Virus Win 32 agent ACQD

[invite09978398]

Merci !
Je vais essayer de trouver ça !
Pour ce qui est des virus qui infectent toujours mon PC ?
Que faire pour m'en débarrasser ?
-----

[igor51]

Bonsoir

quel problème as-tu ? ( à part le problème de son )

[invite09978398]

Bonsoir

en fait , je n'ai pas d'autres problèmes , d'autres symptômes;
mais je sais que malgré toutes les opérations effectuées jusqu'ici, des fichiers , signalés par avast subsistent, avec des messages inquiétants comme "il est dangereux de travailler avec un virus actif sur votre ordinateur .. planifiez un scan au démarrage, etc "
avast à lui seul n'apas élimi né ces fichiers infectés et ceux-ci ont résisté aux logiciels plus spécifiques que l'on m' a fait utiliser ...

[invite09978398]

A la réflexion si, il y a bien un autre problème :la lenteur considérable pour passer d'une page à l'autre d'un site ( avant l'infection, tout se passait très bien et je surfais à grande vitesse );à chaque fois il faut attendre que cela se stabilise et que la souris ait à nouveau le pouvoir de contrôler la flèche ..;

[igor51]

Bonsoir


On va faire un scan pour voir si ce n'est pas un rootkit, mais j'avoue que je ne sais pas trop la...


Télécharge Gmer sur ce lien

Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, coche "Files" et "Services"
Clic sur Scan
Lorsque le scan est terminé, clique sur "save"

Ouvre le bloc-note et clique sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.

[invite09978398]

bonsoir,

je crois effectivement qu'il y a un problème de "rootkit"

voici le rapport

merci encore !

[igor51]

Bosoir

Effectivement, il y a bien des processus qui ne devraient pas être présent.

Ouvre un nouveau document texte et copie/colle à l'intérieur le contenu des codes

Code:

KillAll::

File::
C:\WINDOWS\system32\mabidwe.exe
C:\WINDOWS\system32\soxpeca.exe
C:\WINDOWS\system32\wsldoekd.exe
C:\WINDOWS\system32\roytctm.exe
C:\WINDOWS\system32\noytcyr.exe
C:\WINDOWS\system32\tdydowkc.exe
C:\WINDOWS\system32\afisicx.exe

Enregistre le en le nommant : CFScript.txt

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Recommence ensuite la manipulation avec Gmer puis poste moi les rapports générés

Bonne soirée

[invite09978398]

Bonsoir,

voilà avec un peu de retard les nouveaux rapports
je pense qu 'il y a du mieux au niveau des processus cachés

par contre , pour éviter une nouvelle infection, j'ai voulu, comme recommandé sur ce site , installer Comodo ;résultats:je n'ai pas tarder à le désinstaller , parce que je ne sais pas le "gérer" et il est tellement puissant qu'il me paralysait tout: plus possibilité d'ouvrir un navigateur, ni même de faire fonctionner des choses qui n'ont rien à voir avec internet comme mon logiciel de lecture video ( BSplayer refusait de se lancer !)
Que faire ??

Merci !!

[Cyrrus]

Bonsoir,

Il reste encore quelques fichiers, refais un cfscript avec ces
fichiers là :

Code:

KillAll::

Driver::
afisicx
mabidwe
mscjcosd
noytcyr
roytctm
soxpeca
tdydowkc
wsldoekd


File::
c:\windows\system32\tmp0_153556507633.bk
c:\windows\system32\tmp0_75133552456.bk
c:\windows\system32\tmp0_265934525178.bk
c:\windows\system32\tmp0_435310785396.bk
c:\windows\system32\afisicx.exe
c:\windows\system32\mabidwe.exe
c:\windows\system32\mscjco.exe
c:\windows\system32\noytcyr.exe
c:\windows\system32\roytctm.exe
c:\windows\system32\soxpeca.exe
c:\windows\system32\tdydowkc.exe 
c:\windows\system32\wsldoekd.exe



Folder::
C:\32788R22FWJFW

Poste le nouveau rapport Combofix en pièce jointes.

Cyrrus

[invite09978398]

bonsoir


j'ai fait ce qui était demandé , mais cela a eu une conséquence fâcheuse :la diminution du volume du son !!

depuis l'infection par le virus , je n'ai plus d'icône de son , mais j'arrivais encore à avoir du son en redémarrant ,et en déclenchant lalecture , que ce soit avec BSplayer ,ou n'imorte qel logiciel avant que n'apparaisse le message d'erreur " win 32 a rencontré une erreur et doit fermer .."
le pb, c'est que, apparemment , ce message d'errreur n'apparait plus,mais tous les sons de l'ordinateur , à l'allumage et autres sons, ont diminué d'uintensité , considérablementn ne peut plus regarder un film ou écouter une chanson !
il va vraiment falloir résoudre ce pb de pilote: j'avais déjà essayé, mais comme c'était très compliqué à mes yeux, j'avais renoncé ..


rapport joint ;

[invite09978398]

Rectification!


-La suppression de certains fichiers par ma dernière utilisation de combofix a en fait résolu en partie le problème du son ;
"son et périphérique audio "( dans "panneau de configuration")qui était depuis l'infection en grisé , et m'indiquait que je n'avais pas de périphérique audio est redevenu opérationnel !!
j'ai pu régler le volume et remettre l'icone du son

- par contre , tous les problème ne sont pas résolus pour autant:
le message d'erreur dont je parlais est TOUJOURS LA , simplement il met plus de temps à réapparaître après le rédémarrage .
- la lenteur pour surfer est toujours là, spécialement quand je surfe sur e-bay par exemple: il semble donc toujours y avoir des processus cachés qui ralentissent ..; !

[invite09978398]

POur donner une idée exacte du pb : quand je passe d'une page à la suivante sur e-bay , il faut au moins 5 secondes-ce qui est déjà plus qu'avant-mais le plus stupéfiant, c'est lorsque je veux retourner à la page précédente : il faut plus de 40 SECONDES !!!!!!!!!!!

j'espère que cela aidera à diagnostiquer le pb !
merci encore !

[Cyrrus]

Bonsoir,

Il y a apparemment 2 problèmes bien distincts : un problème système, qui cause ton problème de son ainsi que (peut être) ton ralentissement...et un problème de malware. On va s'occuper en priorité des malwares, parce que c'est le plus important.

------------------------------------------------------------
Télécharge The Avenger2 par Swandog46 sur ton Bureau.

Clique-droit sur Avenger.zip pour extraire le dossier sur ton bureau


1 ) Copie tout le texte écrit en citation (sélectionne-le, puis choisis "Edition" --> "Copier")

Code:

Begin copying here:
Drivers to disable:
afisicx
mabidwe
mscjcosd
noytcyr
roytctm
soxpeca
tdydowkc
wsldoekd

Drivers to delete:
afisicx
mabidwe
mscjcosd
noytcyr
roytctm
soxpeca
tdydowkc
wsldoekd

Files to delete:
c:\windows\system32\afisicx.exe
c:\windows\system32\mabidwe.exe
c:\windows\system32\mscjco.exe
c:\windows\system32\noytcyr.exe
c:\windows\system32\roytctm.exe
c:\windows\system32\soxpeca.exe
c:\windows\system32\tdydowkc.exe 
c:\windows\system32\wsldoekd.exe

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


2 ) Exécute The Avenger en cliquant l'icône avec la petite épée

• Accepte l'avertissement affiché au lancement de l'outil
• Dans la fenêtre, colle le texte que tu viens de copier ("Edit" --> "Paste")
  
• Clique sur Execute pour démarrer l'exécution du script
  
• Réponds "Yes" deux fois quand il le demande

3 ) The Avenger va redémarrer ton PC, ouvrir brièvement une fenêtre noire et afficher un rapport (c:\avenger.txt). Poste le en pièce jointes.

Bonne soirée
Cyrrus

[invite09978398]

BOnsoir ,

merci à toi pour cette intervention


j'ai fait ce qui était demandé ;voilà le rapport

il doit y avoir un certain lien quand même entre les 2 pbs parce que après suppression de certains éléments par avenger (d'autres , apparemment , ont résisté) , je trouve une certainze amélioration :je reviens plus vite à la page précédente...

[invite09978398]

finalement, je crois que j'ai parlé un peu vite: c'est en gros pareil , niveau vitesse ..

[Cyrrus]

Bonjour,

finalement, je crois que j'ai parlé un peu vite: c'est en gros pareil , niveau vitesse ..

Je repete ce que j'ai dis plus haut :

Il y a apparemment 2 problèmes bien distincts : un problème système, qui cause ton problème de son ainsi que (peut être) ton ralentissement...et un problème de malware. On va s'occuper en priorité des malwares, parce que c'est le plus important.

Refais un rapport avec Combofix et poste le en pièce jointe.

Cyrrus

[invite09978398]

Bonjour ,

voici le nouveau rapport combofix.


Les 2 pbs sont distincts mais il doit y avoir un rapport au moins indirect entre l'infection et le pb de son , car depuis la dernière manipulation qu'on m'a fait faire, à nouveau , on m'indique que je n'ai plus de périphérique son ;l'action sur les fichiers infectés tantôt répare le pb de son tantôt le renouvelle ;

sinon, pour la lenteur du surf , le rôle du navigateur n'est pas négligeable: très lent avec internet exploreur,mon habituel, bcp moins avec firefox ou opéra que j'ai testés.

[Cyrrus]

Bonsoir,

Bon, il reste une dernière babiole et en principe c'ets ok niveau infection :

Fais un CFScript avec cecode :

Code:

file::
C:\Windows\system32\cssdll32.dll
registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

Poste le rapport de Combofix.

on m'indique que je n'ai plus de périphérique son ;l'action sur les fichiers infectés tantôt répare le pb de son tantôt le renouvelle ;

sinon, pour la lenteur du surf , le rôle du navigateur n'est pas négligeable: très lent avec internet exploreur,mon habituel, bcp moins avec firefox ou opéra que j'ai testés.

Ca cela fait penser à des dégats systèmes. Regarde dans le gestionnaire de périphériques s'il y a des conflits ou non.

Si tu as le CD d'installation de ton Windows, tu peux réparer Internet Explorer avec PowerIE6

Bonne soirée
Cyrrus

[invite09978398]

Bonsoir ,

merci pour ces explications
voici le nouveau rapport combofix


à noter que avant de refaire ce combofix, le son avait encore complètement disparu et qu'après il est en partie revenu semble-t-il , c.a.d qu'il marche si le lecteur est lancé au démarrage avant que n'apparaisse lemessage d'erreur habituel ( winhost 32 a rencontré un pb , etc) il faudrait que je poste les indications précises d'erreur_je vais essayer .

sinon, COMMENT s'aperçoit -on d' un "conflit" ?
merci encore

[invite09978398]

voici la "signature de l'erreur " qui apparait toujours après un tps plus ou moins long après démarrage , coupant le son , si un lecteur n'a pas été lancé avant :

szAppName:svchost.exe

szAppVer:5.1.2600.2180
szModName:esent.dll
szModVer:5.1.2000.2788 offset:0000017c5

contenu du rapport d'erreurs /appcompat.tal
C DoCUMEN 1 / ADmin 1/LOcals /Temp/WER0d71.dr00/svchost.exe.mdmp

[Cyrrus]

Bonsoir,

COMMENT s'aperçoit -on d' un "conflit" ?

Tu regardes dans le gestionnaire de périphériques. Ceux qui comporte un conflit sont marqués d'une croix rouge. Tu peut avior plus d'informations en double cliquant dessus.

winhost 32 a rencontré un pb , etc) il faudrait que je poste les indications précises d'erreur_je vais essayer .

Le nom ne me plait pas...

Refais un CFScript avec ce code :

Code:

File::
C:\Windows\system32\temp\winhost32.exe

[invite09978398]

bonsoir
merci pour ces explications!

pas de croix rouges, donc pas de conflits a priori

voici sinon, le nouveau rapport :

[Cyrrus]

Bonsoir,

Niveau infection, cela me parait bon. Pour le problème de son, as tu pensé à reinstallé les drivers de ta carte son ?

Cyrrus

[invite09978398]

Bonsoir,

j'avais déjà essayé précédemment sans succès
et là , peut-être après l'élimination de l'infection, j'ai pu mettre un "driver":l'icône so, est reprue et le son remarche
!!!
j'espère que c'est définitif!

sinon,il resterait à prévenir une nouvelle infection:
j'avais déjà ds un précédent message raconté mes déboires avec "comodo" conseillé sur sur ce forum, désinstallé car je ne savais pas comment l'empêcher de tout bloquer même internet et mes lecteurs video !!,
une aide serait la bienvenue ,car maintenant, j'aimerais vraiment éviter que cela se reproduise !

merci encore pour toute l'aide apportée !

[Cyrrus]

Bonsoir,

Pour ce qui est du firewall : prends Kerio, il est aussi gratuit et plus simple de fonctionneent que Comodo.

Gardes MBAM comme canner occasionel. Pour l'antivirus, choisis entre Antivir et AVG 8 Free (les deux se valent, avec une petite preference personelle pour Antivir).

Maintenant, il te reste aussi à etre parfaitement à jour au niveau de ton système, et aussi de tes logiciels, car sinon tu rechopperas la même chose ou pire. Quant à la prudence, elle est évidente : on réfléchit avant de cliquer, pas l'inverse.

Bonne soirée
Cyrrus

[invite09978398]

merci pour ces conseils précis !*

je me suis réjoui trop vite touut à l'heure:
après rédémarrage , au bout d'un certain, le message "winhost a rencontré un pb ..;" est reparait et le périphérique disparaît !à nouveau !