42 utilisateurs en ligne

95,422 questions

978,620 réponses

100,971 membres

Identification
Pas encore inscrit ? Cliquez-ici
L'Information Commissioner's Office va ouvrir une enquête suite au sondage de Facebook sur les émotions de 689 003 utisateurs à leur insu... Qu'en pensez-vous ?

Téléchargement contenait un virus et a été supprimé

Bonjour, je ne suis plus capable de télécharger aucun fichier via internet et ce même dans mes mails (Hotmail et Outlook). Chaque fois il me dit: XXXX a été supprimé car il contenait un virus.

Que faire?
Merci!
posté le 13 Mai 2013 dans la catégorie Internet par digitalmind

72 Réponses

 
Solution
Bonjour digitalmind,
Peux-tu nous dire :
- sur quelle machine tu as ce problème
- quel OS ( windows seven, 8 , XP, ... )
- Quel navigateur
- Quel antivirus
répondu le 13 Mai 2013 par Speedycool
J'ai un Laptop Dell Inspiron 1525.
Window Vista
Internet Explorer
Aucun anti-virus, je le fais en ligne normalement.
répondu le 13 Mai 2013 par digitalmind
Naviguer sans anti-virus, c'est un peu comme faire du surf dans un élevage de requins .....
Il te faut absolument un anti-virus :
Je te conseille Avast ( gratuit ) que tu peux télécharger ici : http://download.cnet.com/Avast-Free-Antivirus/3000-2239_4-10019223.html

Lorqu'il sera installé, fais un scan complet de ta machine avec Avast.

Lorsque ce sera fini, suis cette procédure :
http://stopovirus.xooit.fr/t428-ZHPDiag.htm

Le résultat du scan doit être posté en lien sur www.cjoint.com
répondu le 13 Mai 2013 par Speedycool
J'ai fait le Scan Avast et ensuite ZHPDiag, voici le rapport ZHP.

ZHP arrête à 23% et c'est inscrit: Impossible de trouver le lecteur

J'ai fait un copier coller du 23% que j'ai, voici le lien;

http://cjoint.com/13mi/CEnwtlX9s06.htm
répondu le 13 Mai 2013 par digitalmind
Bonjour digitalmind,

connectes-toi en mode sans échec avec prise en charge réseau et refait un scan ZHPDIAG.

Pour se connecter en mode sans échec :
tapoter la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas). Procédez ainsi jusqu'à ce que le menu des options avancées de Windows apparaisse.
En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec avec prise en charge réseau" dans le menu puis appuyez sur Entrée.
répondu le 14 Mai 2013 par Speedycool
Ça fait la même chose en mode sans échec.
répondu le 14 Mai 2013 par digitalmind
Le scan Avast avait-il montré des indésirables ?

Exécutes AdwCleaner Recherche :

Télécharge AdwCleaner ( d'Xplode ) ici : http://general-changelog-team.fr/en/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
Enregistre ce fichier sur le bureau et pas ailleurs

- Double clique sur AdwCleaner.exe qui est sur le bureau. Pour Vista/Seven/8 fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
- Clique sur Recherche et laisse l'outil travailler
- Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
répondu le 14 Mai 2013 par Speedycool
modifié le 14 Mai 2013
Avast a trouvé quelques indésirable oui, environ 10 je crois.

Voilà le scan ADWCleaner;

# AdwCleaner v2.300 - Rapport créé le 14/05/2013 à 16:30:59
# Mis à jour le 28/04/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Nom d'utilisateur : Mathieu - PC-DE-MATHIEU
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Mathieu\Desktop\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16476

[OK] Le registre ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1003 octets] - [14/05/2013 16:30:59]

########## EOF - C:\AdwCleaner[R1].txt - [1063 octets] ##########
répondu le 14 Mai 2013 par digitalmind
Bonjour,
Passes un nouveau scan stp :

Malwarebyte's Scan

Télécharge MalwareBytes' Anti-Malware à partir de ce lien http://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html

- Enregistre ce fichier sur le bureau
- Le téléchargement terminé ferme ton navigateur ainsi que toutes les applications en cours
- Fais un double-clic sur mbam-setup.exe afin de lancer l'installation. Pour Vista/7/8 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

- Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

- MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boite de dialogue.

- Sélectionne Exécuter un examen rapide si ce n'est pas déja fait
- clique sur Rechercher.Laisse l'outil travailler sans toucher à rien.

- clique sur Ok Un rapport va apparaître ferme-le.
- Poste le rapport de MalwareByte's Anti-Malware
- Le rapport de MalwareByte's peut être retrouvé sous l'onglet Rapports/logs

- Aide pour MalwareByte's ici http://www.malekal.com/2010/11/12/tutorial-malwarebyte-anti-malware/
répondu le 15 Mai 2013 par Speedycool
Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.15.06

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Mathieu :: PC-DE-MATHIEU [administrateur]

Protection: Activé

2013-05-15 07:40:33
MBAM-log-2013-05-15 (07-53-25).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 218231
Temps écoulé: 12 minute(s), 21 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 8
C:\$Recycle.Bin\S-1-5-18\$e051a73a35e52f5c370b32a77b61cbab\n (Trojan.0Access) -> Aucune action effectuée.
C:\Users\Mathieu\AppData\Local\Temp\Low\cdvbfrn (Trojan.Exploit.FKA) -> Aucune action effectuée.
C:\Users\Mathieu\AppData\Local\Temp\Low\msimg32.dll (Rootkit.0Access) -> Aucune action effectuée.
C:\Users\Mathieu\AppData\Local\Temp\Low\pqpuccq (Trojan.Medfos) -> Aucune action effectuée.
C:\Users\Mathieu\AppData\Local\Temp\Low\seynqoh (Rootkit.0Access) -> Aucune action effectuée.
C:\Users\Mathieu\AppData\Local\Temp\Low\svlqeut (Rootkit.0Access) -> Aucune action effectuée.
C:\Users\Mathieu\AppData\Local\Temp\Low\ysikiu (Trojan.Exploit.FKA) -> Aucune action effectuée.
C:\Users\Mathieu\Downloads\TuneUp-Utilities-2008-v7.0.8002.exe (Backdoor.RBot) -> Aucune action effectuée.

(fin)
répondu le 15 Mai 2013 par digitalmind
Bonjour digitalmind,

Il y a en effet un Rootkit assez coriace. Nous préparons une procédure de désinfection. Sois patient. Merci
répondu le 15 Mai 2013 par Speedycool
Nous allons faire une analyse complémentaire,afin de bien cibler la désinfection :

Scan RoqueKiller

Télécharger RoqueKiller (de Tigzy) ici : http://general-changelog-team.fr/fr/outils/55-roguekiller et le laisser sur le Bureau.

Quittez tous les programmes en cours.
Lancez RogueKiller.exe et attendre la fin du Prescan.
Cliquez sur [Scan] et attendez la fin du scan, a ce stade aucune modification n'a été apportée au système.
Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton [Rapport].

Nous transmettre le rapport en lien pour analyse.
répondu le 15 Mai 2013 par Speedycool
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : Recherche -- Date : 15/05/2013 12:33:53
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$e051a73a35e52f5c370b32a77b61cbab\n [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$e051a73a35e52f5c370b32a77b61cbab\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$e051a73a35e52f5c370b32a77b61cbab\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$e051a73a35e52f5c370b32a77b61cbab\L --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> D:\windows\system32\config\SOFTWARE
-> D:\windows\system32\config\SYSTEM
-> D:\Users\Default\NTUSER.DAT

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVT-75ZCT2 +++++
--- User ---
[MBR] 0c71e2c1a07a332c46ddd0c74017a639
[BSP] 5556c4b5bccc9343daf5db49e1334de0 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 81920 | Size: 10000 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20561920 | Size: 140026 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 307337216 | Size: 2559 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_15052013_123353.txt >>
RKreport[1]_S_15052013_123353.txt
répondu le 15 Mai 2013 par digitalmind
Bonjour digitalmind, je prend le relais dans ce post, tu as un gros client sur cette machine

Relance Roguekiller

- Clique sur suppression
- Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse


Une fois ce rapport posté, passe a cette partie

On va vérifier s'il n'y a pas de dégâts collatéraux, cette infection s'attaque bien souvent aux systèmes de connexions, update etc...

