Se connecter / S'enregistrer
Votre question

Probleme de Trojan W32/PatchLoad.A

Tags :
  • Virus
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Décembre 2011 00:52:22

Bonsoir,
Un peu plus tot dans la soirée Avira Anti Vir a découvert le trojan W32/PatchLoad.A sur mon pc. Depuis, je ne peux plus utiliser Windows Defender (introuvable) est ce que quelqu'un pourrait m'aider à nettoyer mon pc svp ?
J'ai téléchargé Hijack this et voici ce que ça m'a donné. ( Durant la procédure j'ai eu un message disant que le système refusait l’accès au Host Files)
Merci d'avance pour votre aide.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:44:17, on 04/12/2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Users\Nem\AppData\Roaming\BEEC6\EA8E3.exe
C:\Users\Nem\AppData\Roaming\C687D\lvvm.exe
C:\Program Files\DellTPad\Apoint.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe
C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe
C:\Program Files\Dell\MediaDirect\PCMService.exe
C:\Program Files\Dell Support Center\bin\sprtcmd.exe
C:\Program Files\IDT\WDM\sttray.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Lexmark Pro700 Series\lxeemon.exe
C:\Program Files\Lexmark Pro700 Series\ezprint.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Samsung\Kies\KiesTrayAgent.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\Dell\DellDock\DellDock.exe
C:\Users\Nem\AppData\Roaming\Microsoft\E38B\219.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\DellTPad\HidFind.exe
C:\Program Files\DellTPad\Apntex.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\Nem\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/7
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.uk.msn.com/USCON/7
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer fourni par Dell
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:58929
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\Users\Nem\AppData\Roaming\C687D\lvvm.exe
O1 - Hosts: ::1 localhost
O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Dell Webcam Central] "C:\Program Files\Dell Webcam\Dell Webcam Central\WebcamDell.exe" /mode2
O4 - HKLM\..\Run: [Dell DataSafe Online] "C:\Program Files\Dell DataSafe Online\DataSafeOnline.exe" /m
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Dell\MediaDirect\PCMService.exe"
O4 - HKLM\..\Run: [dellsupportcenter] "C:\Program Files\Dell Support Center\bin\sprtcmd.exe" /P dellsupportcenter
O4 - HKLM\..\Run: [SysTrayApp] %ProgramFiles%\IDT\WDM\sttray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AdobeAAMUpdater-1.0] "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - HKLM\..\Run: [lxeemon.exe] "C:\Program Files\Lexmark Pro700 Series\lxeemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark Pro700 Series\ezprint.exe"
O4 - HKLM\..\Run: [Lexmark Pro700 Series Fax Server] "C:\Program Files\Lexmark Pro700 Series\fm3032.exe" /s
O4 - HKLM\..\Run: [PlusService] C:\Program Files\Yuna Software\Messenger Plus!\PlusService.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [219.exe] C:\Program Files\LP\E38B\219.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [KiesTrayAgent] C:\Program Files\Samsung\Kies\KiesTrayAgent.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [25F.exe] C:\Users\Nem\AppData\Roaming\Microsoft\A95B\25F.exe
O4 - HKCU\..\Run: [219.exe] C:\Users\Nem\AppData\Roaming\Microsoft\E38B\219.exe
O4 - .DEFAULT User Startup: Dell Dock First Run.lnk = C:\Program Files\Dell\DellDock\DellDock.exe (User 'Default user')
O4 - Startup: Dell Dock.lnk = C:\Program Files\Dell\DellDock\DellDock.exe
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: McAfee Security Scan Plus.lnk = ?
O4 - Global Startup: QuickSet.lnk = C:\Program Files\Dell\QuickSet\quickset.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer au périphérique &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O8 - Extra context menu item: Envoyer l'&image au périphérique Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986....
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/Gam...
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPACl...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/fl...
O20 - Winlogon Notify: GoToAssist - C:\Program Files\Citrix\GoToAssist\514\G2AWinLogon.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Windows\System32\DriverStore\FileRepository\stwrt.inf_ae0b52e0\aestsrv.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Device Error Recovery Service (dgdersvc) - Devguru Co., Ltd. - C:\Windows\system32\dgdersvc.exe
O23 - Service: FsUsbExService - Teruten - C:\Windows\system32\FsUsbExService.Exe
O23 - Service: GoToAssist - Citrix Online, a division of Citrix Systems, Inc. - C:\Program Files\Citrix\GoToAssist\514\g2aservice.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: lxeeCATSCustConnectService - Lexmark International, Inc. - C:\Windows\system32\spool\DRIVERS\W32X86\3\\lxeeserv.exe
O23 - Service: lxee_device - - C:\Windows\system32\lxeecoms.exe
O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 10867 bytes

Autres pages sur : probleme trojan w32 patchload

a c 614 8 Sécurité
4 Décembre 2011 14:55:48

Bonjour,

PC bien infecté oui ...

