Zusy 562

[Rosapilin]

Bonsoir à tous,

J'ai déjà posté sur ce forum auparavant et j'ai apprécié l'aide qui m'a été apportée, c'est pour cela que je me retourne vers vous.

Lorsque j'ai rallumé l'ordinateur portable d'un membre de ma famille début 2012, j'ai constaté la présence d'un cheval de Troie (?) nommé Zusy 562 dans un programme nommé evf.exe.

Lorsque j'essayais d'ouvrir mon navigateur internet (FF ou IE) il m'affichait le message suivant : "Windows ne parvient pas à accéder au périphérique au chemin d'accès spécifié. Vous ne disposez peut être pas des autorisations appropriées pour avoir accès à l'élément". Ce message s'affichait également pour d'autres programmes du système il me semble...

J'ai effectué un scan complet de l'ordinateur et mis en quarantaine le-dit fichier. Après redémarrage de l'ordinateur, j'ai essayé de lancer mon navigateur internet. Là il me demande avec quel programme je veux ouvrir Firefox et me fait cela pour tous les .exe apparement (y compris l'antivirus). J'ai essayé la restauration système à une date antérieure mais rien n'y fait...

Merci de l'aide que vous pourriez m'apporter.
-----

[JPL]

J'ai eu ce que tu décris dans le dernier paragraphe à la suite d'un clic malencontreux de ma part, lequel avait conduit mon pare-feu à classer Windows Explorer (explorer.exe) comme programme non fiable (il faut dire que le message qui avait entraîné mon clic n'était pas très explicite). Il a suffi que je le retire de la liste des programmes non fiables. Ce n'est peut-être pas la même cause dans ce cas mais il faut s'orienter vers un problème de l'explorateur Windows. Pour le reste je ne sais pas.

[invitec04351b8]

Bonsoir,

je crains une infection rootkit.

Ouvre ce lien (sur l'ordi infecté) et fais ce qui est dit sous "Réparation du système infecté" :

http://support.kaspersky.com/fr/faq/?qid=208280685

Poste le rapport dans ta réponse (en pièce jointe).

@+

[Rosapilin]

Bonjour,

Je ne peux pas ouvrir le .exe demandé sur le site, il me demande avec quoi l'ouvrir, en le sélectionnant dans la liste cela ne fonctionne pas ...

[A voir en vidéo sur Futura]

[Rosapilin]

En lançant en admin ça marche. Rien n'a été détecté pendant l'analyse.

[Rosapilin]

Comme je peux lancer des programmes en admin j'en ai profité pour lancer :
Hijackthis : pas de résultats
Malwarebytes Anti Malware : 2 résultats Hijackthis corrigés
Avira Rootkit : pas de résultats
Spypot : 1 résultat Microsoft.Windows.FileExe dans le registre : corrigé

Je redémarre pour voir les effets ...

[Rosapilin]

Tout semble être revenu à la normale, merci de vos réponse !

[invitec04351b8]

Bonsoir,

Hijackthis étant limité, je te suggère de vérifier l'état de santé de l'ordi en faisant ça :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[Rosapilin]

Bonsoir,

Voici le rapport.

[invitec04351b8]

Bonsoir,

plus d'infection mais des risques de sécurité et du franchement inutile.

===

Mets à jour :

Adobe Reader

la console java.

===

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKCU\Software\Ask.com.tmp]
O43 - CFD: 15/01/2009 - 19:43:52 - [0,007] ----D- C:\Users\Cathy\AppData\Roaming\teamspeak2
[MD5.ED92900BF225E26A4E54C2C14FA1424F] [SPRF][09/09/2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\Cathy\AppData\Local\Temp\AskSLib.dll   [246440

]
EmptyTemp
O87 - FAEL: "TCP Query User{E1FEB2DD-6017-40D3-A2D6-EFA1BB14A216}C:\jeux\world of warcraft\wow-2.4.2-frfr-downloader.exe" |In - Private - P6 - TRUE | .(...) -- C:\jeux\world of warcraft\wow-2.4.2-frfr-downloader.exe (.not file.)
O87 - FAEL: "UDP Query User{5CC2AF88-315C-4374-BCDF-E631A6BCAFE0}C:\jeux\world of warcraft\wow-2.4.2-frfr-downloader.exe" |In - Private - P17 - TRUE | .(...) -- C:\jeux\world of warcraft\wow-2.4.2-frfr-downloader.exe (.not file.)
O43 - CFD: 28/05/2011 - 19:42:44 - [0] ----D- C:\Users\Cathy\AppData\Local\{ 2CB42938-869F-4ED5-9FC5-B7E3EDD25D27}
O43 - CFD: 12/11/2011 - 20:45:40 - [0] ----D- C:\Users\Cathy\AppData\Local\{ 37D0F06A-0DEB-4C65-B16C-795A06CCB0E5}
O43 - CFD: 27/05/2011 - 18:59:30 - [0] ----D- C:\Users\Cathy\AppData\Local\{ 38C4C718-D485-4B75-AEE6-EB4B558EC56F}
O43 - CFD: 03/06/2011 - 20:33:52 - [0] ----D- C:\Users\Cathy\AppData\Local\{ 5D0D505E-CD20-4E8F-AB3C-7E322E348D99}
O43 - CFD: 20/05/2011 - 19:14:04 - [0] ----D- C:\Users\Cathy\AppData\Local\{ 6D803143-EF0C-4D98-A22B-35189C9623A5}
O43 - CFD: 12/11/2011 - 20:45:26 - [0] ----D- C:\Users\Cathy\AppData\Local\{ 8A7350A2-1231-44ED-9712-5BA4CAF0DD61}
O43 - CFD: 10/09/2011 - 15:24:58 - [0] ----D- C:\Users\Cathy\AppData\Local\{ A880FCAB-7254-49D9-A8EB-F684C5D267CC}


Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+