Se connecter / S'enregistrer
Votre question

[Resolu] Virus: Buzus et Inject

Tags :
  • Windows 7
  • Sécurité
Dernière réponse : dans Sécurité et virus
31 Juillet 2010 13:51:19

Euh, c'était juste pour mettre [Résolu] dans le titre....

Autres pages sur : resolu virus buzus inject

1 Août 2010 15:03:04

Une p'tite piste, s'you plait ?!
2 Août 2010 14:40:31

Up ! :bounce: 
Contenus similaires
3 Août 2010 14:35:14

Rien de rien ?....Vraiment ?...
3 Août 2010 19:59:28

.......Antivir est entrain de tourner et j'en suis à 18 résultats positifs ....
4 Août 2010 23:47:59

Salut,

On va regarder l'état de ton PC :

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Dans la section "Analyse des fichiers", "Âge du fichier", met 30 jours
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    5 Août 2010 09:24:29

    Argghhh Merci OmaR ! J'effectue les manips ce soir et transmets les rapports.
    5 Août 2010 19:15:44

    Salut :) 

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):


    :OTL
    PRC - D:\WINDOWS\explorer.exe (Microsoft Corporation)
    PRC - D:\WINDOWS\system32\msvmiode.exe ()
    PRC - D:\WINDOWS\cfdrive32.exe ()
    O4 - HKLM..\Run: [Microsoft Driver Setup] D:\WINDOWS\cfdrive32.exe ()
    O4 - HKLM..\Run: [MSODESNV7] D:\WINDOWS\system32\msvmiode.exe ()
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Microsoft Driver Setup = D:\WINDOWS\cfdrive32.exe ()
    O20 - HKLM Winlogon: TaskMan - (D:\Documents and Settings\William\Application Data\ltzqai.exe) - D:\Documents and Settings\William\Application Data\ltzqai.exe ()
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-6567996111-2566342249-360730833-3551\syscr.exe) - D:\RECYCLER\S-1-5-21-6567996111-2566342249-360730833-3551\syscr.exe ()
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-3057856938-8009143094-660345778-3919\syscr.exe) - D:\RECYCLER\S-1-5-21-3057856938-8009143094-660345778-3919\syscr.exe ()
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-1707335691-5409261602-379291340-0043\syscr.exe) - D:\RECYCLER\S-1-5-21-1707335691-5409261602-379291340-0043\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-1575704574-3321678732-588361317-0426\syscr.exe) - D:\RECYCLER\S-1-5-21-1575704574-3321678732-588361317-0426\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-1976339887-3157310882-983772156-8688\syscr.exe) - D:\RECYCLER\S-1-5-21-1976339887-3157310882-983772156-8688\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-5229575469-5102480842-970728760-2780\syscr.exe) - D:\RECYCLER\S-1-5-21-5229575469-5102480842-970728760-2780\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-4591565610-4520886612-806520140-0996\syscr.exe) - D:\RECYCLER\S-1-5-21-4591565610-4520886612-806520140-0996\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-3578524065-7826902376-478394061-7748\syscr.exe) - D:\RECYCLER\S-1-5-21-3578524065-7826902376-478394061-7748\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-1982644980-1920949194-743539130-9719\syscr.exe) - D:\RECYCLER\S-1-5-21-1982644980-1920949194-743539130-9719\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\Documents and Settings\William\Application Data\ltzqai.exe) - D:\Documents and Settings\William\Application Data\ltzqai.exe ()
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-3620278155-6933573194-806529900-1878\syscr.exe) - D:\RECYCLER\S-1-5-21-3620278155-6933573194-806529900-1878\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-4369924959-2387385321-353375148-0493\syscr.exe) - D:\RECYCLER\S-1-5-21-4369924959-2387385321-353375148-0493\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-2219882290-2332005022-599258598-4410\syscr.exe) - D:\RECYCLER\S-1-5-21-2219882290-2332005022-599258598-4410\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-8062686149-7177138992-073448848-2856\syscr.exe) - D:\RECYCLER\S-1-5-21-8062686149-7177138992-073448848-2856\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyu44.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-6385339739-8777006451-062965810-5742\syscr.exe) - D:\RECYCLER\S-1-5-21-6385339739-8777006451-062965810-5742\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe) - C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psysnew.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-1498778891-9430155563-316739317-9738\syscr.exe) - D:\RECYCLER\S-1-5-21-1498778891-9430155563-316739317-9738\syscr.exe File not found
    O33 - MountPoints2\{61274588-f201-11dc-ad59-00196626c8c7}\Shell\AutoRun\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe
    O33 - MountPoints2\{61274588-f201-11dc-ad59-00196626c8c7}\Shell\open\command - "" = RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1033\netsrv.exe
    [2010/08/04 22:04:33 | 000,156,160 | ---- | M] () -- D:\WINDOWS\System32\msvmiode.exe
    [2010/08/04 22:04:33 | 000,075,776 | RHS- | M] () -- D:\WINDOWS\cfdrive32.exe
    [2010/08/04 22:04:22 | 000,112,128 | RHS- | M] () -- D:\Documents and Settings\William\Application Data\ltzqai.exe
    [2010/08/03 21:38:54 | 000,115,712 | ---- | M] () -- D:\WINDOWS\System32\47.exe
    [2010/08/03 21:22:43 | 000,115,712 | ---- | M] () -- D:\WINDOWS\System32\48.exe
    [2010/08/03 20:16:37 | 000,115,712 | ---- | M] () -- D:\WINDOWS\System32\18.exe
    [2010/08/04 22:04:45 | 000,156,160 | ---- | C] () -- D:\WINDOWS\System32\msvmiode.exe
    [2010/08/04 22:04:41 | 000,075,776 | RHS- | C] () -- D:\WINDOWS\cfdrive32.exe
    [2010/08/03 21:38:54 | 000,115,712 | ---- | C] () -- D:\WINDOWS\System32\47.exe
    [2010/08/03 21:22:43 | 000,115,712 | ---- | C] () -- D:\WINDOWS\System32\48.exe
    [2010/08/03 20:16:36 | 000,115,712 | ---- | C] () -- D:\WINDOWS\System32\18.exe
    [2010/07/31 10:06:46 | 000,112,128 | RHS- | C] () -- D:\Documents and Settings\William\Application Data\ltzqai.exe
    D:\WINDOWS\cidrive32.exe
    D:\WINDOWS\wndrive32.exe
    D:\WINDOWS\cndrive32.exe