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !

    1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.

    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    m
    0
    l
    Contenus similaires
    a c 614 8 Sécurité
    4 Décembre 2011 19:22:27

    Re,

    Citation :
    [2011/03/26 13:49:38 | 044,814,336 | ---- | M] (Adobe Systems, Incorporated) -- C:\Users\Nem\AppData\Roaming\uTorrent\Adobe Photoshop CS3 + Crack\Photoshop CS3\CRACK\Photoshop.exe


    Attention à ce genre de comportement, c'est une porte ouverte aux infections ...


    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    MOD - [2011/12/03 23:51:53 | 000,287,232 | ---- | M] () -- C:\Users\Nem\AppData\Roaming\Microsoft\E38B\219.exe
    MOD - [2011/12/03 23:50:45 | 000,173,568 | ---- | M] () -- C:\Users\Nem\AppData\Roaming\BEEC6\EA8E3.exe
    MOD - [2011/12/03 23:11:04 | 000,188,416 | ---- | M] () -- C:\Users\Nem\AppData\Roaming\C687D\lvvm.exe
    IE - HKU\S-1-5-21-1482199153-3751736431-3480539240-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.searcheo.fr/renseignement [binary data]
    IE - HKU\S-1-5-21-1482199153-3751736431-3480539240-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage
    IE - HKU\S-1-5-21-1482199153-3751736431-3480539240-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:58929
    [2009/08/04 16:17:03 | 000,003,729 | ---- | M] () -- C:\Users\Nem\AppData\Roaming\Mozilla\Firefox\Profiles\m7lzqn09.default\searchplugins\Searcheo.xml
    O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
    O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No CLSID value found.
    O4 - HKLM..\Run: [219.exe] C:\Program Files\LP\E38B\219.exe ()
    O4 - HKU\S-1-5-21-1482199153-3751736431-3480539240-1000..\Run: [219.exe] C:\Users\Nem\AppData\Roaming\Microsoft\E38B\219.exe ()
    O4 - HKU\S-1-5-21-1482199153-3751736431-3480539240-1000..\Run: [25F.exe] C:\Users\Nem\AppData\Roaming\Microsoft\A95B\25F.exe ()
    F3 - HKU\S-1-5-21-1482199153-3751736431-3480539240-1000 WinNT: Load - (C:\Users\Nem\AppData\Roaming\C687D\lvvm.exe) -C:\Users\Nem\AppData\Roaming\C687D\lvvm.exe ()
    O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html File not found
    O20 - HKU\S-1-5-21-1482199153-3751736431-3480539240-1000 Winlogon: Shell - (C:\Users\Nem\AppData\Roaming\BEEC6\EA8E3.exe) -C:\Users\Nem\AppData\Roaming\BEEC6\EA8E3.exe ()
    [2011/12/03 23:08:49 | 000,000,000 | -HSD | C] -- C:\Users\Nem\AppData\Local\73531581
    [2011/12/03 23:05:28 | 000,000,000 | ---D | C] -- C:\Users\Nem\AppData\Roaming\C687D
    [2011/12/03 23:04:51 | 000,000,000 | ---D | C] -- C:\Users\Nem\AppData\Roaming\BEEC6
    [2011/12/04 00:05:06 | 000,000,374 | ---- | C] () -- C:\Windows\tasks\At1.job
    [2011/12/04 00:04:34 | 000,287,232 | ---- | C] () -- C:\Users\Nem\AppData\Roaming\firefox.exe
    [2011/12/03 23:08:54 | 000,287,232 | ---- | C] () -- C:\Users\Nem\AppData\Roaming\X
    [2011/03/14 20:45:48 | 000,000,000 | ---D | M] -- C:\Users\Nem\AppData\Roaming\OpenCandy
    [2011/12/03 23:04:51 | 000,287,232 | ---- | M] () -- C:\Users\Nem\AppData\Roaming\Microsoft\A95B\25F.exe
    [2011/12/03 23:51:53 | 000,287,232 | ---- | M] () -- C:\Users\Nem\AppData\Roaming\Microsoft\E38B\219.exe


