant fais cela..

 

Affiches les dossiers/fichiers cachés comme cela...

• Cliques sur menu démarrer > ordinateur > cliques en haut à gauche sur organiser et choisie option des dossiers et de recherche
  
• Dans la fenêtre qui s'ouvre cliques sur l'onglet affichage
  
• Coches Afficher les Fichiers et dossiers cachés
  
• décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
  
• décoche Masquer les extensions dont le type est connu
  
• Ensuite cliques sur appliquer > ok > et ferme la fenêtre.
  

 

 

Rends toi sur Virus Total

 

Une fois sur la page d'accueil....

 

1:Cliques sur "Parcourir" > dans la fenêtre d'explorateur qui s'ouvre choisie le fichier a analyser et cliques sur "Ouvrir".

 

Pour toi,c'est C:\Windows\system32\SampleRes1.dll

 

 

2:Le chemin complet du fichier a analyser doit apparaitre dans la fenêtre

 

3:Cliques sur "Envoyer le fichier"

 

ensuite patientes le temps du scanne et postes un copier/coller du rapport qui apparait à l'écran

[Fab7827]

petit souci,

 

Virus Total ne peut pas ouvrir le fichier en question.

 

J'ai tenté avec le SampleRes sans le 1 et là, pas de problème.

 

En fait, celui le SampleRes1 à une icone de couleur moins marquée que les autres.

 

J'attends tes recommandations....

[jeanmimigab]

re,

 

Rend toi ici pour télécharger GMER

 

• Cliques sur "Download exe" et un fichier renommer te sera proposé au téléchargement.
  
• Enregistre le sur ton bureau.
  
• Fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur", Gmer se lancer et faire un petit scanne rapide (de 15 à 30 secondes)
  

ensuite...

 

• 1. Clique sur l'onglet ">>>"
  

 

• 2. Cliques sur l'onglet "Files"
  
• 3. Recherches le fichier "C:\Windows\System32\SampleRes1.dll", fais un clic dessus afin de le mettre en surbrillance et cliques sur "Copy"
  

 

 

• 4. Dans la fenêtre qui s'ouvre choisis ton bureau comme cible, dans "Non du fichier" tapes SampleRes1.dll et clique sur "enregistrer".

 

• 5. La confirmation de copie apparait... et le fichier "SampleRes1.dll" apparait sur ton bureau !
  

 

• 6. Fais analyser le fichier "SampleRes1.dll" sur VirusTotal et poste le rapport stp...
  

 

@++