Bonjour,

me voila depuis un quizaine de jours avec un saloperie dont je n'arrive pas a me débarrassé.

un virus, c'est installé sur mon ordi, me bloque Eset sécurity, me désactive CCleaner quand je fais réparé la base de registre, m'a bloqué hijackthis, que je ne peux même plus supprimé de mes documents et tout comme ca..!!

comme vous faites bien souvent des miracles je viens vous demander de l'aide.

j'ai désinstallé mon anti virus, comme j'ai fais avec ccleaner (que j'ai réinstallé et qui fonctionne a nouveau) mais saute a chaque fois que je rente une réparation.

Quand je veux ré-installé mon antivirus, j'ai a un moment de l'installe un massage d'erreur qui m'indique qu'un fichier (ou dll) ne peut s'xecuté.

(donc installation complete impossible)

La problème est le meme en mode sans échec.

j'ai fais un scan en ligne avec l'utilitaire Eset, mais il ne détecte pas de virus.(bien sur, sinon il l'aurait stoppé au passage et il n'aurait pu s'installé).

Ce que j'ai compris est que ce virus est tres intelligent, et qu'il détecte tout ce qui peut le détecter et réagi vite.

Merci d'avance pour votre aide

bob Essaye de poster les rapports demandés dans ce tuto : http://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

Un helper te prendra en charge certainement...

Merci pour votre rapidité.

j'ai exécuté vos instructions, mais impossible d'avoir un rapport, car cette saloperie me fait tout sauté des qu'il détecte quelque chose.

et maintenant impossible de relancé ZHPDiag, ni malwarebytes.

Message d'erreur comme je nai peut etre pas l'autorisation ex...

?? c'est balèse le truc!!

et en mode sans échec ? C'est pareil ? Perso, j'arrive à mes limites

bob31700

Pour avancer un peu (pas sur) , essaye l'astuce ici:

http://forum.pcastuces.com/sujet.asp?page=-1&f=25&s=60455&REP_ID=4242425

tarbais

merci pour l'info, mais quels logiciels en .exe il faut transformé?

Bonsoir

Nous allons avancer un peu, si tu le veux bien !

1/
Télécharger Rogue Killer par Tigzy sur le bureau
Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
Si le prgramme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..
Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe
Quittez tous tes programmes en cours et lancez le

Quand on vous le demande, tapez 1 et valider
Nettoyage du registre Passer en Mode 2
Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine
Pour supprimer un proxy Passer en Mode 4
Pour corriger les Dns Passer en Mode 5
Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6
Lancez succesivement toutes les options
Un rapport (RKreport.txt) apparaitra sur le bureau
En Copier/Coller le contenu dans la réponse

2/
Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français
* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.
* Une fois la mise à jour terminée, allez dans l'onglet Recherche.
* Sélectionnez "Exécuter un examen complet"
* Cliquez sur "Rechercher"
* .L' analyse prendra un certain temps, soyez patient !
* A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra

Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.

3/

Procédure permettant d'établir un rapport d'analyse avec l'outil ZHPDIAG

• Clique sur le tournevis à droite. Choisis "Tous" et décoche la case "Redirection du fichier hosts (01)".
• Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
• L'analyse peut durer une dizaine de minutes.
• Le rapport généré par l'outil se nomme ZHPDiag.txt et se situe là : C:\program files\ZHPDiag\ZHPDiag.txt
• Il y en a également une copie sur ton Bureau.
• Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
• Dans ta prochaine réponse, clique sur les touches CTRL+V pour coller ce rapport. Si tu rencontres un message d'erreur, cela signifie que le rapport est trop long. Il te faut donc l'éditer en plusieurs parties en veillant bien à ne rien oublier
• Tu peux héberger le rapport en cliquant sur le bouton "Insérer un rapport" en bas : Insérer un rapport

A te lire avec les trois rapports demandés

Bonsoir,

Pouvez vous tenter cette procédure ?

Sur un pc sain, Télécharger ce qui suit sur clé usb afin de l'exécuter sur le pc malade à partir de la clé:

Télécharger TDSSKILLER
Télécharger Rogue Killer par Tigzy
Téléchargez AD-Remover
Téléchargez MBAM



Sous Vista ,Désactiver l'UAC
Pour cela, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs
Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs
Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système
Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant

Quittez tous tes programmes en cours .
Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

Dézipper Tdsskiller
- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;
- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.
Lorsque l'outil a terminé son travail d'inspection
, ("Malicious objects")
si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .
Cliquer sur"Continue"



Si c'est un fichier suspect, l'action par défaut est Skip( sauter)
Cliquer sur"Continue"

