Virus bloque site antivirus & MAJ D'antivirus

Fermé
IpodNano Messages postés 122 Date d'inscription mercredi 14 mai 2008 Statut Membre Dernière intervention 11 décembre 2011 - 12 sept. 2009 à 11:53
 Steve - 12 sept. 2009 à 17:51
Bonjour, j'ai un virus assez costaud qui veut pas partir de mon PC. Il bloque l'accées au site d'antivirus, m'ouvre des fenêtres de pub et surtout me bouffe ma connexion. De temps en temps il m'ouvre une fênetre avec écrit "7.tmp (cela ne s'arrête pas qu'au chiffre 7, il en affiche d'autre aussi avec un .tmp à la suite) à cesser de fonctionner etc ..." Et le virus bloque aussi l'envoie de rapport d'erreur a microsoft. J'ai fait plusieurs scan
avec SDFix, un avec Findykill et un nombre incalculable avec MBAM.

Si quelqu'un aurait une idée de comment le déloger sa m'aiderait beaucoup car ma connexion rame méchamment =/
A voir également:

11 réponses

bonjours,


Téléchargez RSIT (de random/random) sur votre bureau :
http://images.malwareremoval.com/random/RSIT.exe
• Double cliquez sur RSIT.exe,
• Appuyez sur [Continue] à l'écran « Disclaimer »,
• RSIT téléchargera HijackThis (s’il n’est pas installé) -> acceptez la licence,
>> le rapport Log.txt va s'ouvrir à l'écran..

► Postez ce rapport, aussi disponible dans C:\RSIT\..

_____________________________________________________________

Téléchargez Rooter (IDN) sur votre bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2

/|\ Déconnectez l'Internet et fermez toutes applications en cours /|\

• Lancez Rooter et laissez le aller,
Postez le rapport( C:\ Rooter.txt).
0
IpodNano Messages postés 122 Date d'inscription mercredi 14 mai 2008 Statut Membre Dernière intervention 11 décembre 2011 3
12 sept. 2009 à 12:01
Le virus bloque l'accès au site =\ ... Si tu as un lien qui ne mene pas sur le site directement je devrait pouvoir le télécharger
0
re,

Procédure de téléchargement de logiciels.
• Faites un clic-droit sur les liens téléchargements

• Sélectionnez soit avec :
- Internet Explorer : Enregistrer la cible sous...
- Firefox : Enregistrer la cible du lien sous...

► Et renommer LesLogiciel.exe ==> IpodNano et iPNano.exe et sauvegarder les sur votre bureau.
0
IpodNano Messages postés 122 Date d'inscription mercredi 14 mai 2008 Statut Membre Dernière intervention 11 décembre 2011 3
12 sept. 2009 à 12:10
Firefox me met "Serveur Introuvable" dés que je clique sur le lien de RSIT. Je ne peux même pas voir la page internet du site.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
re,

Faites ceci pour de suite..
Démarrer->Exécuter et Copier/coller Cmd /k ipconfig /flushdns ensuite valider.

Vous devez faire un Clic-Droit sur les lien de téléchargement ==> Enregistrer la cible du lien sous...
Et la vous renommer le logiciel qui est télécharger en n'importe quel autre nom ........EXE

Si aucun téléchargement ne fonctionnent toujours pas, ont ré-initialisera la couche TCP/IP.

Postez les rapports Malwarebytes(dans [Rapports/Logs]) SDFix et autre..
0
IpodNano Messages postés 122 Date d'inscription mercredi 14 mai 2008 Statut Membre Dernière intervention 11 décembre 2011 3
12 sept. 2009 à 12:33
Marche pas pour RSIT, même en renommant. Il me mette "Le fichier source ne peut être lu"

Alors voici un mon dernier raport SDFix:

[b]SDFix: Version 1.240 [/b]
Run by Matthieu on 12/09/2009 at 11:19

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\Matthieu\Bureau\SDFix

[b]Checking Services [/b]:

[b]Name [/b]:
protect

[b]Path [/b]:
System32\drivers\protect.sys

protect - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Service protect - Deleted after Reboot

[b]Checking Files [/b]:

Trojan Files Found:

C:\WINDOWS\system32\2.tmp - Deleted
C:\WINDOWS\system32\4.tmp - Deleted
C:\WINDOWS\system32\5.tmp - Deleted
C:\WINDOWS\system32\3.tmp - Deleted
C:\WINDOWS\system32\7.tmp - Deleted
C:\WINDOWS\system32\8.tmp - Deleted
C:\WINDOWS\system32\6.tmp - Deleted
C:\WINDOWS\system32\A.tmp - Deleted
C:\WINDOWS\system32\B.tmp - Deleted
C:\WINDOWS\system32\9.tmp - Deleted
C:\WINDOWS\system32\C.tmp - Deleted
C:\WINDOWS\system32\D.tmp - Deleted
C:\WINDOWS\system32\E.tmp - Deleted
C:\WINDOWS\system32\2.tmp - Deleted
C:\WINDOWS\system32\10.tmp - Deleted
C:\WINDOWS\system32\11.tmp - Deleted
C:\WINDOWS\system32\12.tmp - Deleted
C:\WINDOWS\system32\13.tmp - Deleted
C:\WINDOWS\system32\drivers\protect.sys - Deleted





Removing Temp Files

[b]ADS Check [/b]:



[b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-12 11:29:58
Windows 5.1.2600 Service Pack 2 FAT NTAPI

detected NTDLL code modification:
ZwOpenFile

scanning hidden processes ...

scanning hidden services ...

HKLM\SYSTEM\CurrentControlSet\Services\kmixerojmglvet

scanning hidden autostart entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\GIMP-2.0\\lib\\gimp\\2.0\\plug-ins\\script-fu.exe"="C:\\Program Files\\GIMP-2.0\\lib\\gimp\\2.0\\plug-ins\\script-fu.exe:*:Enabled:script-fu"
"C:\\WINDOWS\\system32\\winver.exe"="C:\\WINDOWS\\system32\\winver.exe:*:Enabled:winver"
"C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\French\\setup.exe"="C:\\Documents and Settings\\All Users\\Application Data\\Kaspersky Lab Setup Files\\Kaspersky Internet Security 2009\\French\\setup.exe:*:Enabled:Programme d'installation de Kaspersky Internet Security 2009"
"C:\\WINDOWS\\System32\\SRV32.EXE"="C:\\WINDOWS\\System32\\SRV32.EXE:*:Disabled:srv32"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Java\\jre6\\bin\\java.exe"="C:\\Program Files\\Java\\jre6\\bin\\java.exe:*:Enabled:Java(TM) Platform SE binary"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\TightVNC\\WinVNC.exe"="C:\\Program Files\\TightVNC\\WinVNC.exe:*:Enabled:TightVNC Win32 Server"
"C:\\Program Files\\iPhone Tunnel Suite\\iTunnel\\iTunnel.exe"="C:\\Program Files\\iPhone Tunnel Suite\\iTunnel\\iTunnel.exe:*:Enabled:iTunnel"
"C:\\Program Files\\UltraVNC\\vncviewer.exe"="C:\\Program Files\\UltraVNC\\vncviewer.exe:*:Enabled:vncviewer.exe"
"C:\\Program Files\\Bonjour\\mDNSResponder.exe"="C:\\Program Files\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"="C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE:*:Disabled:Internet Explorer"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

[b]Remaining Files [/b]:


File Backups: - C:\DOCUME~1\Matthieu\Bureau\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Sat 19 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK7.dll"
Sat 19 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMP3.dll"
Sat 19 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Sat 19 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIFCD3.dll"
Sat 19 Aug 2006 1,024 ...HR --- "C:\WINDOWS\system32\NTIBUN4.dll"
Thu 27 Aug 2009 41,515 ...H. --- "C:\Documents and Settings\Matthieu\Matthieu.exe"
Thu 27 Aug 2009 41,515 ...H. --- "C:\Documents and Settings\Brigitte\Brigitte.exe"
Sat 27 Sep 2008 2,476,032 ..SH. --- "C:\Documents and Settings\Matthieu\Bureau\Lpn648_cfdg.exe"
Sat 27 Sep 2008 2,476,032 ..SH. --- "C:\Documents and Settings\Matthieu\Bureau\HxU4Xf_cfdg.exe"
Tue 1 Sep 2009 41,488 ...H. --- "C:\WINDOWS\system32\config\systemprofile\systemprofile.exe"
Thu 21 Aug 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8171d23d6d072d8b50d065ca55a754fb\BIT122.tmp"
Sun 24 Aug 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]
0
IpodNano Messages postés 122 Date d'inscription mercredi 14 mai 2008 Statut Membre Dernière intervention 11 décembre 2011 3
12 sept. 2009 à 12:36
Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 2
[32_bits] - x86 Family 6 Model 14 Stepping 8, GenuineIntel
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Disabled !
.
Internet Explorer 6.0.2900.2180
Mozilla Firefox 3.5.3 (fr)
.
C:\ [Fixed-FAT32] .. ( Total:43 Go - Free:9 Go )
D:\ [Fixed-NTFS] .. ( Total:44 Go - Free:8 Go )
E:\ [CD_Rom]
F:\ [CD_Rom]
H:\ [CD_Rom]
I:\ [CD_Rom]
.
Scan : 12:34.56
Path : C:\Documents and Settings\Matthieu\Bureau\ipodnano.exe
User : Matthieu ( Administrator -> YES )
.
----------------------\\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (588)
______ \??\C:\WINDOWS\system32\csrss.exe (648)
______ \??\C:\WINDOWS\system32\winlogon.exe (1208)
______ C:\WINDOWS\system32\services.exe (1284)
______ C:\WINDOWS\system32\lsass.exe (1296)
______ C:\WINDOWS\system32\svchost.exe (1492)
______ C:\WINDOWS\system32\svchost.exe (1616)
______ C:\WINDOWS\System32\svchost.exe (1688)
______ C:\WINDOWS\system32\svchost.exe (1784)
______ C:\Program Files\Intel\Wireless\Bin\EvtEng.exe (1936)
______ C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe (2020)
______ C:\WINDOWS\system32\svchost.exe (288)
______ C:\WINDOWS\system32\svchost.exe (372)
______ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (536)
______ C:\Acer\Empowering Technology\admServ.exe (1004)
______ C:\WINDOWS\Explorer.EXE (1044)
______ C:\Program Files\Bonjour\mDNSResponder.exe (1752)
______ C:\WINDOWS\system32\svchost.exe (1876)
______ C:\WINDOWS\eHome\ehRecvr.exe (352)
______ C:\WINDOWS\system32\svchost.exe (356)
______ C:\WINDOWS\eHome\ehSched.exe (428)
______ C:\Program Files\Java\jre6\bin\jqs.exe (680)
______ C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe (784)
______ C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe (868)
______ C:\Program Files\CDBurnerXP\NMSAccessU.exe (1076)
______ C:\WINDOWS\system32\nvsvc32.exe (1248)
______ C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe (1260)
______ C:\WINDOWS\system32\svchost.exe (1624)
______ C:\WINDOWS\System32\TUProgSt.exe (1928)
______ C:\WINDOWS\system32\wscntfy.exe (2284)
______ C:\WINDOWS\system32\dllhost.exe (2820)
______ C:\WINDOWS\System32\alg.exe (4024)
______ C:\WINDOWS\system32\svchost.exe (3752)
______ C:\WINDOWS\system32\6.tmp (3672)
______ C:\WINDOWS\System32\svchost.exe (3856)
______ C:\WINDOWS\System32\svchost.exe (2304)
______ C:\WINDOWS\System32\svchost.exe (2312)
______ C:\WINDOWS\System32\svchost.exe (2100)
______ C:\WINDOWS\System32\svchost.exe (4844)
______ C:\WINDOWS\system32\srv32.exe (9892)
______ C:\WINDOWS\system32\srv32.exe (9980)
______ C:\WINDOWS\system32\srv32.exe (10084)
______ C:\WINDOWS\system32\srv32.exe (6196)
______ C:\WINDOWS\system32\srv32.exe (6368)
______ C:\WINDOWS\System32\reader_s.exe (7912)
______ C:\Program Files\Messenger\msmsgs.exe (4504)
______ C:\Documents and Settings\Matthieu\reader_s.exe (8236)
______ C:\WINDOWS\system32\wuauclt.exe (8492)
______ C:\WINDOWS\System32\svchost.exe (4524)
______ C:\Program Files\iPod\bin\iPodService.exe (6928)
______ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\distnoted.exe (8856)
______ C:\Documents and Settings\Matthieu\Bureau\ipodnano.exe (11264)
.
----------------------\\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:32256 | Length:5239471104)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:5239503360 | Length:47130854400)
\Device\Harddisk0\Partition3 (Start_Offset:52370357760 | Length:47657272320)
.
----------------------\\ Scheduled Tasks
.
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\SA.DAT
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\Maintenance en 1 clic.job
.
----------------------\\ Registry
.
.
----------------------\\ Files & Folders
.
----------------------\\ Scan completed at 12:35.28
.
C:\Rooter$\Rooter_1.txt - (12/09/2009 | 12:35.28)
0
re,

Et avec l'autre(RSIT) ça fonctionne ..
0
re,

Vous avez une infction VIRUT from le P2P..

Vous utiliserez le clic-droit pour les téléchargement.
Mais si ça fait quelques jours et quelques redémarrage de PC que vous avez ça.
Vous devrez possiblement formater, selon la technique du lien (..commentcamarche) plus loin..


Important.
Sauvegarder immédiatement toutes les données personnelles sur CD-ROM

Pour éviter que l’infection ce déploit davantage,
• Ne plus fermer ou redémarrer le PC,
• Autant que possible déconnecter Internet, qui devient un vecteur de propagation de l’infection,
Ne l'ouvrez que pour la tâche de désinfection; téléchargement, postez/vérifier les message de ce sujet.
__________________________________________

Si vous commencez à avoir des problèmes avec des processus de Windows.
Faites un sfc /scannow dans Démarrer -> Exécuter ..
(Le Cd d'installation "original" de windows sera requis)
__________________________________________


• Téléchargez Flash Disinfector (de sUBS) :
https://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

>> Ignorez l'alerte de votre antivirus concernant Flash Disinfector!

/|\ Désactivez votre antivirus. /|\

• Branchez tout vos périphériques supports USB externes.
• Double cliquez sur Flash Disinfector.exe et suivez ses instructions.
Postez le contenu du rapport

/|\ Réactivez votre antivirus. /|\

Si le bureau ne réapparait pas.
Faites Ctrl-alt-Supp. --> Fichier --> Nouvelle tâche (Exécuter..), entrez Explorer et valider

P.S.:
Process.exe" est une composante de l'outil détecté par certains antivirus tels que (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un processus de Flash Disinfector.

__________________________________________


Télécharger/Lancer RMVirut : https://www.avg.com/fr-fr/virus-removal

Ensuite suivez les instructions à partir de cet endroit >>
>> Première Méthode : https://www.commentcamarche.net/

>>>>> Postez tout les rapports .
0
IpodNano Messages postés 122 Date d'inscription mercredi 14 mai 2008 Statut Membre Dernière intervention 11 décembre 2011 3
12 sept. 2009 à 16:12
Flash Desinfector ne m'a donner aucun rapport et je n'arrive pas à télécharger le deuxième programme ... Si je réinstalle Windows, le virus restera ?
0
bonjours,

Si je réinstalle Windows, le virus restera --> NON va ce relancera.

Dans la page Web du lien suivant, est dit comment formater le PC pour éliminer VIRUT, avant de lancer la réinstallation de windows.

Voici le lien qui donne la méthode pour supprimer Virut (qui très virulent )
http://www.commentcamarche.net/...

.
0