Infection win32 malware gen, crypt gbx, delf mba

[Daerigaaz]

Bonjour à tous,

Depuis quelques jours, j'ai eu des messages d'alertes d'avast car il avait détecté le "logiciel malveillant" win32 malware gen dans le fichier svchost.exe Tout à l'heure, il y a eu plusieurs messages d'erreurs en rapport avec cette application, qui a arrêtée de fonctionner.
Il vient également de trouver deux autres logiciels malveillants, win 32 crypt gbx et win 32 delf mba.

Vous trouverez en-dessous les deux rapports.

Désolé si vous trouvez mes explications confuses ^^

cordialement, Daerigaaz
-----

[b marlow]

Salut,
Télécharge et installe >UsbFix< de C_XX & El Desaparecido

Branche tes sources de données externes à ton PC : clé USB,
disque dur externe,etc susceptible d'avoir été infectés mais sans les ouvrir

- Double clique sur le raccourci UsbFix présent sur ton bureau .
- Choisis l'option 2 ( Suppression )
- Ton bureau va disparaitre et le pc redémarrera,c'est normal.
- Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
- A la fin poste le rapport UsbFix.txt qui apparaitra.
- Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )

Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.





Ensuite télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide
coche puis clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final.

Aide en images.

[Daerigaaz]

Bonjour,

Voici les rapports de UsbFix et de Malwarebyte's Anti-Malware

Merci pour l'aide,
cordialement, Daerigaaz

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[A voir en vidéo sur Futura]

[Daerigaaz]

Rebonjour,

j'ai utilisé combofix, le scan a été fait, mais il y a un problème au redémarrage. Après plus d'une heure, le pc est toujours en cours d'arrêt. Est-ce normal ou bien combofix a planté?

[b marlow]

démarre l''ordi tu trouveras le rapport en C:\ComboFix.txt

[Daerigaaz]

ouf, petit moment de frayeur ^^

voila le rapport de combofix

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

 
Collect:
c:\windows\system32\drivers\nzfhjggo.sys  
 
File::
c:\windows\system32\perfh00C.dat      
c:\windows\system32\perfc00C.dat    
 
Renv::
c:\program files\Adobe\Reader 9.0\Reader\reader_sl .exe   
c:\program files\Apoint\apoint .exe      
c:\program files\Common Files\Adobe\ARM\1.0\adobearm .exe   
c:\program files\Common Files\Real\Update_OB\realsched .exe      
c:\program files\Google\Google Desktop Search\googledesktop .exe     
c:\program files\Google\GoogleToolbarNotifier\googletoolbarnotifier .exe      
c:\program files\iTunes\ituneshelper .exe     
c:\program files\QuickTime\qttask .exe      
c:\program files\Realtek\Audio\HDA\rthdvcpl .exe      
c:\program files\Realtek\Audio\HDA\skytel .exe      
c:\program files\sony\ISB Utility\isbmgr .exe       
c:\program files\sony\Marketing Tools\marketingtools .exe      
c:\program files\sony\Network Utility\lanutil .exe       
c:\program files\sony\VAIO Launcher\aml .exe       
c:\program files\Windows Defender\msascui .exe      
c:\program files\Windows Live\Messenger\msnmsgr .exe       
c:\windows\ehome\ehtray .exe

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.


Ensuite télécharge GMER
Clique sur le bouton Download EXE et enregistre-le sur ton Bureau.
Exécute-le par un double-clic sur le fichier créé sur le Bureau.
Dans l'onglet "Rootkit" , vérifie que tous les items à droite soient cochés

**Assure-toi que "Show All" est décoché**

Clique sur "Scan" puis patiente...
A la fin clique sur "Save" et enregistre-le sur le Bureau.

Poste le rapport.

[Daerigaaz]

bonjour,

pas de problème pour combofix. Par contre, pour Gmer, le scan est interrompu et écran bleu. J'ai réessayé trois fois, à chaque fois un écran bleu...

je poste le rapport de combofix.

cordialement, Daerigaaz

[b marlow]

ComboFix a bien travaillé, comme à son habitude...
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

 
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"=-
 
File::
c:\windows\system32\drivers\nzfhjggo.sys  
 
Renv::
c:\program files\Windows Live\Messenger\msnmsgr .exe
c:\program files\Windows Defender\msascui .exe       
c:\windows\ehome\ehtray .exe

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.


Fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[Daerigaaz]

bonsoir,

voici les deux rapports

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Renv::
c:\program files\Windows Defender\msascui .exe     
c:\windows\ehome\ehtray .exe

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.



Tu peux aussi changer d'antivirus,>AntiVir (tuto)< est bien meilleur qu'avast.
Il est en français et tout aussi gratuit.
Si tu changes d'av ce qui est souhaitable, désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto puis fais un scan. S'il détecte un problème poste le rapport.

Clique ici pour télécharger la dernière version.

[Daerigaaz]

Bonjour,

je poste le rapport de combofix, avant d'installer et de faire le scan d'antivir dans la journée.

[Daerigaaz]

rebonjour,

voilà le rapport d'antivir

[b marlow]

cherche ce programme C:\Program Files\trend micro\Matthieu.exe
double clique dessus, clique sur Do a system scan only
coche ces lignes puis clique sur Fixchecked:



O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

ensuite relance le recent CFScript de ComboFix car les fichiers n'ont pas été nettoyé, probablement
parce que les programmes etaient ouverts. là ca devrait aller...

Poste le nouveau rapport.

[Daerigaaz]

bonsoir b marlow,

voici le rapport de combofix

[b marlow]

désactive Windows defender et Windows media center , puis redémarre et vérifie qu'il ne soit
plus dans la zone à coté de l'horloge. dés que c'est bon relance le CFScript.

[Daerigaaz]

bonjour,

voici le rapport de combofix après désactivation de Windows Defender (confirmé par le centre de sécurité Windows) et Media Center et vérification qu'il n'y a aucun des deux à coté de l'horloge.

Cordialement, Daerigaaz

[b marlow]

Encore vérolé les fichiers, on va essayer de les remplacer par d'autres, si ceux-ci sont
présent sur ton DD.

Télécharge OAD de !aur3n7
Double clique sur le OAD pour le lancer
Dans la fenêtre DOS qui s'ouvre,copie-colle:

Code:

MSASCui

choisis l'option 3 ( Fichier seulement)
valide par Entrée.
Fais la même chose avec :

Code:

ehTray

à la fin copie-colle les rapports ici.

[Daerigaaz]

Bonjour,

un petit problème avec OAD, il n'a pas fait de rapport. A chaque fois, il disait "C:\resultat.txt introuvable"
Cependant, la recherche a pu sa faire et les deux fichiers sont introuvables.

[b marlow]

comme tu as Vista, le moindre geste doit etre fait par Clic-droit>>exécuter en tant qu'administrateur
pour élever les autorisations. recommence de cette maniere et non par double clic sur l'icône OAD.
On peut shooter le fichier de Windows defender (si tu veux tu pourras le réinstaller) mais le Média
Center je préfèrerais avoir une copie saine de ehTray.exe à mettre en place.

[Daerigaaz]

Voilà les rapports d'OAD pour MSAScui et ehTray,

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Fcopy::
c:\Windows\winsxs\x86_security-malware-windows-defender_31bf3856ad364e35_6.0.6002.18005_none_59a829d65550e411\MSASCui.exe | c:\program files\Windows Defender\msascui .exe
c:\Windows\winsxs\x86_microsoft-windows-ehome-ehtray_31bf3856ad364e35_6.0.6001.18000_none_2ad90dbf6d091834\ehtray.exe | c:\windows\ehome\ehtray .exe

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[Daerigaaz]

le rapport de combofix...

[b marlow]

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Files
c:\program files\Windows Defender\msascui .exe
c:\windows\ehome\ehtray .exe

:Commands
[purity]
[emptytemp]
[Reboot]

Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)

[Daerigaaz]

le rapport d'OTM...

[b marlow]

démarrer/exécuter/ colle Combofix/ Uninstall valide par Entrée.

Nous allons vérifier si combo ne détecte plus rien.

Télécharge une nouvelle copie du tool ici http://download.bleepingcomputer.com/sUBs/ComboFix.exe
double clique dessus,laisse-le travailler puis poste le nouveau rapport.


edit : Windows Defender et Windows media Center fonctionnent correctement ?

[Daerigaaz]

le nouveau rapport de combofix.

En ce qui concerne media center, ça a l'air de fonctionner mais defender ne se lance pas.

[b marlow]

Ok c'est cool Pour Windows defender tu peux le désinstaller par le panneau
ajout-suppr des programmes et le réinstaller à neuf http://www.microsoft.com/downloads/d...4-F7F14E605A0D

On va supprimer les outils qui nous ont servi pour la procedure:

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

[Daerigaaz]

bonjour,

Voila de rapport de ToolsCleaner