Mémoire infectée

[Draune]

Bonjour,

Je suis resté trop longtemps sans nouvel mise à jour de mon ancien antivirus. Et bien sur j'ai commencé à voir apparaître des messages pas sympas, comme l'ouverture de mon poste de travail avec sous chaque élément (C, D, ...) un nombre effrayant de trojans indiqués.
J'ai donc donc installé l'antivirus Avast, qui me confirme que je suis infecté de partout.
J'ai relevé ci-dessous quelques noms de vers (trouvés lors de l'analyse de la mémoire, et ça me mettait "mémoire infectée):
Win32:Trojan-gen {Other}
Win32:Rootkit-gen [Rtk]
Win32:Koobface-R [Wrm]
Win32:Koobface-R [Wrm]

Et je poste les logs de RSIT.
Pouvez-vous m'aider à me désinfecter s'il vous plaît?
Merci.
Draune
-----

[b marlow]

Salut,
Télécharge Navilog1 (par IL-MAFIOSO)
Enregistre-le sur ton bureau.
Double-clique sur Navilog1 présent sur le bureau
Laisse-toi guider par le menu puis choisis l'option 1 et valide par Entrée


< Ne fais pas le choix 2 >

Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC.
Laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.
Patiente jusqu'au message "Scan terminé le......"
Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
Poste l'intégralité dans ta réponse. Referme le bloc-notes.

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt



Ensuite télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.

[Draune]

Bonjour,

Voici les logs demandés. Tout s'est passé correctement lors des analyses.
Merci,
Draune

P.S : mbam a fait 2 logs (un avant la supression et un après) alors je poste les deux

[b marlow]

ton ordi était méchamment infecté (merci la passoire avast) nous procèderons au
changement d'antivirus à la fin du nettoyage.

Télécharge ComboFix (de sUBs)

- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme.

[A voir en vidéo sur Futura]

[Draune]

Voici le log de combofix.
Pour info, j'ai aussi Zonealarm comme fire wall (version gratuite).
Merci
Draune

[b marlow]

Bien, le moment est venu de virer avast.
>AntiVir< est bien meilleur qu'avast. Il est en français et tout aussi gratuit.
Si tu changes d'av ce qui est souhaitable, désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto puis fais un scan. Poste le rapport final.

[Draune]

Sous tes conseils j'ai changé d'antivirus.
Voici le rapport.
Merci
Draune

[b marlow]

nous allons faire une dernière vérification, relance RSIT puis poste les nouveaux rapports.

[Draune]

Ok. En tout cas je n'ai plus de messages bizarres!
Voici le log RSIT. (il n'y a qu'un seul cette fois-ci ; j'imagine que le info.txt est toujours le même)
Merci

[b marlow]

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.

Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Files
C:\Program Files\ShoppingReport
C:\Program Files\Everest Poker       
C:\Program Files\PartyGaming       
C:\Program Files\Dealio 
C:\WINDOWS\PEV.exe       
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSPY2002"=-
"Motive SmartBridge"=-
"TkBellExe"=-
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-
"KernelFaultCheck"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"swg"=-
"BitTorrent DNA"=-
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Piolet]     
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\9c8fccf2]   
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AntivirusAVG]        
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\au]     
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Avg Antivirus]      
 
 
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone puis choisir Coller.

Cliquer sur le bouton rouge Moveit!
Fermer OTMoveIt3

Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes.

[Draune]

Voici le log.
Draune

[b marlow]

Nous allons à présent nettoyer le pc des programmes ayant servi à la désinfection:

TéléchargeToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt


(ensuite penser à vérifier tes mises à jour logicielles)

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

[Draune]

Ok tout est bon. Merci pour ton aide B Marlow.
Draune