Bonjour,
 
Depuis quelques jours, mon antivirus(norton) m'alerte en permanence d'un virus venant de firefox.exe et parfois venant de svchost.exe!
De plus, des fenêtres suspectes s'affichent aléatoirement lorsque je suis sous firefox.
J'ai aussi remarqué que lorsque je tapais un mot dans la barre de recherche google, l'antivirus m'alerte quasi systématiquement..
 
Voilà, j'aimerais donc savoir comment faire pour me débarrasser de cette sal****?
 
Sachant que j'ai déjà effectué une analyse avec norton, spybot,MAM et Ccleaner.  
 
Merci d'avance !

bonjour
 
nous allons faire un diagnostic complet de ton système pour cela:
 

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

ne poste pas le rapport directement sur ce forum

http://www.cijoint.fr/cjlink.php?f [...] Pop4J8.txt

peux tu me montrer les rapports d'alerte et d'analyse de Norton et d'analyse par MBAM stp?
ou au moins me donner le chemin exact des fichiers "infectés"
 

 
Voici ce qui est écrit dans norton:
 
Nom du risque:HTTP Tidserv Request
Ordinateur attaquant:zl091kha664.com (213.163.89.106,90)
L'attaque provient de \DEVICE\HARDDISK VOLUME1\PROGRAMFILES\MOZILLA FIREFOX\FIREFOX.EXE
 
Nom du risque:HTTPS Tidserv Request2
Ordinateur attaquant: 61.61.20.132, 443
L'attaque provient de \DEVICE\HARDDISK VOLUME1\WINDOWS\SYSTEM32\SVCHOST.EXE

Je ne t'ai pas oublié
 
Tu es victime d'une infection par Backdoor (Porte dérobée)
Ce type d'attaque permet aux pirates de contrôler à distance l' ordinateur et de voler des informations du système et de télécharger et exécuter des fichiers.
en attendant d'en être débarrassée évite toutes transactions sensibles sur cet ordi.
 
Il va falloir employer les grands moyens
 
(!) Le logiciel qui suit peut faire des dégâts s'il est mal utilisé ! Ne pas l'utiliser sans contrôle
 
Important: Désactive tous tes logiciels de protection
 

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse ou mieux héberge le sur cijoint.fr et poste moi le lien fourni.[/list]

Tutoriel officiel de Combofix :

http://www.cijoint.fr/cjlink.php?f [...] wMiWuc.txt

bonjour
 
Tu vas maintenant utiliser un logiciel plus généraliste dans la suppression des malwares,il s'agit de Malwarebytes Antimalware
 

• Télécharge Malwarebytes antimalware  
• Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et cliques sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note... héberge le sur "cijoint.fr" avant de me poster les liens
• Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Je l'avais déjà. Mais bon j'ai refait une analyse:
http://www.cijoint.fr/cjlink.php?f [...] V2Eukq.txt

pourquoi n'as tu pas installé la console de récupération comme indiquée ? Combo Fix n' a peut être pas supprimé ce qu'il aurait dû de ce fait  
as tu toujours les alertes?
 
nous allons maintenant faire une recherche de "rootkit"
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 

• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

la console de récupération n'a pas été installée car j'avais désactivé internet vu que j'avais désactivé mes logiciels de protection.
Oui j'ai toujours les alertes.  
Je recommence combo fix en laissant internet allumé alors? (merci de ta patience)

oui recommence et installe la console ,cela permet de revenir en arrière si il y a plantage et le logiciel est plus "efficace"

Toujours les mêmes messages d'alerte...

montre moi le 2ème rapport Combofix stp (par cijoint.fr tjrs)
 
fais le scan avec gmer et poste moi le lien pour le rapport

Le voici:http://www.cijoint.fr/cjlink.php?file=cj201004/cijsxeOTgl.txt
 
Par contre pour gmer, comment tu fais pour changer le nom du fichier?, je l'ai téléchargé puis j'ai cliqué dessus mais ca me met "une erreur s'est produite" et après ça mon pc rame à fond...

Gmer est déjà renommé avec un nom aléatoire sur le lien de téléchargement que je t'ai donné.
décidément ça coince ,je vais à la pêche aux renseignements

bonjour
 
Nous allons attaquer le rootkit avec un autre outil
 
Télécharge tdsskiller de "loup_blanc" sur le bureau. Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lance "load_tdsskiller" en double-cliquant dessus: (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus → Exécuter en temps qu'administrateur)

l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan

• Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse

(le fichier est également présent ici : C:\tdsskiller\report.txt

• Redémarre le PC

Norton me dit de supprimer tdsskiller..

J'ai accepté, Le rapport est vide!

recommence et désactive toutes tes protections
 
les outils que je te fais utiliser ne comporte pas de malware ,evidemment! mais certains antivirus les détecte comme tel à cause de leur manière d'âgir au coeur du système.

Même désactivées, j'ai rien dans le rapport!

note: ZHPFix peut être activé soit à partir de ZHPDiag  en cliquant sur l'icône lorsque ZHPDiag est encore ouvert après un scan
 
soit à partir du raccourci sur le Bureau si l'icône n'apparait pas.
 
Il se lance par double clic sous Xp, par clic droit et "exécuter en tant qu'administrateur sous Vista et Seven.
 

• Lance ZHPFix en fonction de ton système d'exploitation.
• Clique sur l'icône représentant la lettre =>
• une liste des outils va apparaitre coche les cases des outils à désinstaller ou clique sur "Tous" en bas
• clique ensuite sur nettoyer
• copie colle le rapport généré à la fin dans ta prochaine réponse

=>coche "TdssKiller" => nettoyer
 
=>ensuite recommence la manip avec Tdsskiller après l'avoir à nouveau téléchargé

Toujours pareil... pas de rapport
Par contre, à la fin de ZHPFix, j'ai eu : "warning! CD emulation drivers are running on this machine. Combofix needs to temporarily disable them."

je suis perplexe, il faut que je demande du renfort dans la communauté,mais on va pas te laisser tomber
A+

Moi aussi je reste perplexe  
Jte remercie de ton aide jusqu'à maintenant. J'espère qu'on va arrivé à le détruire ce virus!

Avec la mise à jour de spybot d'aujourd'hui, il m'a trouvé un problème à corriger...à suivre

lorsque je demande de désactiver toutes les protections tu désactives bien le tea-timer de spybot ?
comme ceci:

• Lancer Spybot
• Cliquer sur Mode, puis cocher Mode avancé
• Cliquer sur Outils puis sur Résident
• Décocher la case Résident "Tea Timer"
• fermer spybot

J'ai rééssayé Tdsskiller avec ce que tu viens de me dire mais ça change rien.

et comboFix?

Tu connais le scan de securiser en ligne? J'ai envi de l'essayer car j'ai vu sur un autre forum qu'il avait été efficace pour un problème similaire au mien.

le problème avec ce genre de scan en ligne c'est qu'il risque de détecter un fichier système patché par le malware et de le supprimer
si jamais l'Antivirus en ligne le supprime tu risques de ne plus pouvoir redemarrer ton ordi =>je te le déconseille
 
j'attends des renseignements  qui ne sauraient tarder  et je te tiens au courant .

aaaah ya eu du changement . combofix a affiché une fenêtre marquée: Combofix a détecté un rootkit.
Mais j'ai toujours les alertes.

si tu as un nouveau rapport combo poste moi le lien
 
 
nous allons essayer un autre outil spécifique
 

• Télécharge TDSS Remover sur ton bureau

• Crée un "nouveau dossier" sur ton bureau puis Décompresse l'archive dedans

• Lance le programme en cliquant sur Remover.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

• Coche les et clique sur "Delete/Repair Selected".

• Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage => appuie sur YES  

http://www.cijoint.fr/cjlink.php?f [...] MuYsNe.txt

TDSS Remover m'a trouvé trois éléments cachés...mais bon je viens de nouveau recevoir un message d'alerte...

j'ai eu des infos comme quoi le blocage de certains outils comme Gmer était peut être dû à ceci :
 
"warning! CD emulation drivers are running on this machine. Combofix needs to temporarily disable them"
 
voilà ce que tu vas faire pour "débloquer" Gmer
 
• Télécharge Defogger et lance le
• Une fenêtre apparait clique sur "Disable"
• Redémarre le PC si demandé
 
 

C'est fait, je recommence Gmer alors

 
avant tu vas faire ceci:
 

•  Télécharge mbr.exe de Gmer sur le Bureau :
• Désactive toutes tes  protections et coupe la connexion.
• Sous Windows XP : double-clique sur mbr.exe / Sous Windows Vista ou Seven, fais un clic-droit sur mbr.exe et choisis "Exécuter en temps qu'administrateur"
• Un rapport sera généré : mbr.log
• En cas d'infection, le message MBR rootkit code detected va apparaître dans le rapport. Si c'est le cas, cliquez sur le Menu démarrer --> Exécuter, et tapez la commande suivante :

         o Sous XP : "%userprofile%\Bureau\mbr" -f
 
          o Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
 

• Dans le mbr.log cette ligne apparaîtra :" original MBR restored successfully !"
• poste le rapport obtenu

voici le rapport de mbr:
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK  
 
Concernant Gmer, j'avais réussi à commencer le scan sauf que mon pc s'est bloqué à \FileSystem\UDFSCdRomRecognizer.
Du coup, j'ai du éteindre le pc à la main.

Wow le scan de Gmer fut long, le voici enfin:  
 
http://www.cijoint.fr/cjlink.php?f [...] tX2jdG.txt