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL
    6 Août 2010 00:56:24

    C'est mieux en effet :) 
    Par contre, est-ce que tu peux refaire un log mais avec LOP Check et Purity s'il te plait ? Je me suis trompé dans ma dernière réponse, il faut que je re-regarde le Extras.txt, parce qu'il y avait d'autres choses à supprimer dedans normalement.
    6 Août 2010 08:23:25

    Bonjour OmaR,

    Effectivement, ce n'est pas fini: mon antivirus m'a detecté qq "anomalies" !

    Par contre, j'ai voulu générer ce matin le rapport Extras.txt (en cochant les 2 cases LOP Check et Purity) mais il n'est pas apparu ...La seconde fois, j'ai enlevé le rapport initial mais ca n'a rien changé ...

    As-tu une explication ?...

    En attendant, je dépose le rapport d'Antivir, au cas où....
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijNkfJm...

    A binetôt
    Willce
    6 Août 2010 10:18:19

    Bonjour,

    Les choses que ton antivirus t'a détecté sont dans la restauration système. Ce doit être des éléments que nous venons de supprimer mais qui sont encore là dans les versions précédentes de ton système. On fera le nettoyage de la restauration système une fois qu'on aura fini.

    1)

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

    :Services

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "D:\DOCUME~1\William\LOCALS~1\Temp\173.exe"=-
    "D:\DOCUME~1\William\LOCALS~1\Temp\410.exe"=-
    "D:\DOCUME~1\William\LOCALS~1\Temp\881.exe"=-
    "D:\DOCUME~1\William\LOCALS~1\Temp\094.exe"=-
    "D:\DOCUME~1\William\LOCALS~1\Temp\941074.exe"=-
    "D:\DOCUME~1\William\LOCALS~1\Temp\6128.exe"=-
    "D:\DOCUME~1\William\LOCALS~1\Temp\30209.exe"=-
    "D:\DOCUME~1\William\LOCALS~1\Temp\714770.exe"=-
    "D:\DOCUME~1\William\LOCALS~1\Temp\72292.exe"=-
    "D:\DOCUME~1\William\LOCALS~1\Temp\4745232.exe"=-

    :Files

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Sauvegarde-le sur ton Bureau et poste-le.

    2)

    Télécharge Malwarebytes Anti Malware

    Une fois installé et lancé, mets le à jour plusieurs fois jusqu'à que tu n'aies plus de mises à jour disponibles.


    Ensuite, déconnecte toi et ferme toutes applications en cours.

    * Fais un examen dit " RAPIDE " .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur "suppression".

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
    6 Août 2010 19:07:09

    Bonsoir,

    J'ai du louper quelque chose, il y en a qui se sont rajoutés depuis :( 

    Télécharge Gmer. (Przemyslaw Gmerek)

  • Dézippe-le dans un dossier dédié ou sur ton Bureau.
  • Déconnecte toi d'Internet puis ferme tous les programmes.
  • Double-clique sur Gmer.exe.
    Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clique sur l'onglet Rootkit.
  • A droite, coche seulement Files, Services & Registry.
  • Clique maintenant sur Scan.
  • Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
  • Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton Bureau et poste le contenu ici.
    6 Août 2010 20:28:47

    OmaR a dit :
    Bonsoir,

    J'ai du louper quelque chose, il y en a qui se sont rajoutés depuis :( 


    J'vous jure m'sieur, j'ai rien fait d'illégal !! :non: 

    Bien, les seules cases que j'ai cochées sont les 3 que tu m'as indiquées + celle qui selectionne mon dossier d'installation (disque D). Par contre je n'ai pas coché ADS.

    Le résultat est surprenant car il semble que mon Photoshop que j'ai depuis au moins 2 an soit incriminé ?!

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijPKdXU...

    Willce
    6 Août 2010 21:53:36

    Non, c'est rien de grave ce qu'il t'a annoncé.

    Est-ce que tu peux refaire un log OTL s'il te plait ?
    6 Août 2010 22:56:28

    Alors...

    1)

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    O20 - HKCU Winlogon: Shell - (硅汰牯牥攮數08\19) - File not found
    [2010/08/06 18:31:25 | 000,081,920 | ---- | M] () -- D:\WINDOWS\System32\18.exe
    [2010/08/06 18:31:24 | 000,081,920 | ---- | C] () -- D:\WINDOWS\System32\18.exe
    [2008/09/03 17:58:54 | 000,000,066 | ---- | C] () -- D:\WINDOWS\#1 Video Converter.INI

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL

    2)

    Il y a des traces qui pourraient suggérer une infection par disque amovible (clé USB infectée...).

    Télécharge UsbFix (de El desaparecido & C_XX) sur ton bureau.
    (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

  • Double-clique sur "USBFix.exe" pour lancer l'outil.
  • Au menu principal clique sur Recherche.
  • Puis laisse travailler l'outil ...
  • Une fois terminé, poste le rapport USBFix.txt qui est généré ...


    Note : le rapport est sauvegardé à la racine du disque. (C:\USBFix.txt)

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    6 Août 2010 23:24:17

    Ci joint les rapports OmaR;

    Concernant l'infection par source externe, je suis assez sceptique: je ne possède qu'une clé dont je ne me suis pas servi depuis pas mal de temps (et que pour le boulot); je ne l'ai pas branché ici. Si ta conviction est qu'il faut absolument la tester, je tacherai de la retrouver et de recommencer "USBFix".

    http://www.cijoint.fr/cjlink.php?file=cj201008/cijf2PI3...
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijw2Hsh...

    A bientôt
    Willce
    6 Août 2010 23:40:02

    Et est-ce qu'il n'y aurait pas quelqu'un qui aurait pu brancher une clé USB sur ton PC ?

    Dans tous les cas :
  • Double clic sur le raccourci UsbFix présent sur ton bureau.
  • Au menu principal clique sur Suppression.
  • Ton bureau disparaitra et le pc redémarrera .
  • Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
  • Ensuite postes le rapport UsbFix.txt qui apparaitra avec le bureau .


    Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    7 Août 2010 07:30:31

    Salut Omar,

    Bien, alors: j'ai retrouvé ma clé USB que j'ai branchée avant d'effectuer la suppression.

    Par contre:
    - Le PC ne s'est pas éteind pdt Usbfix,
    - et le bureau n'a pas disparu...

    Toutefois, un rapport à bien été généré:
    http://www.cijoint.fr/cjlink.php?file=cj201008/cij42rUb...

    Ah, ma page d'accueil d'internet a été modifiée ?!!(de google je me suis retrouvé avec MSN ?!)

    A bientôt
    Willce
    7 Août 2010 12:58:39

    Salut Willce,

    Pas grave si le bureau n'a pas disparu et si le PC ne s'est pas éteint. Vu que l'outil a changé récemment, il est possible qu'il n'y ait plus besoin de ça :) 

    Pour la page d'accueil, il a du remettre celle par défaut, tu peux rechanger pour Google.


    1) Comment se comporte ton PC à présent ?
    2) Est-ce que tu peux refaire un (dernier ?) log OTL s'il te plait ?
    7 Août 2010 15:25:10

    Salut OmaR,

    J'ai un "soucis", qui est léger !....Je suis en vacances ! :bounce: 

    Du coup, je me trouve à 200 km de ma bécanne; mon amie va rester encore qq jours chez moi et je vais lui demander de refaire un scan.

    Concernant la source externe, il y a peut-être une explication: depuis 4 mois, ma copine est devenue infirmière indépendante et dans ce contexte utilise un outil qu'elle branche par les ports USB, le TLA (c'est un boitier qui lui permet de teletransmettre des données à la sécu je crois); or j'ai l'impression que mes ennuis ont justement debuté à cette période.

    Si on branche son boitier TLA et qu'on utilise USBFix,est-ce qu'il y a des risques pour que l'on detracte son boitier (c'est certainement une question idiote mais comme c'est devenu son outil de travail, elle appréhende quelque peu que je lui fusille !)

    Si non:
    1. elle pourrait faire un scan
    2 et refaire une recherche avec USBFix et son boitier branché, non ?

    Encore merci pour le temps que tu me consacres et à bientôt
    Willce
    7 Août 2010 17:58:18

    Salut,

    Bonnes vacances alors :) 

    Alors, tant que l'on fait une recherche avec UsbFix, le boitier ne risque rien, vu que rien ne sera supprimé/ajouté.
    Par contre, si on applique le patch et que l'on fait des suppressions avec UsbFix, je ne sais pas du tout ce que ça peut donner, je ne connais pas du tout ce boitier.

    Et pour tes questions:
    1) si elle y arrive (bon normalement c'est plutôt explicite donc ça devrait aller), pas de soucis.
    2) Elle peut le faire avec le boitier branché, mais seulement la recherche. On verra s'il y a des soucis avec ce boitier déjà. Et en fonction du résultat, on avisera pour une suppression.

    ;) 
    7 Août 2010 21:59:49

    C'est noté; merci Omar et à dans 48h00 je pense
    Willce
    1 Septembre 2010 10:41:40

    Ouais, bon, disons qu'il y a eu qq soucis techniques ....

    Bref: bonjour Omar ! (et à ceux qui lisent ce post)

    Du coup, je reviens de vacances et vient de lancer USBFIX avec le boitier TLA branché; par contre il n'est pas relié en USB et j'ai l'impression que USBFIX n'a rien pu détecter...

    Ci dessous les 2 rapports:

    - UsbFix:
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijHNB6P...

    - OTL:
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijn9mmS...

    Merci
    Willce
    1 Septembre 2010 14:05:52

    Bonjour,

    S'il n'est pas relié en USB, ça ne devrait pas poser de soucis :) 

    Par contre, deux lignes sont revenues, alors que d'après le dernier log de suppression d'OTL elles ne devraient plus être là :
    O20 - HKCU Winlogon: Shell - (硅汰牯牥攮數08\19) - File not found
    et
    [2010/08/15 18:16:17 | 000,000,066 | ---- | M] () -- D:\WINDOWS\#1 Video Converter.INI

    Gmer n'a rien vu... bon, on peut réessayer de les supprimer on va voir ce que ça va donner:

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    O20 - HKCU Winlogon: Shell - (硅汰牯牥攮數08\19) - File not found
    [2010/08/15 18:16:13 | 000,000,066 | ---- | C] () -- D:\WINDOWS\#1 Video Converter.INI

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL
    1 Septembre 2010 21:59:40

    Bon, il indique qu'il le supprime, mais on en trouve encore des traces. Peut être le fait qu'il y ait des caractères unicode.
    On va voir avec l'artillerie lourde ce que ça donne :

    Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !) :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe


    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<
  • Ferme tes applications en cours ( ainsi que ton navigateur ) .
  • DÉSACTIVE TOUTES TES DÉFENSES (anti-virus, garde anti spy-ware, pare-feu) le temps de la manipe.
    En effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil (voire planter le PC)...Tu les réactiveras donc après !
    > Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
  • Tuto (aide) ici : http://www.bleepingcomputer.com/combofix/fr/comment-uti...
  • Note : pour XP, il est IMPÉRATIF d'installer la Console de Récupération de Windows si l'outil le demande (voir tuto ci-dessus).
    >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>[ ! ATTENTION ! ]<<<<<<<<<<<<<<<<<<<<<<<<<<<<<<


    Ensuite :
    > Clique droit/ "exécuter en tant qu'admin..." sur l'icône "ComboFix.exe" pour lancer l'outil .
    > A la fenêtre "DISCLAIMER..." , clique sur "oui" et laisse travailler ...


    Notes importantes :
    -> Ne rien faire avec le PC pendant le scan !
    -> N'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
    -> Si l'outil t'annonce qu'un version plus récente de ComboFix est disponible, accepte la mise à jour.
    -> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
    -> Si l'outil t'annonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarrer votre machine", tu acceptes .
    -> Si après un reboot éventuel , ton antivirus s'affole lorsque travail encore ComboFix , ignore les alertes ! ( ne supprime rien et ne mets rien en quarantaine )

    Le rapport sera crée ici : C:\Combofix.txt

    Réactive bien tes défenses une fois la procédure terminée.


    > Poste le rapport ComboFix pour analyse et attends la suite ...
    4 Septembre 2010 20:16:59

    Salut,

    Désolé pour le retard.

    Le rapport de Combofix est propre. On va essayer une autre solution pour supprimer la clé avec les caractères unicode:

    Télécharge TFC par OldTimer sur votre Bureau:
    http://oldtimer.geekstogo.com/TFC.exe
    Fais un double clic (clic droit executer en tant qu'administrateur avec vista) sur TFC.exe pour le lancer.
    L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
    * Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
    Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système.
    5 Septembre 2010 11:10:33

    Consternation …..

    Depuis hier ma connection est à nouveau extrêmement lente et je déconnecte d’Internet au bout de qq minutes….

    Avira Antivir m’informe de la présence de 2 « indésirables » :

    D:\System Volume Information\_restore{8491EF14-D77B-4D94-A57A-6CCDDC01F878}\RP14\A0006449.exe
    [RESULTAT] Contient le cheval de Troie TR/Buzus.C

    D:\System Volume Information\_restore{8491EF14-D77B-4D94-A57A-6CCDDC01F878}\RP14\A0006450.exe
    [RESULTAT] Contient le cheval de Troie TR/Agent.etpf

    Bien, j’effectue la manip que tu préconises OmaR , et post le résultats ensuite ;

    Willce
    5 Septembre 2010 11:24:11

    Bonjour,

    Pour les deux indésirables, c'est pas grave, c'est dans la restauration du système, ils ne réapparaitront que si tu fais une restauration du système.
    On videra le cache de la restauration système une fois que ça sera fini ;) 
    5 Septembre 2010 11:28:48

    OmaR a dit :
    Bonjour,

    Pour les deux indésirables, c'est pas grave, c'est dans la restauration du système, ils ne réapparaitront que si tu fais une restauration du système.
    On videra le cache de la restauration système une fois que ça sera fini ;) 

    Dac o dac...mais ma connexion est vraiment ralentie :cry:  (ainsi que la fermeture de ma cession Windows!)

    J'ai donc executé le programme; je ne sais pas si c'est nécessaire, mais j'ai fait un OTL:
    http://www.cijoint.fr/cjlink.php?file=cj201009/cij4nw4I...

    Willce
    5 Septembre 2010 12:25:01

    Bon, la bonne nouvelle, c'est qu'il a réussi à supprimer la clé Winlogon, la mauvaise c'est qu'il semblerait que tu te sois fait réinfecté hier vers 9h50, est-ce que tu sais ce que tu faisais à cette heure-là ?

    On va nettoyer ça:

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - D:\WINDOWS\explorer.exe (Microsoft Corporation)
    PRC - D:\WINDOWS\system32\msvmiode.exe (lol lool)
    PRC - D:\WINDOWS\cfdrive32.exe (lol lool)
    O4 - HKLM..\Run: [Microsoft Driver Setup] D:\WINDOWS\cfdrive32.exe (lol lool)
    O4 - HKLM..\Run: [MSODESNV7] D:\WINDOWS\system32\msvmiode.exe (lol lool)
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Microsoft Driver Setup = D:\WINDOWS\cfdrive32.exe (lol lool)
    O20 - HKLM Winlogon: TaskMan - (D:\Documents and Settings\William\Application Data\ltzqai.exe) - D:\Documents and Settings\William\Application Data\ltzqai.exe ()
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-2942703271-3757570036-095163030-7353\syscr.exe) - D:\RECYCLER\S-1-5-21-2942703271-3757570036-095163030-7353\syscr.exe ()
    O20 - HKCU Winlogon: Shell - (D:\Documents and Settings\William\Application Data\ltzqai.exe) - D:\Documents and Settings\William\Application Data\ltzqai.exe ()
    [2010/09/04 09:52:10 | 000,122,880 | ---- | C] (lol lool) -- D:\WINDOWS\System32\msvmiode.exe
    [2010/09/04 09:52:09 | 000,086,016 | RHS- | C] (lol lool) -- D:\WINDOWS\cfdrive32.exe
    [2010/09/04 18:34:14 | 000,081,920 | ---- | M] () -- D:\WINDOWS\System32\81.exe
    [2010/09/04 11:25:56 | 000,081,920 | ---- | M] () -- D:\WINDOWS\System32\63.exe
    [2010/09/04 09:52:09 | 000,122,880 | ---- | M] (lol lool) -- D:\WINDOWS\System32\msvmiode.exe
    [2010/09/04 09:52:09 | 000,086,016 | RHS- | M] (lol lool) -- D:\WINDOWS\cfdrive32.exe
    [2010/09/04 09:52:02 | 000,077,824 | RHS- | M] () -- D:\Documents and Settings\William\Application Data\ltzqai.exe
    [2010/09/04 09:51:34 | 000,081,920 | ---- | M] () -- D:\WINDOWS\System32\83.exe

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL
    6 Septembre 2010 09:27:51

    Bonjour,

    1)
    Il en reste encore un peu, même si c'est du orphelin:

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - D:\WINDOWS\explorer.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: TaskMan - (d:\documents and settings\william\application data\ltzqai.exe) - d:\documents and settings\william\application data\ltzqai.exe File not found
    O20 - HKCU Winlogon: Shell - (d:\documents) - File not found
    O20 - HKCU Winlogon: Shell - (and) - File not found
    O20 - HKCU Winlogon: Shell - (settings\william\application) - File not found
    O20 - HKCU Winlogon: Shell - (data\ltzqai.exe) - File not found

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL

    2)

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
  • Effectue les mises à jour.
  • Ensuite, déconnecte toi et ferme toutes applications en cours.
  • Fais un examen dit Rapide.

    --> Laisse le programme travailler (et ne rien faire d'autre avec le PC durant le scan).
    --> à la fin tu cliques sur Résultat .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur Suppression.

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...
    7 Septembre 2010 23:58:16

    Bonsoir,

    Il en restait un après le passage d'OTL, mais MBAM a l'air de l'avoir supprimé.
    Comment se comporte ton PC à présent ?
    9 Septembre 2010 20:37:55

    Salut Omar,

    Et bien, encore bof bof (9 anomalies detectées avec antivir => mais peut être que ce n'est que le pb restauration)

    Toutefois, j'ai à nouveaux des alertes qui se déclenchent à l'ouverture de ma cession.

    Je te post le dernier rapport d'antivir:
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijKt2aI...

    A bientôt
    Willce
    9 Septembre 2010 22:00:33

    Bonsoir,

    Oui, c'est dans la restauration et dans la quarantaine d'OTL.

    Alors

    1) Je vois que tu n'as que le SP2 de Windows XP. Il faut mettre à jour ton Windows XP. http://windowsupdate.microsoft.com

    2) Désactive puis réactive la restauration système: http://service1.symantec.com/SUPPORT/INTER/tsgeninfoint...

    3) On va nettoyer les outils qu'on a utilisé (à part MBAM que tu peux garder en faisant des scans régulièrement).
    Pour les supprimer, on va utiliser OTC qui va se supprimer tout seul après :
    Télécharge OTC de (OldTimer) sur ton Bureau.
    Lance OTC avec un double-clic (sous Vista, lance-le en cliquant droit sur OTC.exe et en sélectionnant "exécuter en tant qu'administrateur")
    Appuie sur le bouton "CleanUp!"
    A la question "begin cleanup process?", réponds "YES"
    A la fin de l'opération, si OTC demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES":
    Au redémarrage, OTC aura supprimé les outils de désinfection, et se sera même auto-détruit!
    11 Septembre 2010 19:56:57

    ….

    Je suis désespéré ! Je n’ai à priori plus de virus (le dernier rapport d’antivir est ok) mais depuis j’ai une connexion Internet EXTREMEMENT lente….Et last but not least, après avoir visité 4 ou 5 pages, je me fais sortir (j’ai d’ailleurs un mal de chien à poster ce message !!)

    Cela peut-il venir de la mise à jour ? J’ai refusé Exporer 8 : ça peut jouer ? (je ne vois pas pourquoi mais bon)

    En tous cas, encore merci pour tout ce temps que tu me consacres OmaR, c’est vraiment chouette…

    Willce
    12 Septembre 2010 01:08:41

    Salut,

    Il vaut mieux installer IE8 aussi ;) 
    Ensuite, essaie de défragmenter ton PC, de passer un coup de CCleaner et dis-moi comment ça se comporte.
    12 Septembre 2010 09:00:36

    A'y'est, j'ai enfin réussi à me connecter !!!

    CCleaner, c'est déjà fait. Je me lance sur IE8 & defrag et te tiens au courant;

    a+


    12 Septembre 2010 11:21:09

    Et est-ce que ca pourrait venir des modules complémentaires ?

