Infecte par physical drive;

[invite5e69c454]

bonsoir,
depuis ce matin mon pc est infecté et avast a décelé physical drive mais ne le retire pas
j'ai effectué un rsit mais je n'ai eu qu'un seul log que je vais joindre.
j'ai un écran noir, avast fonctionne j'ai l'icone de la poubelle et je n'ai accés à une partie du contenu qu'en rusant et en ouvrant nero
la lecture et l'exécution avec une clé usb est possible.
il y avait également un programme qui tournait et que j'ai supprimé ce matin-TxbdDFHVK.exe
Infecté vraisemblablement à la lecture d'une vidéo!
-----

[JPL]

Le log qui te manque est dans le répertoire C:\RSIT

[invite5e69c454]

ok merci beaucoup, j'ai réussi à le trouver

[invitec04351b8]

Bonjour,

Télécharge Roguekiller : http://www.sur-la-toile.com/RogueKiller/

Si il est bloqué à l'exécution, supprime le et recommence le téléchargement.

A ce moment là, tu le renommes en winlogon ou iexplore.

Lance en option 2 (Suppression).

Poste le rapport ici.

===

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[A voir en vidéo sur Futura]

[invite5e69c454]

Bonsoir, et merci pour le suivi de mon probléme.
je tentais de sauvegarder quelques données, ce matin et j'ai vu que l'option "dossiers cachés" n'était pas activée.J'ai activé et récupéré le contenu du bureau en affichage.dans mes dossiers photos, les grandes icones(photos miniatures) restent voilées, ainsi que les icones de dossiers sur les différents disques qui sont maintenant tous visibles. J'avais refait avast hier soir ainsi que MBAM avec deux résultats négatifs, plus de traces.
par contre sur le bureau mes programmes n'apparaissent plus lorsque je clique sur l'icone windows en bas à gauche. je joins les rapports que j'ai fait sur tes instructions .
Merci

[invitec04351b8]

Re,

ta version de MBAM (et sa base de données) sont complètement obsolètes.

Qu'il ne voit plus rien ne signifie rien.

Il faut maintenir ses logiciels à jour (tous) sous peine d'inefficacité et de failles de sécurité.

D'ailleurs,

Windows pas à jour,

Avast pas à jour (probable)

la console java pas à jour,

tu es directement responsable de ton infection.

===

Windows Xp était installé sur cet ordi avant W7 ?

===

C'est normal de trouver ça sur l'ordi

intranet.prexens.com ?

C'est un ordi professionnel ?

===

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

===

Télécharge MBRscan http://eric71.geekstogo.com/tools/MbrScan.exe

Clique sur Report.

Poste le rapport dans ta réponse.

@+

[invite5e69c454]

RE/
Voilà les deux rapports demandés/
il y avait xp auparavant
j'ai mis avast à jour!! (merci)
malware j'ai voulu télécharger nouvelle version(difficultés à exécuter)
pour prexens - c'est la boite d'un membre de la famille qui a du bosser sur l'ordi
bonsoir et merci

[invitec04351b8]

Re,

ouvre ce lien :

http://support.kaspersky.com/fr/faq/?qid=208280685

Fais ce qui est dit sous Réparation du système infecté et poste le rapport.

@+

[invite5e69c454]

Bonjour/ rapport demandé

[invitec04351b8]

Bonjour,

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

@+

[invite5e69c454]

Bien reçu les derniéres instructions, mais combofix téléchargé ne va pas jusqu'au bout et m'indique que "la version du fichier est incompatible avec la version de windows".

[invitec04351b8]

Re,

Avast te décèle toujours un problème ?

MBAM ne tourne pas ?

@+

[invite5e69c454]

RE,
aucune menace détectée par avest sur un scan rapide, il y a deux minutes, et malware ne tournepas
@+ merci

[invitec04351b8]

Re,

fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.

Il se passe quoi avec MBAM ?

- l'ancienne version a disparu

- le téléchargement de la nouvelle se fait

- l'installation aussi ?

- la mise à jour des bases ?

- le scan se bloque ?

Tu utilises clic droit et Exécuter en tant qu'Administrateur ?

@+

[invite5e69c454]

RE,
concernant MBAM j'ai vu que celà n'atait plus installé et que je n'avais plus de raccourci.
j'ai tenté de réinstaller l'exe de la derniére version et l'install démarre et échoue
avec "fichiers du produit absents ou coorompus-veuillez réinstaller le produit-
programm_error_missing_file(2, 0,mbamcore.dll)

puis une autre mention
le fichier est introuvable il manque mbamnet .dll

copie du rapport jointe

[invitec04351b8]

Re,


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKLM\Software\Freeze.com]
[HKLM\Software\WOW6432Node\freeze.com]
O4 - Global Startup: C:\Users\Jean-Pierre\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Check.lnk . (...)  -- C:\ProgramData\iDTzS5XKZCTta0.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{6B41EEC8-25D9-4A52-963A-6D21DFD08BE7}] (...) -- E:\PetitOursBrun.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C242EC40-15AB-4DE6-BAD4-902C5C43FE93}] (...) -- C:\Users\Jean-Pierre\Downloads\UNO.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{C9703B3E-1E2A-465C-89EB-9CBD7FFE4DCD}] (...) -- C:\Users\Jean-Pierre\Downloads\UNO.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{DC9AC059-2457-4B7D-90D7-B009F817BA0B}] (...) -- E:\PetitOursBrun.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{E3370125-E340-49C6-97F3-54E1102A5019}] (...) -- E:\PetitOursBrun.exe (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\42759298.sys . (...) -- C:\Windows\system32\Drivers\42759298.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\42759298.sys . (...) -- C:\Windows\system32\Drivers\42759298.sys (.not file.)
O53 - SMSR:HKLM\...\startupreg\TxWbdDFHVk.exe  [Key] . (...) -- C:\ProgramData\TxWbdDFHVk.exe (.not file.)
O87 - FAEL: "TCP Query User{6291C815-1895-4F2A-AA3A-C92DD5D2D9D5}C:\users\jean-pierre\desktop\ratiomaster\ratiomaster.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\jean-pierre\desktop\ratiomaster\ratiomaster.exe (.not file.)
O87 - FAEL: "UDP Query User{DDFFF774-7C46-4A24-8174-5F423ED4B008}C:\users\jean-pierre\desktop\ratiomaster\ratiomaster.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\jean-pierre\desktop\ratiomaster\ratiomaster.exe (.not file.)
HiddenFix
Emptytemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invite5e69c454]

re
FAIT
Dans démarrer, la liste des programmes a réapparue!
@+merci

[invitec04351b8]

Re,

tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport.

Tu fais le point sur tes problèmes.

@+

[invite5e69c454]

Bonsoir,
voiçi le rapport effectué ce matin.
apparemment, pas de gêne pour le surf
ouverture normale des programmes à la demande
ouverture et accés normal au courrier, aux vidéos, photos, au logiciel de gravure.
Les photos ds les dossiers apparaissent avec un voile gris.
dans la barre démarré dans accessoires par ex je ne trouve plus paint ou word.
quand je clic accessoires - divertissement-vide
@+ merci

[invitec04351b8]

Bonsoir,

mets à jour Windows avec Windows update (installation du SP1).

@+