Infection

[pear]

1) Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

(Lignes à décocher, si nécéssaire)

Cliquer sur Suppression. Cliquer sur r Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

Note. Le boutton Suppression ne sera pas accessible dans que le scan n'a pas été fait

 

2)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

3)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

4)

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

5)Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

 

6)Télécharger TDSSKILLER

- Télécharger le .zip sur le Bureau.

- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;

- Un dossier tdsskiller sera créé sur le Bureau.

 

Cliquer surStart scan pour lancer l'analyse

Lorsque l'outil a terminé son travail d'inspection

si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .

Cliquer sur"Continue"

 

Si c'est un fichier suspect, l'action par défaut est Skip( sauter)

Cliquer sur"Continue"

 

S'il vous est demandé de redémarrer:

Cliquer Reboot Now

Sinon cliquer sur Report

Envoyer en réponse:

*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

[Kobal]

Roguekiller scan :

Lien CJoint.com BCergszJKZL

registre :

Lien CJoint.com BCerhGxD1eP

host RAZ :

Lien CJoint.com BCerh7WKKpK

proxy RAZ :

Lien CJoint.com BCeriQXsNPH

DNS RAZ :

Lien CJoint.com BCerjhmh47S

raccourci RAZ :

Lien CJoint.com BCerjG51vq4

 

Adwcleaner :

R1 : Lien CJoint.com BCerlY13omr

S1 : Lien CJoint.com BCermuuvc32

 

MBAM :

Lien CJoint.com BCert2wlPNE

 

TDSSKILLER :

Lien CJoint.com BCeruQNvu9E

[pear]

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

O1 - Hosts: 209.172.52.71 www.google.com => Infection Hosts (Hosts.Redirection)

O1 - Hosts: 209.172.52.72 search.yahoo.com => Infection Hosts (Hosts.Redirection)

O43 - CFD: 27/02/2012 - 03:54:38 - [0,054] -SH-D- C:\Documents and Settings\ThomasB\Local Settings\Application Data\af7896a1 => Infection Rogue (Possible)

O61 - LFC:Last File Created 03/03/2012 - 03:45:51 ---A- C:\Documents And Settings\ThomasB\Local Settings\Temp\0.3770292446962782g8j8.exe [210432] => Infection Rogue (Trojan.Dropper)

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

c:\documents and settings\thomasb\local settings\temp\0.3770292446962782g8j8.exe

O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll => Fichier absent

O47 - AAKE:Key Export SP - "C:\DOCUME~1\ThomasB\LOCALS~1\Temp\aemsornwxc.tmp" [Enabled] .(...) -- C:\DOCUME~1\ThomasB\LOCALS~1\Temp\aemsornwxc.tmp (.not file.) => Fichier absent

O47 - AAKE:Key Export SP - "C:\WINDOWS\mc1C4BD.exe" [Enabled] .(...) -- C:\WINDOWS\mc1C4BD.exe (.not file.) => Fichier absent

O47 - AAKE:Key Export SP - "C:\Documents and Settings\ThomasB\Mes documents\Téléchargements\SweetImSetup.exe" [Enabled] .(...) -- C:\Documents and Settings\ThomasB\Mes documents\Téléchargements\SweetImSetup.exe (.not file.) => Microgaming SweetIM

O47 - AAKE:Key Export SP - "C:\Documents and Settings\ThomasB\Local Settings\Temp\SweetIMReinstall\SweetImSetup.exe" [Enabled] .(...) -- C:\Documents and Settings\ThomasB\Local Settings\Temp\SweetIMReinstall\SweetImSetup.exe (.not file.) => Microgaming SweetIM

O51 - MPSK:{7ba883d8-a9c6-11e0-89f6-20cf300a4952}\AutoRun\command. (...) -- E:\FreeSpaceAutoRun.exe (.not file.) => Fichier absent

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (.Pas de propriétaire - ToolBand Module.) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll

O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar => Toolbar.DaemonTools

O43 - CFD: 17/09/2011 - 23:46:48 - [1,859] ----D- C:\Program Files\DAEMON Tools Toolbar => Toolbar.DaemonTools

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar] => Toolbar.DaemonTools

[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17} => Toolbar.DaemonTools

[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} => Toolbar.DaemonTools

C:\Program Files\DAEMON Tools Toolbar => Toolbar.DaemonTools

O4 - HKLM\..\Run: [iMJPMIG8.1] . (.Microsoft Corporation - Microsoft IME.) -- C:\WINDOWS\ime\imjp8_1\imjpmig.exe

 

 

 

 

EmptyFlash

EmptyTemp

FirewallRaz

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

 

 

Redémarrez et relancez RogueKiller.

