Infection WinVNC

[sevenweb]

Bonjour,

 

J'ai un ordinateur portable sous Windows 7 qui semble avoir été infecté par WinVNC. A l'ouverture de session j'ai une boîte de dialogue qui se nomme WinVNC qui s'ouvre. Ma connexion réseau n'est plus active, lorsque je vais dans le centre réseau et partage j'ai le message : Le service ou le groupe de dépendance n'a pas pu démarrer.

 

Dans le gestionnaire de périphériques, je me suis aperçu que tous les périphériques à l'intérieur de "Cartes réseau" ne fonctionnent plus. Il y a un point d'exclamation. En gros les pilotes ne fonctionnent plus et il n'est pas possible de les réinstaller.

De plus il y a plein de choses qui n'y étaient pas avant comme Miniport WAN ou Teredo Tunneling Pseudo-Interface...

 

J'ai tenté de résoudre le problème avec des outils que je connais Adwcleaner, JRT, Malware byte, Kaspersky Virus Removal Tool, McAfee Stinger mais sans succès. Ce virus semble un peu plus coriace que d'habitude...

[bernard53]

Bonjour

Fait ceci s.t.p.

 

 

Télécharge <<Farbar Recovery scan Tool >>

Choisi bien selon ton système soit : 32bits ou 64 bits.

Ferme toutes les applications en cours pour ne garder que FRST.

 

Lance Frst et si tu es sous Vita : Seven ou W8 : clique droit puis >> Exécuter en tant qu'administrateur

 

Sur le menu principal clique sur Scan.

Ne modifies rien dans les cases déjà cochées .

INFO : vérifier juste que la case « Addition.txt <»est bien coché.

 

Le scan terminé un premier rapport apparait : FRST.txt puis un autre nommé Addition.txt .

Les rapports sont enregistrés au même emplacement que l'outil et sous C:\FRST\Logs

Mets ces 2 rapports sur un site d'hébergement de fichiers ici et donne-moi les liens s.t.p

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

 

et ceci:

Veuillez télécharger Farbar Service Scanner puis exécutez-le sur l'ordinateur ayant le problème de connexion.

• Vérifiez que les options ci-dessous sont cochées:
  • Internet Services
    
  • Windows Firewall
    
  • System Restore
    
  • Security Center
    
  • Windows Update
    
  • Windows Defender

  [*]Cliquez sur "Scan".

  [*]Il y a création d'un rapport d'analyse (FSS.txt) dans le dossier où se trouve FSS.exe.

  [*]Faites un copier/coller de ce rapport d'analyse dans votre réponse.

 

[sevenweb]

Bonjour et merci pour votre aide. Voici les fichiers demandés :

 

Addition : © CJoint.com, 2012

 

FRST : © CJoint.com, 2012

 

FSS : © CJoint.com, 2012

[bernard53]

ok ceci.

 

• Télécharge Services Repair de Eset et enregistre le fichier sur ton Bureau
  
• Ferme toutes les applications, y compris ton navigateur
  
• Double-clique sur ServicesRepair.exe pour lancer l'application
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  
• Valide par Yes pour confirmer le lancement de l'outil
  
• Laisse l'outil travailler (cela peut prendre quelques minutes)
  
• Valide par Yes pour redémarrer le PC
  
• Au redémarrage, le dossier CC Support a été crée sur ton bureau
  
• Poste le rapport SvcRepair.txt, qui se trouve dans CC Support\Logs dans ta prochaine réponse

 

Ensuite nouveau rapport avec ceci.

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

ET :

 

Si le bouton UAC apparaît dans le panel supérieur cela signifie que votre UAC est activée. L'activation de l'UAC gène l'analyse deZHPDiag sur certains modules (O18,O23,O42,...).

Aussi pour permettre un scan complet de l'outil, vous devez au préalable cliquer sur ce bouton.

Ce qui aura pour conséquence de relancer ZHPDiag avec une désactivation temporaire de l'UAC.

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur "Lancer le diagnostic " (image de la loupe) et patiente...

 

A la fin du scan le rapport est sauvegardé directement sur ton bureau.

ZHPDiag.txt

 

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

[sevenweb]

Voici le rapport pour Services Repair : © CJoint.com, 2012

 

Par contre ZHPDiag ne fonctionne pas. J'ai même essayé en mode sans échec mais j'ai une erreur d'application : © CJoint.com, 2012

[bernard53]

ok alors avec OTL.

* Télécharge >> OTL <<sur ton bureau.

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

netsvcs

msconfig

activex

drivers32

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%alluserprofile%\application data\*.

%alluserprofile%\application data\*.exe /s

%appdata%\*.

%appdata%\*.exe /s

%systemdrive%\*.

%systemdrive%\*.exe

%programfiles%\*.

/md5start

explorer.exe

userinit.exe

winlogon.exe

eventlog.dll

netlogon.dll

nvrd32.sys

/md5stop

savembr:0

createrestorepoint

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

Accueil de Cjoint.com

ou.

Envoyez et partagez vos fichiers

 

Et je pense pense plus vers une défaillance système "fichiers" qu'une infection.

tu as essayer une restauration système une journée avant ton soucis?

[sevenweb]

La restauration système était désactivée...

 

Extras : © CJoint.com, 2012

OTL : © CJoint.com, 2012

[bernard53]

Pour moi le pc est propre et le soucis est ailleurs.

fait ceci pour voir si des traces de ce WINVNC est encore la.

Télécharge SEAF.exe de C_XX

Téléchargements - Outils de C_XX - SEAF

 

Double-clique sur le fichier SEAF.exe.

Coche Chercher également dans le registre

Dans la barre de recherche tape :

 

WinVNC

 

Clique sur Lancer la recherche.

Le scan prendra quelques minutes et un fichier texte va s'ouvrir que tu postes par copier-coller.

Tu refermes le fichier et l'outil.

Modifié le 18 juin 2013 par bernard53

[sevenweb]

Pourtant le problème est toujours présent. Pour moi il y a bien quelque chose, car certains services sont désactivés, des pilotes ne fonctionnent plus, je me suis également aperçu que les clé USB n'était plus détecté sauf en mode sans échec...

 

Concernant le rapport de seaf, seulement quelques entrées dans le registre :

 

20. [HKLM\Software\ORL\WinVNC3]

21. DA: 29/05/2012 10:23:46

22.

23. [HKU\.DEFAULT\Software\ORL\WinVNC3]

24. DA: 29/05/2012 10:23:46

25.

26. [HKU\S-1-5-18\Software\ORL\WinVNC3]

27. DA: 29/05/2012 10:23:46

Modifié le 19 juin 2013 par sevenweb

[sevenweb]

Je me suis permis de faire quelques manipulations. J'ai donc désactivé les connexion réseau douteuses dans le gestionnaire de périphériques : à savoir : tous les Miniport WAN ou Teredo Tunneling Pseudo-Interface qui n'existaient pas avant.

Et après un redémarrage, je n'ai plus la fenêtre WinVNC qui s'affiche, l'ordinateur est plus rapide à l'ouverture de session et les clés usb sont à nouveau détecté! Par contre je n'ai toujours pas de réseau.

 

J'ai également réussi à lancer ZHPDiag, qui ne fonctionnait pas auparavant. Voici le rapport : © CJoint.com, 2012