Télécharge Farbar Service Scanner sur le bureau
http://download.bleepingcomputer.com/farbar/FSS.exe

Double clique sur Farbar Service Scanner qui est sur le bureau.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur
Vérifie que les options ci-dessous sont cochées:

- Internet Services
- Windows Firewall
- System Restore
- Security Center
- Windows Update
- Windows Defender

- Clique sur "Scan".

Un rapport va se creer (FSS.txt) dans le dossier où se trouve FSS.exe.
Copier/colle ce rapport d'analyse dans la prochaine réponse.
répondu le 15 Mai 2013 par zaede
modifié le 15 Mai 2013
RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : Suppression -- Date : 15/05/2013 17:00:56
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$e051a73a35e52f5c370b32a77b61cbab\n [-] --> SUPPRIMÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$e051a73a35e52f5c370b32a77b61cbab\@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e051a73a35e52f5c370b32a77b61cbab\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$e051a73a35e52f5c370b32a77b61cbab\L --> SUPPRIMÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> D:\windows\system32\config\SOFTWARE
-> D:\windows\system32\config\SYSTEM
-> D:\Users\Default\NTUSER.DAT

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVT-75ZCT2 +++++
--- User ---
[MBR] 0c71e2c1a07a332c46ddd0c74017a639
[BSP] 5556c4b5bccc9343daf5db49e1334de0 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 81920 | Size: 10000 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20561920 | Size: 140026 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 307337216 | Size: 2559 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_D_15052013_170056.txt >>
RKreport[1]_S_15052013_123353.txt ; RKreport[2]_S_15052013_165958.txt ; RKreport[3]_D_15052013_170056.txt
répondu le 15 Mai 2013 par digitalmind
Poste un nouveau rapport Roguekiller en mode Recherche, on va verifier si cette infection est neutralisée
répondu le 15 Mai 2013 par zaede
Rapport Farbar;

Farbar Service Scanner Version: 14-04-2013
Ran by Mathieu (administrator) on 15-05-2013 at 17:04:52
Running from "C:\Users\Mathieu\Desktop"
Windows Vista (TM) Home Basic Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is OK.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Windows Defender Disabled Policy:
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys
[2013-02-13 08:56] - [2013-01-04 07:28] - 0914792 ____A (Microsoft Corporation) 3535CD93F944C00F098E73E12EE7FEB6

C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2008-01-20 22:33] - [2008-01-20 22:33] - 0272952 ____A () D41D8CD98F00B204E9800998ECF8427E

ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll IS INFECTED AND SHOULD BE REPLACED.

C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****
répondu le 15 Mai 2013 par digitalmind
Rapport RogueKiller;

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : Recherche -- Date : 15/05/2013 17:06:31
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
-> D:\windows\system32\config\SOFTWARE
-> D:\windows\system32\config\SYSTEM
-> D:\Users\Default\NTUSER.DAT

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVT-75ZCT2 +++++
--- User ---
[MBR] 0c71e2c1a07a332c46ddd0c74017a639
[BSP] 5556c4b5bccc9343daf5db49e1334de0 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 39 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 81920 | Size: 10000 Mo
2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20561920 | Size: 140026 Mo
3 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 307337216 | Size: 2559 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Kingston DataTraveler G3 USB Device +++++
--- User ---
[MBR] f9d5604eb0891a4349550cf4c4455d83
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 7632 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[4]_S_15052013_170631.txt >>
RKreport[1]_S_15052013_123353.txt ; RKreport[2]_S_15052013_165958.txt ; RKreport[3]_D_15052013_170056.txt ; RKreport[4]_S_15052013_170631.txt
répondu le 15 Mai 2013 par digitalmind
Poste les rapports en lien via cjoint stp

Rends toi sur ce site :

http://www.virustotal.com/

- Clique sur parcourir et cherche ce fichier:


C:\Program Files\Windows Defender\MpSvc.dll

- Clique sur Analyser

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.



