Se connecter / S'enregistrer
Votre question

PC infecté, certains logiciels bloqués !!

Tags :
  • Internet explorer 8
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Mars 2010 19:55:38

Bonsoir,
je viens de découvrir votre site qui m'a l'air très performant !
je me bats depuis plusieurs jours avec ????? une infection ?....
tout d'abord j'ai eu plein de fenêtres internet qui s'ouvraient intempestivement, du coup après vous avoir lu, j'ai téléchargé firefox ( j'en ai beaucoup moins, mais encore qq unes) et je découvre que les programmes sont atteints (certains comme outpost ne s'ouvre plus) encore plus grave, mon NOD32 ne se met plus au démarrage!!
j'ai éffectué plusieurs fois Malwarebytes et je vous joins les rapports :

1er :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3905
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/03/2010 15:09:48
mbam-log-2010-03-24 (15-09-48).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 195270
Temps écoulé: 25 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adobe_reader (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Internet Explorer\js.mui (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\claudie arif\Local Settings\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\claudie arif\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


2ème :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3905
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/03/2010 12:54:21
mbam-log-2010-03-24 (12-54-16).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 196621
Temps écoulé: 37 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wek9emdhi9 (Trojan.Agent) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\claudie arif\Local Settings\Temp\mDSResponder.exe (Trojan.LVBP) -> No action taken.
C:\Documents and Settings\claudie arif\Local Settings\Temp\zvf.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\znegub.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Internet Explorer\js.mui (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\claudie arif\Local Settings\Temp\wmpscfgs.exe (Trojan.Agent) -> No action taken.
C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\claudie arif\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.



Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3905
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/03/2010 12:54:28
mbam-log-2010-03-24 (12-54-28).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 196621
Temps écoulé: 37 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wek9emdhi9 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\claudie arif\Local Settings\Temp\mDSResponder.exe (Trojan.LVBP) -> Quarantined and deleted successfully.
C:\Documents and Settings\claudie arif\Local Settings\Temp\zvf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\znegub.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\js.mui (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\claudie arif\Local Settings\Temp\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\Internet Explorer\wmpscfgs.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\claudie arif\rundll32.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

et je suis sûr que si je le refait j'en retrouverai.
j'en trouve aussi avec glary ou easy cleaner etc... je ne sais plus quoi faire!
merci de m'aider
J'attend avec anxiété votre réponse, à très vite j'espère


Autres pages sur : infecte certains logiciels bloques

24 Mars 2010 20:49:59

Aloha! On va voir ce que tu as:

Dans un souci de lisibilité du sujet, merci de bien vouloir héberger tous les rapports ici, et de poster les liens dans la discussion. :clin: 

Télécharge sur le bureau « RSIT »
  • Double-clic dessus,
    (Avec VISTA > clic-droit et > Exécuter en tant qu'administrateur.)
  • Laisser « 1 month »,
  • Cliquer sur « Continue »
  • Si l'outil HijackThis n'est pas présent sur le PC ou n'est pas détecté, RSIT le téléchargera (autoriser l'accès internet à RSIT si le pare-feu le demande.). Accepter la licence de HijackThis.
  • À la fin du scan 2 rapports sont créés: « log.txt » et « info.txt »
  • Héberger les deux rapports et donner les liens
  • Note: les rapports se situent aussi dans « C:\rsit\log.txt » et « C:\rsit\info.txt »

    ===

    Et si tu essai de lancer nod32, il démarre?
    Contenus similaires
    25 Mars 2010 11:56:25

    Ok! La modification du fichier Host est-elle voulue? Ensuite tu es pas mal infecté, fait ça:

  • Désactive l'antivirus.

    Télécharger et enregistrer sur le bureau « Combofix »

  • Double-clic sur Combofix.
  • Si invitation à télécharger et installer la console de récupération, l'accepter.
  • La recherche va ensuite se lancer,
  • Attendre la fermeture de l’outil ( 5 à 10 mn),
  • Un rapport dans C:\Combofix.txt: héberge le et donne le lien.
    25 Mars 2010 21:36:19

    Non la modification du fichier host n'est pas voulue, je ne sais même pas ce que c'est!!
    Impossible d'arrêter NOD32, donc en fait il travaille en fond j'imagine (d'ailleurs sur de nombreux programmes, j'ai l'icône normale par ex NOD32 control center en blanc et vert qui est doublée avec une autre icône du même nom (toujours NOD32 mais avec une main qui tient une flamme...... mince je ne sais pas ce qui s'est passé, je ne les ai plus maintenant. Ces icônes sont devenues des rectangles blancs entourés de bleu.!!
    Après avoir chargé la console de récup, un programme s'est mis en route et m'a dit que j'avais des virus critiques puis une fenêtre internet explorer s'est ouverte et qd je l'ai fermée, j'ai tout perdu.!!!

