Infection de virus et fichier suspect

[shao]

Bonjour,

Mon ordinateur a été infecté par des virus (trojan?). Dans un premier temps antivir me détectait plusieurs fois par minute des virus et un scan intégral pour les mettre en quarantaine (lien ci dessous) rien n'a changé, il continuait de me détecter des problèmes toutes les 30 secondes. Malwerbites ne m'avait par contre rien trouvé.

Lien CJoint.com 3Frt6ifqKey

 

J'ai éteint mon pc quelques jours faute de pouvoir y consacrer du temps. Cet après midi en le rallumant antivir a fait une mise à jour et m'a indiqué "Le moteur a été de nouveau chargé.". Après ça il m'a retrouvé une fois les virus, les a mis en quarantaine et a enfin arrêté de les détecter toutes les 30 sec.

Lien CJoint.com 3FrualLxBHU

 

J'ai ensuite fait un contrôle intégral du système :

Lien CJoint.com 3FruaZDVWfY

Le fichier suspect "HEUR/Modified.SystemFile" apparait toujours. De plus le nouveau virus trouvé "W32/Patched.UA" réapparait toutes les 5 min dans le dossier "événement" de antivir. Malwerbites lui ne me détecte toujours rien.

 

Je suis perdue... Que faire pour ce nouveau virus? Les anciens ont-ils vraiment disparus? Qu'est ce ce fichier suspect?

Merci pour votre aide =)

[Apollo]

Bonsoir,

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :

• C:\Windows\system32\services.exe
   
  

 

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyser le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée copie le lien qui se trouve dans la barre de navigateur et colle-le dans ta réponse stp.
  

 

@++

[shao]

Bonsoir,

 

Je n'ai pas trouvé services.exe avec Virus Total seulement services.msc est-ce bon?

Voilà le lien du scan fait avec le fichier trouvé.

https://www.virustotal.com/file/00d8538999941044286c2ad69600b4c158dbc7a1da6546b49f73327cbb5c3453/analysis/1339964036/

 

Merci de votre aide.

[Apollo]

No, cela n'a rien à voir

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

[shao]

Voilà le rapport de ZHPDiag : Lien CJoint.com 3FrxmIzsnEq

 

Merci.

[Apollo]

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

++

[shao]

Bonjour,

 

Voillà le rapport de RogueKiller.

 

RogueKiller V7.5.4 [07/06/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/54)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Recherche -- Date: 18/06/2012 09:42:18

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 5 ¤¤¤

[sUSP PATH] HKUS\S-1-5-21-2889404139-1022355138-1161187359-1002[...]\RunOnce : CTPostBootSequencer ("C:\Users\ADMINI~1\AppData\Local\Temp\CTPBSEQ.EXE" /reglaunch /self_destruct) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : ApnStub.exe (C:\Windows\SysWOW64\svchost.exe) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : ApnToolbarInstaller.exe (C:\Windows\SysWOW64\svchost.exe) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD5000AAKX-001CA0 ATA Device +++++

--- User ---

[MBR] 962609c70e622b20637ea2ad19bbe31c

[bSP] 1ae68eabd356eb5544eba1190ac4c19b : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 149899 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 307200000 | Size: 326939 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

Merci.

[Apollo]

Bonjour,

 

Relance RogueKiller et clique cette fois sur Suppression; poste son rapport stp.

 

@++

[shao]

ok, voilà le rapport:

 

RogueKiller V7.5.4 [07/06/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/54)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Suppression -- Date: 18/06/2012 12:45:19

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 5 ¤¤¤

[sUSP PATH] HKUS\S-1-5-21-2889404139-1022355138-1161187359-1002[...]\RunOnce : CTPostBootSequencer ("C:\Users\ADMINI~1\AppData\Local\Temp\CTPBSEQ.EXE" /reglaunch /self_destruct) -> DELETED

[iFEO] HKLM\[...]\Image File Execution Options : ApnStub.exe (C:\Windows\SysWOW64\svchost.exe) -> DELETED

[iFEO] HKLM\[...]\Image File Execution Options : ApnToolbarInstaller.exe (C:\Windows\SysWOW64\svchost.exe) -> DELETED

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD5000AAKX-001CA0 ATA Device +++++

--- User ---

[MBR] 962609c70e622b20637ea2ad19bbe31c

[bSP] 1ae68eabd356eb5544eba1190ac4c19b : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 149899 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 307200000 | Size: 326939 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[5].txt >>

 

Merci.

[Apollo]

Ok,

 

Je t'aurais bien fait passer ComboFix, mais il a un bug pour le moment et il peut être dangereux avant que le créateur de ce tool ne corrige le défaut, aussi je vais te faire passer un antivirus très puissant.

 

Il y a deux sortes d'analyses, une rapide et une complète: il faut faire les deux

 

CureIt Dr.Web

Il ne nécessite pas d'installation.

 

Lance le fichier launch.exe après avoir désactivé ton antivirus résident.

Il va te demander de faire la mise à jour

Une fois celle-ci effectuée, il va lancer un scan rapide.

Quand tout ceci est terminé, tu choisis scan sélectif et tu coches au moins C qui contient le système.

A la fin du scan, tu mets tout en quarantaine et tu postes le rapport.

Comme il sera assez conséquent, héberge-le sur Cjoint comme indiqué sur ce tutoriel