[Kobal]

ZHPfix : Lien CJoint.com BCer1Evedoa

 

Roguekiller scan : Lien CJoint.com BCer2gj3nM5

registre : Lien CJoint.com BCer2yLUWQc

host RAZ : Lien CJoint.com BCer2QiXU9x

proxy RAZ : Lien CJoint.com BCer3aMIcOL

DNS RAZ : Lien CJoint.com BCer3vl7wha

raccourci RAZ : Lien CJoint.com BCer3Mb6ZiA

[pear]

Il s'accroche !

 

Télécharger Dr.Web CureIt! et l'enregistrer sur le bureau.

Télécharger Space Security Pro (32-bit)

ou Space Security Pro (64 bits), l'enregistrer dans bureau.

Redémarrez l'ordinateur en mode sans échec (appuyez sur F8 avant que le logo Microsoft apparaît).

DoubleClick "cureit.exe" sur le bureau, suivez les instructions à l'écran pour scanner le disque dur.

(Attendez patiemment, cela peut prendre 20-60 minutes pour effectuer un balayage express.)

Une fois la numérisation effectuée, sélectionnez tous les virus trouvés et choisissez «guérir».

(A défaut, choisissez "Quarantaine" ou "Supprimer".)

Lorsque tous les virus trouvés sont traités, redémarrez en mode normal.

Désinstaller votre anti-virus qui ne peut pas tuer le virus, puis redémarrer à nouveau.

Sur le bureau , double cliquez Sécurité Pro pour l'exécuter.

 

Pendant l'installation, choisir d'obtenir une clé de démonstration.

Dès la mise à jour, le scanner sera lancé à nouveau, quittez le scanner à ce point.

Terminez l'installation en redémarrant l'ordinateur.

Patientez le temps nécessaire(peut-être plusieurs heures), effectuez une analyse complète de Dr.Web scanner.

[Kobal]

Bonjour, désolé problème internet.

 

Drweb :

--------------------------------------------------------

Processus en mémoire: C:\WINDOWS\system32\services.exe:296;;BackDoor.Maxplus.24;Eradiqué.;

eaps2kbd.dll;C:\WINDOWS\system32;BackDoor.Maxplus.3864;Supprimé.;

ELhid.dll;C:\WINDOWS\system32;BackDoor.Maxplus.3864;Supprimé.;

mi-raysat_3dsmax8.dll;C:\WINDOWS\system32;BackDoor.Maxplus.3864;Supprimé.;

MSW_USB.dll;C:\WINDOWS\system32;BackDoor.Maxplus.3864;Supprimé.;

s117mgmt.dll;C:\WINDOWS\system32;BackDoor.Maxplus.3864;Supprimé.;

sbservice.dll;C:\WINDOWS\system32;BackDoor.Maxplus.3864;Supprimé.;

utscsi.dll;C:\WINDOWS\system32;BackDoor.Maxplus.3864;Supprimé.;

i8042prt.sys;C:\WINDOWS\system32\drivers;BackDoor.Maxplus.24;Supprimé.;

OTL.com;C:\Documents and Settings\ThomasB\Mes documents\Downloads;Trojan.Siggen3.49161;Irréparable.Quarantaine.;

--------------------------------------------------------

 

Puis j'ai redémarré Windows, et impossible d'utiliser la souris et le clavier (Windows démarre normalement). J'ai branché un clavier et une souris, mais toujours rien.

[pear]

Peut-être un problème Usb.

 

1)Lancer RogueKiller

2)

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

 

Télécharger combofix.exe de Subs

et sauvegardez le sur le bureau

 

 

 

1)La console de Récupération

Les utilisateurs de Windows Vista,Seven ne sont pas concernés car ils peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Win RE) passer au point 2

Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.

Certaines infections comme braviax empêcheront son installation.

La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).

Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage

C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

 

D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée

C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:

cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur le Bureau:

Ne modifiez pas le nom du fichier

Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe

 

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.

Après installation,vous devriez voir ce message:

The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

2)Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.

Si le rapport est trop long, postez le en deux fois.

Il se trouve à c:\combofix.txt

 

 

 

 

Modifié le 9 mars 2012 par pear

[Kobal]

Bonjour, désolé du temps de réponse, encore des soucis internet.

 

Lien CJoint.com BCspyrnwgjM

 

J'ai de nouveau accès à la souris et au clavier intégré. Et tout semble marcher correctement, je ne suis, en tout cas, plus redirigé vers abnow. Merci beaucoup !

[Dylav]

Bonjour Kobal,

 

Si tu considères que la question est réglée, et sous couvert de Pear, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet…

 

[1] En bas du premier message de ton sujet, clique sur [Modifier]

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet]

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet.