Machine infecté trojan et malware

[invite6d500f8f]

Salut à tous?Pouvez vous m'aider à nettoyer completement cette machine.
Merci.
-----

[invite4c6c2965]

Salut,
Un cas d'école cette bécane sur-infecté, logntemps que je n'avais pas vu ca
Supprime/désinstalle par le panneau ajout-supp de programme car il y a déjà antiVir
d'installé. Un antivirus par machine suffit.

Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.

cela fera déjà du ménage.

Suite à cela redémarre, et poste un nouveau rapport RSIT .(log.txt)

[invite6d500f8f]

Un cas d'école cette bécane sur-infecté, logntemps que je n'avais pas vu ca

c'est une machine qui fut infecté et laisser telle qu'elle (non utilisée) il y a quelques années de cela
[/quote]

Supprime/désinstalle par le panneau ajout-supp de programme car il y a déjà antiVir
d'installé. Un antivirus par machine suffit.

Il n'y qu'avira.Si tu fais allusion à avast il est inaccessible.

[invite4c6c2965]

Ouvre le bloc-notes et fais un copier-coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

Code:

  
REGEDIT4
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Local Page"="C:\WINDOWS\system32\blank.htm"
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}]
 
[-HKEY_CLASSES_ROOT\CLSID\{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{755bbd1a-aa59-456c-afeb-b4c42c4dcb6f}]
 
[-HKEY_CLASSES_ROOT\CLSID\{755bbd1a-aa59-456c-afeb-b4c42c4dcb6f}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7EE94915-EBF1-4bb6-AA0E-84292442543C}]
 
[-HKEY_CLASSES_ROOT\CLSID\{7EE94915-EBF1-4bb6-AA0E-84292442543C}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a43385f0-7113-496d-96d7-b9b550e3fcca}]
 
[-HKEY_CLASSES_ROOT\CLSID\{a43385f0-7113-496d-96d7-b9b550e3fcca}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B4FAF6E4-77D0-46c7-8656-7F7B45056451}]
 
[-HKEY_CLASSES_ROOT\CLSID\{B4FAF6E4-77D0-46c7-8656-7F7B45056451}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3703265-4671-4858-92a4-cba6a7b3bb45}]
 
[-HKEY_CLASSES_ROOT\CLSID\{c3703265-4671-4858-92a4-cba6a7b3bb45}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f4d74aaa-a178-4463-846b-b4bc87a024e0}]
 
[-HKEY_CLASSES_ROOT\CLSID\{f4d74aaa-a178-4463-846b-b4bc87a024e0}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{25D8BACF-3DE2-4B48-AE22-D659B8D835B0}"=-
"{18668683-731c-48fa-b1b9-ad013748fb00}"=-
"{84938242-5C5B-4A55-B6B9-A1507543B418}"=-
 
[-HKEY_CLASSES_ROOT\CLSID\{25D8BACF-3DE2-4B48-AE22-D659B8D835B0}]
 
[-HKEY_CLASSES_ROOT\CLSID\{18668683-731c-48fa-b1b9-ad013748fb00}]
 
[-HKEY_CLASSES_ROOT\CLSID\{84938242-5C5B-4A55-B6B9-A1507543B418}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"YhooUapdates"=-
"xerox"=-
"WinampAgent"=-
"sysinter"=-
"sysemls"=-
"staeck12"=-
"PROMon.exe"=-
"P2P Networking"=-
"mysvcig38"=-
"msvccc66"=-
"msvcc25"=-
"mlrnew1c4"=-
"melg34"=-
"KernelFaultCheck"=-
"jon315"=-
"CTF Loader"=-
"AVG7_CC"=-
"Win32"=-
"sixer566"=-
"staeck122"=-
"rrzfgf"=-
"sysmss"=-
"amsgupdate"=-
"avast!"=-
"Microsoft Updates"=-
"pgrnew"=-
"Task managerkip"=-
"sysini"=-
"ActiveScript32"=-
"syswin.txt"=-
"ymsgudsa"=-
"Runonce"=-
"Malwarebytes Anti-Malware (reboot)"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"secures23"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"msvcc25"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"mysvcig38"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"CTF Loader"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Win32"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Microsoft Updates"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"sysini"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"ActiveScript32"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"syswin.txt"=-
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sys_up1"=-
"Registry Cleaner"=-
"MsnMsgr"=-
"messengerskinner"=-
"lrtsm"=-
"lr4newmc"=-
"lr1newmc"=-
"hdlfoe df98ndf"=-
"DNS"=-
"CTFMON.EXE"=-
"chsr"=-
"AXVenore"=-
"adirka"=-
"sixer566"=-
"staeck122"=-
"sysmss"=-
"amsgupdate"=-
"Microsoft Updates"=-
"pgrnew"=-
"Task managerkip"=-
"syswin.txt"=-
"ymsgudsa"=-
"johnj3cd"=-
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"CTF Loader"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"ishost.exe"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"kernel32.dll"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"issearch.exe"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"C:\WINDOWS\System32\issrch.exe"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"ishst.exe"=-
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"rare"=-
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"WinUpdate.exe"=-
 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"amsgupdate"=-
"Winds Seersc Agts"=-
"Microsoft Updates"=-
"hotfix"=-
"syswin.txt"=-
 
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"hotfix"=-
 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
 
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"hotfix"=-
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}]
 
[-HKEY_CLASSES_ROOT\CLSID\{c95fe080-8f5d-11d2-a20b-00aa003c157a}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D6711C8-7154-40BB-8380-3DEA45B69CBF}]
 
[-HKEY_CLASSES_ROOT\CLSID\{1D6711C8-7154-40BB-8380-3DEA45B69CBF}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\A3dxq]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\navdqu]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"didynamia"=-
 
[-HKEY_CLASSES_ROOT\CLSID\{8329660f-e248-4872-98cc-fb9c4fec7ba8}]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8329660f-e248-4872-98cc-fb9c4fec7ba8}"=-
 
[-HKEY_CLASSES_ROOT\CLSID\{8329660f-e248-4872-98cc-fb9c4fec7ba8}]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\A3dxq]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\navdqu]
 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winsys2freg]
 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\System32\drivers\LUCKIUSE.EXE"=-
"C:\WINDOWS\System32\smssinger.exe"=-
"C:\WINDOWS\System32\System32.exe"=-
"C:\WINDOWS\System32\WinSecUp.exe"=-

[/code]Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela http://www.hiboox.com/images/4905/avnoztv.jpg
quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message
"voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui".



Supprime/désinstalle need2Find par le panneau ajout-suppr de programmes.
Avast est encore bien présent(oui c'est lui que je visais), pour le supprimer essaie avec cet outil dédié:
http://www.avast.com/fre/avast-uninstall-utility.html


installe>>CCleaner<<,décoche la case des maj-auto à l'install:
ensuite CCleaner>options>avancé>décoch e:
Effacer uniquement les fichiers plus vieux que 48h
retour à Nettoyeur>lancer le nettoyage>ok. 2 à 3 fois.
coche toutes les cases de l'onglet Registre>Chercher les erreurs>Réparer les erreurs.
ensuite tu peux le remettre avec ses paramètres par défaut.
Tuto en images.


Ensuite Fais un scan en ligne Bitdefender avec Internet Explorer
en cliquant sur ce bouton :

Poste le rapport final.

[A voir en vidéo sur Futura]

[invite6d500f8f]

"voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui".

"Le fichier specifié n'est pas un script du registre
vous pouvez uniquement importer des fichiers du registre binaires à partir de l'editeur du registre"

Supprime/désinstalle need2Find par le panneau ajout-suppr de programmes.

Le module specifié est introuvable:il m'est impossible de supprimer des programmes à partir du panneau!

Avast est encore bien présent(oui c'est lui que je visais), pour le supprimer essaie avec cet outil dédié:
http://www.avast.com/fre/avast-uninstall-utility.html

C'est réglé.

quand au ccleaner je n'arrive pas à l'installer sur le bureau!!

merci.

[invite4c6c2965]

Télécharge ce fichier puis renomme-le en changeant l'extension .txt en .reg
puis accepte la fusion avec le registre. http://www.sendspace.com/file/rcx2jm

Tu as essayé d'enregistrer CCleaner ailleurs que sur le Bureau ?

Et le scan Bitdefender ?

[invite6d500f8f]

Télécharge ce fichier puis renomme-le en changeant l'extension .txt en .reg
puis accepte la fusion avec le registre. http://www.sendspace.com/file/rcx2jm

C'est bon,qu'est ce que j'en fais ensuite?

Tu as essayé d'enregistrer CCleaner ailleurs que sur le Bureau ?

C'est bon j'ai réussi

Et le scan Bitdefender ?

ça arrive....

[invite4c6c2965]

double clique sur le fichier téléchargé/renommé puis accepte la fusion avec le registre.

[invite6d500f8f]

Oui j'ai deja opéré la fusion...

[invite6d500f8f]

Apparement Bitdefender n'a rien touvé,ça me surprend vu l'etat de la machine : Avira est inéxecutable!

[invite4c6c2965]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite6d500f8f]

Impossible d'ouvrir combofix:il me dit qu'il n'est pas compatible avec un systeme d'exploitation autre qu'Xp ou 2000 alors qur j'ai bien l'XP ,j'ai meme perdu le navigateur Opera

[invite4c6c2965]

Impossible d'ouvrir combofix:il me dit qu'il n'est pas compatible avec un systeme d'exploitation autre qu'Xp ou 2000 alors qur j'ai bien l'XP ,j'ai meme perdu le navigateur Opera

si le Windows a été "retouché" comboFix ne le reconnait pas comme étant un os original.
reposte un nouveau rapport log.txt RSIT.

désinstalle >AntiVir< et réinstalle-le à neuf, comme sur le tuto. Puis fais un scan complet du poste
de travail. poste le rapport final.

[invite6d500f8f]

Effectivement windows a été reouché.
J'envoie les rapports rsit pour avira il faudrat être patient comme mes navigateurs sont détraqués..

[invite4c6c2965]

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Files
C:\WINDOWS\System32\runouce.exe
C:\WINDOWS\System32\issrch.exe
C:\WINDOWS\System32\dfsf.exe
C:\WINDOWS\System32\msinnt.exe
C:\Program Files\BraveSentry
C:\WINDOWS\system32\navdqu.dll 
C:\WINDOWS\System32\System32.exe
C:\WINDOWS\System32\wbem\scrcons32.exe
 
:Services
AVGEMS
wincom32
navdpu
 
:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\navdpu.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\navdqu.sys]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\navdqu]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Brave-Sentry]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]         
"C:\WINDOWS\System32\drivers\LUCKIUSE.EXE"=- 
"C:\WINDOWS\System32\wbem\ctfmon.exe"=- 
"C:\WINDOWS\System32\wbem\scrcons32.exe"=-
"C:\WINDOWS\System32\smssinger.exe"=-
"C:\WINDOWS\System32\System32.exe"=   
"C:\WINDOWS\System32\WinSecUp.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Local Page"="C:\WINDOWS\system32\blank.htm"
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[-HKEY_CLASSES_ROOT\CLSID\{9030D464-4C02-4ABF-8ECC-5164760863C6}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Runonce"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"C:\WINDOWS\System32\issrch.exe"=-
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Win32"=-
"sysmss"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Win32"=-

:Commands
[purity]
[emptytemp]
[Reboot]

Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)

[invite4c6c2965]

j'ai recu ton mp expliquant tes problèmes d'upload de fichiers joint, comment se porte l'ordi depuis ?

[invite6d500f8f]

Et bien cela persiste.
Je t'ai envoyé le dernier rapport en mp.

[invite4c6c2965]

refais une mise à jour de MBAM pour un nouveau scan Rapide
puis poste le rapport.

[invite6d500f8f]

refais une mise à jour de MBAM pour un nouveau scan Rapide
puis poste le rapport.

Rapport poster en MP.

[invite4c6c2965]

vois si ceci ne pourrait pas reparer ton IE:

# Télécharge Fix IE Utility de Raghu Boddu.

• Décompresse le fichier sur ton bureau.
• Ferme toutes les fenêtres ouvertes.
• Double-clique sur Fix IE Utility pour le lancer.
• Choisis l'option Run Utility comme indiqué sur l'image :
  
• Patiente jusqu'à l'apparition du message suivant
  
• Clique sur OK.

[invite6d500f8f]

Il faudrait d'abord avoir le winzip!!
Mes programmes sont presques tous inaccecibles!!

[invite4c6c2965]

tu peux installer 7Zip ou Izarc ou ALZip, ils sont tous gratuit...
tu n'as pas d'option Extraire quand tu fais clic droit sur le fichier ?

[invite6d500f8f]

Cela ne servirais pas à grand chose, de toutes façon il y un virus qui détraque tous les programmes exe;il faudrait le neutraliser...

[invite4c6c2965]

Fix IE Utility.exe http://www.sendspace.com/file/1tlwzz

[invite6d500f8f]

Le virus qui me fait beaucoup de mal s'appelle virus win32 chir b,j'essaye d'installer une enniéme fois avira,pense tu qu'il puisse le neutraliser?

[invite4c6c2965]

Le Ver dont tu parles nous l'avons ciblé parmi d'autres, en supprimant ses entées

HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run\
"Runonce" = "C:\WINDOWS\SYSTEM\runouce.exe "

reposte un log.txt RSIT

[invite6d500f8f]

Salut b marlow j'ai finis par le faire formater, merci