[RESOLU]Virus venant de firefox.exe et de svchost.exe ! besoind d'aide

Virus venant de firefox.exe et de svchost.exe ! besoind d'aide [RESOLU] - Virus/Spywares - Windows & Software

Marsh Posté le 12-04-2010 à 16:03:01    

Bonjour,
 
Depuis quelques jours, mon antivirus(norton) m'alerte en permanence d'un virus venant de firefox.exe et parfois venant de svchost.exe!
De plus, des fenêtres suspectes s'affichent aléatoirement lorsque je suis sous firefox.
J'ai aussi remarqué que lorsque je tapais un mot dans la barre de recherche google, l'antivirus m'alerte quasi systématiquement..
 
Voilà, j'aimerais donc savoir comment faire pour me débarrasser de cette sal****?
 
Sachant que j'ai déjà effectué une analyse avec norton, spybot,MAM et Ccleaner. :heink:  
 
Merci d'avance !


Message édité par tilo106 le 18-04-2010 à 14:52:18
Reply

Marsh Posté le 12-04-2010 à 16:03:01   

Reply

Marsh Posté le 12-04-2010 à 16:44:40    

bonjour
 
nous allons faire un diagnostic complet de ton système pour cela:
 

  • Télécharge ZHPDiag
  • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
  • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
  • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
  • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


ne poste pas le rapport directement sur ce forum


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 12-04-2010 à 17:32:54    

Reply

Marsh Posté le 12-04-2010 à 18:34:00    

peux tu me montrer les rapports d'alerte et d'analyse de Norton et d'analyse par MBAM stp?
ou au moins me donner le chemin exact des fichiers "infectés"
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 12-04-2010 à 19:04:51    

glops31 a écrit :

peux tu me montrer les rapports d'alerte et d'analyse de Norton et d'analyse par MBAM stp?
ou au moins me donner le chemin exact des fichiers "infectés"
 


 
Voici ce qui est écrit dans norton:
 
Nom du risque:HTTP Tidserv Request
Ordinateur attaquant:zl091kha664.com (213.163.89.106,90)
L'attaque provient de \DEVICE\HARDDISK VOLUME1\PROGRAMFILES\MOZILLA FIREFOX\FIREFOX.EXE
 
Nom du risque:HTTPS Tidserv Request2
Ordinateur attaquant: 61.61.20.132, 443
L'attaque provient de \DEVICE\HARDDISK VOLUME1\WINDOWS\SYSTEM32\SVCHOST.EXE

Reply

Marsh Posté le 12-04-2010 à 23:46:40    

Je ne t'ai pas oublié
 
Tu es victime d'une infection par Backdoor (Porte dérobée)
Ce type d'attaque permet aux pirates de contrôler à distance l' ordinateur et de voler des informations du système et de télécharger et exécuter des fichiers.
en attendant d'en être débarrassée évite toutes transactions sensibles sur cet ordi.
 
Il va falloir employer les grands moyens
 
(!) Le logiciel qui suit peut faire des dégâts s'il est mal utilisé ! Ne pas l'utiliser sans contrôle
 
Important: Désactive tous tes logiciels de protection
 

  • Télécharge ComboFix (de sUBs) sur ton Bureau.
  • Double-clique sur ComboFix.exe afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Ne touche à rien pendant le scan.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse ou mieux héberge le sur cijoint.fr et poste moi le lien fourni.[/list]


Tutoriel officiel de Combofix :


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 13-04-2010 à 14:10:20    

Reply

Marsh Posté le 13-04-2010 à 16:55:11    

bonjour
 
Tu vas maintenant utiliser un logiciel plus généraliste dans la suppression des malwares,il s'agit de Malwarebytes Antimalware
 

  • Télécharge Malwarebytes antimalware  
  • Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  • Sélectionne les disques que tu veux analyser et cliques sur "Lancer l'examen"
  • L'analyse peut durer un bon moment.....
  • Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
  • Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc note... héberge le sur "cijoint.fr" avant de me poster les liens
  • Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 13-04-2010 à 19:25:01    

Je l'avais déjà. Mais bon j'ai refait une analyse:
http://www.cijoint.fr/cjlink.php?f [...] V2Eukq.txt

Reply

Marsh Posté le 13-04-2010 à 20:05:05    

pourquoi n'as tu pas installé la console de récupération comme indiquée ? Combo Fix n' a peut être pas supprimé ce qu'il aurait dû de ce fait  
as tu toujours les alertes?
 
nous allons maintenant faire une recherche de "rootkit"
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 

  • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
  • Lance Gmer
  • Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
  • A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
  • Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum


Message édité par glops31 le 13-04-2010 à 20:11:53

---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 13-04-2010 à 20:05:05   

Reply

Marsh Posté le 13-04-2010 à 20:37:37    

la console de récupération n'a pas été installée car j'avais désactivé internet vu que j'avais désactivé mes logiciels de protection.
Oui j'ai toujours les alertes.  
Je recommence combo fix en laissant internet allumé alors? (merci de ta patience)

Reply

Marsh Posté le 13-04-2010 à 21:34:59    

oui recommence et installe la console ,cela permet de revenir en arrière si il y a plantage et le logiciel est plus "efficace"


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 13-04-2010 à 22:06:19    

Toujours les mêmes messages d'alerte...

Reply

Marsh Posté le 13-04-2010 à 22:36:03    

montre moi le 2ème rapport Combofix stp (par cijoint.fr tjrs)
 
fais le scan avec gmer et poste moi le lien pour le rapport


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 13-04-2010 à 23:35:16    

Le voici:http://www.cijoint.fr/cjlink.php?file=cj201004/cijsxeOTgl.txt
 
Par contre pour gmer, comment tu fais pour changer le nom du fichier?, je l'ai téléchargé puis j'ai cliqué dessus mais ca me met "une erreur s'est produite" et après ça mon pc rame à fond...

Reply

Marsh Posté le 14-04-2010 à 00:10:39    

Gmer est déjà renommé avec un nom aléatoire sur le lien de téléchargement que je t'ai donné.
décidément ça coince ,je vais à la pêche aux renseignements


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 11:01:35    

bonjour
 
Nous allons attaquer le rootkit avec un autre outil
 
Télécharge tdsskiller de "loup_blanc" sur le bureau. Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

  • Lance "load_tdsskiller" en double-cliquant dessus: (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus → Exécuter en temps qu'administrateur)

l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan

  • Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer
  • Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse

(le fichier est également présent ici : C:\tdsskiller\report.txt

  • Redémarre le PC


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 11:16:31    

Norton me dit de supprimer tdsskiller..

Reply

Marsh Posté le 14-04-2010 à 11:25:21    

J'ai accepté, Le rapport est vide!

Reply

Marsh Posté le 14-04-2010 à 13:07:32    

recommence et désactive toutes tes protections
 
les outils que je te fais utiliser ne comporte pas de malware ,evidemment! mais certains antivirus les détecte comme tel à cause de leur manière d'âgir au coeur du système.


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 18:04:58    

Même désactivées, j'ai rien dans le rapport!

Reply

Marsh Posté le 14-04-2010 à 18:39:23    


note: ZHPFix peut être activé soit à partir de ZHPDiag  en cliquant sur l'icône http://i49.tinypic.com/53vce1.jpg lorsque ZHPDiag est encore ouvert après un scan
 
soit à partir du raccourci sur le Bureau si l'icône n'apparait pas.
 
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
 

  • Lance ZHPFix en fonction de ton système d'exploitation.
  • Clique sur l'icône représentant la lettre => http://i42.tinypic.com/1zb8m1d.jpg
  • une liste des outils va apparaitre coche les cases des outils à désinstaller ou clique sur "Tous" en bas
  • clique ensuite sur nettoyer
  • copie colle le rapport généré à la fin dans ta prochaine réponse


=>coche "TdssKiller" => nettoyer
 
=>ensuite recommence la manip avec Tdsskiller après l'avoir à nouveau téléchargé


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 18:54:58    

Toujours pareil... pas de rapport
Par contre, à la fin de ZHPFix, j'ai eu : "warning! CD emulation drivers are running on this machine. Combofix needs to temporarily disable them."

Reply

Marsh Posté le 14-04-2010 à 18:58:45    

:??: je suis perplexe, il faut que je demande du renfort dans la communauté,mais on va pas te laisser tomber
A+


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 19:04:41    

Moi aussi je reste perplexe :(  
Jte remercie de ton aide jusqu'à maintenant. J'espère qu'on va arrivé à le détruire ce virus!

Reply

Marsh Posté le 14-04-2010 à 19:38:53    

Avec la mise à jour de spybot d'aujourd'hui, il m'a trouvé un problème à corriger...à suivre

Reply

Marsh Posté le 14-04-2010 à 19:49:39    

lorsque je demande de désactiver toutes les protections tu désactives bien le tea-timer de spybot ?
comme ceci:

  • Lancer Spybot
  • Cliquer sur Mode, puis cocher Mode avancé
  • Cliquer sur Outils puis sur Résident
  • Décocher la case Résident "Tea Timer"
  • fermer spybot


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 20:02:44    

J'ai rééssayé Tdsskiller avec ce que tu viens de me dire mais ça change rien.

Reply

Marsh Posté le 14-04-2010 à 20:05:18    

et comboFix?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 20:06:53    

Tu connais le scan de securiser en ligne? J'ai envi de l'essayer car j'ai vu sur un autre forum qu'il avait été efficace pour un problème similaire au mien.

Reply

Marsh Posté le 14-04-2010 à 20:39:26    

le problème avec ce genre de scan en ligne c'est qu'il risque de détecter un fichier système patché par le malware et de le supprimer
si jamais l'Antivirus en ligne le supprime tu risques de ne plus pouvoir redemarrer ton ordi =>je te le déconseille
 
j'attends des renseignements  qui ne sauraient tarder  et je te tiens au courant .


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 20:55:43    

aaaah ya eu du changement . combofix a affiché une fenêtre marquée: Combofix a détecté un rootkit.
Mais j'ai toujours les alertes.

Reply

Marsh Posté le 14-04-2010 à 21:03:59    

si tu as un nouveau rapport combo poste moi le lien
 
 
nous allons essayer un autre outil spécifique
 


  • Crée un "nouveau dossier" sur ton bureau puis Décompresse l'archive dedans


  • Lance le programme en cliquant sur Remover.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


  • Coche les et clique sur "Delete/Repair Selected".


  • Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage => appuie sur YES  


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 21:07:03    

Reply

Marsh Posté le 14-04-2010 à 21:17:57    

TDSS Remover m'a trouvé trois éléments cachés...mais bon je viens de nouveau recevoir un message d'alerte...


Message édité par tilo106 le 14-04-2010 à 21:20:04
Reply

Marsh Posté le 14-04-2010 à 21:28:36    

j'ai eu des infos comme quoi le blocage de certains outils comme Gmer était peut être dû à ceci :
 
"warning! CD emulation drivers are running on this machine. Combofix needs to temporarily disable them"
 
voilà ce que tu vas faire pour "débloquer" Gmer
 
• Télécharge Defogger et lance le
• Une fenêtre apparait clique sur "Disable"
• Redémarre le PC si demandé
 
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 21:36:06    

C'est fait, je recommence Gmer alors

Reply

Marsh Posté le 14-04-2010 à 21:56:38    

tilo106 a écrit :

C'est fait, je recommence Gmer alors


 
avant tu vas faire ceci:
 

  •  Télécharge mbr.exe de Gmer sur le Bureau :
  • Désactive toutes tes  protections et coupe la connexion.
  • Sous Windows XP : double-clique sur mbr.exe / Sous Windows Vista ou Seven, fais un clic-droit sur mbr.exe et choisis "Exécuter en temps qu'administrateur"
  • Un rapport sera généré : mbr.log
  • En cas d'infection, le message MBR rootkit code detected va apparaître dans le rapport. Si c'est le cas, cliquez sur le Menu démarrer --> Exécuter, et tapez la commande suivante :

         o Sous XP : "%userprofile%\Bureau\mbr" -f
 
          o Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
 

  • Dans le mbr.log cette ligne apparaîtra :" original MBR restored successfully !"
  • poste le rapport obtenu


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 14-04-2010 à 22:09:27    

voici le rapport de mbr:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK  
 
Concernant Gmer, j'avais réussi à commencer le scan :) sauf que mon pc s'est bloqué à \FileSystem\UDFSCdRomRecognizer.
Du coup, j'ai du éteindre le pc à la main.

Reply

Marsh Posté le 15-04-2010 à 10:01:37    

Wow le scan de Gmer fut long, le voici enfin:  
 
http://www.cijoint.fr/cjlink.php?f [...] tX2jdG.txt

Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed