[Résolu] À l'aide : virus w32/patchload.A

[luluberlu]

(résolu) bonjour, j'ai choppé un virus de fou que je n'arrive pas a eradiquer, il s'appel w32/patchload.A et est apparement fixé sur avguard.exe et infocard.exe . et quand je le place en quarantaine ou que je le supprime (enfin suppression théorique) ca me bloque antivir qui ne demarre plus! quelqu'un pourrait il me sauver avant que je pete un plomb svp.

ludo

 

--- 03.12.11 - 16h58 ---

 

RogueKiller V6.1.12 [02/12/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/38)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: ludo [Droits d'admin]

Mode: Suppression -- Date : 03/12/2011 17:02:51

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

--- 03.12.11 - 17h11 ---

 

et après j'ai fais un rapport ZHPDiag que j'ai de dispo mais qui ne rentre pas dans cette case....

aidez moi svp

 

---------------------------

 

EDIT : ne pas cumuler les Posts en démarrage de sujet. Ceci induit les Helpers en erreur, en leur donnant l'impression qu'une prise en charge a déjà été effectuée par l'un des leurs.

[Apollo]

Bonsoir,

 

Héberge le rapport zhpdiag et poste le lien obtenu stp.

 

Accueil de Cjoint.com

 

++

[luluberlu]

bonsoir, tout d'abord merci d'etre si réactif, ca me soulage vraiment de trouver quelqu'un qui peut peut etre m'aider!

alors le lien zhpdiag est le suivant : Lien CJoint.com ALduCtFsZB4

j'attend de tes nouvelles pour continuer. encore merci.

 

++

[Apollo]

Blips,

 

Télécharge AdwCleaner par Xplode: Les Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

+++

[luluberlu]

j'allais oublier , ils sont fixé sur : C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe'

sur : 'C:\RECYCLER\S-1-5-21-1482476501-484763869-839522115-1004\Dc134.exe

et sur : 'C:\Program Files\Avira\AntiVir Desktop\avguard.exe' et je pense que c'est ce dernier qui me désactive l'antivirus avira quand je le mets en quarantaine. je ne sais pas si ca vous aidera mais en tous cas c'est apparement sur ces trois fichiers que s'est fixé w32/patchload.a

 

merci

[Apollo]

Oui, on verra ça, ne t'en fais pas.

 

Fais d'abord ce que j'ai demandé plus haut stp.

 

@++

[luluberlu]

# AdwCleaner v1.320 - Rapport créé le 03/12/2011 à 20:49:53

# Mis à jour le 01/12/11 à 21h par Xplode

# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

# Nom d'utilisateur : ludo - PERSO-2F1E2C8F0 (Administrateur)

# Exécuté depuis : C:\Documents and Settings\ludo\Bureau\adwcleaner0.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Program Files\Object

Fichier Supprimé : C:\WINDOWS\system32\Utils.dll

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\SweetIm

Clé Supprimée : HKLM\SOFTWARE\Google\chrome\Extensions\kincjchfokkeneeofpeefomkikfkiedl

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}

Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{EB132DB0-A4CA-11DF-9732-0E29E0D72085}]

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v8.0.6001.18702

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v8.0 (fr)

 

Profil : wasm6ux5.default

Fichier : C:\Documents and Settings\ludo\Application Data\Mozilla\Firefox\Profiles\wasm6ux5.default\prefs.js

 

C:\Documents and Settings\ludo\Application Data\Mozilla\Firefox\Profiles\wasm6ux5.default\user.js ... Supprimé !

 

Supprimée : user_pref("browser.search.defaultengine", "Ask.com");

Supprimée : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");

Supprimée : user_pref("browser.search.order.1", "Ask.com");

Supprimée : user_pref("extensions.BabylonToolbar.aflt", "babsst");

Supprimée : user_pref("extensions.BabylonToolbar.babTrack", "affID=100842");

Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 15);

Supprimée : user_pref("extensions.BabylonToolbar.dfltLng", "en");

Supprimée : user_pref("extensions.BabylonToolbar.dfltSrch", true);

Supprimée : user_pref("extensions.BabylonToolbar.hmpg", true);

Supprimée : user_pref("extensions.BabylonToolbar.id", "00d8786e00000000000020cf300e5b39");

Supprimée : user_pref("extensions.BabylonToolbar.instlDay", "15225");

Supprimée : user_pref("extensions.BabylonToolbar.instlRef", "sst");

Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 15);

Supprimée : user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.4.35.1017:40:36");

Supprimée : user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "7.0");

Supprimée : user_pref("extensions.BabylonToolbar.newTab", true);

Supprimée : user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");

Supprimée : user_pref("extensions.BabylonToolbar.propectorlck", 57253855);

Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 1);

Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 1);

Supprimée : user_pref("extensions.BabylonToolbar.ptch_0717", true);

Supprimée : user_pref("extensions.BabylonToolbar.smplGrp", "none");

Supprimée : user_pref("extensions.BabylonToolbar.srcExt", "ss");

Supprimée : user_pref("extensions.BabylonToolbar.srchPrvdr", "Search the web (Babylon)");

Supprimée : user_pref("extensions.BabylonToolbar.tlbrId", "base");

Supprimée : user_pref("extensions.BabylonToolbar.vrsn", "1.4.35.10");

Supprimée : user_pref("extensions.BabylonToolbar.vrsnTs", "1.4.35.1017:40:36");

 

-\\ Google Chrome v0.0.0.0

 

Fichier : C:\Documents and Settings\ludo\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

 

 

AdwCleaner[R2].txt - [1237 octets] - [28/11/2011 13:59:54]

AdwCleaner[s3].txt - [1468 octets] - [28/11/2011 14:00:09]

AdwCleaner[R3].txt - [1357 octets] - [28/11/2011 14:00:42]

AdwCleaner[s4].txt - [1588 octets] - [28/11/2011 14:00:48]

AdwCleaner[R4].txt - [1477 octets] - [02/12/2011 20:08:23]

AdwCleaner[s5].txt - [1708 octets] - [02/12/2011 20:08:35]

AdwCleaner[s6].txt - [1768 octets] - [02/12/2011 20:08:52]

AdwCleaner[s7].txt - [4116 octets] - [03/12/2011 20:49:53]

 

*************************

 

Dossier Temporaire : 1 dossier(s)et 0 fichier(s) supprimés

 

########## EOF - C:\AdwCleaner[s7].txt - [4335 octets] ##########

[Apollo]

Ben dis donc, tu l'as passé 36 fois l'outil

 

De temps en temps, il faut télécharger une version plus récente sur le site du développeur.

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

++

Modifié le 3 décembre 2011 par Apollo

[luluberlu]

voila le rapport TDSSKiller : Lien CJoint.com ALdvoHkoDhY

j'ai laissé comme c'etait proposé, toutes les cases etaient en "skip" sauf la RookitWin32.Zaccess qui etait cochée en "cure".

[Apollo]

Tu as bien fait car c'est une saloperie!

 

Si vous êtes sous Vista/seven:, Désactiver provisoirement l'UAC

 

Désactiver l'UAC sous Windows 7 :: Désactiver l'UAC sous Windows 7 - DepanneTonPC

 

:arrow: Télécharge USBFIX de TeamXscript et enregistre le sur ton bureau.

 

El Desaparecido

 

http://eldesaparecido.com/tools/UsbFix.exe

 

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus. Si vous ne savez pas comment faire, reportez-vous à cet article.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista/7, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Recherche et laisse l'outil travailler
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

++