Si le site te signale que le fichier a déjà été analysé, n'en tiens pas compte et demande une nouvelle analyse
répondu le 15 Mai 2013 par zaede
modifié le 15 Mai 2013
Lorsque je me rends à MpSvc.dll, je ne peux pas cliquer sur "SEND" car il ouvre un fichier, je dois donc choisir dans ce ficher dans ceux présent?
répondu le 15 Mai 2013 par digitalmind
Il faut analyser la dll sur virustotal
Possible qu'elle soit patchée, le scan nous le dira
répondu le 15 Mai 2013 par zaede
modifié le 15 Mai 2013
Je ne suis pas capable de l'analyser puisque quand je clique sur "ouvrir", il ouvre un fichier et je dois donc choisir dans ce fichier... Je ne peux pas analyser MpSvn.dll?
répondu le 15 Mai 2013 par digitalmind
Ça m'amène ici exactement; C:\Windows\System32\config et je dois choisir dans ce fichier.
répondu le 15 Mai 2013 par digitalmind
Ok, on va l'avoir quand même

Suis ce tuto et poste le rapport en lien

http://theknitter-apollo.xooit.com/t3155-Virus-Removal-Tool-en-francais.htm
répondu le 15 Mai 2013 par zaede
modifié le 15 Mai 2013
Je n'ai pas l'option pour désactiver la restauration du système?
Je vais passer à l'autre étape..
répondu le 15 Mai 2013 par digitalmind
Ok, je t'ai mis un tuto en image
Il peut y avoir des variations
répondu le 15 Mai 2013 par zaede
Etat : Supprimés (évênements : 56)
2013-05-15 19:00:08 Supprimés cheval de Troie Backdoor.Win32.ZAccess.ccma C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{3CDE1E94-48B9-4850-6DF1-2045328C21B9}-gttypmj Elevées
2013-05-15 19:00:08 Supprimés cheval de Troie Backdoor.Win32.ZAccess.ccma C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{3CDE1E94-48B9-4850-6DF1-2045328C21B9}-gttypmj//PE-Crypt.XorPE Elevées
2013-05-15 19:00:15 Supprimés cheval de Troie Backdoor.Win32.ZAccess.bycm C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{28B8CF8A-23CC-B775-1A0E-5050B3747F39}-ysikiu Elevées
2013-05-15 19:00:15 Supprimés cheval de Troie Backdoor.Win32.ZAccess.bycm C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{28B8CF8A-23CC-B775-1A0E-5050B3747F39}-ysikiu//PE-Crypt.XorPE Elevées
2013-05-15 19:00:19 Supprimés cheval de Troie Backdoor.Win32.PMax.wly C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{3FEB26D0-1E16-46A6-D8D8-F4CF297A6EAF}-svlqeut Elevées
2013-05-15 19:00:19 Supprimés cheval de Troie Backdoor.Win32.PMax.wly C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{3FEB26D0-1E16-46A6-D8D8-F4CF297A6EAF}-svlqeut//PE-Crypt.XorPE Elevées
2013-05-15 19:00:25 Supprimés cheval de Troie Backdoor.Win32.PMax.wxe C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{480E67BA-9AB8-AFAE-6FFF-CF65E9B7D555}-pqpuccq Elevées
2013-05-15 19:00:25 Supprimés cheval de Troie Backdoor.Win32.PMax.wxe C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{480E67BA-9AB8-AFAE-6FFF-CF65E9B7D555}-pqpuccq//PE-Crypt.XorPE Elevées
2013-05-15 19:00:27 Supprimés cheval de Troie Backdoor.Win32.ZAccess.byws C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{4BD0FB69-B541-17BF-DDF6-2481C40BCEC2}-cdvbfrn Elevées
2013-05-15 19:00:27 Supprimés cheval de Troie Backdoor.Win32.ZAccess.byws C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{4BD0FB69-B541-17BF-DDF6-2481C40BCEC2}-cdvbfrn//PE-Crypt.XorPE Elevées
2013-05-15 19:00:31 Supprimés cheval de Troie Backdoor.Win32.ZAccess.ccma C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{4E77F6CD-27FD-BF77-9831-F58293D2657F}-gttypmj Elevées
2013-05-15 19:00:31 Supprimés cheval de Troie Backdoor.Win32.ZAccess.ccma C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{4E77F6CD-27FD-BF77-9831-F58293D2657F}-gttypmj//PE-Crypt.XorPE Elevées
2013-05-15 19:00:33 Supprimés cheval de Troie Backdoor.Win32.ZAccess.byws C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{5D1B777B-E00E-1489-F077-752B101E3048}-cdvbfrn Elevées
2013-05-15 19:00:33 Supprimés cheval de Troie Backdoor.Win32.ZAccess.byws C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{5D1B777B-E00E-1489-F077-752B101E3048}-cdvbfrn//PE-Crypt.XorPE Elevées
2013-05-15 19:00:39 Supprimés cheval de Troie Backdoor.Win32.PMax.wly C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{61AE9C75-936C-5562-20C5-DB76A040F094}-svlqeut Elevées
2013-05-15 19:00:39 Supprimés cheval de Troie Backdoor.Win32.PMax.wly C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{61AE9C75-936C-5562-20C5-DB76A040F094}-svlqeut//PE-Crypt.XorPE Elevées
2013-05-15 19:00:42 Supprimés cheval de Troie Backdoor.Win32.ZAccess.cdmf C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{6705AE5B-3B5D-9951-877D-42FC03FC80B9}-rbjmswg Elevées
2013-05-15 19:00:42 Supprimés cheval de Troie Backdoor.Win32.ZAccess.cdmf C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{6705AE5B-3B5D-9951-877D-42FC03FC80B9}-rbjmswg//PE-Crypt.XorPE Elevées
2013-05-15 19:00:44 Supprimés cheval de Troie Backdoor.Win32.PMax.wxe C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{92859A01-4545-BC0F-DAF2-BAE8F41526C8}-pqpuccq Elevées
2013-05-15 19:00:44 Supprimés cheval de Troie Backdoor.Win32.PMax.wxe C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{92859A01-4545-BC0F-DAF2-BAE8F41526C8}-pqpuccq//PE-Crypt.XorPE Elevées
2013-05-15 19:00:51 Supprimés cheval de Troie Backdoor.Win32.ZAccess.bycm C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{A1F5616E-9AD9-77DC-EF39-BA959A1C000C}-ysikiu Elevées
2013-05-15 19:00:51 Supprimés cheval de Troie Backdoor.Win32.ZAccess.bycm C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{A1F5616E-9AD9-77DC-EF39-BA959A1C000C}-ysikiu//PE-Crypt.XorPE Elevées
2013-05-15 19:00:52 Supprimés cheval de Troie Backdoor.Win32.ZAccess.celg C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{ABA3BD01-C179-DC5A-F06D-AB3BF02CD31B}-lankbrw Elevées
2013-05-15 19:00:52 Supprimés cheval de Troie Backdoor.Win32.ZAccess.celg C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{ABA3BD01-C179-DC5A-F06D-AB3BF02CD31B}-lankbrw//PE-Crypt.XorPE Elevées
2013-05-15 19:00:58 Supprimés cheval de Troie Backdoor.Win32.ZAccess.cdmf C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{B4C77D27-40F2-C566-6DBF-2E81A9E85CAC}-rbjmswg Elevées
2013-05-15 19:00:58 Supprimés cheval de Troie Backdoor.Win32.ZAccess.cdmf C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{B4C77D27-40F2-C566-6DBF-2E81A9E85CAC}-rbjmswg//PE-Crypt.XorPE Elevées
2013-05-15 19:01:03 Supprimés cheval de Troie Backdoor.Win32.PMax.tqp C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{C51239D1-FF0B-E81A-1519-EE41F4D2E477}-jnveld Elevées
2013-05-15 19:01:03 Supprimés cheval de Troie Backdoor.Win32.PMax.tqp C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{C51239D1-FF0B-E81A-1519-EE41F4D2E477}-jnveld//PE-Crypt.XorPE Elevées
2013-05-15 19:01:05 Supprimés cheval de Troie Backdoor.Win32.ZAccess.ccma C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{FCA09193-3592-DB79-A899-53201722706A}-gttypmj Elevées
2013-05-15 19:01:05 Supprimés cheval de Troie Backdoor.Win32.ZAccess.ccma C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{FCA09193-3592-DB79-A899-53201722706A}-gttypmj//PE-Crypt.XorPE Elevées
2013-05-15 19:12:38 Supprimés cheval de Troie Backdoor.Win32.ZAccess.ccma C:\Users\Mathieu\AppData\Local\Temp\Low\gttypmj Elevées
2013-05-15 19:12:40 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\Local\Temp\Low\jar_cache53086.tmp Elevées
2013-05-15 19:12:40 Supprimés cheval de Troie Backdoor.Win32.ZAccess.byws C:\Users\Mathieu\AppData\Local\Temp\Low\cdvbfrn Elevées
2013-05-15 19:12:48 Supprimés cheval de Troie Backdoor.Win32.ZAccess.celg C:\Users\Mathieu\AppData\Local\Temp\Low\lankbrw Elevées
2013-05-15 19:12:51 Supprimés cheval de Troie Backdoor.Win32.PMax.wxe C:\Users\Mathieu\AppData\Local\Temp\Low\pqpuccq Elevées
2013-05-15 19:12:55 Supprimés cheval de Troie HEUR:Trojan.Win32.Generic C:\Users\Mathieu\AppData\Local\Temp\Low\seynqoh Elevées
2013-05-15 19:12:58 Supprimés cheval de Troie Backdoor.Win32.PMax.wly C:\Users\Mathieu\AppData\Local\Temp\Low\svlqeut Elevées
2013-05-15 19:13:00 Supprimés cheval de Troie Backdoor.Win32.ZAccess.bycm C:\Users\Mathieu\AppData\Local\Temp\Low\ysikiu Elevées
2013-05-15 19:16:21 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\17\5e685ed1-612dae3b Elevées
2013-05-15 19:16:23 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\11\4a8846cb-7f7ca445 Elevées
2013-05-15 19:16:25 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\18\4a87c6d2-5a6c55ce Elevées
2013-05-15 19:16:31 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\62bcb4c2-55ca3438 Elevées
2013-05-15 19:16:34 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\2\62bcb4c2-61698633 Elevées
2013-05-15 19:16:35 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\22\43a4b116-7310b84c Elevées
2013-05-15 19:16:43 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\24\3aab5258-2086057a Elevées
2013-05-15 19:16:43 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\28cdf95e-1dee412c Elevées
2013-05-15 19:16:47 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\32\1850aea0-1ebbfe8e Elevées
2013-05-15 19:16:50 Supprimés cheval de Troie Trojan-PSW.Win32.Tepfer.jbck C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\38\757480e6-23b7eb9c Elevées
2013-05-15 19:16:57 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\44\2ec890ac-53d15429 Elevées
2013-05-15 19:16:59 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\2ffd1e6e-35e42a17 Elevées
2013-05-15 19:17:01 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\46\27a508ee-29591a04 Elevées
2013-05-15 19:17:07 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\47\6dd315af-1f6588b2 Elevées
2013-05-15 19:17:11 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\53\48576875-5e3ea1e7 Elevées
2013-05-15 19:17:13 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\58\42052dba-5ab45dea Elevées
2013-05-15 19:17:15 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\61\781b1b7d-25350dbe Elevées
2013-05-15 19:17:21 Supprimés cheval de Troie HEUR:Exploit.Java.CVE-2012-1723.gen C:\Users\Mathieu\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\5f00a3c9-6dcc772f Elevées
Etat : En quarantaine (évênements : 2)
2013-05-15 19:00:17 En quarantaine cheval de Troie HEUR:Trojan.Win32.Generic C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{0B1417EE-61D4-48FE-787A-0A569AA7B55B}-seynqoh Elevées
2013-05-15 19:00:17 En quarantaine cheval de Troie HEUR:Trojan.Win32.Generic C:\ProgramData\Microsoft\Microsoft Antimalware\LocalCopy\{0B1417EE-61D4-48FE-787A-0A569AA7B55B}-seynqoh//PE-Crypt.XorPE Elevées
répondu le 16 Mai 2013 par digitalmind
Re, belle brochette de fichier patché

La connection fonctionne?

On va vérifier s'il n'y a pas de dégâts collatéraux, cette infection s'attaque bien souvent aux systèmes de connexions, update etc...

Télécharge Farbar Service Scanner sur le bureau
http://download.bleepingcomputer.com/farbar/FSS.exe

Double clique sur Farbar Service Scanner qui est sur le bureau.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur
Vérifie que les options ci-dessous sont cochées:

- Internet Services
- Windows Firewall
- System Restore
- Security Center
- Windows Update
- Windows Defender

- Clique sur "Scan".

Un rapport va se creer (FSS.txt) dans le dossier où se trouve FSS.exe.
Copier/colle ce rapport d'analyse dans la prochaine réponse.
répondu le 16 Mai 2013 par zaede
Je ne suis toujours pas capable de télécharger des fichiers.

Voici le résultat Farbar;

Farbar Service Scanner Version: 14-04-2013
Ran by Mathieu (administrator) on 16-05-2013 at 17:58:59
Running from "C:\Users\Mathieu\Desktop"
Windows Vista (TM) Home Basic Service Pack 2 (X86)
Boot Mode: Normal
****************************************************************

Internet Services:
============

Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Google.com is accessible.
Attempt to access Yahoo IP returned error. Yahoo IP is offline
Yahoo.com is accessible.


Windows Firewall:
=============

Firewall Disabled Policy:
==================


System Restore:
============

System Restore Disabled Policy:
========================


Security Center:
============

Windows Update:
============

Windows Autoupdate Disabled Policy:
============================


Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
The start type of WinDefend service is OK.
The ImagePath of WinDefend service is OK.
The ServiceDll of WinDefend service is OK.


Windows Defender Disabled Policy:
==========================
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender]
"DisableAntiSpyware"=DWORD:1


Other Services:
==============


File Check:
========
C:\Windows\system32\nsisvc.dll => MD5 is legit
C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
C:\Windows\system32\Drivers\afd.sys => MD5 is legit
C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
C:\Windows\system32\Drivers\tcpip.sys
[2013-02-13 08:56] - [2013-01-04 07:28] - 0914792 ____A (Microsoft Corporation) 3535CD93F944C00F098E73E12EE7FEB6

C:\Windows\system32\dnsrslvr.dll => MD5 is legit
C:\Windows\system32\mpssvc.dll => MD5 is legit
C:\Windows\system32\bfe.dll => MD5 is legit
C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
C:\Windows\system32\SDRSVC.dll => MD5 is legit
C:\Windows\system32\vssvc.exe => MD5 is legit
C:\Windows\system32\wscsvc.dll => MD5 is legit
C:\Windows\system32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\system32\wuaueng.dll => MD5 is legit
C:\Windows\system32\qmgr.dll => MD5 is legit
C:\Windows\system32\es.dll => MD5 is legit
C:\Windows\system32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll
[2008-01-20 22:33] - [2008-01-20 22:33] - 0272952 ____A () D41D8CD98F00B204E9800998ECF8427E

ATTENTION!=====> C:\Program Files\Windows Defender\MpSvc.dll IS INFECTED AND SHOULD BE REPLACED.

C:\Windows\system32\svchost.exe => MD5 is legit
C:\Windows\system32\rpcss.dll => MD5 is legit


**** End of log ****
répondu le 17 Mai 2013 par digitalmind
Re, pourtant le rapport me dit qu'internet est accessible?



Télécharge Combofix.exe (par sUBs) sur ton Bureau et nulle part ailleurs.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Ferme le navigateur et tous les programmes ouverts et désactive tous les logiciels de sécurité (antivirus antimalwares spybot etc) et ne clique pas dans la fenêtre pendant l'exécution du scan

- Fais un clic droit surComboFix.exe et choisis "Exécuter en tant que... Administrateur".

Laisse ensuite le scan se dérouler sans toucher au clavier ni à la souris

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt
répondu le 17 Mai 2013 par zaede
...