Infection cmwf et cmwfp (résolu)

[Freyaska]

[SUJET RESOLU]

Bonjour,

Mon win8.1 a une infection dont je ne parviens absolument pas à me débarrasser.
Cela semble être lié à DEUX PUP cmwf et cmwr.

Malwerebytes ne les détecte pas. Quant à Adwcleaner, il les trouve et les supprime d'après son rapport mais ils sont toujours là après redémarrage. Roguekiller, quant à lui, se bloque systématiquement pendant le scan de cmwr.sys, qu'il ne parvient pas à passer.
De même, il est impossible de les supprimer manuellement.

Pourriez vous s'il vous plait m'aider à les supprimer?

Voici les différents rapports que je vous joins :

-adwcleaner : http://cjoint.com/?3CbqzNfTgBY
-malwrebytes : http://cjoint.com/?3CbqCngiOMS
-FRST : http://cjoint.com/?3CbqACyjnfD et http://cjoint.com/?3CbqA63xMgG

Merci par avance

[angelique]

➫Télécharge combofix.exe (par sUBs) et sauvegarde le sur ton bureau , pas ailleurs!!!!!

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

➫ ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

Driver::
cmwf
cmwr
File::
C:\Windows\system32\Drivers\cmwf.sys
C:\Windows\system32\Drivers\cmwr.sys

• Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
• Choisis "Enregistrer sous" et choisis "Bureau"
• Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
• Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
• Quitte le Bloc Notes.
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
• suis les instructions
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Tu posteras ce rapport

• Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
  Copie/colle dedans ce qui suit :
  
  

  R1 cmwf; C:\Windows\system32\Drivers\cmwf.sys [33952 2015-01-04] () [File not signed] <==== ATTENTION
  R1 cmwr; C:\Windows\system32\Drivers\cmwr.sys [45216 2015-01-04] () [File not signed] <==== ATTENTION
  S3 clwvd; \SystemRoot\system32\DRIVERS\clwvd.sys [X]
  S2 CMWFP; \??\C:\Windows\system32\Drivers\CMWFP64.sys [X]
  S0 xlihj; System32\drivers\bnwvaw.sys [X]
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\cmwf.sys => ""="Driver" <==== ATTENTION
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\cmwr.sys => ""="Driver" <==== ATTENTION
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\cmwf.sys => ""="Driver" <==== ATTENTION
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CMWFP => ""="Driver" <==== ATTENTION
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\cmwr.sys => ""="Driver" <==== ATTENTION
  HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ColorMedia => ""="service"
  EmptyTemp:
  

• Menu Fichier / Enregistrer-sous
  Place toi sur le bureau.
  Dans le champs en bas, nom du fichier mets : fixlist.txt
  Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur FRST.exe
  /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction
  
  
  Un redémarrage peut être nécessaire (pas obligatoire).
• L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

[Freyaska]

Petit soucis : combofix n'est pas compatible avec Windows 8.1. Je fais comment?

[angelique]

c'est balo, y'a pas d'autres outils

va falloir supprimer alors ces 2 fichiers:

C:\Windows\system32\Drivers\cmwf.sys
C:\Windows\system32\Drivers\cmwr.sys

avec un livecd quelconque puis faire le fixlist.txt apres

[Malekal_morte]

A tenter aussi un unlocker : http://forum.malekal.com/unlocker-t49478.html
Attention, ne pas installer les PUPs proposés.

Sinon tu as aussi GMER : http://www.gmer.net
onglet Files
tu vas chercher les deux fichiers en question, puis tu fais kill à droite.
Redémarre l'ordinateur.
Fais le fix FRST.

[Freyaska]

Bonjour,

J'ai fait ce que vous m'avez demandé.

Voici le rapport après correction : http://cjoint.com/?3CdnYhc6CsU

[Malekal_morte]

Le driver est encore actif.
- Soit la solution d'angelique, tu supprimes les fichiers par Live CD
- soit par un unlocker ou GMER.

[Freyaska]

j'ai essayé unlocked et gmer.
Pour le premier, il me dit qu'ils sont supprimés. Mais ce n'est pas le cas.
Et pour le second, il ne va pas au bout du scan.

[Malekal_morte]

Pour gmer, il ne faut pas faire de scan mais aller sur l'onglet files.

[Freyaska]

Après avoir galérer à créer un live cd (dut dur quand on est nul en informatique), je suis enfin parvenue à les supprimer.

Je vous fais parvenir le rapport mais je pense que tout est bon maintenant grâce à vos conseils :
http://cjoint.com/?3Cdp7gmFl8U

[Malekal_morte]

Effectivement c'est good !



Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :



Pour prévenir les sites malicieux, tu peux installer Blockulicious : http://forum.malekal.com/blockulicious- ... 46656.html


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


Le reste de la sécurité : http://forum.malekal.com/comment-securi ... ateur.html

[Freyaska]

Merci pour vos conseils.

[angelique]

et supprime frst.exe, ses rapports et C:\FRST