Beaucoup de virus/malwares / Ecran Bleu

[invite5bf15ddb]

Bonsoir à tous.

Cela fait une journée que je suis contaminé par diverses choses et après moultes recherches, on m'a conseillé vos services

Je possède un Vaio.

Voilà mon soucis. Hier j'ai téléchargé un logiciel, en lancant l'installation, avast s'est mis à hurler. En faisant une analyse Avast / Spybot, ce dernier m'a trouvé plusieurs malwares / trojans puis m'a demandé de redémarrer pour supprimer un des malwares. Chose que j'ai fait. Malheureusement, je n'arrive plus qu'à démarrer en mode sans echec avec parfois un ecran bleu sur lequel j'ai à peine le temps de lire "crash dump". A noter que récemment, cet écran bleu est apparu mais il n'y avait plus la phrase "crash dump".

Depuis ce problème j'ai pu démarrer mon ordi environ cinq-six fois en mode sans echec en faisant pleins d'analyses anti-virus/malwares et deux des virus récurent s'appelent Rootkit.agent et Win32.FraudLoad.edt

A chaque analyse et "désinfection", un nouveau trojan/malware dont le nom ne me dit rien apparait.

Il y a 45 minutes en démarrant à nouveau mon PC, des icones de porn sont apparus sur le bureau. Je pense donc qu'il n'y a aucun soucis de matériel et que tout cela présage fortement d'une infection assez sévère.

J'espère avoir été le plus clair et concis possible et j'attend avec impatience votre réponse.

Bonne soirée.
-----

[invite5bf15ddb]

Comme dit dans le guide posté en post-it, j'ai joins à mon précédent message le rapport hijackthis et RSIT

[invite5bf15ddb]

Désolé par avance pour les multi-posts, petite précision en plus.
J'ai également fait des scan malwarebyte's et drweb-cureit qui m'ont semblé plutot fructueux puisqu'à eux deux, surtout drweb, 1200+ fichiers infectés ont été desinfecté. Mais bon, mon PC continue de défailler.

[invite4c6c2965]

Salut,
Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

** Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[A voir en vidéo sur Futura]

[invite5bf15ddb]

Combfix ne marche pas. Quand je le lance, une fenetre de commande DOS s'ouvre mais y apparait la phrase : "Access denied ..." bref en gros il me dit de l'ouvrir en mode administrateur.

Cependant, meme en l'ouvrant comme il le souhaite, il m'écrit la meme chose.

Nota : mon PC vient de s'allumer avec un écran bleu où il n'y avait que trois lignes, ecrit : The system has been shutdown.

[invite4c6c2965]

supprime combofix puis télécharge-le ici, cette version et renommé en
toulousaing.exe http://www.sendspace.com/file/2sk41b

[invite5bf15ddb]

une fenetre apparait me disant que je nepeuxpas renommer ComboFix en toulousaing lorsque je lance celui-ci.

Nota : Je ne sais pas comment, mais je ne peux désormais plus acceder aux clés USB

[invite5bf15ddb]

Autre chose, impossible d'installer Antivir, une fenetre parlant de C++ apparait pour annuler l'install.
Quand je lance combofix, une fenetre bleu apparait avec écrit que Combofix se lance, puis une ligne disant que l'acces est refusé car je ne suis pas admin, puis vient quand même une ligne disant "tentative de création d'un point de sauvegarde" quelque chose de ce genre, et tout de suite après cette ligne, il y a toujours une meme bulle jaune d'alerte récurente qui s'incruste en bas à droite de l'écran stipulant que "Pev.cfxxe est un fichier endommagé et C:\programmes\ATI technologies est endomagée"

[invite4c6c2965]

Démarrer>>exécuter>>copie-colle Combofix /u puis valide par Entrée.
Remets MBAM à jour refais un scan puis poste le rapport.
Poste aussi l'ancien rapport de MBAM pour voir ce qu'il a trouvé au premier scan.

[invite5bf15ddb]

Cette commande fait simplement apparaître une fenêtre d'explorateur. Rien d'autre ne se passe.

Par ailleurs voici le premier log de Mbam et le dernier après MAJ.

[invite5bf15ddb]

Edit : j'ai trouvé comment faire marcher l'application Executer. La commande a désinstallé Combofix, est-ce normal ?

[invite4c6c2965]

oui la commande servait à supprimer Combofix.
supprimes-tu les éléments trouvés par MBAM ?
parfois les outils de suppression ont besoin de redémarrer
le pc pour éradiquer ce qu'ils trouvent, il faut accepter le reboot.

Désactive le contrôle des comptes utilisateurs (UAC)

Démarrer > Panneau de Configuration
Clique sur Comptes d'utilisateurs
Clique à nouveau sur Comptes d'utilisateurs

(*En mode d'affichage "Classique" : Panneau de configuration >> double-clique sur "Comptes d'utilisateurs")
Clique sur Activer ou désactiver le contrôle des comptes d'utilisateurs (au bas)

Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur
Clique Ok pour valider
(**Si l'UAC était déjà désactivé, clique "Annuler", quitte le Panneau de configuration et passe à l'étape suivante pas de redémarrage requis)
Tu seras invité à redémarrer l'ordinateur ; clique Ok. Ton ordinateur doit maintenant redémarrer.



Vois si cette fois ComboFix fonctionne (renommé en worksnow.exe)
http://www.nutnworks.com/worksnow.exe

[invite5bf15ddb]

Oui ! Ca a enfin marché ! Voici le rapport !

[invite4c6c2965]

On comprend mieux pourquoi tu ne pouvais utiliser les outils de nettoyage normalement.
ton ordi est gavé de Rootkits...


Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

 
File::
c:\windows\System32\gasfkyqygvvukl.dll
c:\windows\System32\config\SYSTEM~1\AppData\Local\zutilyb.sys
c:\program files\Common Files\vukyrapax.scr
c:\windows\hepyf.bat
c:\windows\zihe.scr
c:\windows\ehusace.bin
c:\windows\system32\drivers\jvkuxjreni.sys
c:\windows\DUMP5282.tmp
c:\windows\system32\perfh00C.dat
c:\windows\system32\perfc00C.dat
c:\windows\DUMP5494.tmp
c:\progra~2\zojy.reg
c:\program files\Common Files\coteqoluno.ban
c:\windows\DUMP9339.tmp
c:\windows\DUMP91b3.tmp
c:\windows\bthservsdp.dat
c:\windows\system32\drivers\yptsmonhceepprg.sys
c:\windows\system32\drivers\str.sys
c:\windows\system32\drivers\dwshd.sys
c:\windows\DUMP4681.tmp
c:\progra~2\ynezo.reg
c:\windows\DUMP979d.tmp
 
Driver::
jvkuxjreni
yptsmonhceepprg
str
dwshd
 
DirLook::
c:\windows\system32\%APPDATA%

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

Ensuite refaire un scan ComboFix avec celui-ci:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
tu supprimeras le précèdent avant de lancer celui-là.

[invite5bf15ddb]

Une fenêtre s'affiche concernant toujours le même problème avec PEF.cfxxe, lorsque je la ferme que ce soit en cliquant sur OK ou sur la croix rouge, mon PC reboot.

[invite5bf15ddb]

En relancant Combofix, une phrase bizarre est apparu dans la fenetre de commande :
Failed to get data "Enable LUA"

[invite5bf15ddb]

Hello, je te link un screen de mon bureau ou tu y vois Combofix, la fenêtre dont je parle qui le fait se fermer et reboot mon PC, ainsi qu'une phrase supplémentaire qui vient juste d'apparaitre sur combofix.

Ce sera beaucoup plus explicite que moi ^^

[invite5bf15ddb]

Nouveau screen de combofix pour encore plus de détails.

[invite4c6c2965]

Relance RSIT et poste un nouveau rapport log.txt

[invite5bf15ddb]

Je n'arrive qu'à faire un rapport hijackthis
RSIT fait apparaitre une erreur à un certain stade la barre d'avancement

Autolt error
Line : -1
Error : Subscript used with non-array variable

[invite4c6c2965]

poste-le quand même.

[invite5bf15ddb]

Voila le hijackthis

[invite4c6c2965]

Tu reporteras un rapport HijackThis en mode normal après cette manip.


Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Files
C:\Windows\System32\gasfkybqsxqtxc.dll
C:\Windows\System32\gasfkyhbywcfvv.dll
C:\Windows\System32\gasfkybxyrwuiy.dat
C:\Windows\System32\gasfkylog.dat
C:\Windows\System32\gasfkypbtxtgpq.dat
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA5800"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC7912"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA7752"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC4041"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA488"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC1388"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA4556"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC6069"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA6298"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC9884"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA9993"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC9936"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA1430"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC9953"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA8784"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC1221"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA5793"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC2617"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA3174"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingC1765"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotSnD"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"GrpConv"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB3025"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingD7773"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB6511"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingD1128"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB9969"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingD35"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB4910"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingD9082"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB8226"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingD2712"=-
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB3025"=-
"SpybotDeletingD7773"=-
"SpybotDeletingB6511"=-
"SpybotDeletingD1128"=-
"SpybotDeletingB9969"=-
"SpybotDeletingD35"=-
"SpybotDeletingB4910"=-
"SpybotDeletingD9082"=-
"SpybotDeletingB8226"=-
"SpybotDeletingD2712"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB3025"=-
 
:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]

Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapportsitué dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)

[invite5bf15ddb]

Je suis en train de me demander si combofix ne marchait pas parce que tu avais oublié de me mettre les deux lettres "FS" au tout début de ce que je devais copier/coller non ?

[invite5bf15ddb]

Voici le log OTM

[invite4c6c2965]

Bonne remarque mais non, rien à voir. Si tu regardes bien dans combofix c'est File::
alors que dans OTM c'est :files
comme tu vois les points ne sont pas placés de la même manière

le FS que j'ai mis (mais j'aurais pu mettre n'importe quoi d'autres à la place) c'était juste
pour m'assurer que tu fais bien ton copier-coller.

[invite4c6c2965]

Poste le rapport HijackThis (mode normal)
puis fais une mise à jour de MBAM et refais un scan Rapide
poste le rapport une fois fini, supprime les éléments qu'il trouverait.

[invite5bf15ddb]

Petit détail qui m'echappe totalement mais qui doit avoir son importance

Sinon, impossible de retourner sous le mode normal, j'ai un ecran bleu qui s'affiche. en "technical information" j'ai :
*** STOP : 0x0000008E (0xC0000005, 0x97FE4244, 0x8C9F1898, 0x00000000)
et Collecting data for crash dump... Initializing disk for crash dump... Physical memory dump complete.

[invite4c6c2965]

je ne comprends pas trop pourquoi tu es en mode sans échec (je ne me souviens pas te l'avoir demandé)
essaie de redémarrer avec le mode Dernière bonne configuration connue

[invite5bf15ddb]

En mode sans echec parce que c'est le seul qui démarre.