Infecté par VBS:malware-gen. Quoi faire ??? Résolu/Fermé

Question

Bonjour à tous,

Après plusieurs semaines de galère (PC qui rame, impossibilité d'ouvrir certaines applications) et d'installations de nouveaux anti-virus (Avast 5.0 - spybot search & destroy - malwarebytes'anti-malware) voici ce que j'ai eu à l'allumage du PC, comme rapport d'avast 5.0 
fichier C:\windows\systeme32\fjhdyfhsn.bat est infecté par VBS:malware-gen
Je ne suis plus trop quoi faire, faux positif ? si vous pouvez m'aidez, d'avance merci.
C'est assez urgent, j'ai d'importantes données à sécuriser.



Configuration: Windows XP / Internet Explorer 6.0

Destrio5 · Answer

Bonjour,

C'est bien un virus.

--> Télécharge OTL (de OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
--> Coche également les cases à côté de LOP Check et Purity Check.
--> Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Pour me transmettre les rapports :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie-colle ce lien dans ta réponse.

Bambou1966 · Answer

Bonjour Destrio

J'ai pas pu le faire plus tôt, voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijNr2wIbV.txt

Merci beaucoup pour ton aide. A plus...

bambou1966 · Answer

j'ai oublié le extras.txt !
Le voici :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijDDqfJCB.txt

Destrio5 · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

bambou1966 · Answer

MBAM n'a rien détecté. Pourtant ça rame toujours autant, des programmes échouent, mettent du temps pour se fermer...
Avast avait trouvé plein de fichiers infectés.

Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijCXKPlQX.txt

Destrio5 · Answer

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

Bambou1966 · Answer

Dois-je aussi désactiver le pare-feu windows ? 

J'aimerais te faire parvenir des copies d'écran de rapports d'anti-virus que j'ai gardé depuis le début.
On peut coller des documents word ici ?

Destrio5 · Answer

Pas besoin de désactiver la pare-feu Windows.

Je crois que oui.

Bambou1966 · Answer

A l'heure qu'il est mes anti-virus et pare-feux sont desactivés.

Voici les print-écrans que je voulais te montrer --> "telecharger vitesse normale" puis "télécharger" puis "ouvrir.

 http://www.partage-facile.com/1E4RA514SI/spyware_doctor_130410.doc.html

 http://www.partage-facile.com/TAWCXFH4BI/virus240310.rtf.html

http://www.partage-facile.com/XZTTUIVUW8/avast_030310.doc.html

 http://www.partage-facile.com/FX943IDBIF/erreur.doc.html

 http://www.partage-facile.com/SY2D0FHW25/le_04.04.10doc.doc.html

J'en suis à l'étape où je dois lancer combofix.
J'attends ton feu vert.

Destrio5 · Answer

Tu peux le lancer.

bambou1966 · Answer

Bonjour Destrio,

Voici le rapport de Combofix :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijrovG4nC.txt 

Bonne journée,

Bambou1966 · Answer

Salut Destrio,

Je n'ai plus eu de tes news, alors je t'explique ce que j'ai fait :

Juste avant de lancer Combofix (rapport ci-dessus), j'avais sur un rapport Spyware Doctor, 7 menaces et 65 infections.
J'ai réactivé mes anti-vrus. Extinction PC, nettoyage par Ccleaner, extinction PC, désinstallation de Firefox et de Google Chrome (installées récemment => doutes !), extinction, nettoyage...
Puis j'ai fait tourner tout à tour :
SPYBOT : Auncun mouchard
SPYWARE DOCTOR : 3 menaces - 27 infections (c'est mieux !) et passées de "haut" à "faible"
AVAST 5.0 scan minutieux : 6 menaces détectées. tenté la réparation => rien, j'ai mis en quarantaine => 0 menaces détectées.

Dois-je refaire tourner Combofix ou autre ?
Le PC rame quand même encore, par contre il arrive à ouvrir des applic. qu'il n'arrivait plus à faire avant. J'ai pas tout testé.

Est-il bon d'avoir plusieurs anti-virus d'installés ?

Merci pour tes conseils.

Destrio5 · Answer

"Est-il bon d'avoir plusieurs anti-virus d'installés ?"
--> Non.


/!\ Seul Bambou1966 peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat 






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

Bambou1966 · Answer

Pas évident à faire, mais voici ce que j'obtiens :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijXmYFGbO.txt 

Tu sais, je me demande si je ne suis pas partie dans une grosse galère avec toutes ces menaces et infections...

Tu pourras me dire quels anti-virus je dois désinstaller ? J'ai vu sur ton profil que tu avais AVIRA, je l'ai mis sur mon netbook mais pas encore sur le PC.

Aujourd'hui j'ai ouvert 2 onglets internet qui ont plantés (obligée d'éteindre avec la prise de courant) et j'ai fait des rapports d'anti-virus après, c'était pire que la veille !

A l'heure actuelle sont installés : spyware Doctor, Spybot, Avast 5.0, Malwarebytes A-M et Exterminate.
Je vire quoi ?

Destrio5 · Answer

Spyware Doctor.

Pour ComboFix, tu n'as pas bien suivi la manip'.

Bambou1966 · Answer

Je dois faire quoi ? à partir du niveau 2, c'était pas très clair pour "glisser-déposer". Je n'ai pas l'impression que j'étais au bon endroit...

"Spyware Docteur" c'est la réponse à quelle question ? Je dois le désinstaller ? et les autres anti-virus, je les garde ?

Destrio5 · Answer

Tu as Avast et MBAM, je ne vois pas l'intérêt de garder Spyware Doctor.

Tu restes appuyer sur le clic gauche sur le CFScript et tu le déposes sur ComboFix.

bambou1966 · Answer

Bonjour Destrio,

C'est de pire en pire, je me retrouve avec 5 menaces et 288 infections !!!

Pour Combofix le problème c'est que je n'ai pas réussi à l'installer sur le bureau, il s'est mis directement sous C.
Depuis je n'arrive pas à le désinstaller pour le remettre sur le bureau afin de faire la dernière manip. que tu m'as donnée.

Je ne sais plus non plus quoi garder et quoi retirer comme antivirus.

En gros c'est la panade totale...

bambou1966 · Answer

UP !

Si quelqu'un peut m'aider...

Destrio5 · Answer

--> Télécharge Dr.Web CureIt! sur ton Bureau.
--> Double-clique sur drweb-cureit.exe et clique sur Commencer le scan.
--> Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
--> Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration.
--> Choisis l'onglet Scanner, et décoche Analyse heuristique.
--> De retour à la fenêtre principale : choisis Analyse complète.
--> Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la.
--> Clique Oui pour Tout si un fichier est détecté.
--> A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, clique sur Quarantaine.
--> Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport.
--> Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
--> Ferme Dr.Web CureIt!
--> Redémarre ton ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
--> Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.

NB : Dr.Web en version gratuite est un scanner à la demande et n'entre pas en conflit avec ton antivirus résident. Tu pourras finalement supprimer Dr.Web à la fin des manipulations.

bambou1966 · Answer

J'ai tout d'abord désinstaller Spyware Docteur. Eteint, rallumé.
J'ai installé Dr Web CureIt sur le bureau.

Pour le scan rapide -> aucun virus détecté
Pour l'analyse complète -> il a balayé pendant 4h30 et sur la page "analyse" on voit 4 fichiers infectés, mais impossible de les sélectionner puis désinfecter... car les boutons sont grisés.
Sur la page "statistiques" on voit que 4 fichiers infectés ont été supprimés.

Que dois-je faire ?

Destrio5 · Answer

Quel logiciel te trouve autant d'infections ?

bambou1966 · Answer

Comment ça quel logiciel ???

bambou1966 · Answer

Voici quand même le rapport, malgré les fichiers supprimés d'office.

RegUBP2b-DLE&CLE.reg;C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2;Trojan.StartPage.1505;Supprimé.;
A0173193.reg;C:\System Volume Information\_restore{18120FB7-1173-47C3-9BCD-321152D5F4E4}\RP1444;Trojan.StartPage.1505;Supprimé.;
fjhdyfhsn.bat.vir;C:\Qoobox\Quarantine\C\WINDOWS\system32;BAT.KillFiles.33;Supprimé.;
Everest_Poker.exe;D:\Données DLE&CLE\Dossiers DLE\Poker;Trojan.Fakealert;Supprimé.;

Destrio5 · Answer

Je parlais des 288 infections.

bambou1966 · Answer

C'est Spyware Docteur qui m'a trouvé 288 infect. mais d'après ce que tu m'as dit, je suppose que ce sont les anti-virus entre eux qui ne se reconnaissaient pas.
Maintenant il est désinstallé.

Que donne mon rapport Dr Web CureIt ?

J'ai toujours combofix qui est sous c:\ et qui n'a pas pu fonctionner. Si je n'en ai plus besoin, comment je peux le désinstaller ?

Dois-je retirer Dr Web CureIt maintenant ?

Merci.

Destrio5 · Answer

D'après le rapport, il n'y a pas de quoi s'inquiéter, je ne pense pas qu'il reste une infection active sur ton PC.

Comment va le PC ?

bambou1966 · Answer

J'ai lancé Avast -> aucune infection détectée.
Spybot -> Problème : right media = 1 élément browser
"cookie traceur internet exploreur" et "cookie dle&cle@ad.yealdmanager.com\"

???

Le PC reste quand même instable pour la navigation internet.

Destrio5 · Answer

Si tu veux quelque chose de radical > Réinstallation système.

bambou1966 · Answer

Waouw ! effectivement c'est du radical ! ... pas fait pour moi ça !!! ha ! ha !

En tous cas je te remercie beaucoup.

Pourrais-tu stp, quand même me dire ce que je fais de Combofix sous c:\ 
Dr Web cureIt je le garde ou pas ?

Des conseils à me donner sur les anti-virus ?
Bon, je ne veux pas abuser non plus !!!

En tous cas merci encore à toi ! bon week-end.

Dernière tite question : si j'avais acheté un new PC tout propre et voulu transférer toutes mes données, est-ce que j'aurais transmis tous les virus sur ce nouveau PC ?...

J'attends ta réponse et je clos le sujet comme résolu. MERCI Destrio.

bambou1966 · Answer

Up !!!

bambou1966 · Answer

Salut Destrio, j'espère que tu vas mieux.

Mon PC tourne, le net est quand même moyen, mais tu me l'as sauvé...
Si tu peux répondre à mes questions précédentes...

Merci encore.

Destrio5 · Answer

Je ne suis pas disponible pour l'instant.

Infecté par VBS:malware-gen. Quoi faire ???

33 réponses

Discussions similaires