FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[emeline1985]

Bonjour,

Voila comme il est dit dans le titre du sujet depuis quelques jours j'ai cette icone : Continue VuuPC Installation qui est apparu sur mon bureau et je n'arrive pas à m'en débarasser.

J'ai essayé de supprimer manuellement il revient au bout d'un certain temps.. Je n'ai rien dans le panneau de configuration : supprimer un programme.

Bien entendu je n'ai pas lancé ce programme car sur internet en faisant quelques recherches a priori c'est un virus..

J'ai lancé ADWcleaner : il me le supprime bien, il apparait bien dans le rapport de suppression mais idem il revient au bout d'un certain temps. J'ai d'ailleurs une fenêtre qui s'ouvre comme quand on installe un programme que je ferme aussitôt.

A priori l'antivirus (Avira) ne détecte rien.

Voilà j'espère avoir été précise, merci d'avance pour vos réponses et pour m'accorder un peu de temps ;-)

Emeline

[g3n-h@ckm@n]

salut

Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient.
Télécharger Shortcut_Module ici :
http://www.telecharger.sosvirus.net/dow ... ut_module/
L' enregistrer sur le bureau, et le lancer



cliquer sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur le petit "u" en bas à droite pour le desinstaller totalement

[emeline1985]

voici le rapport : http://cjoint.com/?3GywFX3UNVP

[g3n-h@ckm@n]

bonsoir

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[emeline1985]

Voici le rapport :

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Scan Date: 25/07/2014
Scan Time: 20:47:18
Logfile: malwarebytes.txt
Administrator: Yes

Version: 2.00.2.1012
Malware Database: v2014.07.25.06
Rootkit Database: v2014.07.17.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Self-protection: Disabled

OS: Windows Vista Service Pack 2
CPU: x86
File System: NTFS
User: Emeline

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 276165
Time Elapsed: 22 min, 20 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 0
(No malicious items detected)

Registry Values: 0
(No malicious items detected)

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)


(end)

[g3n-h@ckm@n]

hello

bien on fait un diag voir ce qu il pourrait rester ^^

• Copie le script ci dessous :
  
  HKCU\Software
      HKCU\Software\AppDataLow /s
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
      HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
      %Homedrive%\*
      %Homedrive%\*.
      %Homedrive%\Recycler\*.exe /s
      %Homedrive%\Recycler\*.scr /s
      %Homedrive%\Recycler\*.pif /s
      %Homedrive%\Recycler\*.vb* /s
      %Homedrive%\$Recycle.bin\*.exe /s
      %Homedrive%\$Recycle.bin\*.scr /s
      %Homedrive%\$Recycle.bin\*.pif /s
      %Homedrive%\$Recycle.bin\*.vb* /s
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\*
      %Userprofile%\Local Settings\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programFiles%\*.
      %programfiles%\Google\Desktop\*.
      %ProgramFiles%\Common Files\*.
      %ProgramFiles(X86)%\Common Files\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\PSS\* /s
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\syswow64\Tasks\*
      %systemroot%\syswow64\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[emeline1985]

Hello,

Voici les 2 rapports :

http://upload.sosvirus.net/www/?a=di=WjK6CBBhDv

http://upload.sosvirus.net/www/?a=di=1mCMDPmPJC

[g3n-h@ckm@n]

re

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Program Files\Cardo Updater\CardoUpdater.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

[emeline1985]

Bonsoir,

Voici le lien : https://www.virustotal.com/fr/file/1f99 ... /analysis/

[g3n-h@ckm@n]

re

j'ai un petit doute qu'on va s'empresser de mettre à l'écart :

Télécharge Gmer : http://www.gmer.net/#files clique sur « Download EXE » et enregistre-le sur ton bureau

Important : Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_l ... -f31s4.htm

Ne pas utiliser l'ordinateur pendant le scan de GMER

Pour XP = double clique sur gmer.exe
Pour Vista et 7 = clique droit « executer en tant que…. »

GMER va lancer un scan automatique

s'il detecte une activité de rootkit et demande un scan complet , répondre non.

décoche IAT/EAT, ShowAll et les lecteurs (C:\ , D:\....) , et coche tout le reste

clique sur Scan

si une fenêtre indiquant un rootkit apparait clique sur OK.
Une fois le scan terminé sauvegarde le rapport sur ton bureau sous le nom gmer.log

ensuite clique sur copy, puis colle-le dans ta réponse.

Réactive tes protections.

Note: Si problèmes utiliser GMER en mode sans echec.

[emeline1985]

Hello,

Voici le scan gmer :

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-07-29 13:20:01
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 - \Device\Ide\IdeDeviceP2T0L0-3 FUJITSU_MHW2160BH_PL rev.891F 149,05GB
Running: ukr0np0x.exe; Driver: C:\Users\Emeline\AppData\Local\Temp\awliqaow.sys


---- System - GMER 2.1 ----

SSDT 8A1CE74E ZwCreateSection
SSDT 8A1CE758 ZwRequestWaitReplyPort
SSDT 8A1CE753 ZwSetContextThread
SSDT 8A1CE75D ZwSetSecurityObject
SSDT 8A1CE762 ZwSystemDebugControl
SSDT 8A1CE6EF ZwTerminateProcess

---- Kernel code sections - GMER 2.1 ----

.text ntkrnlpa.exe!KeSetEvent + 215 820DF860 4 Bytes [4E, E7, 1C, 8A]
.text ntkrnlpa.exe!KeSetEvent + 539 820DFB84 4 Bytes [58, E7, 1C, 8A]
.text ntkrnlpa.exe!KeSetEvent + 56D 820DFBB8 4 Bytes [53, E7, 1C, 8A]
.text ntkrnlpa.exe!KeSetEvent + 5D1 820DFC1C 4 Bytes [5D, E7, 1C, 8A]
.text ntkrnlpa.exe!KeSetEvent + 619 820DFC64 4 Bytes [62, E7, 1C, 8A]
.text ...
.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8BE09340, 0x3ED9C7, 0xE8000020]

---- Devices - GMER 2.1 ----

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys

---- Disk sectors - GMER 2.1 ----

Disk \Device\Harddisk0\DR0 unknown MBR code

---- EOF - GMER 2.1 ----



Je n'ai pas eu de problèmes pour le scan et il ne m'a pas indiqué de rootkit.

[g3n-h@ckm@n]

non mais tu n'as pas suivi les indications sinon le rapport ferait trois kilometres de long

[emeline1985]

Bonsoir,

Voici comment j'ai configuré Gmer
J'ai suivi vos instructions : iat/eat decoché ainsi que showall et les lecteurs. je ne peux pas cocher "3rd party" car elle coche automatiquement showall et elle décoche les autres.
Je voulais joindre une copie de l'imprim ecran mais je n'arrive pas a configurer l'image.

Dites moi si j'ai loupé autre chose.

[g3n-h@ckm@n]

re

ok fais quand meme un rapport avec 3rd party

[emeline1985]

Bonjour,

J'ai un petit soucis en cochant comme vous m'avez dit avec 3rd party et avec les autres cases décochées au bout d'un moment l'ordi redémarre tout seul et il me demande si je veux redémarrer en mode sans echec ou en mode normal.
J'ai essayé deux fois et les deux fois ça m'a fais ça.

[g3n-h@ckm@n]

tu dois pas desactiver l antivirus , sinon fais le scan en mode sans echec