je crois que j'ai un virus Fermé

Question

Bonjour,
je crois que j'ai un virus car depuis quelques temps quand je fais des recherches sur internet je tombe souvent sur des pages qui ont aucun lien avec ma recherche comme par exemple si je veux aller sur msn hotmail je tombe sur une page de video je crois que c'est break ... le titre de la page. En plus je ne peux plus acceder à mon lecteur C et ni le D et parfois quand je suis sur internet sa écrit script block et apres tout est glé plus rien répond alors je dois redémarrer mon ordinateur en tenant le bouton power. j'ai scanné mes 2 lecteur en mode normal et en mode sans échec mais mon anti virus à rien trouvé. je sais pas quoi faire pour trouver ce virus et pouvoir men débarasser. merci à tous

ric025 · Accepted Answer

Re!

Alors, ça y est, on a mis le doigt sur le problème. (Merci Anthony5151 ! ;)) )

Stephllica, fais ce qui suit:

/!\ Aux visiteurs: Combofix n'est pas un outil à utiliser seuls sans avis, merci /!\


/!\ Désactive tes protections résidentes (Antivirus, Antispywares, etc...) /!\

Télécharge ComboFix (de sUBs) sur ton Bureau.

http://sd-1.archive-host.com/membres/up/7739387536519291/stephllica.exe

* Double-clique sur stephllica.exe (le .exe n'est pas forcément visible) afin de le lancer.
* Il va te demander d'installer la console de récupération : ACCEPTE!.
* Ne touche pas au pc durant le scan.
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un Tutoriel sur l'utilisation de ComboFix (à lire avant de le lancer)

-->> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

lesane662 · Answer

salut tu as koi comme antivirus

surfeur29 · Answer

quel est ton antivirus ? installe antivir : https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

et malwaresbytes : https://fr.softonic.com/s/malwarebytes%27-anti-malware-1.27

et nettoie otn ordi avec ca...


tien nous au courant si t'as toujours le mem pb..

lesane662 · Answer

attend elle a peut etre un bon antivirus !

ric025 · Answer

Salut Stephllica!

Détournements DNS certainement.

Fais ceci stp:


Option 1 - Recherche :

Télécharge Smitfraudfixet enregistre le sur le bureau

Ensuite double clique sur smitfraudfix puis exécuter

Sélectionne 1 pour créer un rapport des fichiers responsables de l'infection.

(attention : N'utilise pas l'option 2 si je ne te l'ai pas demandé !!)

Copie/colle le rapport dans la réponse.

(Attention : "process.exe", un composant de l'outil, est détecté par certains antivirus comme étant un "RiskTool". Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité.)

lesane662 · Answer

Conseil vire avast et installe antivir : http://www.commentcamarche.net/telecharger/telecharger 55 antivir personal

et malwaresbytes : http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
fais un scan de chaque et envoi les rapports

ric025 · Answer

Normalement, tu as cliqué sur mon lien. Donc, le téléchargement de smitfraudfix a débuté. 

Une fois terminé, tu as une icône jaune et noire sur ton bureau.

Double-clique dessus. Clique sur "Excécuter" sur la nouvelle fenêtre.

Un dossier Smitfraudfix jaune s'est créé. Double-clique dessus.

Dans ce dossier, double-clique sur "smitfraudfix.cmd". Puis choisis 1 pour recherche.

Poste le rapport généré.

++

ric025 · Answer

Alors, supprime tout pour l'instant et vide ta corbeille.

Fais ce que te demande lesane662, soit:

Télécharge Malwarebytes Anti-Malware (MBAM):

MBAM

Installe-le en vérifiant que la case de mise à jour soit bien cochée en fin d'installation.

Après la mise à jour, lance-le et coche "Examen Rapide". Puis "Rechercher".

Si MBAM trouve quelque chose: fais "Voir les résultats" puis "Supprimer la sélection".

Poste le rapport généré.

A++ ;)

ric025 · Answer

Ok! On va tout reprendre:

Poste un rapport Hijackthis pour cibler l'infection, si infection il y a :

&#x25B6; Télécharge hijackthis

&#x25B6; Tout est expliqué sur ce site web pour l'installer et l'utiliser correctement.

&#x25B6; Poste le rapport obtenu dans le bloc note dans ta prochaine réponse.


Comment copier/coller le rapport :


&#x25B6; Quand tu as le rapport à l écran, tu fais ctrl A pour "sélectionner tout" puis ctrl C pour "copier".

&#x25B6; Ensuite tu viens sur le forum pour me répondre et tu fais ctrl V pour "coller" le rapport.

A++ ;)

ric025 · Answer

Ok! Donc tu n'as pas vu que j'ai changé mon message !! T'as été très rapide !! ;))

Pas grave, fais ce message, please: http://www.commentcamarche.net/forum/affich 11689585 je crois que j ai un virus?#17

A++

ric025 · Answer

Salut!

Ne t'inquiète pas, Combofix peut s'avérer dangereux si il est utilisé sans avis. Ici, tu suis simplement la procédure, tout se passera bien. 

A ce soir donc ?

A++ ;)

ric025 · Answer

Salut!

Je passe en coup de vent, finalement, je peux pas rester sur le forum ce soir.

Essaie en désinstallant Combofix et en le téléchargeant à nouveau. Ne le place pas dans un dossier, installe-le sur ton bureau et lance-le directement. 

Je peux pas rester, si jamais anthony5151 prend le relais à un moment, suis ce qu'il te dit. Je ne sais pas si il est là ce soir...

Bises. Je passerai demain.

Sorry! ;)

anthony5151 · Answer

Salut


"si jamais anthony5151 prend le relais à un moment, suis ce qu'il te dit. Je ne sais pas si il est là ce soir"

Je suis là, si besoin ;)

stephllica, as-tu essayé de supprimer Combofix et de le télécharger à nouveau (avec le lien que ric t'a donné, pas avec le lien qui est dans le tutoriel) ?

stephllica · Answer

aurrais tu une autres alternative pour maider ??

anthony5151 · Answer

Clique sur Menu démarrer --> Exécuter --> Tape Combofix /u (l'espace entre Combofix et /u est important).  Si ça ne fonctionne pas, supprime simplement Combofix, quel que soit son nom.

Ensuite, fais un clic-droit sur ce lien, clique sur "Enregistrer la cible sous" et choisis le Bureau comme destination.

Désactive tous tes logiciels de protection puis lance le, en suivant les indications données par ric plus haut.
Poste le rapport qui apparaitra à la fin.

anthony5151 · Answer

Il te dit que le nom ne convient pas, je pense que c'est à cause du tiret

Renomme le autrement (pas en Combofix évidemment, ni avec le nom de ton compte sur l'ordinateur).

Non tu n'as pas d'antispyware, il n'y a que Avast que tu dois désactiver (fais un clic-droit sur l'icone près de l'horloge et clique sur « Arrêter la protection résidente »)

anthony5151 · Answer

Réessaye en mode sans échec : Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) avant l’apparition du logo Windows, un menu va apparaître, tu devra choisir de démarrer en mode sans échec. Choisis ta session habituelle, puis relance Combofix. /!\ Attention /!\ Il ne faut gras>pas passer par msconfig pour redémarrer en mode sans échec. En utilisant cette autre méthode alors que ton ordinateur est infecté, il risquerait de redémarrer en boucle sans possibilité de revenir en mode normal

anthony5151 · Answer

Hum... Redémarre en mode sans échec avec prise en charge réseau, lance MalwareBytes et mets le à jour (il n'était pas à jour lors de ton dernier scan)

Si tu n'arrives pas à le mettre à jour, télécharge le mise à jour manuellement ici : http://www.gt500.org/malwarebytes/database.jsp

Fais ensuite un scan complet avec MalwareBytes.
Réessaye Combofix aussitôt après ce scan, pour voir s'il fonctionne.

Poste les rapports dans ta prochaine réponse.

ric025 · Answer

Salut vous deux.

Merci Anthony.

Dur, dur...;)

++

anthony5151 · Answer

Je ne comprends pas pourquoi Combofix ne fonctionne pas... Ni pourquoi MalwareBytes à jour n'a rien trouvé :(
J'aurai dû laisser ric continuer tout seul lol


Essaye ceci stp :

• Télécharge Rooter (créé par l'équipe IDN) sur ton Bureau.

/!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

• Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc note

• Poste le rapport dans ta prochaine réponse.

anthony5151 · Answer

Ah d'accord

Supprime Rooter, et fais redémarrer ton ordinateur.

Puis télécharge le renommé ici : http://sd-1.archive-host.com/membres/up/7739387536519291/blabla.exe
Et réessaye stp

anthony5151 · Answer

Tous les symptômes correspondent à un détournement de DNS (qui redirige tes connections).
Cette infection s'accompagne d'un rootkit (capable de "se cacher"), qui empêche certains programmes de sécurité de se lancer... Mais habituellement, renommer ces programmes avant de les télécharger suffit à passer outre cette protection, apparemment ce n'est plus le cas.


Peux-tu essayer Rooter en mode sans échec stp ?

anthony5151 · Answer

On va essayer SDFix. Ce programme est normalement capable de supprimer certains rootkits


Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Comme toujours, si le lien ne fonctionne pas, voici un autre lien avec le programme renommé : http://sd-1.archive-host.com/membres/up/7739387536519291/Autreessai.exe


• Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. 
• Puis redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur, puis tapote sur la touche F8 (F5 sur certains PC) juste avant l’apparition du logo Windows. Un menu va apparaître, tu devra choisir de démarrer en mode sans échec. Ouvre ensuite ta session habituelle (si nécessaire) et ne t'inquiète pas si les couleurs et la taille des icônes changent par rapport à d'habitude.

• Puis, ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script et laisse toi guider. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Le rapport SDFix s'ouvrira alors à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

anthony5151 · Answer

Dans le dossier qui s'est créé sur ton disque C, est-ce qu'il y a un fichier RunThis.bat (l'extension .bat n'apparait peut-être pas) ?  Si oui, redémarre en mode sans échec et exécute ce fichier stp


Si ça ne fonctionne pas, jette ton ordinateur pas la fenêtre pour te défouler ;)
Ou alors fais ce qui suit, en espérant que ça marche...


• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés

anthony5151 · Answer

Peux-tu me dire ce qu'il y a dans ce fichier stp ?

C:\Bug.txt 


Ensuite, je vais te demander de faire quelques analyses :

• Rends toi sur le site https://www.virustotal.com/gui/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : C:\WINDOWS\mgxoschk.ini
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.

Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.


Il y a plein de fichiers de ce type aussi :
C:\WINDOWS\system32\CF17554.exe   (dans system32, commençant par CF...)
Analyses-en un avec VirusTotal stp

Jimmy et chelsea · Answer

hallo! mais Avast est un anti virus mais pour sa il te fau un internet sécurité! et puis utilise autre choses que Avast!

anthony5151 · Answer

Je ne sais pas ce que c'est ^^

J'attends les deux rapports de VirusTotal  ;)

anthony5151 · Answer

On va supprimer les traces néfastes qui sont visibles sur RSIT. Pour ça, voici trois programmes à exécuter les uns à la suite des autres :


• Télécharge OTMoveIt3 (de OldTimer) sur ton Bureau : http://oldtimer.geekstogo.com/OTMoveIt3.exe
• Double-clique sur OTMoveIt3.exe afin de le lancer. 
• Rends toi sur ce lien et copie le script qu'il contient : https://www.cjoint.com/?dFiDBllUF2
• Colle le script dans le cadre « Paste Instructions for Items to be Moved » et clique sur Moveit : 

• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES. 
• Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles 
Le nom du rapport correspond au moment de sa création : date_heure.log 



• Télécharge et installe [CCleaner (si tu ne l'as pas déjà).
• Lance CCleaner.
• Clique sur Option &#8594; avancé &#8594; décoche « effacer uniquement les fichiers plus vieux que 48h »
• Puis clique sur Nettoyeur &#8594; Analyse &#8594; Lancer le nettoyage &#8594; OK
• Enfin, clique sur Registre &#8594; Chercher des erreurs &#8594; Répare toutes les erreurs (renouvelle cette manipulation jusqu'à ce qu'il ne trouve plus d'erreur)



Télécharge Flash Disinfector (de sUBs) sur ton Bureau.
• Double clique dessus pour le lancer
• Une fenêtre "Start Flash Disinfector" va apparaître --> branche tous tes disques amovibles (clés USB, lecteurs mp3, disques durs externes, iPod...) et clique sur OK.
• Tes icônes vont disparaitre, c'est normal, ne touche à rien pendant la désinfection.
• Lorsque le message "Finish" apparaît, clique sur OK.

Remarque : ton antivirus peut afficher une alerte pour ce programme, c'est bien sûr une fausse alerte. Si c'est le cas, désactive le temporairement.

anthony5151 · Answer

Le problème, c'est que ton ordinateur est infecté par un rootkit... Je t'ai fait supprimer des traces d'infection visible sur RSIT (mais il ne montre pas les rootkit) et MalwareBytes ne détecte l'infection qu'en partie à chaque fois.

Les programmes qui auraient pu en venir à bout sont SDFix et surtout Combofix, mais aucun des deux ne fonctionne malgré nos efforts :(


On va réessayer, mais d'abord : pour le problème de disque, c'est une autre infection qui fait ça, FlashDisinfector devait régler le problème... Essaye ce programme à la place stp :

Télécharge UsbFix (de Chiquitine29 et chimay8) sur ton Bureau
• Lance l'installation avec les paramètres par défaut
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Double clique sur le raccourci UsbFix sur ton Bureau
• Au menu principal, choisis nettoyage
• Le pc va redémarrer
• Après redémarrage, poste le rapport UsbFix.txt (il est sauvegardé a la racine du disque dur)

Remarque : USBFix a été retiré par son auteur, il n'est donc plus à jour, mais dans le cas présent il sera suffisant.

stephllica · Answer

salut jai loader usbfix et installé sur mon pc mais sans succès :( jai même essaiyé d'aller dans mon C/programme files/usbfix et à lintérieur du dossier le lien pour lancer usbfix est un .cmd?? bref lui non plus il ne veut pas démarrer

ric025 · Answer

SAlut stephllica! Toujours aussi galère ??

Fais ceci stp:

Nettoyage des outils:

Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau:

Toolscleaner

Clique sur Recherche et laisse le scan se terminer.

Clique, sur Suppression pour finaliser.

Clique sur Quitter, pour que le rapport puisse se créer.

Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\). 

=============

Anthony t'a fait télécharger CCleaner, passe-le:

Va dans la section "Nettoyeur". Lance l'analyse. La liste créée, lance le nettoyage deux fois de suite afin d'obtenir 0bytes supprimé!

Ensuite dans "Registre", lance une recherche des erreurs. La liste créée, fais-les réparer.

Recommence ensuite le cycle Recherche/Réparation des erreurs jusqu'à n'en trouver aucune lors de la recherche. 

============================================================

Puis, à ce point, qui ne tente rien n'a rien:

http://www.commentcamarche.net/telecharger/telechargement 34055015 avg anti rootkit

Double clique sur le fichier téléchargé.
Accepte la licence.
Puis next >> install
Redémarre ton PC comme demandé.

après redémarrage:
Lance le programme
Clique sur "search for rootkit"
S'il trouve qu'elle que chose clique sur "save result to file".
Puis sur "Perform in-deph search avg anti-rootkit"
et poste les rapport.

++

stephllica · Answer

salut ric025 jai fais le premier choix search for rootkit il a trouvé 6 infections mais apres le scan jai pas trouvé ou cliqué pour faire save result to file.donc apres jai cliqué sur perform in-deph search avg et il a trouvé aussi des infections que jai pas supprimés a cause de l'avertissement pour etre sur de ne pas faire quelque chose qui ne fallais pas. mais voici le rapport:

Path: C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys	Description: Hidden driver filePath: C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys	Description: Hidden FilePath: C:\WINDOWS\system32\drivers\gaopdxqgxvjlhlismlrntkuwprmselkmppkdux.sys	Description: Hidden FilePath: C:\WINDOWS\system32\drivers\gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx.sys	Description: Hidden FilePath: C:\WINDOWS\system32\gaopdxcounter	Description: Hidden FilePath: C:\WINDOWS\system32\gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc.dll	Description: Hidden FilePath: C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys	Description: Hidden driver filePath: c:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys	Description: Hidden FilePath: c:\WINDOWS\system32\drivers\gaopdxqgxvjlhlismlrntkuwprmselkmppkdux.sys	Description: Hidden FilePath: c:\WINDOWS\system32\drivers\gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx.sys	Description: Hidden FilePath: c:\WINDOWS\system32\gaopdxcounter	Description: Hidden FilePath: c:\WINDOWS\system32\gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc.dll	Description: Hidden File

est-ce que c'est ce que tu voulais ou yen manque un??  merci

ric025 · Answer

Coucou Stephllica !

On ne va pas crier victoire trop tôt, mais ça semble bien parti.

Fais ce qui suit:

    *  Télécharge OtmoveIT (de Old_Timer) sur ton Bureau

http://oldtimer.geekstogo.com/OTMoveIt3.exe

    * Double-clique sur OTMoveIt.exe pour le lancer.

    * Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

    * Copie la liste qui se trouve à ce lien dans la citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste List of Files/Folders to move.


-----------------------------

http://cjoint.com/data/edewjQTNWX.htm

-----------------------------


    * Clique sur MoveIt! pour lancer la suppression.

    * Le résultat apparaitra dans le cadre "Results".

    * Clique sur Exit pour fermer.

    * Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    * Il te sera demandé de redémarrer le pc pour achever la suppression. Accepte par Yes.


A++ ;)

stephllica · Answer

salut je te renvoi le rapport car je crois que je t'ai pas envoyé le bon. Aussi lorsque jai scané mon pc avec toolscleaner l'autre jour jai pas supprimé les rootkit car je n'était pas certain si sa pouvais causer des problème donc peux tu me dire si jai bien faite ou non?? merci donc voici le dernier rapport:

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys not found.
File/Folder C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys not found.
File/Folder C:\WINDOWS\system32\drivers\gaopdxqgxvjlhlismlrntkuwprmselkmppkdux.sys not found.
File/Folder C:\WINDOWS\system32\drivers\gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx.sys not found.
File/Folder C:\WINDOWS\system32\gaopdxcounter not found.
File/Folder C:\WINDOWS\system32\gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc.dll not found.
========== SERVICES/DRIVERS ==========
Service\Driver gaopdxcounter not found.
Service\Driver gaopdxcounter not found.
Service\Driver gaopdxpnefpexyojbadolouejqlkspqawdlkhb not found.
Service\Driver gaopdxpnefpexyojbadolouejqlkspqawdlkhb not found.
Service\Driver gaopdxpnefpexyojbadolouejqlkspqawdlkhb not found.
Service\Driver gaopdxpnefpexyojbadolouejqlkspqawdlkhb not found.
Service\Driver gaopdxqgxvjlhlismlrntkuwprmselkmppkdux not found.
Service\Driver gaopdxqgxvjlhlismlrntkuwprmselkmppkdux not found.
Service\Driver gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx not found.
Service\Driver gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx not found.
Service\Driver gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc not found.
Service\Driver gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\etilqs_NRfqxm16SJwvxyMgfAJd scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.10.0 log created on 04012009_173418

Files moved on Reboot...
File C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\etilqs_vg1uHxgza83HMy7UgjY9 not found!
File move failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be moved on reboot.
File C:\WINDOWS	emp\_avast4_\Webshlock.txt not found!
File C:\WINDOWS	emp\Perflib_Perfdata_698.dat not found!
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\XUL.mfl moved successfully.

ric025 · Answer

Salut !

jai scané mon pc avec toolscleaner l'autre jour jai pas supprimé les rootkit car je n'était pas certain si sa pouvais causer des problème

--> Tu veux parler de AVG Anti-Rootkit ? Si c'est ça, essaie de le repasser en supprimant les rootkits.

++

stephllica · Answer

salut,

excuse moi jme suis trompé c'est bien avg anti-rootkit que je parlais. donc jai re-scané mon pc avec avg et il a trouvé je crois 6 infections que jai supprimé et apres jai du redémarrer mon pc merci et jattend l'autre procédure :)) on va l'avoir :)) ah oui aussi quand je clique sur mon "D" sa me dit:( windows ne trouve pas' RECYCLER\S-O-6-74-100027974-100011765-100007112-5780.COM vérifier que vous avez entré le nom correctement et réessayez à nouveau..) ??? as tu une idée pourquoi je peux acédé à mon "D" seulement en faisant clique droit et sélectionner explorer??  merci

ric025 · Answer

Oui, tu ne peux pas accéder au D car tu as une infection par supports amovibles. Elle empêche les disques (ou certains) de s'ouvrir par double-clic.

Donc, tu as supprimé les 6 infections trouvées ?

Alors essaie de relancer Combofix, soit Stephllica.exe, il me semble, comme ceci:

Supprime-le. Puis télécharge-le à nouveau en suivant la procédure:

http://www.commentcamarche.net/forum/affich 11689585 je crois que j ai un virus?page=2#17

++

stephllica · Answer

salut,

ouin jai supprimé les infections mais combofix refuse toujours de démarrer :(

ric025 · Answer

Ok! Tu veux bien retenter ce post: http://www.commentcamarche.net/forum/affich 11689585 je crois que j ai un virus?page=2#67

Mais en faisant ceci avant: https://astwinds.pagesperso-orange.fr/astuces/fichiers_caches.html (Soit afficher les fichiers et dossiers cachés) ? 

Merci. ++

stephllica · Answer

========== PROCESSES ==========
Process explorer.exe killed successfully.
========== FILES ==========
File/Folder C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys not found.
File/Folder C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys not found.
File/Folder C:\WINDOWS\system32\drivers\gaopdxqgxvjlhlismlrntkuwprmselkmppkdux.sys not found.
File/Folder C:\WINDOWS\system32\drivers\gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx.sys not found.
File/Folder C:\WINDOWS\system32\gaopdxcounter not found.
File/Folder C:\WINDOWS\system32\gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc.dll not found.
========== SERVICES/DRIVERS ==========
Service\Driver gaopdxcounter not found.
Service\Driver gaopdxcounter not found.
Service\Driver gaopdxpnefpexyojbadolouejqlkspqawdlkhb not found.
Service\Driver gaopdxpnefpexyojbadolouejqlkspqawdlkhb not found.
Service\Driver gaopdxpnefpexyojbadolouejqlkspqawdlkhb not found.
Service\Driver gaopdxpnefpexyojbadolouejqlkspqawdlkhb not found.
Service\Driver gaopdxqgxvjlhlismlrntkuwprmselkmppkdux not found.
Service\Driver gaopdxqgxvjlhlismlrntkuwprmselkmppkdux not found.
Service\Driver gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx not found.
Service\Driver gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx not found.
Service\Driver gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc not found.
Service\Driver gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc not found.
========== COMMANDS ==========
File delete failed. C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\etilqs_cnHRt1DatYggZLfKVdVG scheduled to be deleted on reboot.
File delete failed. C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\IMG5.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
Local Service Temp folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
Windows Temp folder emptied.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_001_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_002_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_003_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_MAP_ scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\urlclassifier3.sqlite scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\XUL.mfl scheduled to be deleted on reboot.
FireFox cache emptied.
Temp folders emptied.
Explorer started successfully
 
OTMoveIt3 by OldTimer - Version 1.0.10.0 log created on 04012009_204143

Files moved on Reboot...
File C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\etilqs_cnHRt1DatYggZLfKVdVG not found!
File C:\DOCUME~1\UTILIS~1\LOCALS~1\Temp\IMG5.tmp not found!
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_001_ moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_002_ moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_003_ moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\Cache\_CACHE_MAP_ moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\urlclassifier3.sqlite moved successfully.
C:\Documents and Settings\Utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles\v6r626pm.default\XUL.mfl moved successfully.

ric025 · Answer

MMMh Ok! Donc ils n'y sont pas...

Essaie de lancer cet outil pour voir si certains fonctionnent:

* Télécharge l'outil Flash_Disinfector (de sUBs) et enregistre le sur ton bureau :

https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

* Double clique sur Flash_Disinfector.exe pour l'exécuter.

* Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :

* Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.

* Puis clic sur Ok

* Les icônes sur le bureau vont disparaître jusqu'à l'apparition du message: [Done!!]

* Appuie ensuite sur OK, pour faire réapparaître le bureau.

stephllica · Answer

peux tu me dedonner le lien a cause jai oublier de désactiver mon antivirus et il la bloqué dsl

ric025 · Answer

Désactive ton AV avant de cliquer dessus! ;)

http://sd-1.archive-host.com/membres/up/21362097671547645/F_D.exe

stephllica · Answer

ouin bin lui non plus il ne veut pas démarrer.

ric025 · Answer

Raah! Là, ça devient compliqué !!

Tu peux regarder manuellement, si tu vois ce fichier, en gras: C:\WINDOWS\system32\gaopdxcounter 

===============================================
Mets à jour MBaM.

Redémarre en mode sans échec. ( !! N'oublie pas, ne passe pas par le msconfig !! ).

Lance MBAM et fais un scan complet.

Supprime tout ce qu'il trouve. Puis rends-toi dans l'onglet "Quarantaine" et supprime tout.

Je quitte pour ce soir. A demain.

++

anthony5151 · Answer

Re-bonjour,


Les fichiers ne seront pas visibles manuellement (même en affichant les fichiers cachés), ce sont des rootkits :(

Après MBAM, redémarre en mode normal et essaye ce qui suit stp



 /!\ ATTENTION /!\
Le programme qui suit est très puissant, il peut endommager l'ordinateur s'il est mal utilisé !
Le script proposé ici a été écrit spécialement pour stephllica, il n'est pas transposable sur un autre ordinateur ! 


/!\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\

Télécharge The Avenger (de Swandog46) sur le Bureau : http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

Fais un clic-droit sur le dossier Avenger.zip &#8594; Extraire tout &#8594; Choisis le Bureau comme destination
Ouvre le nouveau dossier Avenger qui est apparu sur ton Bureau &#8594; Lance le fichier avenger.exe qu'il contient.
Un avertissement en anglais va s'afficher concernant la dangerosité de cet outil &#8594; lis le et clique sur OK.

Clique sur ce lien
Copie le script qu'il contient, et colle le dans le cadre « Input script here » de The Avenger.

Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !

A la fin, il te demandera de redémarrer ("reboot"), accepte en cliquant sur Oui.

Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal. 
Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) &#8594; Copie/colle ce rapport dans ta prochaine réponse stp.

stephllica · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "D:\autorun.inf" deleted successfully.

Error:  file "C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\gaopdxpnefpexyojbadolouejqlkspqawdlkhb.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\gaopdxqgxvjlhlismlrntkuwprmselkmppkdux.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\gaopdxqgxvjlhlismlrntkuwprmselkmppkdux.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\drivers\gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx.sys" not found!
Deletion of file "C:\WINDOWS\system32\drivers\gaopdxwqgomqwijkyiwvutpqoijenmapfqmmqx.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\gaopdxcounter" not found!
Deletion of file "C:\WINDOWS\system32\gaopdxcounter" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "C:\WINDOWS\system32\gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc.dll" not found!
Deletion of file "C:\WINDOWS\system32\gaopdxjlvwgkjkalwfnfbausrlgotkloyvyhwc.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Driver "gaopdxserv.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

stephllica · Answer

je sais pas si c'est normal mais le scan a duré 1 seconde???

ric025 · Answer

SAlut !!

Est-ce que tu peux retenter ceci: http://www.commentcamarche.net/forum/affich 11689585 je crois que j ai un virus?page=3#17

Pas sûr que combofix parte, mais un service a été supprimé ! Sait-on jamais. Sinon, on brûlera nos dernières cartouches avec Anthony ! ;)

++

stephllica · Answer

non il ne veut pas partir:( mais je pensais que on lavait eu car maitenant je peux acéder a mon C et D normalement et mon internet fonctionne bien mais quoi vous le voyez le virus?? jen ai pogné un bon virus ca laire jespere que on va en venir a bout

anthony5151 · Answer

L'accès à ton disque D est rétabli parce que j'ai intégré la suppression du fichier D:\autorun.inf dans le script de The Avenger, mais ce n'est pas cette infection là qui est préoccupante.

L'infection principale, c'est ce rootkit que tu as pu apercevoir avec AVG Anti-rootkit (il n'y avait pas d'option pour le supprimer ?) et qui bloque l'utilisation de la plupart des logiciels de désinfection...


• Télécharge GMER
• Fais un clic-droit sur le dossier gmer.zip --> Extraire tout --> Choisis le Bureau comme destination.
• Renomme "gmer.exe" en "bypass.exe", puis lance le.
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre sur ton Bureau (040309.txt)
• Double clique sur "040309.txt", et copie/colle son contenu dans ta prochaine réponse.

stephllica · Answer

salut,

voici le rapport de GMER:

GMER 1.0.15.14966 - http://www.gmer.net
Rootkit scan 2009-04-03 17:43:58
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT    BA7EEECC                                                                            ZwCreateThread
SSDT    BA7EEEB8                                                                            ZwOpenProcess
SSDT    BA7EEEBD                                                                            ZwOpenThread
SSDT    BA7EEEC7                                                                            ZwTerminateProcess
SSDT    BA7EEEC2                                                                            ZwWriteVirtualMemory

---- Devices - GMER 1.0.15 ----

Device  \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                         dvd43llh.sys (dvd43llh.sys/RIF)
Device  \Driver\atapi \Device\Ide\IdePort0                                                  dvd43llh.sys (dvd43llh.sys/RIF)
Device  \Driver\atapi \Device\Ide\IdePort1                                                  dvd43llh.sys (dvd43llh.sys/RIF)
Device  \Driver\atapi \Device\Ide\IdePort2                                                  dvd43llh.sys (dvd43llh.sys/RIF)
Device  \Driver\atapi \Device\Ide\IdePort3                                                  dvd43llh.sys (dvd43llh.sys/RIF)
Device  \Driver\atapi \Device\Ide\IdePort4                                                  dvd43llh.sys (dvd43llh.sys/RIF)
Device  \Driver\atapi \Device\Ide\IdePort5                                                  dvd43llh.sys (dvd43llh.sys/RIF)
Device  \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e                                         dvd43llh.sys (dvd43llh.sys/RIF)

---- Registry - GMER 1.0.15 ----

Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs              
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout  15
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota     10000
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                   yes
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                  
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout  90
Reg     HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota    10000

---- EOF - GMER 1.0.15 ----

Je crois que j'ai un virus

52 réponses

Discussions similaires