    Voici le lien que tu m'as demandé, que doisje faire?
    Par avance un grand merci

    http://www.cijoint.fr/cjlink.php?file=cj201003/cijWYqnR...
    26 Mars 2010 17:50:17

    Citation :
    qd je l'ai fermée, j'ai tout perdu.!!!

    Tu as perdu quoi? :o 

    Ensuite fait ça:

    Telecharger sur le bureau « HostsXper »

  • Clic-droit extraire tout( ou ici).
  • Double-clic sur le dossier HostsXpert qui vient de se créer.
  • Double-clic HostsXpert,
    (Avec VISTA/SEVEN > clic-droit et > Exécuter en tant qu'administrateur.)
  • Clic Restore MS Hosts file.

    +

    Un scan complet de malwarebytes' mis à jour.

    + un nouveau RSIT.
    27 Mars 2010 10:45:34

    en fait quand j'ai accepté de télécharger la console de récupération, il y a un scan qui s'est fait et j'ai juste eu le temps d'apercevoir qu'il m'annonçait xxxxxxx (+ de 300 a certains endroits) virus que tout a disparu. C'est ça que j'ai perdu.
    J'ai fait hostsxper, j'ai fait malwarebytes après l'avoir mis à jour, il m'a annoncé 2 infection (ci joint le rapport) puis j'ai redémarré l'ordi, j'ai fait un nouveau rsit (ci joint le rapport)

    http://www.cijoint.fr/cjlink.php?file=cj201003/cij7jV1e...
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijJKNMx...

    merci de me dire ce que vous en pensez et s'il y a d'autres choses à faire. (pour la 1ère fois depuis que je me suis adressé à vous, j'ai eu une fenêtre pub intempestive mais j'avais peut-être fait une mauvaise manip !! en tous cas rien d'autres. Encore un grand merci de ne pas me laisser à mon ignorance et de me donner ce sacré coup de main. Comme quoi la solidarité ça existe encore !!!!!
    27 Mars 2010 11:22:46

    Ok, il doit encore rester quelques infections:

    Télécharger sur le bureau « UsbFix »

  • Double-cliquez sur UsbFix.exe qui vient d'apparaître sur le bureau.
  • Taper F pour la langue française, puis valider.
  • Choisir l'option 1, et valider par « entrée ».
  • Quand le message vous y invite, Connecter au pc, clé USB, DD externes, susceptibles d'avoir été infectés, sans les ouvrir.
  • Note: Le menu Démarrer et les icônes vont disparaitrent.
  • La recherche s'effectue, cela peut prendre plusieurs minutes, ne touchez à rien.
  • Une fois l'analyse terminé, un rapport de scan vous est proposé... appuyez sur une touche pour ouvrir ce rapport.
  • L'héberger et donner son lien.
    28 Mars 2010 11:46:57

    Ok!

  • Double-cliquez sur UsbFix.exe
  • Taper F pour la langue française, puis valider.
  • Choisir l'option 2, et valider par « entrée ».
  • Quand le message vous y invite, Connecter au pc, clé USB, DD externes, susceptibles d'avoir été infectés
  • , sans les ouvrir.
  • Note: Le menu Démarrer et les icônes vont disparaitrent.
  • La supression s'effectue, l'ordinateur redémarrera automatiquement.
  • Au redémarrage usbfix se relance.
  • Note: Le processus d enettoyage peut-être long, soyez patient. Votre bureau ne sera pas accessible, c'est
  • normal.

  • Une fois l'analyse terminé, un rapport de scan vous est proposé... appuyez sur une touche pour ouvrir ce rapport.
  • L'héberger et donner son lien.

