Infection f.exe et autres dérivés...Résolu/Fermé

Question

Bonsoir,
Depuis deux jours mon netbook s'est mit à ramer... Je regarde donc les processus  et me rend compte que un f.exe sans aucune description tourne en tache de fond et bouffe le CPU.
Je me vois donc forcé à redémarrer en mode sans échec avec le réseau afin de me renseigner. J'ai donc trouvé le virus dans C:/utilisateurs/Richard/AppData/Local/Temp ou se trouvent f.exe ainsi que plusieurs de ses dérivés tels que a.exe par exemple.
Je les supprimes tous mais là je me rends compte également que dans C:/windows (si j'ai bon souvenir) se trouvent msa.exe et msc.exe... Je me renseigne et les supprimes également.

Je redémarre et je me rend compte que crss.exe tourne également mais en me renseignant je vois que c'est sois disant un processus windows alors qu'il ne possède aucune description et ne peut pas être arrêté.

Je vous demande donc de l'aide s'il vous plait affin d'avoir un Pc bien clean.

Cordialement.

Xplode · Accepted Answer

Salut,

-+-+-+-> USBfix ( Infections USB ) <-+-+-+-


[x] Télécharge USBfix ( de Chiquitine29 )

[x] Un tutoriel est disponible ici

[x] Installe le

/!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisis l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

Riichard63 · Answer

Voici le rapport il est un peu long par contre... =(


############################## | UsbFix V6.066 |

User : Richard (Administrators) # RICHARD-PC
Update on 20/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:37:53 | 20/12/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Atom(TM) CPU Z520   @ 1.33GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7600 32-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 141,05 Go (62,44 Go free) [ACER] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 14,92 Go (14,92 Go free) # FAT32
Q:\ -> Disque fixe local

############################## | Processus actifs |

C:\Windows\System32\smss.exe 276
C:\Windows\system32\csrss.exe 356
C:\Windows\system32\wininit.exe 420
C:\Windows\system32\csrss.exe 428
C:\Windows\system32\winlogon.exe 464
C:\Windows\system32\services.exe 524
C:\Windows\system32\lsass.exe 532
C:\Windows\system32\lsm.exe 540
C:\Windows\system32\svchost.exe 648
C:\Windows\system32\svchost.exe 720
c:\Program Files\Microsoft Security Essentials\MsMpEng.exe 784
C:\Windows\System32\svchost.exe 884
C:\Windows\System32\svchost.exe 936
C:\Windows\system32\svchost.exe 972
C:\Windows\system32\svchost.exe 1176
C:\Windows\system32\svchost.exe 1356
C:\Windows\System32\spoolsv.exe 1468
C:\Windows\system32\svchost.exe 1504
C:\Program Files\Microsoft Application Virtualization Client\sftvsa.exe 1860
C:\Windows\system32\sppsvc.exe 1900
C:\Windows\system32\svchost.exe 1940
C:\Program Files\Microsoft Application Virtualization Client\sftlist.exe 2016
C:\Windows\system32\wbem\wmiprvse.exe 1524
C:\Windows\system32	askhost.exe 1992
C:\Windows\system32	askeng.exe 1572
C:\Windows\system32\userinit.exe 2072
C:\Windows\system32\Dwm.exe 2092
C:\Windows\Explorer.EXE 2120
C:\Program Files\Common Files\Microsoft Shared\Virtualization Handler\CVHSVC.EXE 2240
C:\Windows\system32\svchost.exe 2392
C:\Windows\system32unonce.exe 2552
C:\Windows\system32\WUDFHost.exe 2576
C:\Windows\system32\conhost.exe 2652

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job 
Supprimé ! C:\Windows\System32\sshnas.dll 
Supprimé ! C:\Users\Richard\AppData\Local\Temp\a.dat 
Supprimé ! C:\$Recycle.Bin\S-1-5-21-2802370-267230456-4173750975-1000 
Supprimé ! C:\Recycler\S-1-5-21-1183073070-2589800181-2619313026-1005 

################## | Registre # Clés infectieuses |

Supprimé ! [HKCU\SOFTWARE\XML]  
Supprimé ! [HKCU\SOFTWARE\Zeldar]  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LosAlamos"  
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Zeldar"  

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[24/10/2009 15:56|--a------|3] C:\7Loader.TAG 
[10/06/2009 21:42|--a------|24] C:\autoexec.bat 
[30/09/2009 00:00|---h-----|216] C:\Boot.BAK 
[30/09/2009 00:00|---------|216] C:\BOOT.BXP 
[25/10/2009 00:57|-rahs----|360] C:\Boot.ini.saved 
[14/04/2008 12:00|-rahs----|4952] C:\Bootfont.bin 
[14/07/2009 01:38|-rahs----|383562] C:\bootmgr 
[25/10/2009 00:57|-rahs----|8192] C:\BOOTSECT.BAK 
[10/06/2009 21:42|--a------|10] C:\config.sys 
[06/12/2009 18:25|--a------|1888] C:\fl-server-errors.log 
[24/10/2009 15:55|-rahs----|171136] C:\grldr 
[?|?|?] C:\hiberfil.sys 
[15/04/2009 03:38|-rahs----|0] C:\IO.SYS 
[17/03/2009 07:43|--a------|2016] C:\MOD01SET0J00P2000O.enc 
[11/09/2008 09:27|--a------|2488] C:\MOD01WOS02FRP20001.enc 
[15/04/2009 03:38|-rahs----|0] C:\MSDOS.SYS 
[14/04/2008 12:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 12:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[15/04/2009 04:42|--a------|1876] C:\RHDSetup.log 
[15/04/2009 04:37|--a------|190] C:\Setup.log 
[20/12/2009 18:42|--a------|3852] C:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  


################## | Upload | 

Veuillez envoyer le fichier : C:\Users\Richard\Desktop\UsbFix_Upload_Me_Richard-PC.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.066 ! |


Par contre je dois redémarrer il m'a désactivé l'antivirus et le gestionnaire multitouch.

Xplode · Answer

Ok, on continue :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur l'icône en forme de loupe ( en haut à gauche ), puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cijoint

[x] Clique sur " Parcourir " 

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Cliquez ici pour déposer le fichier " puis copie/colle le lien qui est apparudans ton prochain message

Riichard63 · Answer

Ok c'est en cours.
Il semble bloqué sur les fichiers modifiés.
Il m'a mit que 6 n'est pas une valeur correcte.

Riichard63 · Answer

Il est bel et bien bloqué...
"6" n'est pas une valeur entière correcte.

Xplode · Answer

Désinstalle le/Réinstalle le.

Riichard63 · Answer

Idem après réinstallation je vais trouver une autre version de  ZHPDiag.

Xplode · Answer

Pas vu que tu es sous windows 7.

Tu as essayé en le lançant en administrateur ( Clic droit -> Exécuter en tant qu'administrateur ) ?

Riichard63 · Answer

Oui aussi en exécutant en administrateur rien...
Même erreur au même moment.

Xplode · Answer

Tu as désactivé l'UAC ?

Riichard63 · Answer

L'UAC c'est ce qui demande avant chaque exécution?
Si c'est bien cela oui il est désactivé...

Xplode · Answer

Oui c'est celà.

Hmm.. c'est assez embêtant.. mais on va s'en passer :-)

Fais ceci :

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware

[x] Installe le en prenant soin de le mettre à jour à la fin de l'installation.

[x] Lance un scan complet.

[x] Coche bien tout les éléments trouvés et supprime les.

[x] A la fin du scan, copie/colle le contenu du rapport qui s'ouvrira. S'il ne s'ouvre pas, il se trouve dans la partie " Rapports/Logs " de malwarebyte's.

[x] N'oublie pas de vider la quarantaine de malwarebyte's.

Nb : Un tutoriel pour son utilisation est disponible à cette adresse

Riichard63 · Answer

Non c'est bon =)
Avec une version antérieure cela à fonctionné : http://www.cijoint.fr/cjlink.php?file=cj200912/cijiKuYjAz.txt

Xplode · Answer

Ok, passe à Malwarebyte's maintenant.

Riichard63 · Answer

L'analyse est en cours depuis plus de 2 heures, plus de 100 000 fichiers analysés et 2 infectés.

Riichard63 · Answer

Voila la fin de l'analyse : 

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3398
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

20/12/2009 23:12:20
mbam-log-2009-12-20 (23-12-20).txt

Type de recherche: Examen complet (C:\|Q:\|)
Eléments examinés: 280369
Temps écoulé: 3 hour(s), 42 minute(s), 16 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{547DCD75-2F35-413C-B8B1-980A7B0FFD71}\RP2\A0002860.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{547DCD75-2F35-413C-B8B1-980A7B0FFD71}\RP2\A0002861.exe (Trojan.BHO) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00057a (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Google\Chrome\User Data\Default\Cache\f_000596 (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Google\Chrome\User Data\Default\Cache\f_00057b (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\Downloads\Adobe Audition v3 Keygen.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Richard\AppData\Local\Temp\sshnas.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Xplode · Answer

Refais moi un rapport ZHPDiag.

Riichard63 · Answer

Voici le rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj200912/cijWa1f2Q7.txt

Xplode · Answer

Comment se porte le PC ?

Riichard63 · Answer

Le pc semble bien se porter aucun ralentissement et aucune charge inexpliquée de la RAM ou du CPU.
Il est redevenu rapide =)

Xplode · Answer

Bien, on termine : -+-+-+-> Procédure de fin de désinfection <-+-+-+- [x] 1-/ Nettoyage -+-+-+-> ToolsCleaner <-+-+-+- ▶ ToolsCleaner sert à supprimer les différents outils de désinfection que je t'ai fais utiliser. [x] Télécharge ToolsCleaner sur ton bureau. [x] Lance le ( Clic droit -> " Executer en tant qu'administrateur " sous vista/7 ). [x] Clique sur '' Recherche '' et laisse le scan se terminer. ( Il se peut que le programme affiche '' Ne répond pas '' , c'est parce qu'il consomme beaucoup de ressources, il suffit donc d'attendre environ 5 min ) [x] Clique sur '' Suppression '' . Tu peux éventuellement utiliser les options facultatives. [x] Clique sur '' Quitter '' pour créer le rapport. Il se trouve sous C:\TCleaner.txt. Copie/Colle le dans ton prochain message. ********************************************************************** -+-+-+-> CCleaner <-+-+-+- [x] Télécharge CCleaner. [X] Choisis " french " pour l'installation. /!\ Important : Décoche " Ajouter la barre d'outil Yahoo toolbar ! /!\ [x] Lance le, dans options, onglet Avancé, décoche " Effacer uniquement les fichiers temporaires de windows datant de + de 48h " [x] Rends toi ensuite dans la partie " nettoyeur " clique sur " analyser " à droite puis ensuite sur " nettoyer " [x] Clique sur l'onglet " Registre " puis " chercher les erreurs " [x] Clique sur " corriger les erreurs " puis un message de demandera si tu veux faire un backup, accepte en cliquant sur " oui " et enregistre le quelque part. [x] Clique enfin sur " Corriger toutes les erreurs séléctionnées " [x] Pense à renouveller l'opération assez souvent pour garder un pc propre. ********************************************************************** Purge de la restauration système : ▶ La restauration système est une partie sensible de windows dans laquelle sont enregistré des " sauvegardes " de la configuration à un instant T. Lors d'une désinfection, il faut la purger pour supprimer les éventuels malwares y résidant. ▶ Selon ton système d'exploitation, clique sur le lien correspondant ci dessous puis suis les indications données. Windows XP Windows Vista Windows 7 ********************************************************************** [x] 2-/ Optimisation -> Désactivation des programmes inutiles au démarrage [x] Clique sur démarrer -> Executer ( windows + R sous vista ) et tapes msconfig [x] Valide en appuyant sur " ok " [x] Une fenêtre s'ouvre, va à l'onglet démarrage et décoche tout les programmes qui te semblent inutiles à charger au démarrage ( en général on laisse que l'antivirus + le pare-feu ) ********************************************************************** -> Défragmentation du disque dur ▶ Lorsque tu installes un logiciel, en supprime un autre, effectue des actions sur ton disque dur, les fragments de fichiers s'éparpillent. On dit alors qu'ils se fragmentent. Les accès au disque dur sont alors moins rapide. Windows possède un défragmenteur de disque, mais il n'est pas très efficace. ▶ Je te conseille donc d'utiliser Defraggler. ▶ Tu trouveras un tutoriel pour t'aider à l'utiliser ici. ********************************************************************** [x] 3-/ Sécurité I - Attitude sur le net - Sécuriser son PC, c'est tout d'abord être responsable. 1-> Les sites de cracks sont à bannir ( Plus d'infos ici ) 2-> Le P2P est également à éviter, source de nombreuses infections. ( Bagle par ex.) ( Plus d'infos ici ) 3-> Il est aussi très important de faire toutes les mises à jour de windows, qui sont nécessaire pour corriger les failles. ( IE, Mises à jour critiques, Service Pack etc.. ) Pourquoi mettre à jour son système? 4-> Adobe flash player, Java , et acrobat reader sont également à mettre à jour, pour éviter les exploits. ********************************************************************** II - Logiciels de protection - Il faut ensuite avoir un bon antivirus, je recommande antivir qui est l'un des meilleurs antivirus gratuit à ce jour ( et qui plus est en français ) : Pour le télécharger, c'est ici Il convient également de le configurer de façon optimale. - Un bon pare-feu est aussi de rigueur, je recommande Comodo ( gratuit ) ou ZoneAlarm ( payant ). Si nous avons utilisé malwarebyte's lors de la désinfection, garde le. Il te sera certainement utile. Il suffit de faire les mises à jour régulièrement ainsi qu'une analyse de temps en temps ( 1x par semaine par exemple ). Sinon, pour le télécharger, c'est par ici. ********************************************************************** III - Liens utiles -> Malekal - Sécuriser son PC. -> Malekal - Les spywares/vers/malwares sous windows. -> Malekal - [ https://forum.malekal.com/viewtopic.php?t=6173&start= Les toolbars]. ********************************************************************** [x] 4-/ Mise à jour -+-+-+-> Update Checker <-+-+-+- Voici un excellent petit logiciel très utile qui te permettra de savoir les nouvelles mises à jour disponibles pour les différents logiciels installés sur ton PC : ▶ Télécharge Update Checker ▶ Installe le avec les paramètres par défaut en cliquant chaque fois sur Suivant. ▶ Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles. ▶ Double-cliques sur l'icône pour être redirigé sur le site de téléchargement des mises à jour. ▶ Un conseil : n'installe pas les BETA qui sont listées en dessous. ▶ Tu installes les mises à jour que tu désires, les plus importantes sont : ● Java ● Adobe Reader ● Adobe Flash Player ● Internet explorer

Riichard63 · Answer

Pour CCLeaner je le connais et l'utilise déjà c'est un très bon outil gratuit.
Comme antivirus j'utilise Microsoft security essentials qui à été bien vu par les test de clubic.
Pour ce qui est du P2P il me sert surtout pour télécharger différentes distributions de linux qui seront installées sur mon Pc de bureau car il offre pour ce genre de choses un débit beaucoup plus important =).

Xplode · Answer

Ok, n'oublie pas de mettre ton post en '' résolu '' ;-)

Riichard63 · Answer

Ouaip pas de soucis =) et vraiment un grand merci à toi et à tes précieuses informations et aides! =)

Infection f.exe et autres dérivés...

24 réponses

Discussions similaires

Newsletters