le virus le plus intelligent . Fermé

Question

Bonjour,
bon voila mon pc est infécté par un virus , le gestionnaire des taches est desactivé ainsi que l'editeur de registre et les fichiers.exe ne se lance pas et l'antivirus AVIRA est desavtivé et se lance pas. j'ai essayé de demarrer en mode sans echec mais le pc redemarre tout seul (virus trés intelligent :| ) aidez moi svp.


merci d'avance.

bombero-11 · Answer

Bonjour ton pc bootE et reboote en permanence ?

Anthoitalia · Answer

Tu peux aisayer d'installer un programme anti-rootkit ou anti-trojan sur une clé mais après j'ai jamais aisayer si sa marchai mais normalement il ne devrai pas i avoir de souci...

MonCf · Answer

j'ai des anti trojan mais ca se lance pas puisque la plupart des fichier.exe ne se lance pas et puis mon pc boot et reboot en permanence quand j'active l'option demarrer en mode sans echec.

bombero-11 · Answer

essaie de debrancher ton HDD tu le branche en esclave sur un autre PC (si tu a na un :-S)
une fois brancher sur l'autre PC tu le demmare et tu lance une analyse antivirus sur le hdd que tu vient de brancher une fois le virus trouvé et virrer tu rebranche ton hdd dans ton PC tu redémarre et ENJOY ! ;-)

MonCf · Answer

ok j'essaie tt de suite . merci bombero-11.

bombero-11 · Answer

de rien ;-)

MonCf · Answer

bon bein j'ai fait ce que tu m'a di j'ai brancher mon hdd en slave et j l'ai analyser depuis un autre en master avec spyware remover et spybot et avg mais r1 a changer donc j'ai formater le HDD aprés 2 jours le virus est là je pense que le virus ne s'efface pas avec le formatage pcq j'ai formaté 2 fois :(.


je ne sais pas quoi faire.

MonCf · Answer

heeeeeeeeelp plz

MonCf · Answer

yep

shouarzi · Answer

Salut moncf,

essaie l'analyse en ligne de www.secuser.com nous au labo c'est comme ca qu'ont enlever les virus des durs au client (un rack et hop!!!) sur le pc qui encaisse ;-)

@pluche

MonCf · Answer

j'ai suivie tout la procedure mais ca me donne pas la fenetre pour l'installer :S

crapoulou · Answer

Salut, Télécharge FindyKill (de Chiquitine29) sur ton bureau et installe le : = = = = =>>> En cliquant ici <<<= = = = = ! Déconnecte toi et ferme toutes tes applications en cours ! * Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) * Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil. * Au menu principal choisis l'option "F" pour français et tape sur [Entrée]. * Au second menu Choisis l'option "1" (recherche) et tape sur [Entrée]. Laisse travailler l'outil et ne touche à rien ... => Poste le rapport qui apparaît à la fin, sur le forum ... (Le rapport est sauvegardé aussi sous C:\FindyKill.txt) (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. Aide en images (Installation) : ICI Aide en images (Recherche) : ICI

MonCf · Answer

ok je dois filer mnt j'essayerais demain et je te tiens en courent merci en tt cas crapoulou

crapoulou · Answer

Ok.
Bonne nuit.
A demain.

MonCf · Answer

voila le rapport crapoulou


############################## [ FindyKill V4.724 ] 

# User : MonCf (Administrateurs) # MONCF-8ABB6A81F
# Update on 15/04/09 by Chiquitine29
# Start at: 10:47:17 | 18/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

#               Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : COMODO Antivirus 3.5 [ Enabled | Updated ]
# FW : COMODO Firewall[ Enabled ]3.5

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 58,59 Go (52,28 Go free) # NTFS
# D:\ # Disque fixe local # 48,83 Go (47,82 Go free) # NTFS
# E:\ # Disque fixe local # 41,62 Go (41,55 Go free) # NTFS
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
 
################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ] 
 
Found ! C:\WINDOWS\Prefetch\UNIVERSAL UXTHEME PATCHER V1.-2A02E8E6.pf  
 
################## [ C:\WINDOWS\System32... ] 

 
################## [ C:\Documents and Settings\MonCf\Application Data ] 
 
 
################## [ C:\Documents and Settings\MonCf...\Temp Files... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
 
 
################## [ Recherche dans supports amovibles] 
 

# Recherche fichiers connus : 

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found !  
 
