A l'aide, Help ! Menace détectée

[Gregg]

Bonjour,

Je viens réclamer de l'aide sur ce forum car je ne sais pas quoi faire face à mon problème.

Depuis hier (26/10) je reçois régulièrement un message d'alerte de mon Antivirus (Nod32 license valide). Ce message m'inquiète beaucoup car j'ai des fichiers tres importants pour le travail sur ce PC.

Voici le message en question :

ESET NOD32 Antivirus

Menace détectée en mémoire !

Objet :
Mémoire vive = C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe
Menace :
Win32/Ainslot.AA ver
Informations :
Impossible à nettoyer

Je suis sur Windows Seven 64 Bits license valide également.

Voila. A moin de sauvegarder toutes mes données et de faire une réinstallation complète du système (ce qui me semble actuellement pratiquement impossible vu le contexte dans lequel je me trouve), je ne sais vraiment pas quoi faire.

C'est pour cette raison que je m'en remet aux experts de ce forum, on m'a dit que vous étiez fortiches !

D'avance merci aux personnes qui prendont le temps de me donner un coup de main.

PS : Est-ce que ce type de Menace est susceptible d'avoir endommagé des fichiers ?

[EinsteinZero]

Bonjour

bienvenu sur le forum

avant qu'un spécialiste du genre n'intervienne, as tu essayé de démarrer en mode sans échec pour lancer ton antivirus ? (il faut tapoter F8 au démarrage du PC pour lancer ce mode) Car en mode sans échec, si le virus te laisse lancer ce mode, la majorité des virus sont inactif et il est alors parfois possible de les éradiquer.

[Gregg]

Bonjour EinsteinZero,

Je viens de rebooter en mode sans echec. Windows démarre correctement. En revanche lorsque je lance l'analyse de mon Antivirus voici le message que j'ai :

Scanner ligne de commande ECLS, version 5.2.7.0, <C> 1992-2011 ESET, spol, s r.o
.
Module loader, version 1040 <20120313>, édition 1048
Module perseus, version 1368 <20121016>, édition 1491
Module scanner, version 7632 <20121026>, édition 12378
Module archiver, version 1154 <20121001>, édition 1120
Module advheur, version 1136 <20121017>, édition 1101
Module cleaner, version 1057 <201120626>, édition 1065

Ligne de commande : /auto

Analyse démarrée 10/27/12 11:57:51
nom="C:\hiberfil.sys", menace="", action="", infos="erreur à l'ouverture"
nom="C:\pagefiles.sys", menace="", action="", infos="erreur à l'ouverture"
_

C'est grave docteur ?

De plus, je me suis rendu compte de quelques petites choses bizzares : lorsque j'appuie sur l'accent circonflexe de mon clavier il m'en met deux automatiquement et je ne peux plus en mettre sur les lettres. De plus, lorsque je lance windows live messenger, il se ferme automatiquement au bout d'un certain temps. Et enfin, j'ai des difficultées à surligner un texte et des ralentissement dans l'utilisation des fl^^eches du clavier lorsque je veux naviguer sur le texte que je suis en train d'écrire par ex... (pour le coup vous avez un exemple sur "fleche" de ce que ça fait).

C'est bien la première fois que de telles choses m'arrivent...

[EinsteinZero]

Re
Hélas n'étant pas un spécialiste virus, je dois laisser la main à d'autres, cependant le double "^" laisse à penser à la présence d'un module Keylogger (qui espionne le clavier) en mémoire....tu peux en attendant suivre la procédure suivante proposée par nos spécialiste du genre:

>>Préparer sa demande d'aide de désinfection<<

[Gregg]

Bonsoir EinsteinZero,

Merci pour ton avis.

Je passe directement à l'étape trois de "préparer sa demande d'aide de désinfection".

Précisez de la manière la plus simple pour vous, quels sont les symptômes qui vous font penser que votre PC est infecté:

- Alerte menace de mon antivirus comme indiqué dans mon premier post. Impossible de nettoyer.
(Mon antivirus me l'annonce régulièrement, mais ce n'est pas intempestif ça reste ponctuel)
- Double "^^"
- Ralentissements étranges sur Windows live messenger lors de la saisie d'un texte dans ma bo^^ite mail.
- Fermeture soudaine de Windows live messenger lorsque je passe la souris sur l'icone dans la barre des t^^aches.

Indiquez aussi de quels moyens de restaurations vous disposez pour cet ordinateur.

Je possède le DVD officiel de Windows pour une réinstallation, je ne possède rien pour une restauration.

Je vais donc attendre sagement qu'un helper me vienne en aide.

Merci

[jeanmimigab]

hello,

pour ça...

Analyse démarrée 10/27/12 11:57:51
nom="C:\hiberfil.sys", menace="", action="", infos="erreur à l'ouverture"
nom="C:\pagefiles.sys", menace="", action="", infos="erreur à l'ouverture"

c'est normal, ces fichiers sont protégés par Windows, donc pas de soucis...

Pour les autres symptômes, fais le scanne OTL préconisé dans la procédure "préparer sa demande d'aide...." et poste les deux rapports ( OTL.txt et Extras.txt)

[Gregg]

Hello jeanmimigab,

voila pour les 2 liens :

http://n7e1q0.1fichier.com/

http://nkkxab.1fichier.com/

Merci

[jeanmimigab]

Ton pc est infecté...

* Relance OTL....
* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
O4 - HKU\S-1-5-21-3683839873-4055731717-3544202213-1000\..\Run: [WinManagement] C:\Users\Greg\AppData\Roaming\svchost.exe ()
O33 - MountPoints2\G\Shell - "" = AutoRun
O33 - MountPoints2\G\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL http://www.ultimatebootcd.com/
ActiveX: {S8SB63I-R7HL2B-XATDTF-OWHV2H-23LJOI5LR6}

:files
C:\Users\Greg\AppData\Local\Temp\fbe2808e-2380-4f14-a1fa-3fa9c3a364e8\CliSecureRT.dll
C:\Users\Greg\AppData\Roaming\svchost.exe

:Commands
[emptytemp]

* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scanne aller à son terme sans te servir du PC
* A la fin du scanne (ou après le redémarrage du pc par OTL) un rapport va s'ouvrir
* Copie et colle le rapports dans ta réponse stp...

[Gregg]

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3683839873-4055731717-3544202213-1000\\Software\Microsoft\Windows\CurrentVersion\Run\\WinManagement deleted successfully.
C:\Users\Greg\AppData\Roaming\svchost.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G\ not found.
File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL http://www.ultimatebootcd.com/ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{S8SB63I-R7HL2B-XATDTF-OWHV2H-23LJOI5LR6}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{S8SB63I-R7HL2B-XATDTF-OWHV2H-23LJOI5LR6}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{S8SB63I-R7HL2B-XATDTF-OWHV2H-23LJOI5LR6}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{S8SB63I-R7HL2B-XATDTF-OWHV2H-23LJOI5LR6}\ not found.
========== FILES ==========
C:\Users\Greg\AppData\Local\Temp\fbe2808e-2380-4f14-a1fa-3fa9c3a364e8\CliSecureRT.dll moved successfully.
File\Folder C:\Users\Greg\AppData\Roaming\svchost.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Greg
->Temp folder emptied: 191565945 bytes
->Temporary Internet Files folder emptied: 29221145 bytes
->Flash cache emptied: 664 bytes

User: Public

User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1244160 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
RecycleBin emptied: 377266176 bytes

Total Files Cleaned = 572,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 10282012_140451

Files\Folders moved on Reboot...
C:\Users\Greg\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Greg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\ED8654D5-B9F0-4DD9-B3E8-F8F560086FDF.dat moved successfully.
C:\Users\Greg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YCG06ZWM\adsCANYWHCS.htm moved successfully.
C:\Users\Greg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YCG06ZWM\data_sync[1].htm moved successfully.
C:\Users\Greg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YCG06ZWM\xd_arbiter[1].htm moved successfully.
C:\Users\Greg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E1KG0YPR\adsCA8PWVU5.htm moved successfully.
C:\Users\Greg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\E1KG0YPR\fastbutton[1].htm moved successfully.
C:\Users\Greg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DGEMH2FG\xd_arbiter[1].htm moved successfully.
C:\Users\Greg\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\49WB4E6Y\tweet_button.1347008535[1].htm moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[jeanmimigab]

ok, c'est cool...

• télécharge Malwarebytes >>ici
• Choisis "exécuter un examen rapide" et à la fin du scanne , coches tous les éléments trouvés,et cliques sur supprimer la sélection.
• Poste moi le rapport stp.

en cas de problèmes avec l’utilisation de malwarebyte, pour t'aider un super tuto de Danakil.

[Gregg]

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
www.malwarebytes.org

Version de la base de données: v2012.10.28.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Greg :: GREG-PC [administrateur]

Protection: Activé

28/10/2012 14:39:22
mbam-log-2012-10-28 (14-39-22).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216071
Temps écoulé: 46 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

[jeanmimigab]

est-ce qu'il y a du mieux ? comment se comporte le pc stp ?

[Gregg]

Alors pour le moment je n'ai pas reçu de message d'alerte de la part de mon antivirus ce qui est plutot bon signe.
Le problème des accents "^^" semble être réglé aussi.

En revanche j'ai toujours ce problème de navigation dans la boîte mail de windows live messenger. Je ne peux toujours pas utiliser mes flêches directionnelles dans le bloc de saisie du courrier.

Question : existe t'il une procédure d'analyse pour vérifier certains fichiers que je soupçonne être les coupables concernant mon infection. Ce sont des plugins que j'ai installé récemment pour mon logiciel de musique. Si je suis ammené à faire une réinstallation de mon système et que le virus est caché dans l'un de ces fichiers, c'est retour à la case départ. J'ai déjà fait un scan de mon antivirus qui lui ne trouve rien.

[jeanmimigab]

Question : existe t'il une procédure d'analyse pour vérifier certains fichiers que je soupçonne être les coupables concernant mon infection. Ce sont des plugins que j'ai installé récemment pour mon logiciel de musique. Si je suis ammené à faire une réinstallation de mon système et que le virus est caché dans l'un de ces fichiers, c'est retour à la case départ. J'ai déjà fait un scan de mon antivirus qui lui ne trouve rien.

tu peux faire analyser un fichier suspect sur virus-total, il y sera analysé par 37 antivirus différents
https://www.virustotal.com/

En revanche j'ai toujours ce problème de navigation dans la boîte mail de windows live messenger. Je ne peux toujours pas utiliser mes flêches directionnelles dans le bloc de saisie du courrier.

tu as le soucis avec tous les navigateur (firefox, internet explorer etc...) ou bien juste avec "un" navigateur précis ?

[Gregg]

Je n'utilise qu'un seul navigateur Internet explorer, je précise tout de même que je rencontre ce problème uniquement sur windows live messenger. Ici par exemple les flêches fonctionnent parfaitement.

tu peux faire analyser un fichier suspect sur virus-total, il y sera analysé par 37 antivirus différents

Merci pour l'info, le problème c'est que la taille du fichier est limitée à 32mo il me semble. Le mien en fait 124mo.