S'il vous est demandé de redémarrer:
Cliquer Reboot Now
Sinon cliquer sur Report
Envoyer en réponse:
*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Lancez RogueKiller
Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
Si le prgramme bloque, cliquez droit sur le lien de téléchargement->Enregistrer sous..
Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe


Quand on vous le demande, tapez 1 et valider
Nettoyage du registre Passer en Mode 2
Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine
Pour supprimer un proxy Passer en Mode 4
Pour corriger les Dns Passer en Mode 5
Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6
Lancez succesivement toutes les options
Un rapport (RKreport.txt) apparaitra sur le bureau

En Copier/Coller le contenu dans la réponse



Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .
Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel
Cliquez sur "OUI"
Double cliquer sur l'icône Ad-remover

Au menu principal choisir l'optionScanner et Validez

Patientez pendant le travail de l'outil.
Poster le rapport qui apparait à la fin .
Il est sauvegardé aussi sous C:\Ad-report.log

Ensuite

Relancer Ad- remover , choisir l'option Nettoyer

Il y aura 2 rapports à poster après :Scanner et Nettoyer

Une fois la désinfrction terminée, ais pas avant:
désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.





Lancez Mbam

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.
* Une fois la mise à jour terminée, allez dans l'onglet Recherche.
* Sélectionnez "Exécuter un examen complet"
* Cliquez sur "Rechercher"
* .L' analyse prendra un certain temps, soyez patient !
* A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra

Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.

j'ai don bien pu lancer Rogue Killer dont voici la rapport.

J'ai lancé l'opération n°1

Puis le 2

PUis 3.4, 5,6

ensuite j'ai installé MBAM, mais au scan, il c'est fait éjecté.

Je vais continué avec les 2 autres outils conseillé.

merci bcp de votre aide

RogueKiller V5.2.7 [30/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Fabrice [Droits d'admin]
Mode: Recherche -- Date : 11/07/2011 22:28:08

Processus malicieux: 0

Entrees de registre: 3
[SUSP PATH] {BB65B0FB-5712-401b-B616-E69AC55E2757}.job : c:\docume~1\fabrice\locals~1\temp\d.exe -> FOUND
[SUSP PATH] {7B02EF0B-A410-4938-8480-9BA26420A627}.job : c:\windows\msa.exe -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]


Termine : << RKreport[1].txt >>
RKreport[1].txt

Bonjour,

Apres un archarnement sans nom pour arriver a viré ce truc, j'ai enfin réussi apres avoir utilisé les 4 utilitaires recommandés par vous, et j'y suis arrivé en mode sans échec en session Administrateur.

J'ai ensuite relancé, MBAM, qui maintenant se se fait plus éjecté en mode normal, ni Cclerner en réparation du registre, ni ZHPDiag.

Je n'arrive a faire un copier/coller du fichier txt, suaf vous coller tout son contenu avec cette réponse.

Que souhaitez vous avoir comme infos maintenant?

bien cordialement

Bonjour,

Content pour vous des résultats.

J'ai besoin de savoir si vous avez lancé les outils dans l'ordre prescit et d'en lire tous les rapports complets..

Vous n'avez posté que Rogue Killer

Tout d'abord merci encore pour votre aide.

Des demain je vous envoie les rapports, car pris par le temps (du boulot) il faut que je recherche car j'ai fais en mode sans echec, et je ne sais pas ou ils sont.

J'ai du désinstallé Mozilla qui ramait toujours et ré installé, depuis il fonctionne normalment, par contre:

j'ai toujours des petits soucis:

1) je n'arrive pas supprime hijacktis de mes documents(acces refué ou non autorisé etc...)

je ne peux pas non plus l'utiliser depuis depuis qui'il c'était éjecté et dtecté par ce virus.

2)je n'arrive plus a ré installé mon Anti virus Eset Sécurity.

3) Je ne peux plus modifié les propriétés de ma connexion réseau, (pou mettre une IP par ex) la touche propriété est grisée.

4) Je n'ai plus l'icone son et je ne peux plus désactivé ou activé par le raccourci le son.

voila quelque petites bricoles qui me reste a éclairicir. (du moins dans ce que j'ai vu)

ce soir ou demain j'envois les rapports.

il y a t'il un moyen de coller directement le fichier texte plutot que tout afficher sur le post?

Merci encore et bonne journée

Fabrice

Vous cliquez sur "Insérer un rapport", en bas de page

Fichier joint : mbam-log-2011-07-12 (07-40-09).txt

Je viens donc de vous joindre le rapport MBAM qui a trouvé des fichiers infectés en mode sans echec et administrateur.

Fichier joint : RKreport[2].txt

Quabd je vous réclame "tous les rapports" dans l'ordre prescrit, cela comprend, outre Rogue-killer 2 et Mbam, Tdsskiller, Rogue killer 2.3.4.5.6,

A défaut, je ne peux pas vous aider.

Fichier joint : RKreport[2].txt

Fichier joint : RKreport[3].txt

Fichier joint : RKreport[4].txt

Fichier joint : RKreport[5].txt

Fichier joint : RKreport[6].txt

Voici donc les rappports dont vous avez besoin.

Merci et bonne journée

Fichier joint : ZHPDiag.txt

Bonjour,

J'attends toujours le rapport TdssKiller

Votre rapport Zhpdiag est incomplet et inutilisable.

A la place , lancez Otl:

Télécharger OTL sur le bureau
Double cliquer sur l'icône




Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
Cochez]----------------->Tous les utilisateurs (scan all users)
Sous Rapport (output)
Cliquez ----------------------------->Rapport Standard (Standard Output)
Sous Régistre Standard(Standard Registry) cocher Tous(All)
Cochez------------------------------> Lop check et Purity check

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

SAVEMBR:0
NetSvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
/md5start
AGP440.sys
ahcix86s.sys
alg.exe
atapi.sys
cdrom.sys
cngaudit.dll
csrss.exe
eNetHook.dll
eventlog.dll
explorer.exe
fxssvc.exe
iastorv.sys
IdeChnDr.sys
iesetup.dll
inseng.dll
KR10N.sys
logevent.dll
lsass.exe
locator.exe
msdtc.exe
mshtml.dll
ndis.sys
netlogon.dll
nvatabus.sys
nvata.sys
nvgts.sys
nvstor.sys
nvstor32.sys
pngfilt.dll
rdpclip.exe
SafeBoot.sys
scecli.dll
sceclt.dll
spoolsv.exe
snmptrap.exe
sppsvc.exe
taskhost.exe
taskeng.exe
tcpip.sys
UI0Detect.exe
usbscan.sys
usbprint.sys
userinit.exe
vaxscsi.sys
vds.exe
viamraid.sys
ViPrt.sys
volsnap.sys
vssvc.exe
WatAdminSvc.exe
wbengine.exe
webcheck.dll
wininit.exe
winlogon.exe
WmiApSrv.exe
wmpnetwk.exe
wscntfy.exe
/md5stop

CREATERESTOREPOINT


Clic sur Analyse
une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Cliquer sur Insérer un rapport,en bas de page,à gauche et cliquer sur Parcourir pour trouver les rapports sur votre bureau

Ci joins 2 rapports de tdsskiller.

1 fait en mode normal, (sur ma cession) l'autre en mode sans echec et administrateur.

Autre question c'est dans quel dossier "personnalisation"?pour faire le copier coller.

merci encore pour précieuse aide.

Pardon je viens de comprendre pour personnalisation.

Fichier joint : TDSSKiller.2.5.9.0_11.07.2011_23.14.39_log.txt

Fichier joint : TDSSKiller.2.5.9.0_11.07.2011_23.33.13_log.txt

Voici le rapport de OTL

Fichier joint : OTL.Txt

je viens de voir que je n'avais pas copié la dernière ligne :CREATERESTOREPOINT

j 'ai donc refit une analyse avec cette ligne dont voici le rapport.

parfois je suis un peu boulet .. pardon..

Fichier joint : OTL-2.Txt

Relancez Otl:


Sous Custom scan Files ou Personnalisation
Copiez Collez

:Otl
FF - prefs.js..browser.search.defaultenginename: "iMesh Web Search"
FF - prefs.js..browser.search.order.1: "iMesh Web Search"
FF - prefs.js..browser.search.selectedEngine: "iMesh Web Search"
FF - prefs.js..keyword.URL: "http://search.imesh.com/web?src=ffb&systemid=1&q="
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {28387537-e3f9-4ed7-860c-11e69af4a8a0} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKLM..\Run: [] File not found
MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logiciel de Synchronisation Orange.lnk - - File not found
MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^STK02N 2.3 PNP Monitor.lnk - - File not found
MsConfig - StartUpReg: BluetoothAuthenticationAgent - hkey= - key= - File not found
MsConfig - StartUpReg: LG PC Suite III - hkey= - key= - File not found
MsConfig - StartUpReg: PinnacleDriverCheck - hkey= - key= - File not found
MsConfig - StartUpReg: PopRock - hkey= - key= - File not found
MsConfig - StartUpReg: Shockwave Updater - hkey= - key= - File not found
[2011/06/28 16:41:08 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Fabrice\Application Data\292281


:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

[purity]
[emptytemp]
[resethosts]
[Reboot]

-------->Cliquer Runfix ou Correction

OTL redémarrera le système automatiquement.
Postez le rapport.

Ci dessous le rappot Olt.

bien cordialement

Fichier joint : 07152011_142742.txt