bonjour,
Prenant pourtant soin de ma machine je suis infecté par ce ver : Win32:Malware-gen.
A chaque fois je le met en quarantaine avec avast mais il reviens régulierement.
J'ai fait quelques recherches et j'ai utilisé Malwarebytes' Anti-Malware qui m'a trouvé 8 vers mais qui ne me les "supprimes" pas. Après reboot et nouveau scan il me les retrouve encore.
Merci de votre aide
Bonjour,
Consulte je te prie la procédure préliminaire du forum.
Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.
@+
Hum,
je voulais poster des rapports en plus, mais j'ai eu des reboot à cause d'un log de scan. Bref,
Voila le rapport d'hijack et Malwarebytes qui me retrouve toujours 2 vers malgré 2 "suppressions".
Bonjour,
fais ceci que je puisse vérifier que je vois tout ce qu'il me faut :
Télécharge ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Double clique sur le raccourci ZHPDiag sur ton Bureau.
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.
@+
Merci beaucoup (vraiment) pour l'aide apportée
Voici le rapport en PJ car il est vraiment long :
Bonjour,
on va vérifier deux fichiers mal connus :
Rends toi sur ce lien : Virus Total
- Clique sur Parcourir
- Navigues pour trouver ce fichier (*) :
Code:C:\Windows\System32\xliveinstallhost.exeNote : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
- Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
- Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
- Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
- Une nouvelle fenêtre de ton navigateur va apparaître
- Clique alors sur cette image :
- Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
- Enfin colle le résultat dans un fichier texte
- Poste ce fichier dans ta prochaine réponse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
(*) : si tu ne trouves pas le fichier en question, affiche tous les fichiers/dossiers :
- Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
- Cocher la case : Afficher les fichiers et dossiers cachés
- Décocher la case : Masquer les extensions des fichiers dont le type est connu
- Décocher la case : Masquer les fichiers protégés du système d'exploitation
- cliquer sur "Appliquer"
- cliquer sur le bouton "Appliquer à tous les dossiers" / OK
===
fais de même avec : C:\Windows\winconfig.vbs
===
Télécharge et installe UsbFix de Chiquitine29 sur ton Bureau.
<gras>Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir</gras>
# Double clic sur le raccourci UsbFix présent sur ton bureau
# choisis l'<gras>option 2</gras> ( Suppression )
# Ton bureau disparaitra et le pc redémarrera .
# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .
# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
@+
Merci beaucoup,
voici les rapports :
Re,
tu n'avais pas connecté un support amovible lorsque tu as fait passer USBfix.
Ce support amovible contient un fichier infectieux.
===
Copie dans le Presse-papier (sélectionnes le avec la souris et fais simultanément Ctrl et C) les lignes ci-dessous :
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.Code:C:\Users\ZEN~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe C:\ProgramData\SeekService\seekservice115.exe C:\Users\zen²\AppData\Local\Temp\~temp\aiunml46\smss.exe O4 - HKLM\..\policies\Explorer\Run: [ClipSrv] C:\Users\ZEN~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice O23 - Service: SeekService Service (SeekService Service) - C:\ProgramData\SeekService\seekservice115.exe" "C:\Program Files\SeekService\seekservice.dll" Service O44 - LFC:Last File Created 04/11/2009 - 20:44:58 ---A- C:\Windows\System32\lsprst7.dll O44 - LFC:Last File Created 04/11/2009 - 20:44:58 ---A- C:\Windows\System32\lsprst7.tgz O44 - LFC:Last File Created 04/11/2009 - 20:44:58 ---A- C:\Windows\System32\ssprs.dll O44 - LFC:Last File Created 04/11/2009 - 20:44:58 ---A- C:\Windows\System32\ssprs.tgz
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
@+
Si j'ai connecté mon iphone lorsque j'ai fait usbfix
Voici le rapport :
il reviens toujours
Re,
Rends toi sur ce lien : Virus Total
- Clique sur Parcourir
- Navigues pour trouver ce fichier (*) :
Code:C:\Users\zen²\AppData\Local\Temp\~temp\aiunml46\smss.exeNote : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
- Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
- Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
- Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
- Une nouvelle fenêtre de ton navigateur va apparaître
- Clique alors sur cette image :
- Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
- Enfin colle le résultat dans un fichier texte
- Poste ce fichier dans ta prochaine réponse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.
(*) : si tu ne trouves pas le fichier en question, affiche tous les fichiers/dossiers :
- Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
- Cocher la case : Afficher les fichiers et dossiers cachés
- Décocher la case : Masquer les extensions des fichiers dont le type est connu
- Décocher la case : Masquer les fichiers protégés du système d'exploitation
- cliquer sur "Appliquer"
- cliquer sur le bouton "Appliquer à tous les dossiers" / OK
(j'ai imaginé qu'il revient sous le même nom ; si il a changé de nom, fais scanner le nouveau fichier)
@+
Ok,
bon j'ai scan un fichiers qui reviens de manière récurrente + un autre fichiers dans le même dossier et apparemment il est infecté. Il reste un 3em fichier qui revient de manière récurrente mais avast l'a mis en quarantaine, j'attends un nouvelle annonce d'avast pour le scanner.
Voila le dernier fichier infecté
Bonsoir,
Télécharge SEAF de C__XX
*Double clique sur SEAF.exe ( clic droit et "Exécuter en tant qu'administrateur" pour Vista).
*Une fenêtre Cmd va s'ouvrir.
*Tapedans cette fenêtre et "Entrée".Code:[moreoption],svchost, mdm.exe
*Patiente pendant la recherche.
*Une fenêtre avec un log .txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
@+
Merci bien lyonnaise,
voila le rapport,
Cordialement
Bonsoir,
je n'arrive pas à ouvrir le .zip.
Le rapport est si long que tu doives le zipper ?
Une autre solution est de le faire héberger sur Cijoint et de me transmettre l'url dans un fichier attaché.
@+
hum j'ai bidouillé car n'ayant pas winzip je l'ai compressé en .rar puis renommé en .zip pour pouvoir l'upload sur FS.
Renome le en .rar pour pouvoir l'ouvrir avec winrar. Sinon je le reupload.
Le rapport fait 5000 lignes
voila sinon le lien "cijoint"
Bonsoir,
effectivement, le rapport est long !!!
Ceci dit, l'essentiel est dans les premières lignes.
Copie dans le Presse-papier (sélectionnes le avec la souris et fais simultanément Ctrl et C) les lignes ci-dessous :
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.Code:C:\Users\zený\AppData\Local\Temp\~temp\airg11\svchost.exeC:\Users\zený\AppData\Local\Temp\~temp\mlp75\mdm.exe C:\Users\ZEN~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe C:\ProgramData\SeekService\seekservice115.exe C:\Users\zen²\AppData\Local\Temp\~temp\aiunml46\smss.exe O4 - HKLM\..\policies\Explorer\Run: [ClipSrv] C:\Users\ZEN~1\LOCALS~1\APPLIC~1\MICROS~1\clipsrv.exe /waitservice O23 - Service: SeekService Service (SeekService Service) - C:\ProgramData\SeekService\seekservice115.exe" "C:\Program Files\SeekService\seekservice.dll" Service O44 - LFC:Last File Created 04/11/2009 - 20:44:58 ---A- C:\Windows\System32\lsprst7.dll O44 - LFC:Last File Created 04/11/2009 - 20:44:58 ---A- C:\Windows\System32\lsprst7.tgz O44 - LFC:Last File Created 04/11/2009 - 20:44:58 ---A- C:\Windows\System32\ssprs.dll O44 - LFC:Last File Created 04/11/2009 - 20:44:58 ---A- C:\Windows\System32\ssprs.tgz
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
@+
Voici le rapport
Bonjour,
j'ai oublié un retour chariot (la bonne nouvelle est que les fichiers et clés supprimés ne sont pas réapparus).
Copie dans le Presse-papier (sélectionnes le avec la souris et fais simultanément Ctrl et C) les lignes ci-dessous :
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.Code:C:\Users\zený\AppData\Local\Temp\~temp\airg11\svchost.exe
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
@+
voici le rapport
ceci dit il reste encore des dossier avec les fichiers smss.exe mdm.exe svchost.exe dans le dossier temp.
Je t'ai mis en fichier image les adresses de destinations de tous les fichiers que j'ai ... je n'ai pas osé y toucher.
Re,
alors il y a un souci avec le nom de ta session.
On va essayer comme ça :
=>Télécharge ATF-Cleaner (Attribune)
-- Met le sur ton bureau
Note: Pour augmenter l'efficacité nous l'utiliserons ultérieurement en mode sans echec
=> Lance ATF-Cleaner :
* Sous l'onglet Main, choisis : Select All
* Clique sur le bouton Empty Selected
* Sous l'onglet Firefox (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Sous l'onglet Opéra (si présent) : Clique sur select all
-- Au message "are you sure you want to delete your firefox saved password" clique sur NON
-- Clique sur Empty selected
* Quitte ATF-Cleaner
Regarde si les fichiers ont été supprimés.
Si oui, fais redémarrer l'ordi et regarde si ils sont réapparus.
@+
Ok il n'y a plus rien dans le dossier Temp. Les fichiers n'y sont plus
c'est good ?
Re,
tu as bien fait redémarrer ?
Refais tourner ZHPDiag et poste le rapport.
@+
Bonsoir,
oui j'ai bien reboot.
Voici le rapport :
Re,
encore quelque chose.
Copie dans le Presse-papier (sélectionnes le avec la souris et fais simultanément Ctrl et C) les lignes ci-dessous :
Code:C:\Windows\System32\drivers\spoolsv.exe O4 - HKLM\..\policies\Explorer\Run: [Spool] C:\Windows\System32\drivers\spoolsv.exe /waitservice O44 - LFC:Last File Created 03/11/2009 - 12:54:54 ---A- C:\Windows\System32\drivers\spoolsv.exe
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===
Ta console java n'est pas à jour.
Télécharge JavaRa.zip de Paul McLain et Fred de Vries.
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
@+
voila la suite :
Bonjour,
fais redémarrer l'ordi si ça n'a pas été fait depuis l'exécution de javara.
Remets un (dernier) rapport ZHPDiag.
@+
et voila