################## [ ! Fin du rapport # FindyKill V4.724 ! ]

crapoulou · Answer

Nettoyage avec Findykill : ! Déconnecte toi et ferme toutes application en cours (Navigateur Internet compris) ! * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) * Relance "FindyKill". * Au menu principal choisis l'option "F" pour français et tape sur [Entrée]. * Au second menu choisis l'option "2" (Suppression) et tape sur [Entrée]. * Le PC va redémarrer automatiquement. => Le programme va travailler, ne touche à rien. Ton bureau ne sera pas accessible, c’est normal ! * Poste le rapport qui apparaît à la fin (le rapport est sauvegardé aussi sous C:\FindyKill.txt) /!\ Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide /!\ Aide en images (Suppression) : ICI *********** - Télécharge HijackThis Version 2.02 : = = = = >>> En cliquant ici <<< = = = = - Enregistre HJTInstall.exe sur ton bureau. - Fais un double-clic (gauche) sur HJTInstall.exe afin de lancer l’installation - Clique sur Install ensuite sur « I Accept » - Clique sur « Do a scan system and save log file » - Le bloc-notes s’ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse.

MonCf · Answer

ok en cours

MonCf · Answer

voila

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:14:21, on 18/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\RK Launcher\RKLauncher.exe
C:\WINDOWS\Alt+Q Hotkey.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\Program Files\WinRoll\winroll.exe
C:\Program Files\YzShadow\YzShadow.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Menara\dslmon.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\DOCUME~1\MonCf\LOCALS~1\Temp\wineigo.exe
C:\DOCUME~1\MonCf\LOCALS~1\Temp\wintnewao.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.menara.ma/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.menara.ma/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKCU\..\Run: [RK Launcher] C:\Program Files\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Program Files\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [WinRoll] C:\Program Files\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Program Files\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

crapoulou · Answer

Avant de continuer, je veux bien le rapport Findykill tant qu'on y est ...

MonCf · Answer

############################## [ FindyKill V4.724 ] 

# User : MonCf (Administrateurs) # MONCF-8ABB6A81F
# Update on 15/04/09 by Chiquitine29
# Start at: 11:24:38 | 18/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

#               Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : COMODO Antivirus 3.5 [ Enabled | Updated ]
# FW : COMODO Firewall[ Enabled ]3.5

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 58,59 Go (52,19 Go free) # NTFS
# D:\ # Disque fixe local # 48,83 Go (47,82 Go free) # NTFS
# E:\ # Disque fixe local # 41,62 Go (41,55 Go free) # NTFS
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
 
############################## [ Processus actifs ] 
 
 
################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ] 
 
Found ! C:\WINDOWS\Prefetch\UNIVERSAL UXTHEME PATCHER V1.-2A02E8E6.pf  
 
################## [ C:\WINDOWS\System32... ] 

 
################## [ C:\Documents and Settings\MonCf\Application Data ] 
 
 
################## [ C:\Documents and Settings\MonCf...\Temp Files... ] 
 
 
################## [ Registre / Clés infectieuses ] 
 
 
 
################## [ Recherche dans supports amovibles] 
 

# Recherche fichiers connus : 

 
################## [ Registre / Mountpoint2 ] 
 
# -> Not found !  
 
################## [ ! Fin du rapport # FindyKill V4.724 ! ]

crapoulou · Answer

Tu as fais l'option 2 ?!
ça c'est le rapport de l'option 1 !

MonCf · Answer

rapport de l'option 2



############################## [ FindyKill V4.724 ] 
 
# User : MonCf (Administrateurs) # MONCF-8ABB6A81F
# Update on 15/04/09 by Chiquitine29
# Start at: 11:44:14 | 18/04/2009
# Website : http://pagesperso-orange.fr/FindyKill.Ad.Remover/

#               Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : COMODO Antivirus 3.5 [ Enabled | Updated ]
# FW : COMODO Firewall[ Enabled ]3.5

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 58,59 Go (52,16 Go free) # NTFS
# D:\ # Disque fixe local # 48,83 Go (47,82 Go free) # NTFS
# E:\ # Disque fixe local # 41,62 Go (41,55 Go free) # NTFS
# F:\ # Disque CD-ROM
# G:\ # Disque CD-ROM
 
############################## [ Active Processes ]  
 

################## [ C:\WINDOWS # C:\WINDOWS\Prefetch ] 
 
Deleted ! C:\WINDOWS\Prefetch\UNIVERSAL UXTHEME PATCHER V1.-2A02E8E6.pf  
 
################## [ C:\WINDOWS\System32... ] 
 

################## [ C:\Users\...\AppData\Roaming ] 
 
 
################## [ Cleaning .. Temp Files... ] 
 
 
################## [ Registry / Infected keys ]  
 
 
################## [ Cleaning Removable drives ]  

# Deleting Files : 
 
 
 
################## [ Registry / Mountpoint2 ] 

# -> Not found !  
 
################## [ States / Restarting of services ]   

# Services : [ Auto=2 / Request=3 / Disable=4 ] 

# Ndisuio -> # Type of startup =3  
# Ip6Fw -> # Type of startup =2  
# SharedAccess -> # Type of startup =2  
# wuauserv -> # Type of startup =2  
# wscsvc -> # Type of startup =2  
# Safe boot mode restored !  
 
################## [ Searching Other Infections ] 
 
# -> Nothing found.
 
################## [ ! End of Report # FindyKill V4.724 ! ]

crapoulou · Answer

Affiche les fichiers et dossiers cachés ainsi que les fichiers du système :
- Mes documents
- Outils
- Options des dossiers
- Onglet « Affichage »
- Coche Afficher les fichiers et dossiers cachés
- Décoche « Masquer les fichiers protégés du système d’exploitation (recommandé) »

********

Analyse ces fichiers :

C:\Documents and Settings\MonCf\Local Settings\Temp\wineigo.exe
C:\Documents and Settings\MonCf\Local Settings\Temp\wintnewao.exe
Sur le site de virustotal :
https://www.virustotal.com/gui/

Parcourir > Sélectionne ton fichier > Analyser, patiente que l’analyse soit terminée.

Poste bien les rapports en m’indiquant à chaque rapport envoyé le nom du fichier concerné !

(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).

MonCf · Answer

le site ne s'ouvre pas il se charge mais ca donne rien je l'ai mis en site de confiance sir IE6 et en exception sur firefox mais toujours rien .

crapoulou · Answer

Essaye sur ce site :
https://virusscan.jotti.org/

MonCf · Answer

toujours le meme probleme :S

crapoulou · Answer

Mets à jour Internet Explorer en téléchargeant la version 8 (même si tu ne l’utilises pas, sinon c’est une faille de sécurité de ne pas le tenir à jour…) = = = =>>> En cliquant ici <<<= = = = Réessaye ensuite.

MonCf · Answer

ok :)

MonCf · Answer

bein j'ai mis l'IE en version 8 mais le probleme persiste les site d'analyse en ligne ne fonctionnent pas :S

MonCf · Answer

le virus est WIN32/sality c'est Nod 32 4 qui a mis en quarantaine plusieurs fichiers .exe qui sont infécté par ce virus .
Les symptômes :
Impossible de lancer le gestionnaire de tâches
Impossible de lancer regedit
Impossible de démarrer en mode sans échec .
Impossible d’installer avast, avg, antivir....
Impossible d’aller sur les sites de scan en ligne .


il faut suivre ces instructions pour le supprimer https://www.avg.com/fr-fr/virus-removal

pour moi j'ai sauvgarder tout mes fichiers qui ne sont pas .exe et j'ai formatier la partition systeme aprés pour s'assurer. j'ai suivis les instructions en haut et voila mon pc est tout a fait desinfecté  :).


merci bcp crapoulou ;) a+.

crapoulou · Answer

* Télécharge Dr.Web CureIt! sur ton Bureau.
* Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.
* Ce scan rapide permet l'analyse des processus chargés en mémoire. S'il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
* Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
* Choisis l'onglet Scanner, et décoche Analyse heuristique.
* De retour à la fenêtre principale : choisis Analyse complète.
* Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelques fois, ferme-la.
* Clique Oui pour Tout si un fichier est détecté.
* A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, clique sur Quarantaine.
* Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisisse Enregistrer le rapport.
* Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
* Ferme Dr.Web CureIt!
* Redémarre votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

MonCf · Answer

ok

MonCf · Answer

oui deux fois ^^

crapoulou · Answer

Tu as fais ceci ?
http://www.commentcamarche.net/forum/affich 11961174 le virus le plus intelligent?page=2#31

MonCf · Answer

pas encore j'ai du boulot mais j vais faire ce que tu m'a dit et je te tienderais au courant

crapoulou · Answer

Ok.
Tu as une grosse infection, coriace !

Le virus le plus intelligent .

36 réponses

Discussions similaires