    :Files
    C:\Users\Nem\AppData\Roaming\Microsoft\A95B
    C:\Users\Nem\AppData\Roaming\Microsoft\E38B

    :Commands
    [emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne.


    2) Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    m
    0
    l
    a c 614 8 Sécurité
    4 Décembre 2011 22:05:12

    Re,

    Il faut faire la procédure avec Combofix maintenant, pense à lire entièrement les messages que je te donne et bien réaliser toutes les étapes ;) 
    m
    0
    l
    5 Décembre 2011 13:24:49

    Combo Fix detecte AntiVir Deskop alors que je l' ai desinstallé.
    m
    0
    l
    a c 614 8 Sécurité
    5 Décembre 2011 14:12:31

    Re,

    Il faut le désactiver, pas le désinstaller Antivir, soit un clic-droit sur le parapluie rouge à côté de l'horloge puis décocher "Activer Antivir Guard"

    Si malgré tout Combofix le détecte, passe outre l'avertissement et continu.
    m
    0
    l
    5 Décembre 2011 15:24:12

    Re,
    ok. J ai terminé combofix mais il n y a pas eu de fichier txt. Neanmoins j ai eu une note sur l ecran disant que le pc était infecté par Rootkit.ZeroAccess! inséré dans la pile TCp/IP. Ensuite j ai redemarré le pc.
    m
    0
    l
    a c 614 8 Sécurité
    5 Décembre 2011 16:00:33

    Re,

    Ouais malheureusement, c'est ce que je pensais.

    Regarde si le rapport ne s'est pas créer à la base de ton disque dur :
    Ouvre "ordinateur" puis "C:" et cherche un "combofix.txt"


    Puis fais ceci :

    Télécharge ZeroAccessRemover (de Webroot) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur ZeroAccessRemover.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fenêtre de commande noire apparait pour confirmer la demande de scan, répond avec "Y" pour "oui" et valide avec "entrée"

    Deux cas sont possible à l'issu du scan :

  • L'outil détecte l'infection, et indique que des fichiers sont patchés (lignes rouge à l'écran), il va te proposer de lancer le nettoyage, répond avec "Y" pour "oui" et valide avec "entrée"
  • L'outil va travailler et tu verras apparaitre un message "Cleaned", appuie alors sur une touche pour laisser le pc redémarrer.
  • Un rapport nommé "AntiZeroAccess_Log.txt " a été crée sur ton bureau, copie-colle son contenu dans ta prochaine réponse.

  • Si l'outil ne détecte rien, (que des lignes vertes), dis-le moi.

    m
    0
    l
    5 Décembre 2011 16:20:00

    Je ne peux pas me connecter a internet. Quand j ouvre firefox j ai tentative d operation non autorisé sur une clé de registre marqué pour suppression.
    Edit : Je ne peux plus rien ouvrir, j'ai la même réponse à chaque fois.
    m
    0
    l
    5 Décembre 2011 17:45:04

    Bon. Finalement je l ai emmené en réparation parce que je ne pouvais plus rien faire. Je te remercie pour ton aide. Il va etre formaté.
    m
    0
    l
    a c 614 8 Sécurité
    5 Décembre 2011 19:01:43

    Re,

    Le souci du rootkit zeroaccess selon les pc, s'est effectivement qu'il patche des fichiers système et fout le bordel dans le pc ... dommage d'en être arrivé là ...

    Par contre pour éviter une telle mésaventure la prochaine fois, maintiens ton pc à jour, là, Java ne l'étais pas, et en ce moment y'a une grosse campagne d'exploit web sur java justement ...
    http://threatpost.com/en_us/blogs/java-still-favorite-t...

    :jap: 
    m
    0
    l
    6 Décembre 2011 16:57:34

    Ok. Merci pour tous tes conseils et le temps que tu as pris pour m aider. :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS