bonjour,
 
Voilà, depuis un moment que mon antivirus (KasperSky Internet Security 2010 à jour) me signal sans arrêt ceci :
 

 
Je m'y connais quand même un minimum, et j'ai tout essayé. HijackThis, Malwarebytes' Anti-Malware, adaware, combofix, smitfraudfix, navilog etc etc etc.... même un scanne de mon AV.
Quand je surf avec Firefox j'ai également un onglet qui s'ouvre tout seul et aléatoirement avec des liens vers des casino, jeux en ligne etc... puis mes résultats Google sont détournés. Quand je clique sur un résultat de recherche, 1 fois sur 5 je suis redirigé sur un site n'ayant rien avoir !
 
Une fois je devais utiliser un programme que l'antivirus détectait comme malveillant (source sur, il ne l'ait pas car je l'ai déjà utilisé sur mes autres PC et je n'ai pas de problème). J'ai donc désactivé complètement Kaspersky (au lieu de le suspendre pendant X minutes   ). Puis depuis je n'avais pas fait gaffe mais il était désactivé    
Je pense que mon infection vient de cette période là.
 
Je pensais aussi que cela pouvait être une pub CID, j'ai donc désinstallé quelques programmes tels que Live plus messenger (que j'installe toujours sans le sponsor TASK pourtant) mais rien y fait.
Bref je ne sais plus quoi faire maintenant    
 
Config :
 
Windows Seven Pro Original et à jour (donc pas de crack d'activation qui pourrait cacher un trojan)
KasperSky internet Security 2010 à jour
 
Logiciels lancés au démarrage :
 
KasperSky
Steam
TeamViewer
Logiciel Logitech
 
Logiciels utilisé pour tentative de désinfection (j'ai pas tous le nom en tête tellement j'en ai essayé) :
 
Malwarebytes' Anti-Malware
Adaware
smitfraudfix
navilog
ComboFix
HiJackThis
et d'autres
 
Quelqu'un aurait une idée ? C'est peut être simple et je suis passé à côté de quelque chose    
 
 
Edit : après avoir supprimé 3 fichiers louches sur hijackthis (que je n'avais pas vu), je ne suis pas sur que ce problème soit encore d'actu :
 
"Quand je surf avec Firefox j'ai également un onglet qui s'ouvre tout seul et aléatoirement avec des liens vers des casino, jeux en ligne etc... puis mes résultats Google sont détournés. Quand je clique sur un résultat de recherche, 1 fois sur 5 je suis redirigé sur un site n'ayant rien avoir !"
 
depuis un moment je ne l'ai plus, mais je patiente pour voir quand même

J'ai effacé le hijackthis puisque interdit sur le forum
 
Merci de mettre le titre en minuscule.
 
SvcHost = hébergeur de service, utiliser psexplorer pour voir quel service précis fou ton bordel

ok désolé pour le rapport

svchost je savais à quoi sa servait, mais merci pour psexplorer. Ça je connaissais pas

comment je l'utilise ? ou plutôt comment vous montrer ce qu'il m'indique ?

visiblement il s'agit du svchost.exe PID 712.
 
Voici ce que j'ai concernant le 712  :
 
http://dl.free.fr/vcQDCjfEA
 
en bas du fichier on voit les DLL chargé par le process

si tu doubles clic sur le svchost tu as une fenetre propriétés et un onglet services. C'est plutôt là qu'il faudrait checker

Salut,
 
Plus simplement, on peut faire un diagnostic de ton pc pour trouver une vrai parade à tes infections :
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
Vu que tu t'y connais un minimum, je te donnerais toutes les informations pour te guider sur la désinfection au besoin.  
 
Note : si tu as conservé tous les rapports des outils que tu as déjà utilisé, merci de me donner les liens correspondants.

je n'ai malheureusement pas gardé les log des autres outils.
 
voici le log du diag :
 
http://www.cijoint.fr/cjlink.php?f [...] 1wgM21.txt

Salut malik67,
 
Ton rapport ZHPDiag ne montre pas d'infection. Cela confirme :
 

 
Cependant, tu as deux programmes qui ne sont pas à jour, ce sont des failles de sécurité.

1- Il s'agit de java, on en est à la version 1.6.18 et sur ton pc est installé la version 1.6.11, mets donc java à jour en passant pas le site officiel ==> ICI
Une fois la mise à jour effectuée, supprimes la version 1.6.11 de ton ordinateur si elle est toujours présente.
 
2- Et ensuite d'adobe reader, on en est à la version 9.3.0. Lance adobe reader, clique sur aide puis rechercher les mises à jour, laisse toi guider.
 
Si toutefois tu as d'autres symptômes, n'hésites pas à revenir.
 
Une précision : supprimer des lignes néfastes sur un rapport hijackThis ne supprime pas l'infection elle même, fais bien attention à cela. si tu souhaites être guidé en cas de besoin, je suis disposé à t'aider en te donnant toutes les explications nécessaires dans le moindre détail, ceci pour parfaire tes connaissances et partager nos informations.
 
Bon week-end.

oki super info, je ne voyais pas le problème dans ce sens là
 
je vais déjà essayer de me débrouiller un peu avec vos info. Puis je reviendrais.
 
encore merci

concernant :

"depuis un moment je ne l'ai plus, mais je patiente pour voir quand même"

je les ai toujours en faite
onglet qui s'ouvre, lien google détourné etc...

je procède aux mise à jour.

M'ouais, bizarre !!
 
Je vais demander un coup de main autour de moi, je vais éplucher ton rapport et on verra ce que l'on peut faire pour toi, je te tiens au courant si l'on trouve une solution.

Me revoilà,  
 
Bon écoute, tu vas utiliser une nouvelle fois combofix, on verra ce que dit le rapport, il y a peut être des éléments nuisibles qui sont cachés et qui ne sont pas supprimés automatiquement. Je te donne le canned speech :
 
(!) A l'attention de ceux qui passent sur ce sujet (!)
 
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helper du forum qui connait bien cet outil vous l'a recommandé.
 
/!\ Désactive tous tes logiciels de protection /!\
 

• Télécharge ComboFix (de sUBs) sur ton Bureau
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste le lien de ce rapport (C:\Combofix.txt) dans ta prochaine réponse

Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
 
 

voici le rapport combofix :

http://www.cijoint.fr/cjlink.php?f [...] KZk4pY.txt

je dirais que ça à l'air ok sur le rapport

Salut malik67,
 
Tu as envoyé un rapport de smitfraudix    
 
Ne passes pas combofix du coup. On va plutôt utiliser Gmer, le but étant de voir s'il n'y a pas un rootkit TDS qui traine vu que tu as déjà utilisé combofix auparavant :
 
    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
    • Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    • Lance Gmer
    • Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    • A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
    • Envoies le lien du rapport dans ta prochaine réponse.
 
 
Ce coup là ne te trompe pas de rapport

bon me suis pas trompé lol désolé avec tous les soft que j'ai utilisé ^^
 
voici le rapport Gmer :
 
http://www.cijoint.fr/cjlink.php?f [...] 4dcUko.txt
 
je ne vois rien de suspect

Tu n'as plus qu'à passer combofix, sait-on jamais !?  

bon je suis revenu de déplacement. Je vais essayer de faire un combofix sous peu

et voilà :

http://www.cijoint.fr/cjlink.php?f [...] bzl7eD.txt

rien de louche pour moi.

Par contre, j'ai suspendu Kaspersky pour laisser ComboFix scanner. J'aurais du déconnecter le PC du net je sais, mais du coup le fameux message (voir 1er poste) n'est pas apparu puisque Kasper ne le bloquait plus
ensuite j'ai relancé Kasper et là il m'indique que deux fichiers sont vérolés dans systèm32 (j'ai pas noté les quels). Je pense que le "e8.exe" (voir 1er poste) c'est exécuté et m'a donc installé ces deux merdes. Kasper à faire le nettoyage avec redémarrage, mon infection n'a pas empirée et les deux fichiers ont été correctement supprimé

à voir si j'ai toujours le même problème maintenant.

Salut,
 
Ce que l'on sait de ton problème :
 
L'adresse 91.212.226.182 est vérolée ==> A lire ici
 
Elle pointe vers le téléchargement d'un .exe vérolé qui contient un trojan.
 
Ton antivirus ne détecte donc pas un faux positif, malwarebytes ne donne rien ??
 
Ce qui est bizarre c'est qu'aucune entrée n'est détectée dans tes rapports ? J'avoue que je donne ma langue au chat sur ce coup là    
 
Tu peux toujours essayer des scans avec spybot et a-squared, on ne sait jamais, parfois ces outils rendent de bons services.

ok je vais voir ça

bon visiblement A-squared m'a trouvé deux exploitation d'une faille java.
Pour le moment je n'ai plus le message de mon antivirus à propos de svchost.exe.
 
MAIS, j'ai toujours mes pubs Firefox qui ouvrent des onglets et redirigent mes résultats Google.
 
Alors dur dur ??

??

je passe spybot pour le moment

EDIT : il n'a rien trouvé. Mise à part 3 cookies genre doubleclick, statcounter etc...

Salut,
 
Ben alors adminlepro2, on fait mumuse sur le forum   , tu peux constater que les émoticones fonctionnent bien, rien ne t'empêche de les personnaliser.... lol
Maintenant, si tu as du concret à proposer sur ce thread tu es le bienvenue.
 
@malik67 : Plus sérieusement, dans le doute, si ton fichier hosts est corrompu, tu vas faire ceci ==>
 

• Télécharge MyHosts  sur ton bureau .
• Pour le lancer, fais un double-clic sur l'icône de MyHosts qui se trouve sur ton bureau.
• Le rapport " MyHosts.txt " s'ouvre quelques secondes après, envoies le lien de son contenu dans ta prochaine réponse.

• Si par erreur tu as fermé le rapport " MyHosts.txt " avant de le copier, tu peux le retrouver à la racine de ton disque système (  par exemple  C:\MyHosts.txt   ) .

 
IMPORTANT :
 
MyHosts doit être lancé sur une session ayant des droits "administrateur", toute exécution sur un compte "limité" entraînera l'apparition d'une fenêtre DOS vous demandant de le relancer à partir d'un compte administrateur.
 
Fais aussi ceci :
 
Télécharges et installes  CCleaner
 

• Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".
• Dans le menu nettoyeur , clique sur "Analyse.
• Ensuite clique sur le bouton "Lancer le nettoyage" et laisse le faire.
• Maintenant dans l'onglet "Registre" , clique sur "Chercher des erreurs"
• Réponds a OUI a la question qui te sera posée.
• Enfin , répare les erreurs en cliquant sur " Réparer les erreurs sélectionnés "
• recommence la recherche et la suppression des erreurs jusqu'à ce qu'il ne reste plus rien.
• un  tutoriel pour t'aider

 
Fais un scan en mode rapide avec malwarebvytes et avec ton antivirus à l'issue de ses manips.
 
Tiens moi au courant du comportement de ton pc - des redirections et pages de pubs.

le problème du fichier est host est visiblement réglé puisque je n'ai plus aucune alerte de mon AV.

comme dit il ne me reste plus que les pubs Firefox. Je vais essayé de désinstaller complètement FF + le profile, faire un nettoyage complet et le réinstaller pour voir.

EDIT :  BON !!! commence à me gonfler ce pc lol

Pendant la désinstallation de FF. Le message de l'AV est revenu, cela dit il revient beaucoup moins souvent qu'avant (mais le problème reste le même).
Puis j'ai voulu télécharger FF avec IE8 et IE8 m'a ouvert une nouvelle fenêtre avec la même pub, donc rien a voir avec FF.

Retour à la case départ. Je vais essayer la manip avec MyHost quand j'aurais un peu de temps libre. Pour Malawarebyte, j'ai déjà fait des dizaines de scannes.

je me permets de poster le rapport ici car il est tout petit :
 
** Rapport MyHosts.txt **
 
MyHosts V.1.0.0.1 de jeanmimigab
 
Merci à la team MH et à Batch_man pour leurs aides
 
Résultat de l'opération: succès de l'opération
 
>>> Le fichier hosts a bien été restauré...
 
** Fin du rapport **

Salut,
 
Toujours ce problème de pubs ??  
 
Bien que les rapports ne montrent rien, on va tout de même tenter plusieurs outils essayes ceci :
 

• Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://forum-aide-contre-virus.be/ [...] mover.html
• Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
• Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
• Sous Vista : clic droit sur AD-Remover et sélectionner "Exécuter en tant qu'administrateur"
• Au menu principal choisi l'option "L" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
• Il est interdit de poster un rapport directement sur le forum, héberge le rapport généra par AD-Remover sur Ci-joint

   
 
    ( le rapport est sauvegardé aussi sous C:\Ad-report.log )
 
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
 
    Note :
 
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

rien....encore
 
http://www.cijoint.fr/cjlink.php?f [...] L2JI23.txt

mon message à changé :
 

 
on aura peut être plus d'indice maintenant.

Salut,
 
J'ai peut être une piste, je te tiens au courant....

ok

j'ai trouvé ceci :

http://209.85.229.132/search?q=cac [...] clnk&gl=fr

on voit que c'est le processus :

svchost.exe -k netsvcs

Salut,
 
Je suis en contact comme je te l'avais dit avec d'autres aidant en désinfection, je te tiens au courant des conclusions, mais plusieurs fichiers on été repérés. Certains devront être analysés peut être sur virustotal.
 
Je préfère attendre encore un peu et te donner la marche à suivre une fois que j'aurais tout assimilé...
 
A plus tard, cela peut prendre un peu de temps, sois patient.

ok merci en tout cas

Salut,
 
Je reviens vers toi pour des précisions.
 
Voici des fichiers suspects détectés sur ton pc, il y en a d'autres, mais j'ai la certitude de devoir les supprimer :
 
C:\Windows\system32\drivers\Msft_User_WpdRapi2_01_00_00.Wdf
C:\Windows\system32\rp_stats.dat
C:\Windows\system32\rp_rules.dat
C:\Users\Neogamer\AppData\Roaming\RipIt4Me\updater\ri4mupdater.exe  
 
 
Tu vas te rendre sur Virustotal et analyser chacun des fichiers que je t'ai désigné.  
Tu vas ensuite copier/coller les résultats dans un fichier bloc-notes, heberger le fichier sur ci-joint et envoyer le lien dans ta prochaine réponse.
 
Un Tutoriel pour t'aider à utiliser virustotal
 
A plus tard.

impossible d'envoyer un fichier. J'ai une fenêtre de transfère qui s'ouvre, puis une page blanche apparait avec marqué :

0 bytes size received / Se ha recibido un archivo vacio

j'ai essayé IE et FF et même en désactivant Kaspersky

EDIT : pour ce fichier :

C:\Users\Neogamer\AppData\Roaming\RipIt4Me\updater\ri4mupdater.exe  

c'est le module de mise à jour de mon logiciel d'encodage vidéo je crois : Ri4m (Rip it after me).

EDIT 2 : j'ai réussi en utilisant le logiciel de VirusTotal, voici le .txt avec le rapport pour chaque fichiers. D'après moi ils sont ok :

http://www.cijoint.fr/cjlink.php?f [...] VhIWp2.txt

Salut,
 
merci pour les rapports de virustotal.
 
Le but de ses recherches et de confirmer ou d'infirmer les doutes que l'on peut avoir sur certains fichiers, doivent-ils ou non être supprimés ?
 
Comme tu l'as deviné, leur suppression ici n'est pas nécessaire. Cependant, d'autres fichiers le sont, on ne va pas résoudre tout de suite ton problème de fichier patché (svchost en l'occurrence, fichier windows normalement sain), il faudra faire d'autres manips avec les outils intégrés à windows. (un sfc /scannow)
 
Je vais te donner des manipulations à faire avec combofix que tu as j'espère toujours sur ton bureau. Il s'agit de faire exécuter un script de suppression de fichiers infectieux présents sur ton ordinateur :
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour malik67, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier malik67.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
• Désactive tes logiciels de protection  
 
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe comme sur l'animation ci-dessous
 

 
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: envoies moi le lien de ce rapport stp.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
 
 
A plus tard pour la suite.

voilà :

http://www.cijoint.fr/cjlink.php?f [...] BWdDyq.txt

je te tiens au courant si j'ai encore des alertes ou des pubs sur firefox

Re,
 
Okay, voici la suite :
 
Tu vas maintenant mettre un peu d'ordre dans les fichiers systèmes de ton OS. Cette manipulation consiste à mettre en œuvre l'utilitaire SFC, présent sous windows en natif qui permet de scanner l'ensemble des fichiers systèmes et de les remplacer en cas de besoin (fichier modifié, absence d'une dll,....). Le but ici et de remplacer le fichier patché par l'infection (svchost)
 
Voici comment procéder ==>  
 
1- dans la barre de recherche de sept tape : cmd
2- quand "cmd.exe" apparait dans la zone de recherche fais un clique droit dessus puis "Exécuter en tant qu'administrateur"
3- Dans la fenêtre CMD qui s'ouvre (sous fond noir) tape : sfc /scannow  (l'espace entre sfc et / est important)
4- laisse le scan se dérouler tranquillement
5- il te sera peut être demandé le DVD de sept pendant le scan (si tu as une partition recovery installée sur ton pc, le DVD ne sera pas demandé)
 
A l'issu de ce scan, fais une analyse avec ton antivirus et tiens moi au courant.

je pars à l'entrainement
 
j'essaie demain ou ce week end.
 
encore et encore merci ^^
 
PS : en ce qui concerne les pubs je les ai toujours. Je ne suis pas resté devant le PC donc je ne sais pas pour l'alerte Kaspersky. Et je n'ai pas utilisé google donc je ne sais pas non plus pour les redirections.

aucune violation d'intégrité trouvé.
 
je procède au scan antivir

Salut,
 
Le cas de ton pc donne du fil à retordre. Il semblerait que les outils utilisés peinent à donner des résultats probants en particulier sur les diagnostic (la faute à windows 7). Faut faire avec malheureusement.
 
Je souhaiterai savoir si tu as utilisé des patchs, keygens ou cracks dernièrement et si oui lesquels ? C'est une piste de plus, un cas similaire a été traité et la réponse trouvé quand l'internaute a enfin donné au bénévole qui s'occupait de son pc le nom du patch.  
 
Sois sincère stp, je ne suis pas ici pour te juger, mais pour tenter de t'aider.  
 
Je te souhaite un bon dimanche !