Virus puissant (Redol.C) Résolu

Question

Bonjour,

suite apparemment à l'attaque d'un trojan , beaucoup d'applications ne peuvent pas démarrer. En fait, l'ordinateur réfléchit pour leurs ouvertures, mais aucune fenêtre ne s'ouvre. De plus les onglets ou les lignes du menu démarrer sont inaccessibles.
Là j'ai réussi à démarré en mode sans échec et je démarre une analyse malware anti malware mais aucun élément infecté n'est détecté.

L'antivirus Avira a détecté de nombreuses fois un virus, dont voici le message d'erreur :
-----------------------------------------------------------------------------------
Dans le fichier 'C:\Windows\System32\hjgruiudceiacf.dll'
un virus ou un programme indésirable 'TR.Redol.C' [virus] a été détecté.
Action exécutée : Supprimer le fichier
-----------------------------------------------------------------------------------

Merci d'avance pour votre aide.

gen-hackman · Answer

salut donc apparement il ne le supprime pas

bergounious · Answer

en fait plusieurs fois j'ai essayé de le supprimer avec antivir puis il détectait le même... donc je suppose que non.

gen-hackman · Answer

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé

bergounious · Answer

voici le lien OTL http://www.cijoint.fr/cjlink.php?file=cj200907/cijv2FoiFw.txt
et le lien extra.txt http://www.cijoint.fr/cjlink.php?file=cj200907/cij1mp3IED.txt

pour informations : on ne peut plus aller sur internet, là je suis sur un autre PC d'un ami.

gen-hackman · Answer

il a pas l'air d'y etre dans ton systeme ce truc là

on approfondit

&#9830 Desactive ton Anti-virus le temps de la manip car il est detecte a tort comme infection puis :

&#9830 Télécharge List_All (de g3n-h@ckm@n)

et enregistre-le sur ton bureau et pas ailleurs

&#9830 Execute-le en double clic (clic droit et "en tant qu'administrateur" sous vista)pour le lancer

&#9830 choisis la langue d'utilisation

&#9830 choisis l'option en gras ci-dessous :

1 : Elements du panneau de configuration (cpl)
2 : Liste des .dll systeme
3 : Listes des executables (.exe)
4 : Liste des fichiers systeme (Drivers)
5 : Liste du system32
6 : Liste de tout le systeme
7 : Liste des fichiers .tmp
8 : Liste des fichiers racine
9 : Liste des fichiers cachés 
0 : Liste des Processus Console


puis "entrée"

&#9830 rends-toi récupérer le rapport où il t'est indiqué ,

&#9830 envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir , 

puis envoie le fichier.

&#9830 un lien de cette forme va apparaitre :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9830 renvoie le lien tout frais dans ta prochaine reponse .

bergounious · Answer

voici le lien
http://www.cijoint.fr/cjlink.php?file=cj200907/cijc8463bB.txt

merci d'avance

gen-hackman · Answer

le rapport n'est pas complet

refais pareil avec l option 5 stp

bergounious · Answer

lien system32 :
http://www.cijoint.fr/cjlink.php?file=cj200907/cij11k0Hkn.txt

çà paraît difficile à résoudre ?

bon courage

gen-hackman · Answer

Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



Télécharges :

Malwarebytes  

ou  :

Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

bergounious · Answer

actuellement un scan est en train de se faire avec Malwarebytes's anti-Malware
Nous sommes à 175000 fichiers recherchés et nous avons un élément infecté.

Par rapport à ce que tu as vu, est-ce que l'on pourra récupérer notre ordinateur ?

gen-hackman · Answer

je comprends pas ta question "recuperer notre ordinateur" ???

bergounious · Answer

en fait on se demande si on pourra identifier et tuer le virus ? ça a l'air coton ...

gen-hackman · Answer

j ai deux fichiers à te fare contrôler :

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
  - Coche    Afficher les fichiers et dossiers cachés
  - Décoche Masquer les extensions des fichiers dont le type est connu
  - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

 C:\Windows\system32\edacded0_x.dat
C:\Windows\system32\Hackprog.ocx

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

bergounious · Answer

on teste les deux fichiers à contrôler mais malware a planté avant la fin vers 280000 fichiers en examen détaillé après avoir trouvé un fichier infecté.

note : nous sommes en mode sans echec donc nous avons plus internet sur le pc "infecté" et nous exécutons les autres applications sur un autre pc qui a internet.

gen-hackman · Answer

nous exécutons les autres applications sur un autre pc qui a internet.

tu peux expliquer ca ?

bergounious · Answer

concernant le fichier edacded0_x.dat :

-------------------------------------------------------------------
Fichier edacded0_x.dat reçu le 2009.06.23 01:11:30 (UTC)
Situation actuelle: terminé
Résultat: 0/41 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.18 	2009.06.23 	-
AhnLab-V3 	5.0.0.2 	2009.06.22 	-
AntiVir 	7.9.0.193 	2009.06.22 	-
Antiy-AVL 	2.0.3.1 	2009.06.22 	-
Authentium 	5.1.2.4 	2009.06.23 	-
Avast 	4.8.1335.0 	2009.06.22 	-
AVG 	8.5.0.339 	2009.06.22 	-
BitDefender 	7.2 	2009.06.23 	-
CAT-QuickHeal 	10.00 	2009.06.22 	-
ClamAV 	0.94.1 	2009.06.23 	-
Comodo 	1395 	2009.06.23 	-
DrWeb 	5.0.0.12182 	2009.06.23 	-
eSafe 	7.0.17.0 	2009.06.22 	-
eTrust-Vet 	31.6.6573 	2009.06.22 	-
F-Prot 	4.4.4.56 	2009.06.22 	-
F-Secure 	8.0.14470.0 	2009.06.23 	-
Fortinet 	3.117.0.0 	2009.06.22 	-
GData 	19 	2009.06.23 	-
Ikarus 	T3.1.1.59.0 	2009.06.23 	-
Jiangmin 	11.0.706 	2009.06.22 	-
K7AntiVirus 	7.10.768 	2009.06.19 	-
Kaspersky 	7.0.0.125 	2009.06.23 	-
McAfee 	5654 	2009.06.22 	-
McAfee+Artemis 	5654 	2009.06.22 	-
McAfee-GW-Edition 	6.7.6 	2009.06.23 	-
Microsoft 	1.4803 	2009.06.23 	-
NOD32 	4179 	2009.06.22 	-
Norman 	6.01.09 	2009.06.22 	-
nProtect 	2009.1.8.0 	2009.06.22 	-
Panda 	10.0.0.16 	2009.06.23 	-
PCTools 	4.4.2.0 	2009.06.22 	-
Prevx 	3.0 	2009.06.23 	-
Rising 	21.35.04.00 	2009.06.22 	-
Sophos 	4.42.0 	2009.06.23 	-
Sunbelt 	3.2.1858.2 	2009.06.23 	-
Symantec 	1.4.4.12 	2009.06.23 	-
TheHacker 	6.3.4.3.351 	2009.06.22 	-
TrendMicro 	8.950.0.1094 	2009.06.22 	-
VBA32 	3.12.10.7 	2009.06.23 	-
ViRobot 	2009.6.22.1798 	2009.06.22 	-
VirusBuster 	4.6.5.0 	2009.06.22 	-
Information additionnelle
File size: 228 bytes
MD5   : 3e8d97e07da63848fa3b843df63c2317
SHA1  : 9ceb3589bb0cae7da3688bb8e21af97eb30ef661
SHA256: cc5fb92fc7f5de29f48ae42aa218c5ddf592ad1757b0e0699963ce02537a5a1c
TrID  : File type identification
Unknown!
ssdeep: 6:HWkeFY0p0JGqeKO5FH6Gy7Gkh5YemWODi59NEdGAx8EyJ80R2ihJeBAF5:HjeiO0JlWdo7pmJONEdeZ8EJb
PEiD  : -
RDS   : NSRL Reference Data Set

--------------------------------------------------------------------------

et Hackprog.ocx
--------------------------------------------------------------------------
 Fichier ffdd7170009cbee77228016d39b51200c4ad5c73.DLL reçu le 2009.07.09 19:56:28 (UTC)
Situation actuelle: terminé
Résultat: 1/38 (2.63%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.18 	2009.07.09 	-
AhnLab-V3 	5.0.0.2 	2009.07.09 	-
AntiVir 	7.9.0.204 	2009.07.09 	-
Antiy-AVL 	2.0.3.1 	2009.07.09 	-
Authentium 	5.1.2.4 	2009.07.09 	-
Avast 	4.8.1335.0 	2009.07.09 	-
AVG 	8.5.0.386 	2009.07.09 	-
BitDefender 	7.2 	2009.07.09 	-
CAT-QuickHeal 	10.00 	2009.07.09 	-
ClamAV 	0.94.1 	2009.07.09 	-
Comodo 	1538 	2009.07.09 	-
DrWeb 	5.0.0.12182 	2009.07.09 	-
eSafe 	7.0.17.0 	2009.07.09 	Win32.Banker.fqe
eTrust-Vet 	31.6.6606 	2009.07.09 	-
F-Prot 	4.4.4.56 	2009.07.09 	-
F-Secure 	8.0.14470.0 	2009.07.09 	-
Fortinet 	3.117.0.0 	2009.07.03 	-
GData 	19 	2009.07.09 	-
Ikarus 	T3.1.1.64.0 	2009.07.09 	-
Jiangmin 	11.0.706 	2009.07.09 	-
K7AntiVirus 	7.10.788 	2009.07.09 	-
Kaspersky 	7.0.0.125 	2009.07.09 	-
McAfee 	5671 	2009.07.09 	-
McAfee+Artemis 	5671 	2009.07.09 	-
Microsoft 	None 	2009.07.09 	-
NOD32 	4229 	2009.07.09 	-
nProtect 	2009.1.8.0 	2009.07.09 	-
Panda 	10.0.0.14 	2009.07.09 	-
PCTools 	4.4.2.0 	2009.07.09 	-
Prevx 	3.0 	2009.07.09 	-
Sophos 	4.43.0 	2009.07.09 	-
Sunbelt 	3.2.1858.2 	2009.07.09 	-
Symantec 	1.4.4.12 	2009.07.09 	-
TheHacker 	6.3.4.3.363 	2009.07.08 	-
TrendMicro 	8.950.0.1094 	2009.07.09 	-
VBA32 	3.12.10.7 	2009.07.09 	-
ViRobot 	2009.7.9.1827 	2009.07.09 	-
VirusBuster 	4.6.5.0 	2009.07.09 	-
Information additionnelle
File size: 94720 bytes
MD5   : c7a6aeba65b5f4d6f7321f650ae2d6a6
SHA1  : 934a4a5608e29cbbf05b84f187a35e52ab1931e0
SHA256: 9f7cf13db6d9d47d0c1bab90f17d40c0436fa81a5539397019e294ab720f4233
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1830
timedatestamp.....: 0x390EFAC4 (Tue May 2 17:56:52 2000)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10B84 0x10C00 6.25 74433606a71e6ac0a1558b9d1778d750
.data 0x12000 0x17F8 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.idata 0x14000 0x8A4 0xA00 5.08 41460ce1fdb50135dbd719e4b8e7edf3
.rsrc 0x15000 0x3FD8 0x4000 4.87 50b9ccc27c1989841084366d7692e80c
.reloc 0x19000 0x1426 0x1600 5.73 4062dc105d159f26b92bf5ffdd0bf79e

( 0 imports )


( 0 exports )
TrID  : File type identification
Windows OCX File (85.9%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
DOS Executable Generic (1.3%)
ssdeep: 1536:FrZ0HfCEien4PadKGF34DzFKFcAoYP7lgNaYad5eb958hIJmyPkcaz4IStDmkdml:FrZEfLie4PjDzFkcAoYms1d54IyDZm
PEiD  : -
CWSandbox: http://research.sunbelt-software.com/...
RDS   : NSRL Reference Data Set
----------------------------------------------------------------------------------

Merci d'avance. :)

bergounious · Answer

"nous exécutons les autres applications sur un autre pc qui a internet.
tu peux expliquer ca ? "
en fait, pour télécharger les logiciels antivirus et autres "systèmes de surveillance", nous utilisons un autre pc car nous ne pouvons pas aller sur internet avec le pc infecté (mode sans échec)

gen-hackman · Answer

supprime celui-ci : Hackprog.ocx ,

j'attends le rapport de Malwarebytes

bergounious · Answer

C'est fait. Que fait-on maintenant, on redémarre l'ordinateur ?

Par ailleurs, nous avons tenté de relancer Malware et puis de l'arrêter avant la fin et supprimer l'élément détecté. Est ce possible ?

Merci d'avance

gen-hackman · Answer

fais un examen rapide avec

bergounious · Answer

Nous avons tenté d'arrêter le processus de Malware en examen détaillé mais ce n'est pas possible de supprimer l'élément en défaut.

Nous avons supprimé Hackprog puis nous avons redémarré l'ordinateur, nous avons toujours le même message d'alerte de la part de Avira, (toutes les 5 secondes à peu près, une nouvelle fenêtre apparait). 


ALERTE AVIRA : "Dans le fichier 'C:\Windows\System32\hjgruiudceiacf.dll'
un virus ou un programme indésirable 'TR.Redol.C' [virus] a été détecté.
Action exécutée : Supprimer le fichier "

Les applications (internet,...) démarrent mais plus lentement.

bergounious · Answer

Nous avons relancé Malware en examen rapide : Nous avons détecté 8 fichiers infectés puis nous avons supprimé ces 8 erreurs.

Pour information, nous avons relancé le PC en mode normal. Mais encore une fois une quinzaine fenêtres d'alerte Avira!! Par ailleurs, nous avons téléchargé la dernière mise à jour d'Avira du 14 Juillet.

Que peut-on tenter encore ?

gen-hackman · Answer

http://www.commentcamarche.net/forum/affich 13350996 virus puissant redol c?entiere#20

bergounious · Answer

Pardon le lien renvoie vers nos questions ?

gen-hackman · Answer

Fais un examen rapide avec

bergounious · Answer

j'ai effectué un examen rapide et il n'y a plus de fichiers infectés.

L'ordinateur semble fonctionner correctement, un grand merci à toi 
mais j'ai toujours une quinzaine de fenêtres d'alerte d'avira antivir qui m'informe toujours sur le même virus ce qui est très pénible.

gen-hackman · Answer

ok fais ce grand menagz pour finir : Télécharge :ATF Cleaner par Atribune Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ Tu peux garder ATF pour d'eventuels netttoyages un peu plus poussés __________________________________________________ http://www.commentcamarche.net/telecharger/telechargement 34055291 toolscleaner ---> Télécharge ToolsCleaner2 sur ton Bureau. * Double-clique sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ________________________________________________ Tu peux supprimer ToolCleaner _________________________________________________ ---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! B-Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ > Peux-tu vérifier Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). Tuto voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ > Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO http://www.commentcamarche.net/telecharger/telecharger 34055356 online armor personal firewall https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 http://www.commentcamarche.net/telecharger/telecharger 157 zonealarm ___________________________________________________ > Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ > Si nous avons utilisé MalwareByte's Anti-Malware : vide sa quarantaine. - Lance le programme puis clique sur . - Sélectionne tous les éléments puis clique sur . - Quitte le programme. ______________________________________________________ >si tu as installé Antivir : Configuration ________________________________________________________ > Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ > Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : > Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. - Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. - Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ > Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu (/!\ les routeurs et box en possèdent un)] + [Un bon Antispyware avec immunisation] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ >lien utile >SpywareBlaster = petit logiciel qui bloque l'installation d'activeX nuisibles au PC.(Fonctionne en arrière plan) ____________ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ____________ Voila, Bonne lecture, à bientot,une fois tout ceci fait tu peux mettre le topic en resolu

bergounious · Answer

j'ai fait tes différentes étapes sans changement.
Mais j'ai eu quelques alertes parallèles et je ne sais pas d'où cela vient et si cela a rapport :
voici les messages d'erreur :
- http://img22.imageshack.us/img22/8658/virusdfq.jpg
- http://img18.imageshack.us/img18/9564/virus2s.jpg

gen-hackman · Answer

à quel moment se sont ils affichés ?

bergounious · Answer

après avoir redémarrer l'ordinateur une fois supprimé les fichiers infectés.
N'y aurait-il pas une solution à ces alertes intempestives ?

gen-hackman · Answer

et si tu fais information en ligne ca donne quoi ?

bergounious · Answer

ben là j'ai fermé ces fenêtres depuis un bout de temps je n'ai pu prendre que des impression d'écran :/

gen-hackman · Answer

Ta version de Vista est-elle legale ?

bergounious · Answer

ouais bien sur, mon pc est un packard-bell mais maintenant ces alertes ne sont pas affichés par exemple.
et pour les alertes d'antivir.

gen-hackman · Answer

tu peux faire un scan avec ?

Tuto de configuration en vidéo (Merci Nico)

bergounious · Answer

je viens de finir le scan configuré selon le tutoriel et 2 résultats positifs ont été trouvés et réparés.

gen-hackman · Answer

ah... je peux lire le rapport?

bergounious · Answer

en fait il n'y a pas eu de rapport immédiat mais je l'ai finalement trouvé :) -------------------------------------------------------------------- Avira AntiVir Personal Date de création du fichier de rapport : mardi 14 juillet 2009 22:00 La recherche porte sur 1523462 souches de virus. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows Vista Version de Windows : (Service Pack 1) [6.0.6001] Mode Boot : Démarré normalement Identifiant : SYSTEM Nom de l'ordinateur : PCMARSALEX Informations de version : BUILD.DAT : 9.0.0.66 17958 Bytes 17/06/2009 14:44:00 AVSCAN.EXE : 9.0.3.6 466689 Bytes 21/04/2009 12:20:54 AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02 LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11 LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31 ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36 ANTIVIR1.VDF : 7.1.4.132 5707264 Bytes 24/06/2009 10:34:57 ANTIVIR2.VDF : 7.1.4.221 1273856 Bytes 12/07/2009 20:33:06 ANTIVIR3.VDF : 7.1.4.234 106496 Bytes 14/07/2009 17:39:37 Version du moteur : 8.2.0.204 AEVDF.DLL : 8.1.1.1 106868 Bytes 01/05/2009 13:17:17 AESCRIPT.DLL : 8.1.2.13 426362 Bytes 03/07/2009 20:42:42 AESCN.DLL : 8.1.2.3 127347 Bytes 16/05/2009 23:14:30 AERDL.DLL : 8.1.2.2 438642 Bytes 03/07/2009 20:42:40 AEPACK.DLL : 8.1.3.18 401783 Bytes 28/05/2009 18:54:43 AEOFFICE.DLL : 8.1.0.38 196987 Bytes 18/06/2009 10:31:25 AEHEUR.DLL : 8.1.0.137 1823095 Bytes 27/06/2009 10:44:43 AEHELP.DLL : 8.1.3.6 205174 Bytes 11/06/2009 21:01:48 AEGEN.DLL : 8.1.1.48 348532 Bytes 03/07/2009 20:42:38 AEEMU.DLL : 8.1.0.9 393588 Bytes 09/10/2008 13:32:40 AECORE.DLL : 8.1.6.12 180599 Bytes 28/05/2009 18:54:40 AEBB.DLL : 8.1.0.3 53618 Bytes 09/10/2008 13:32:40 AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30 AVPREF.DLL : 9.0.0.1 43777 Bytes 03/12/2008 10:39:26 AVREP.DLL : 8.0.0.3 155905 Bytes 20/01/2009 13:34:28 AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42 AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22 AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37 SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49 SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57 NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59 RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 21:42:53 RCTEXT.DLL : 9.0.37.0 88321 Bytes 15/04/2009 09:07:05 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, I:, J:, Recherche dans les programmes actifs..........: marche Recherche en cours sur l'enregistrement.......: marche Recherche de Rootkits.........................: marche Contrôle d'intégrité de fichiers système......: marche Recherche optimisée...........................: marche Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR, Début de la recherche : mardi 14 juillet 2009 22:00 Début du contrôle des fichiers système : Signé -> 'C:\Windows\system32\svchost.exe' Signé -> 'C:\Windows\system32\winlogon.exe' Signé -> 'C:\Windows\explorer.exe' Signé -> 'C:\Windows\system32\smss.exe' Signé -> 'C:\Windows\system32\wininet.DLL' Signé -> 'C:\Windows\system32\wsock32.DLL' Signé -> 'C:\Windows\system32\ws2_32.DLL' Signé -> 'C:\Windows\system32\services.exe' Signé -> 'C:\Windows\system32\lsass.exe' Signé -> 'C:\Windows\system32\csrss.exe' Signé -> 'C:\Windows\system32\drivers\kbdclass.sys' Signé -> 'C:\Windows\system32\spoolsv.exe' Signé -> 'C:\Windows\system32\alg.exe' Signé -> 'C:\Windows\system32\wuauclt.exe' Signé -> 'C:\Windows\system32\advapi32.DLL' Signé -> 'C:\Windows\system32\user32.DLL' Signé -> 'C:\Windows\system32\gdi32.DLL' Signé -> 'C:\Windows\system32\kernel32.DLL' Signé -> 'C:\Windows\system32 tdll.DLL' Signé -> 'C:\Windows\system32 toskrnl.exe' Signé -> 'C:\Windows\system32\ctfmon.exe' Les fichiers système ont été contrôlés ('21' fichiers) La recherche d'objets cachés commence. Erreur dans la bibliothèque ARK La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'bittorrent.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxMediaDB9.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'RoxWatch9.exe' - '1' module(s) sont contrôlés Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'PnkBstrA.exe' - '1' module(s) sont contrôlés Processus de recherche 'DeezRipSvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés Processus de recherche 'GoogleCrashHandler.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'ehmsas.exe' - '1' module(s) sont contrôlés Processus de recherche 'btdna.exe' - '1' module(s) sont contrôlés Processus de recherche 'ehtray.exe' - '1' module(s) sont contrôlés Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés Processus de recherche 'UnlockerAssistant.exe' - '1' module(s) sont contrôlés Processus de recherche 'MSPMirage.exe' - '1' module(s) sont contrôlés Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés Processus de recherche 'services.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés '55' processus ont été contrôlés avec '55' modules La recherche sur les secteurs d'amorçage maître commence : La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! [INFO] Veuillez relancer la recherche avec les droits d'administrateur Secteur d'amorçage 'I:\' [INFO] Aucun virus trouvé ! [INFO] Veuillez relancer la recherche avec les droits d'administrateur Secteur d'amorçage 'J:\' [INFO] Aucun virus trouvé ! [INFO] Veuillez relancer la recherche avec les droits d'administrateur La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '29' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\Program Files\Martial Villon Travaux\Adobe CS3\Flash Professional\Adobe CS3\payloads\AdobeBridge2All\AdobeBridge2All1.cab [0] Type d'archive: CAB (Microsoft) [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. --> _2_5299c43d1328b6549685216ce9753993 [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. C:\Users\MarsAlex\AppData\Local\Mozilla\Firefox\Profiles\ajt82gcd.default\Cache\C2152591d01 [0] Type d'archive: RAR SFX (self extracting) --> 32788R22FWJFW .pif [RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted) C:\Users\MarsAlex\Downloads\blender-2.49a-avifix-windows.exe.part [0] Type d'archive: NSIS [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. --> ProgramFilesDir/blender.html [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée. C:\Users\MarsAlex\Downloads\ComboFix.exe [0] Type d'archive: RAR SFX (self extracting) --> 32788R22FWJFW .pif [RESULTAT] Le fichier contient un programme exécutable. Cependant, celui-ci se dissimule sous une extension de fichier inoffensive (HIDDENEXT/Crypted) C:\Windows\System32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'I:\' Recherche débutant dans 'J:\' Début de la désinfection : C:\Users\MarsAlex\AppData\Local\Mozilla\Firefox\Profiles\ajt82gcd.default\Cache\C2152591d01 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4a8df457.qua' ! C:\Users\MarsAlex\Downloads\ComboFix.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ac9f494.qua' ! Fin de la recherche : mardi 14 juillet 2009 23:09 Temps nécessaire: 1:08:45 Heure(s) La recherche a été effectuée intégralement 27969 Les répertoires ont été contrôlés 776800 Des fichiers ont été contrôlés 2 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 2 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 3 Impossible de contrôler des fichiers 776795 Fichiers non infectés 9410 Les archives ont été contrôlées 7 Avertissements 4 Consignes 57 Des objets ont été contrôlés lors du Rootkitscan 0 Des objets cachés ont été trouvés --------------------------------------------------------------------------------------------------------

gen-hackman · Answer

donc tu n'as plus de soucis avec ceci :

'C:\Windows\System32\hjgruiudceiacf.dll'

bergounious · Answer

en fait ce fichier 'C:\Windows\System32\hjgruiudceiacf.dll' n'existe pas en tout cas quand je le recherche aucun fichier ne correspond même dans les fichiers cachés, c'est juste Antivir qui ouvre plusieurs fois de suite la fenêtre d'alerte sur ce virus.

là actuellement j'ai redémarré mon ordinateur et j'ai toujours ces fenêtres d'alerte (peut-être un peu moins nombreuses tout de fois ).

gen-hackman · Answer

j'ai du rater quelque chose refais un OTL stp ?

bergounious · Answer

en même temps que j'ai refait le scan OTl deux virus ont été détecté par Antivir et supprimé qui était différent de ''C:\Windows\System32\hjgruiudceiacf.dll' 
voici le lien du rapport http://www.cijoint.fr/cjlink.php?file=cj200907/cijJjGHIer.txt

gen-hackman · Answer

le nom leur ressemblait-il ?
ou etaient-ils placés ?

bergounious · Answer

mais j'ai pu qu'en capturer qu'un le second le premier je ne le retrouve pas dans les registres
http://img199.imageshack.us/img199/6764/paint3r.jpg
mais en tout cas, leur noms étaient différents en effet.
Merci encore pour ton aide.

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ♦ Surtout , penses à l'enregistrement à renommer Comfix en "ton prenom.exe" _________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ♦ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ♦ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ♦ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. >> Reviens sur le forum, et ♦ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Virus puissant (Redol.C)

45 réponses

Votre réponse

Discussions similaires

Newsletters