    ===

    Fais le en branchant juste le premier DD que tu avais branché, à savoir:

    G:\ -> Disque fixe local # 39,06 Go (15,11 Go free) # NTFS
    28 Mars 2010 22:40:12

    Ok, si tu as d'autres DD qui n'étaient pas branchés pendant le scan de usbfix en option 2, branche les et refais usbfix en option 2 ;) 

    Et ensuite refais un RSIT!
    29 Mars 2010 10:16:35

    voilà,j'ai donc refais l'opération avec tous les autres DD ext (en 1er 2 DD + 2 clés usb)voice le lien du rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijb7Bot...
    en 2ème (2DD ext +1 clé usb)
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijyjFdw...

    Je viens de me rendre compte que je ne t'ai pas donné le bon fichier pour le 1er rapport (en effet c'est le point zip et pas le point txt ..... mais le premier .txt semble avoir été effacé par le second. Dois je recommencer le premier scan en option 2 ?
    Voici le rapport du Rsit (après le second scan):
    http://www.cijoint.fr/cjlink.php?file=cj201003/cijxBvXX...

    Une autre question: Si j'ai un autre DD (j'en ai prêté un que je dois récupérer) pour le vérifier dois je toujours effectuer l'option 1 avant l'option 2 ou puis je faire directement 2 quand je le récupèrerai?
    Merci
    29 Mars 2010 11:09:52

    Tu fais l'option 1, et s'il ya des détections, tu peux passer à l'option 2, faut juste vérifier qu'il ne détecte pas des éléments légitimes comme des infections ;) 

    Encore des soucis sinon?
    29 Mars 2010 11:17:08

    Je ne sais pas si cela a un rapport, mais depuis hier il y a certain fichier vidéo qui chez moi n'ont pas de son avec VLC ou un son très bizarre (genre ralenti et qui vibre) avec cyberlink et qui pour tant sont tout à fait normaux lu sur un autre ordi !!
    31 Mars 2010 17:57:08

    Ok, tu peux refaire un scan MBAM en l'ayant mis à jour avant?
    1 Avril 2010 10:19:50

    Super, tu es encore là ! j'ai fait MBAM après l'avoir mis à jour, rien, (le fichier avec le son bizarre est en VOB). As tu une idée ?
    Sinon, c'est super, mon PC a l'air nickel ! mille fois merci
    1 Avril 2010 19:03:05

    Juste sur ce fichier et sur ton pc? Ou sur tous les fichier? Et ça te le faisait avant?
    Dernière question: tu utilises quel lecteur?
    1 Avril 2010 19:51:34

    Oui sur ce fichier, ou plus exactement juste quand il lit le CD (même après avoir converti en .Mpeg et gravé un autre cd avec un autre ordi, à la lecture sur mon ordi, j'ai le même problème). Non auparavant ça ne me l'avait jamais fait.
    Par contre, j'ai "copié-collé" le fichier du CD sur mon bureau et là je le lis TB.
    Dans mon gestionnaire de périphériques il est dit que mon lecteur est un Optiarc DVD RW D-7530B
    Qu'en penses tu ?
    2 Avril 2010 00:06:37

    Tu pourrais essayé de les lire avec le lecteur gratuit VLC? Il est très simple à installer! ;) 

    C'est pour essayé de voir d'où vient le problème.
    2 Avril 2010 09:34:32

    C'est ce que je fais, Je le lis avec VLC (j'ai même essayé avec cyberlink) quand je lis le cd ça ne marche pas. Quand je sors le cd et que je lis le même fichier que j'ai collé sur mon bureau ça marche! Est ce cela pourrait être mon lecteur graveur qui serait défectueux? et comment puis je le savoir ?( Mais il y a quelques jours tout marchait encore tb.)
    2 Avril 2010 19:57:47

    Ok, fais ça:

  • Mettre combofix sur le bureau
  • Faire un clic droit ici sur CFScript.txt
  • Clique enregistrer la cible du lien sous
  • ==> choisir :Bureau
  • et avant d'accepter ==> vérifier que le nom soit bien: CFScript.txt
  • Prendre le fichier CFScript.txt qui est sur le bureau par un clic gauche maintenue,
  • L'amener sur l'icône de Combofix et relacher le clic.
  • Combofix se relance seul.
  • Héberger le rapport et donner le lien.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS