[Résolu]Problème Virus "Hijack.shell.gen"

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

noz'X

[Résolu]Problème Virus "Hijack.shell.gen"

par noz'X »

Bonsoir a toutes la communauté,

Je viens a vous pour un problème que je ne comprend pas, après avoir suivis plusieurs tutoriel présent sur votre site pour supprimer ce virus "Hijack.shell.gen" (qui se trouve désormais en quarantaine grâce à malwarebytes anti-malware). Un problème subsiste:
Explication: Lorsque j'ouvre ma session, une page interpol, SANS message me demandant de payer, (je tiens a préciser), prend la place du bureau, et la tout est bloqué.
J'ai vérifié la clé registre qui gère explorer.exe et effectivement un fichier se trouvant dans application Data prend place. Même en effaçant cette clé et en laissant explorer.exe ce fichier reprend place automatiquement lors du redémarrage de l'ordinateur.
Néanmoins, j'ai observé qu'une fois avoir effacé "C:\document and settings....Application Data" et laissé explorer.exe, je pouvais accéder au bureau mais juste une dizaine de secondes, après cela la page interpol reviens et la clé registre reprend son nom initial (avec un fichier qui a été crée le jour ou cet ordinateur a eu un problème). Je pense donc que tous cela est lié.

J'essayerai de vous poster des photos demain car je n'ai pas l'ordinateur sous le coude.

En vous remerciant de prendre mon sujet au sérieux,

Cordialement.
Dernière modification par noz'X le 16 mars 2014 10:16, modifié 1 fois.
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Problème Virus "Hijack.shell.gen"

par Malekal_morte »

Salut,

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

[*] Télécharger sur le bureau http://forum.malekal.com/roguekiller-t29444.html (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
noz'X

Re: Problème Virus "Hijack.shell.gen"

par noz'X »

Bonjour Malekal_morte,

Merci pour ta réponse, je vais suivre cette manip' dès que j'aurais accès à l'ordinateur.
J'ai voulu tenté un scan avec roguekiller mais n'ayant pas accès un internet sur cet ordinateur, je n'ai pas pu l'installer, je pense que je vais le ramener chez moi pour pouvoir me connecter.

Encore merci !

Cordialement,
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Problème Virus "Hijack.shell.gen"

par Malekal_morte »

ok, sinon y a le transfert par clef USB.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
noz'X

Re: Problème Virus "Hijack.shell.gen"

par noz'X »

Voici le rapport:

RogueKiller V8.8.10 [Feb 28 2014] par Adlice Software
mail : http://www.adlice.com/contact/
Remontees : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur : utilisateur [Droits d'admin]
Mode : Suppression -- Date : 03/05/2014 17:51:59
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 13 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\RunOnce : hnlj1 (C:\Documents and Settings\All Users\Application Data\ggsm\hdspv.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\.DEFAULT\[...]\RunOnce : hnlj1 (C:\Documents and Settings\All Users\Application Data\ggsm\hdspv.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-19\[...]\RunOnce : hnlj1 (C:\Documents and Settings\All Users\Application Data\ggsm\hdspv.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-20\[...]\RunOnce : hnlj1 (C:\Documents and Settings\All Users\Application Data\ggsm\hdspv.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-4119618375-1178336327-4195680335-1005\[...]\RunOnce : hnlj1 (C:\Documents and Settings\All Users\Application Data\ggsm\hdspv.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-18\[...]\RunOnce : hnlj1 (C:\Documents and Settings\All Users\Application Data\ggsm\hdspv.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[SHELL][SUSP PATH] HKUS\[...]\Winlogon : shell (C:\Documents and Settings\All Users\Application Data\wewkt\perbd.exe,explorer.exe [-][x]) -> SUPPRIMÉ
[SHELL][SUSP PATH] HKUS\[...]\Winlogon : shell (C:\Documents and Settings\All Users\Application Data\wewkt\perbd.exe,explorer.exe [-][x]) -> SUPPRIMÉ
[SHELL][SUSP PATH] HKUS\[...]\Winlogon : shell (C:\Documents and Settings\All Users\Application Data\wewkt\perbd.exe,explorer.exe [-][x]) -> SUPPRIMÉ
[SHELL][SUSP PATH] HKUS\[...]\Winlogon : shell (C:\Documents and Settings\All Users\Application Data\wewkt\perbd.exe,explorer.exe [-][x]) -> [0x2] Le fichier spécifié est introuvable.
[SERVICE][Root.Necurs] HKLM\[...]\CCSet\[...]\Services : 8345dfbbdda67747 (C:\WINDOWS\system32\8345dfbbdda67747.sys [x]) -> SUPPRIMÉ
[SERVICE][Root.Necurs] HKLM\[...]\CS001\[...]\Services : 8345dfbbdda67747 (C:\WINDOWS\system32\8345dfbbdda67747.sys [x]) -> [0x3] Le chemin d'accès spécifié est introuvable.
[SERVICE][Root.Necurs] HKLM\[...]\CS002\[...]\Services : 8345dfbbdda67747 (C:\WINDOWS\system32\8345dfbbdda67747.sys [x]) -> SUPPRIMÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x2] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Root.Necurs ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE1 @ IDE) ST3160812AS +++++
--- User ---
[MBR] 485f4d0664683d45cbab911305e0d72c
[BSP] c45fb04957d64fc14de16f0625274f14 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 144341 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_03052014_175159.txt >>
RKreport[0]_S_03052014_175131.txt
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Problème Virus "Hijack.shell.gen"

par Malekal_morte »

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/malwarebyte-ant ... les-virus/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.



puis:

Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
noz'X

Re: Problème Virus "Hijack.shell.gen"

par noz'X »

Bonjour Malekal_morte,

Tout d'abord, je te prie de m'excuser pour le temps de réponse, je n'étais pas disponible.
En ce qui concerne Malwarebytes, j'avais, effectivement, fais une analyse après RogueKiller, vue que je ne retrouve pas le rapport
je te donne ci-dessous les éléments trouvés puis supprimés:

-Spyware.Zbot.ED file C:\Documents and Settings\All Users\Application Data\ggsm\hdspv.exe
-Spyware.Zbot.ED file C:\Documents and Settings\All Users\Application Data\wewkt\perbd.exe
-Malware.Packer.PUKN file C:\Documents and Settings\utilisateur\Application Data\Adobe\acup217.dll
-Malware.Packer.PUKN file C:\Documents and Settings\utilisateur\Local Settings\Temp\a12.tmp
-Trojan.Agent.ZT file C:\Documents and Settings\utilisateur\Local Settings\Temp\^tmf3036776132603458...
-Trojan.Agent.ZT file C:\Documents and Settings\utilisateur\Local Settings\Temp\^tmf8808407427670247...
-Trojan.Necurs file C:\WINDOWS\Installer\{05DEB9F9-033E-B068-A296-AFFE2281BB0D\syshost.exe


En ce qui concerne OTL voici le rapport:

(OTL.txt)
http://pjjoint.malekal.com/files.php?id ... 12t13e11o6

il n'y a pas de rapport "Extra.txt"

J'oubliais, j'ai regardé les deux fichier correspondant au deux Spyware.Zbot.ED, je me suis aperçu que ces deux application étaient des LPET Runtime App Controller, et ont été crée le jour de l'infection. Saurais-tu me dire ce que c'est, je n'ai rien trouvé sur internet.

En te remerciant,

Cordialement.
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Problème Virus "Hijack.shell.gen"

par Malekal_morte »

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
FF - prefs.js..keyword.URL: http://websearch.ask.com/redirect?clien ... 00YYFR&&q= <b>[Pays US - 199.36.102.106]</b>
[2014/02/13 03:00:03 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Documents and Settings\utilisateur\Application Data\Mozilla\Firefox\Profiles\pzyl97sn.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
O2 - BHO: (TBSB04240 Class) - {4F37A8FE-00B3-430F-85AA-F97F12E8B651} - C:\Program Files\Force Download Toolbar\tbcore3.dll ()
O3 - HKU\S-1-5-21-4119618375-1178336327-4195680335-1005\..\Toolbar\WebBrowser: (Force Download Toolbar) - {37D4F18B-902D-4794-807B-D6C5314B4FF7} - C:\Program Files\Force Download Toolbar\tbcore3.dll ()
[2014/02/13 03:07:13 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\edemqi
[2014/02/13 03:07:08 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\afcew
[2014/02/13 03:07:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\dgff
[2014/02/13 02:56:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\bty
[2014/03/03 14:41:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\utilisateur\Application Data\afcew
[2014/02/13 09:12:14 | 000,000,372 | ---- | M] () -- C:\WINDOWS\rcitffp.wiy
[2014/02/13 09:11:44 | 000,001,296 | ---- | M] () -- C:\WINDOWS\qje.wco
[2014/03/05 17:38:48 | 000,001,068 | ---- | M] () -- C:\WINDOWS\zxxtw.vzw
[2013/11/15 10:11:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\37a33333



* poste le rapport ici



~~

puis :

Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
noz'X

Re: Problème Virus "Hijack.shell.gen"

par noz'X »

Bonjour Malekal_morte,

Voici le second rapport OTL:

http://pjjoint.malekal.com/files.php?id ... 4x11d11u55

En ce qui concerne TDSkiller, il n'a rien trouver donc pas de rapport.

Je te remercie de ton attention.

Cordialement,
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Problème Virus "Hijack.shell.gen"

par Malekal_morte »

ca va mieux le PC ?



Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/malwarebyte-ant ... les-virus/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.

si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
noz'X

Re: Problème Virus "Hijack.shell.gen"

par noz'X »

Bonjour Malekal_morte

Voici le rapport Malwarebytes:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.03.15.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
utilisateur :: PC1 [administrateur]

15/03/2014 13:24:20
mbam-log-2014-03-15 (13-24-20).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 281164
Temps écoulé: 17 minute(s), 17 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Rien de détécté !

Le PC va beaucoup mieux et je te remercie énormément de ton aide.
Dois-je mettre [Resolu] dans le titre ?
Autre question que je t'ai posé un peu plus haut mais tu ne là peut-être pas vu:
C'est tu ce qu'est LPET Runtime App Controller ? qui étaient deux fichier infecté présent sur l'ordinateur.

En te remerciant de l'aide que tu m'as apporté !

Cordialement,
noz'X

Re: Problème Virus "Hijack.shell.gen"

par noz'X »

Après quelque recherche sur votre site, j'ai découvert que mon pc a été infecté aussi par cryptorbit...
Et d'après les réponses que j'ai pu lire, il n'y a aucun moyen de récupérer ses fichier mise à part si il y une version précédente ? ce dont je vais allez vérifier maintenant..
Malekal_morte
Messages : 112097
Inscription : 10 sept. 2005 13:57

Re: Problème Virus "Hijack.shell.gen"

par Malekal_morte »

Non malheureusement, il n'y a pas trop de solutions.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »