Un vers qui traine sur mon PC
Résolu
JOCE13
Messages postés
266
Statut
Membre
-
totobetourne Messages postés 5677 Statut Membre -
totobetourne Messages postés 5677 Statut Membre -
Salut,
J'ai besoin d'aide pour éradiquer un vers récalcitrant :
J'ai eut une lenteur du système et des coupure de l'audio sur mon PC donc j'ai recherché une éventuelle infection.
Donc j'ai mis à jour AVAST, MALWAREBYTES, SPYBOT et Clean MSN...
AVAST a détecté 2 menaces:
Le fichier X dans le répertoire system32 et une image dans le répertoire IE5content
Ces fichiers sont effacés après scan de AVAST au boot. (c'est ces 2 fichiers qui reviennent tous le temps)
Malwarebytes a effacé après redémarrage 3 clés de registres infectées, j'ai fait un 2eme scan pour être sûr.
Spybot n'a rien détecté de spécial.
Clean MSN à supprimé un Spyware.
Après de multiples scans, des suppressions manuelles, des désinstallations d'applications non utilisées: je nettoie le tout avec CCLEANER.
Le PC semble propre ainsi.
Mais 2 fichiers reviennent 2 fois par jour infecter le PC:
Sign of "Win32:Confi [Wrm]" has been found in "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JIQQIP72\hnnvymp[1].bmp" file.
(alors que j'ai IE8 et non IE5, j'ai effacer le dossier manuellement avec fileassassin)
et:
Sign of "Win32:Confi [Wrm]" has been found in "C:\WINDOWS\system32\x" file.
Voilà, donc à chaque fois je refais des scans, j'efface ces 2 fichiers mais ils reviennent !
Je n'ai pas trouvé d'activité suspectes sur mes ports avec Currport.
Peut-on m'apporter de l'aide pour trouver et supprimer l'origine de cette infection ??
Merci
JOCE
J'ai besoin d'aide pour éradiquer un vers récalcitrant :
J'ai eut une lenteur du système et des coupure de l'audio sur mon PC donc j'ai recherché une éventuelle infection.
Donc j'ai mis à jour AVAST, MALWAREBYTES, SPYBOT et Clean MSN...
AVAST a détecté 2 menaces:
Le fichier X dans le répertoire system32 et une image dans le répertoire IE5content
Ces fichiers sont effacés après scan de AVAST au boot. (c'est ces 2 fichiers qui reviennent tous le temps)
Malwarebytes a effacé après redémarrage 3 clés de registres infectées, j'ai fait un 2eme scan pour être sûr.
Spybot n'a rien détecté de spécial.
Clean MSN à supprimé un Spyware.
Après de multiples scans, des suppressions manuelles, des désinstallations d'applications non utilisées: je nettoie le tout avec CCLEANER.
Le PC semble propre ainsi.
Mais 2 fichiers reviennent 2 fois par jour infecter le PC:
Sign of "Win32:Confi [Wrm]" has been found in "C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\JIQQIP72\hnnvymp[1].bmp" file.
(alors que j'ai IE8 et non IE5, j'ai effacer le dossier manuellement avec fileassassin)
et:
Sign of "Win32:Confi [Wrm]" has been found in "C:\WINDOWS\system32\x" file.
Voilà, donc à chaque fois je refais des scans, j'efface ces 2 fichiers mais ils reviennent !
Je n'ai pas trouvé d'activité suspectes sur mes ports avec Currport.
Peut-on m'apporter de l'aide pour trouver et supprimer l'origine de cette infection ??
Merci
JOCE
A voir également:
- Un vers qui traine sur mon PC
- Pc qui rame - Guide
- Réinitialiser un pc - Guide
- Télécharger musique gratuitement sur pc - Télécharger - Conversion & Extraction
- Plus de son sur mon pc - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
15 réponses
bonjour
on va regarder un peu ton systeme
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
on va regarder un peu ton systeme
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.
-> http://images.malwareremoval.com/random/RSIT.exe
! Déconnecte toi et ferme toutes tes applications en cours !
Double-clique sur " RSIT.exe " pour le lancer .
-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
* Devant l'option "List files/folders created ..." , tu choisis : 2 months
* clique ensuite sur " Continue " pour lancer l'analyse ...
-> laisse faire le scan et ne touche pas au PC ...
Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...
Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum
( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )
il y a autre chose.
1)pour voir télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
2)--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
--> Clique droit sur le raccourci UsbFix situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.
--> Choisis l'option 1 (Nettoyage).
--> Le PC va redémarrer.
--> Après redémarrage, poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
colle les rapports de malwarebyte et avast. merci .
1)pour voir télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
2)--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau.
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
--> Lance l'installation avec les paramètres par défaut.
--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
--> Clique droit sur le raccourci UsbFix situé sur ton Bureau et choisis Exécuter en tant qu'administrateur.
--> Choisis l'option 1 (Nettoyage).
--> Le PC va redémarrer.
--> Après redémarrage, poste le rapport UsbFix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.
(Si le Bureau ne réapparaît pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)
colle les rapports de malwarebyte et avast. merci .
on va voir.je crois que c est pas fini.
change d antivirus , antivir est actuellement bien plus performant
http://www.commentcamarche.net/telecharger/telecharger 55 antivir personal
et tuto
https://www.malekal.com/avira-free-security-antivirus-gratuit/
configure comme cela:
bien configurer antivir.configuration puis mode expert a cocher puis dans scanner et recherche , cocher tout les fichiers ainsi que analyse de rootkit et priorite de scanner eleve.
fait la mise a jour va en mode sans echec et lance un scan complet de ton ordi avec tes clefs ou autres branches.
colle le rapport que tu vas obtenir.
change d antivirus , antivir est actuellement bien plus performant
http://www.commentcamarche.net/telecharger/telecharger 55 antivir personal
et tuto
https://www.malekal.com/avira-free-security-antivirus-gratuit/
configure comme cela:
bien configurer antivir.configuration puis mode expert a cocher puis dans scanner et recherche , cocher tout les fichiers ainsi que analyse de rootkit et priorite de scanner eleve.
fait la mise a jour va en mode sans echec et lance un scan complet de ton ordi avec tes clefs ou autres branches.
colle le rapport que tu vas obtenir.
OK
J'ai lu les informations données par les liens.
J'installe dans la foulée ANTIVIR
J'ai pris note pour la cohabitation d'Antivir et Ccleaner.
Je laisse le PC faire le scan cette nuit et je poste le rapport demain...
Ah oui, les clés du registre infectées trouvées il y a 3-4 semaines par Malwarebytes étaiant du type:
IRCbot
Backdoor
Encore merci pour les procédures.
JOCE
J'ai lu les informations données par les liens.
J'installe dans la foulée ANTIVIR
J'ai pris note pour la cohabitation d'Antivir et Ccleaner.
Je laisse le PC faire le scan cette nuit et je poste le rapport demain...
Ah oui, les clés du registre infectées trouvées il y a 3-4 semaines par Malwarebytes étaiant du type:
IRCbot
Backdoor
Encore merci pour les procédures.
JOCE
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
refais un scan complet en mode sans echec de malwarebyte , n oublie pas de faire la mise a jour avant et colle le rapport.
1)pour enlever les fichiers temporaires
a passer tout les 15 jours a peu pres.
• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)
Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées
2)comment se comporte ron pc a present?
3)Télécharge ToolsCleaner sur ton bureau.(pour enlever ce que je t ai fait telecharger comme fix)
-->
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
ensuite :
Clic sur "démarrer", cliques droit sur "poste de travail", "propriétés", onglet "restauration du système"
¤ coche la case "désactiver la Restauration du systéme sur tous les lecteurs", puis clic sur "appliquer"
¤ décoche la case et clic sur "appliquer" puis "ok".
Maintenant, que l'ont à effacés les point infectés, nous allons créer un point propre:
Clic sur "démarrer", "tous les programmes", "accessoires", "outils système", "restauration du système", choisis "créer un point de restauration" nommes le " ccm" par exemple, cliques sur "créer" puis "ok".
Voilà, maintenant le point de restauration est créé. Si un jour tu décides tu pourras revenir en arrière à la date créée.
Tuto : http://www.libellules.ch/desactiver_restauration.php
a passer tout les 15 jours a peu pres.
• Télécharger CCLeaner et l'installer sur le bureau en refusant l'installation de la barre Yahoo.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner
• Fermer toutes les applications
• Lancer CCLeaner
S'il n'est pas en Français cliquer sur Options, Setting, Language
et sélectionner Français
• cocher dans le menu Nettoyeur - onglet Windows :
Internet Explorer: Fichiers Internet Temporaires, Cookies
• Système: Vider la Poubelle, Fichiers Temporaires, Presse-papiers
• Avancé: Vieilles données du Prefetch
• Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures
• Cocher dans le menu Nettoyeur - onglet Applications : Internet: Sun Java
• Cocher , si cela est possible, dans le menu Nettoyeur - onglet Applications :
Firefox/Mozilla: Cache Internet, Cookies
• Click sur Analyse
• Click sur le bouton Lancer le nettoyage dans le menu Nettoyeur.
• Click sur Registre
• Sélectionner tout
• Click sur Chercher des erreurs (En bas)
Une fois le scan terminé sélectionner tout
• Click sur Réparer les erreurs sélectionnées
2)comment se comporte ron pc a present?
3)Télécharge ToolsCleaner sur ton bureau.(pour enlever ce que je t ai fait telecharger comme fix)
-->
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
ensuite :
Clic sur "démarrer", cliques droit sur "poste de travail", "propriétés", onglet "restauration du système"
¤ coche la case "désactiver la Restauration du systéme sur tous les lecteurs", puis clic sur "appliquer"
¤ décoche la case et clic sur "appliquer" puis "ok".
Maintenant, que l'ont à effacés les point infectés, nous allons créer un point propre:
Clic sur "démarrer", "tous les programmes", "accessoires", "outils système", "restauration du système", choisis "créer un point de restauration" nommes le " ccm" par exemple, cliques sur "créer" puis "ok".
Voilà, maintenant le point de restauration est créé. Si un jour tu décides tu pourras revenir en arrière à la date créée.
Tuto : http://www.libellules.ch/desactiver_restauration.php
j ai oublie d augmenter tes defences :
1)pare-feu gratuits:regle un seul pare feu sur un ordi.telecharge un des suivants ensuite deconnecte toi.
puis desactive le pare feu windows(aller dans le centre de securite puis pare feu windows et la desactive le)
puis installe celui de ton choix.
je te conseille un des 2(en anglais mais simple avec le tuto qui est donne)
Comodo pro Firewall(juste le pare feu)
http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro
Tuto pour la 3.0
https://infomars.fr/forum/index.php?showtopic=1225
ou
OnlineArmor :
téléchargement:https://www.commentcamarche.net/telecharger/ 34055356 online armor personal firewall
tutoriels:https://forum.pcastuces.com/sujet.asp?f=25&s=35606
:http://www.malekal.com/tutorial_Online_Armor.ph
il y en a d autres mais d apres les test de matousec en gratuit il n y en a pas bcp d autre.
http://www.matousec.com/index.html
2)fait ce qui est indique sur ce lien pour mieux securise firefox.
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
surtout NO SCRIPT(arrete les programmes java et adobe automatiquement,empeche des infections par script
donc il faut autoriser pour certains de tes sites pour pouvoir lire des textes ou des video)
efficace sur des sites inconnu, ou douteux.
1)pare-feu gratuits:regle un seul pare feu sur un ordi.telecharge un des suivants ensuite deconnecte toi.
puis desactive le pare feu windows(aller dans le centre de securite puis pare feu windows et la desactive le)
puis installe celui de ton choix.
je te conseille un des 2(en anglais mais simple avec le tuto qui est donne)
Comodo pro Firewall(juste le pare feu)
http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro
Tuto pour la 3.0
https://infomars.fr/forum/index.php?showtopic=1225
ou
OnlineArmor :
téléchargement:https://www.commentcamarche.net/telecharger/ 34055356 online armor personal firewall
tutoriels:https://forum.pcastuces.com/sujet.asp?f=25&s=35606
:http://www.malekal.com/tutorial_Online_Armor.ph
il y en a d autres mais d apres les test de matousec en gratuit il n y en a pas bcp d autre.
http://www.matousec.com/index.html
2)fait ce qui est indique sur ce lien pour mieux securise firefox.
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
surtout NO SCRIPT(arrete les programmes java et adobe automatiquement,empeche des infections par script
donc il faut autoriser pour certains de tes sites pour pouvoir lire des textes ou des video)
efficace sur des sites inconnu, ou douteux.
Ok
Merci pour le conseil supplémentaire.
Je regarde tout ça ce week-end (suis en déplacement)
@+
JOCE
Merci pour le conseil supplémentaire.
Je regarde tout ça ce week-end (suis en déplacement)
@+
JOCE
Salut,
Et bien au bout d'une semaine:
Le pc n'a servi qu'à lire des mails et naviguer sur le net.
Les 2 fichiers indésirables recommencent à s'incruster, Antivir les détectes.
Quand je demande à Antivir de les effacer lorsque sa fenêtre d'avertissement s'ouvre, les 2 fichiers réapparaissent 2 minutes plus tard !!
Je suis toujours infecté...
Merci.
JOCE
Et bien au bout d'une semaine:
Le pc n'a servi qu'à lire des mails et naviguer sur le net.
Les 2 fichiers indésirables recommencent à s'incruster, Antivir les détectes.
Quand je demande à Antivir de les effacer lorsque sa fenêtre d'avertissement s'ouvre, les 2 fichiers réapparaissent 2 minutes plus tard !!
Je suis toujours infecté...
Merci.
JOCE
va sur virus total https://www.virustotal.com/gui/
et analyse le fichier:
c:\windows\system32\zpeng25.dll
tu obtiens un rapport colle le.
et analyse le fichier:
c:\windows\system32\zpeng25.dll
tu obtiens un rapport colle le.