    En effet, lorsque j'ai réalisé la dernière étape hier, une icone de raccourci bureau "module complémentaire" était présente; d'après ma copine qui a utilisé l'ordi, elle a eu une demnde de Windows de mise à jour.....et à priori elle aurait fait n'importe quoi (non, ce n'est pas du sexisme, c'est la vérité vraie !!) !

    Un conflit quelconque (entre les modules coplémentaires donc) pourait-il être à l'origine de mes "nouveaux" soucis ? Et comment puis-je le savoir ?

    Heu....Et peut-être devrais-je réaliser un nouveau post car je n'ai pas l'impression qu'il y ait de lien avec le message initial ?!!
    12 Septembre 2010 11:55:53

    Hmm... tant qu'elle n'a pas accepté n'importe quoi comme module complémentaire, ça devrait être bon. Mais si ce n'est qu'un raccourci, ça ne devrait être rien de grave

    Sinon, on peut toujours essayer de revoir avec un log OTL ce que ça donne, mais aux dernières nouvelles c'était bon. Mais rien n'empêche que tu te sois fait réinfecté :( 
    12 Septembre 2010 21:00:59

    Tu es encore réinfecté... il doit y avoir un site où tu vas qui est infecté c'est pas possible... :( 

    1)
    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - D:\WINDOWS\explorer.exe (Microsoft Corporation)
    PRC - [2010/09/10 18:17:19 | 000,086,016 | RHS- | M] (vdSmd) -- D:\WINDOWS\cfdrive32.exe
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: Microsoft Driver Setup = D:\WINDOWS\cfdrive32.exe (vdSmd)
    O15 - HKLM\..Trusted Domains: acteurfse.net ([]* in Trusted sites)
    O20 - HKLM Winlogon: TaskMan - (D:\Documents and Settings\William\Application Data\ltzqai.exe) - D:\Documents and Settings\William\Application Data\ltzqai.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\RECYCLER\S-1-5-21-6574749809-7150052065-393954518-2551\syscr.exe) - D:\RECYCLER\S-1-5-21-6574749809-7150052065-393954518-2551\syscr.exe File not found
    O20 - HKCU Winlogon: Shell - (D:\Documents and Settings\William\Application Data\ltzqai.exe) - D:\Documents and Settings\William\Application Data\ltzqai.exe File not found
    [2010/09/11 10:25:12 | 000,118,784 | ---- | C] (LXapKM) -- D:\WINDOWS\System32\msvmiode.exe
    [2010/09/10 18:17:21 | 000,086,016 | RHS- | C] (vdSmd) -- D:\WINDOWS\cfdrive32.exe

    :Services

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
    "D:\DOCUME~1\William\LOCALS~1\Temp\59131.exe" =-
    "D:\DOCUME~1\William\LOCALS~1\Temp\573.exe" =-
    "D:\DOCUME~1\William\LOCALS~1\Temp\9748.exe" =-
    "D:\DOCUME~1\William\LOCALS~1\Temp\030.exe"=-

    :Files

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL


    2) Fais un scan complet avec MBAM et colle le log.
    12 Septembre 2010 23:09:29

    M'enfin mais ca sort d'où ?!!! :??:  :??:  :??: 

    En tous cas, un énième merci pour ces nouvelles préconisations: j'accède beaucoup mieux à Internet (vais-je être déconnecté dans 2mn ?)

    Ci après les 3 rapports; celui de MbAM a détecté 3 virus que j'ai corrigés (MbAM me dit que la suppression a réussi)

    OTL Correction:
    http://www.cijoint.fr/cjlink.php?file=cj201009/cij0XvxD...

    OTL ensuite:
    http://www.cijoint.fr/cjlink.php?file=cj201009/cij1kfrP...

    MBAM:
    http://www.cijoint.fr/cjlink.php?file=cj201009/cij7ORU2...

    Willce
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS