infecté par un virus ? trojan ? autre chose ?

[invite4add857a]

Bonjour,
je galère depuis quelques jours avec mon ordi. J'ai pleins de symptômes qui me font penser à une infection mais de quoi, je n'en sais rien. Tout d'abord, mon antivirus (Avast depuis peu) m'a trouvé un trojan, l'a mis en quarantaine et j'ai ensuite supprimé les fichiers infestés. Ensuite, au démarrage j'avais un message autorité system qui me ferme tout en 1 min et ce plusieurs fois d'affilée avant de pouvoir enfin ouvrir. Mais lorsqu'il s'ouvre, il ya toujours une application qui n'a pas pu démarrer normalement et donc certaines choses ne sont plus possibles (un coup c'est word, ou internet explorer ou outlook express...). Enfin je ne peux plus télécharger de programme, à chaque fois internet explorer me dit qu'il est impossible d'ouvrir la page demandée...

Parcourant tous les forums imaginables, j'ai téléchargé au boulot sur une clé USB SDfix que j'ai passé comme demandé en mode sans échec, mais en prenant le réseau car sinon mon mode sans échec ne se lance pas. Pas beaucoup de mieux...Il a fallu que je repasse sdfix aujourd'hui car je ne pouvais pas télécharger à nouveau comme si les problèmes étaient revenus aussi rapidement que partis.
Excusez-moi pour ce roman mais c'est pour donner le max de détails aux personnes qui voudront bien me donner un coup de main pour désinfecter.
Je donne ci-dessous le rapport de sdfix :

Rapport mis en pièce jointe.

yoda1234.



Por finir, j'ai lancé housecall qui n'a rien trouvé d'anormal.
A l'aide merci.
-----

[yoda1234]

Bonjour et bienvenue!

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
• Clique Continue à l'écran Disclaimer.
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.

[invite4add857a]

merci de ton aide
voici les docs demandés. Je ne sais pas comment l'envoyer en pièce jointe, désolé.
pour info :

J'ai effacé ton rapport, que tu dois poster en pièces jointes pour des questions de lisibilité et de confidentialité.

yoda1234.

[invite4add857a]

la fonctionnalité pièce jointe n'est pas active et le fichier log est trop long je fais comment ?

[A voir en vidéo sur Futura]

[yoda1234]

Bonjour,

vide ton cache. http://www.libellules.ch/support/cache.php

[invite4add857a]

ok
fichier log en pièce jointe

[yoda1234]

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Il manque le fichier info.

[invite4add857a]

Excuse-moi je n'avais pas vu ton message précédent. Désolé mais la fonctionnalité pièce jointe n'est plus active même en vidant le cache

[invite4add857a]

ça marche. Désolé je suis pas très doué

[invite4add857a]

Désolé d'être peut être un peu pressant ou opressant, mais mes deux fichiers te laissent sans voix...c'est mauvais signe ? c'est grave docteur ?

[yoda1234]

Bonjour,

ces fichiers me laissent effectivement sans voix, car toute la partie désinfection est prise en charge par notre groupe anti-malware, moi, j'aide simplement l'intervenant a bien présenter le problème à nos experts.

[invite4add857a]

Avast m'a trouvé encore ce trojan :
Win32NSChanger-VJ.
Il ne veut pas éliminer les fichiers alors je les ai mis en quarantaine.

[igor51]

Bonsoir

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Poste moi le rapport généré

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

[invite4add857a]

Voilà qui est fait. Ci-joint le rapport de combofix.
Bonne lecture.

[invite4add857a]

Depuis le passage de Combofix, on dirait que le démarrage est meilleur mais Avast a disparu des icônes placés en bas de l'écran, au redémarrage de windows, écran erreur bleu (en redémarrant normalement ça passe) et encore une fois message autorité system : le processus systèm C\winnt\system32\services.exe s'est terminé de manière inattendue avec le code d'état 128.
J'attends de tes nouvelles. Merci encore.

[igor51]

Bonjour,


Ouvre un nouveau document texte, et copie/colle à l'intérieur ce qui se trouve dans les code

Code:

KillAll::

Driver::
yblgvnvjnvg.sys
lusjylwdkv2.sys
jxlbq6li1wt.sys
g3x6am1i3r3.sys
dnqfobdyohj.sys

File::
C:\WINNT\system32\drivers\dnqfobdyohj.sys
C:\WINNT\system32\drivers\g3x6am1i3r3.sys
C:\WINNT\system32\drivers\jxlbq6li1wt.sys
C:\WINNT\system32\drivers\lusjylwdkv2.sys
C:\WINNT\system32\drivers\yblgvnvjnvg.sys

Sauvegarde le en l'appelant : CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

[invite4add857a]

C'est fait. J'espère que le fichier est complet car au redémarrage après passage de Combofix, lorsque la fenêtre bleue indiquait que le rapport était en préparation, l'ordi a planté (encore une fois autorité system code 128...). J'ai redémarré et suis allé chercher le fichier combofix.txt.
Ça va mieux, il plante moins et démarre preque toujours normalement... A suivre.

[invite4add857a]

Bonjour Igor,
je n'ai plus de nouvelle de toi....Ma désinfection est-elle terminée ?
Merci de me répondre.

[invite4add857a]

Avast me détecte encore le même cheval de troie (win32 Dns changer). J'ai supprimé les deux fichiers....

[igor51]

Bonsoir

Non NOn mais j'ai pas mal de chose à faire en ce moment ^^

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

[invite4add857a]

Voici le log, il n'a rien trouvé d'anormal, mais je n'ai pas pu le passer en mode sans échec. en effet, le mode sans échec avec ou sans prise en charge réseau ne se lance pas. Lorsqu'il faut choisir le système d'exploitation windows 2000 professional, il bloque et ne veut plus rien savoir. J'ai essayé plusieurs fois. Donc j'ai lancé le programme en mode normal ensuite...

[igor51]

Bonsoir

tu as bien fait de le passer en mode normal...
Supprime ta version de Combofix ( il suffit de supprimer le fichier télécharger)

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.


Poste moi le rapport généré

Bonne soirée

[invite4add857a]

Salut Igor51 et encore merci de ton aide. Plusieurs essais infructueux pour passer un nouveau combofix.Le téléchargement se fait bien mais au démarrage de combofix survient le message d'erreur suivant :
"le fichier CF24220.exe (ou un de ses composants) est introuvable. Vérifiez que le chemin et le nom de fichier sont corrects, et que toutes les bibliothèques requises sont disponibles ".
Le numéro du fichier change à chaque fois (CF25128.exe ou autres...).

[igor51]

Bonjour

Fais cette manipulation :

Démarrer -> Exécuter

Tape : Combofix /u

Et retélécharge l'outil

Bonne journée

[invite4add857a]

J'ai fait la manip, mais cela ne marche pas mieux......
Je me demande si je ne vais pas finir par formater et profiter pour mettre windows XP (en utilisant son pare-feu). Quel antivirus devrais-je mettre d'après toi si je fais cela ?

[igor51]

Bonsoir

Si tu fais cela, télécharge dès maintenant un antivirus tel que Antivir et un parfe feu pour ne te pas te faire réinfecter dès que tu te connecteras.

On peut essayer quelque chose qui ne s'installe pas :

Télécharge Dr Web Cure it

• Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
• Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
• Une fois cela fait, clique sur Tous les disques durs.
• Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
• Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
• Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
• Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
  
• Une fois cela fait, fait Fichier - Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
• Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
• Poste le contenu du rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).

[invite4add857a]

C'est fait.
Bonne réception.

[igor51]

Bonjour

est-ce que tu as toujours les problèmes ?

[invite4add857a]

Bonjour Igor51,
mon ordi se porte beaucoup mieux maintenant qu'au début de notre conversation sur ce forum. Cependant, j'ai encore pas mal de messages d'erreur, des fichiers non trouvés quand je veux ouvrir une application et donc des logiciels que je ne parviens plus à utiliser. Avast ne télécharge plus les dernières données virales...ect...
Dans un premier temps je vais remplacer avast par antivir, puis comme je te l'ai déjà dit je pense que je formaterai après avoir bien sauvegardé mes données importantes.
Je te remercie du temps que tu as passé pour m'aider. Indique-moi si tu veux bien les choses importantes que je dois faire à présent et je te laisse aller aider d'autres âmes informatiques en peine.
Encore merci.

[igor51]

Bonsoir

Discours de Prévention

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés et mis à jour.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Voia lit bien le dossier avant de formater, cela évitera que tu sois infecté dès que tu te connecteras.

Bonne jourée