Sujet Précédent Sujet Suivant

Besoin d'aide pour virus

Mel -  
 Mel -
Bonjour,

J'ai des problèmes de virus sur mon PC.

Pour faire ça dans l'ordre, j'ai d'abord choppé le virus d'msn : celui qui envoie des liens à tous mes contacts (j'ai ouvert un lien que m'avait envoyé un contact...)
Malgré avoir utilisé Malwarebytes, mon problème n'était toujours pas réglé.

Ensuite, Avast s'ouvrait en me disant que j'avais attrapé le virus "lsass.exe". ça a duré quelques jours, puis, aujourd'hui, le message ne s'est plus ouvert. A chaque fois qu'il affichait le message, je cliquais sur "ne rien faire" (j'avais lu que le vrai virus était "sasser.exe" et que "lsass.exe" était essentiel au fonctionnement de l'ordi). Normalement, le virus aurait du faire redémarer le pc, mais ça ne me l'a jamais fait.

Et aujourd'hui, il me dit que je suis infectée par Win32:Malware-gen ("erase_me917760.exe"), donc là, j'ai laissé la fenêtre d'avast sans rien toucher. (Qu'est-ce que je dois faire ??)
Puis j'ai voulu aller voir là où le virus était.
Je suis donc allée dans le dossier applications data en affichant les dossiers cachés, et j'ai vu dans ce dossier des images appellées "erase_me". Ensuite, la fenêtre a planté, ma barre des taches et ma fenêtre ont disparu. Alors pour les faire réapparaître, j'ai tappé la commande "explorer.exe" dans le gestionnaire des tâches, est tout est réapparu.

Et je me demande si ma clé usb et mon mp4 sont pas infectés non plus car l'explorer.exe de ma clé fermait souvent tout seul et c'est après avoir connecté mon mp4 que avast a trouvé le lsass.exe...

Voià mes symptômes, je viens vous demander de l'aide car je n'arrive pas à me désinfecter tout seule et j'aimerai bien que quelqu'un m'aide à faire le grand nettoyage^^

Je vous remercie d'avance pour vos réponses (bon courage...)

A voir également:

27 réponses

  • 1
  • 2
Réponse 1 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Salut

Nous allons voir si ton ordinateur est infecté et dans ce cas situer l'infection :

▶ Télécharge ZHPDiag

▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

▶ Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

A+
0
Mel
 
Ok, je vais le faire de suite ^^
Mais pour ma fenêtre avast sur le Win32:Malware-gen, je clique sur "ne rien faire" ou "mettre en quarantaine" ??
0
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Clique sur mettre en quarantaine.
0
Mel
 
Quand j'ai cliqué il m'a réouvert une autre fenêtre, j'ai recliqué sur mettre en quarantaine, puis il m'en a réouvert une autre qui me dit que j'ai un cheval de troie sur C:\WINDOWS\system32\sysconfig32.exe qui s'appelle Win32:Flot [Trj], je continue la quarantaine ?
Et puis ZHPDiag ne répond plus (il reste tout blanc)
0
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Laisse faire ZHPdiag, il devient blanc puis va t'afficher un rapport.
0
Mel
 
ça va durer encore combien de temps à peu près ??
0
Réponse 2 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
C'est pas normal, à la place

Fait ceci :

? Télécharge Random's System Information Tool (RSIT).

? Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

? Double clique sur RSIT.exe pour lancer l'outil.

? Clique sur 'Continue' à l'écran Disclaimer.

? Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

? Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller

A+
0
Mel
 
Je le ferai... Mais demain ^^
Là j'ai pas envie de passer la nuit à scanner l'ordi
Mais c'est peut-être avast et ses messages qui ont tout fait beuguer ?
0
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Non y'a peu de chances. En revanche je vois bien une infection derrière tout sa.

A demain alors ^^
0
Réponse 3 / 27
Mel
 
Voilà c'est fait ^^
Mais ça n'a pas marché quand j'ai voulu envoyer les messages, je pense que c'est parce que mes rapports étaient bien trop longs.

Donc je les ais hébergés sur le site ou j'ai téléchargé RSIT.

Il est ici : https://www.androidworld.fr/
0
Réponse 4 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Salut,

Il y a la présence d'une backdoor IRC.bot sur ton pc :

Option 1 - Recherche :

▶ Télécharge UsbFix de El desaparecido et C_XX et enregistre-le sur ton bureau

▶ tutoriel recherche

▶ Double-clique sur UsbFix présent sur ton bureau, l'installation se fera automatiquement

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

▶ Choisi l'option 1 (recherche)

▶ Laisse travailler l'outil

▶ Ensuite post le rapport UsbFix.txt qui apparaîtra

* Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

* Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

* Note : "SniffC.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

A+
0
Mel
 
Juste une question, j'ai une souris sans fil avec une clé usb sur l'ordi, elle risque d'être infectée aussi ??
Et j'ai un jour essayé de connecter un mp3, mais je n'ai pas pu l'ouvrir à cause d'un problème de port, je le met aussi ??
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
Mel
 
C'est fait !!

Voilà me rapport :

############################## | UsbFix V6.103 |

User : Mélanie (Administrateurs) # EEEPC
Update on 12/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:02:22 | 13/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Celeron(R) M processor 900MHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100413-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 80,02 Go (63,41 Go free) # NTFS
D:\ -> Disque fixe local # 69 Go (68,86 Go free) # NTFS
E:\ -> Disque amovible # 3,76 Go (1,88 Go free) # FAT32
F:\ -> Disque amovible # 3,67 Go (1,96 Go free) [PHILIPS] # FAT32

################## | Elements infectieux |

C:\WINDOWS\csrssm.exe
C:\WINDOWS\MsnMgr.exe
C:\WINDOWS\System32\sysconfig32.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\02.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\13.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\17.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\24.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\37.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\38.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\40.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\41.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\45.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\49.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\51.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\53.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\55.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\67.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\75.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\78.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\79.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\82.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\83.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\85.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\87.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\99.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\13.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\17.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\24.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\37.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\38.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\40.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\41.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\45.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\49.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\51.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\53.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\55.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\67.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\75.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\78.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\79.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\82.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\83.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\85.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\87.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\99.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\lssas.exe
C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\Setup.exe
C:\a.txt
C:\Documents and Settings\M'lanie\Local Settings\Temp\51.exe
C:\WINDOWS\msnmgr.exe

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "google updater"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "sysconfig32"

################## | Mountpoints2 |

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.103 ! |
0
Mel
 
Je me demande comment j'ai pu attraper tout ça... Une erreur de ma part ou pas de chance ??
0
Réponse 6 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Enfaite quand tu branche une ta clé sur un ordinateur infecté ( boulot, amis ... ) il infecte ta clé. Puis tu branche ta clé sur ton ordi qui l'infecte à son tour et ainsi de suite ...

Option 2 - Nettoyage :

▶ tutoriel nettoyage

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

▶ Double clic sur le raccourci UsbFix présent sur ton bureau

▶ choisi l'option 2 ( Suppression )

▶ Ton bureau disparaîtra et le pc redémarrera .

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

▶ /!\ UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.androidworld.fr/

▶ Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

▶ Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

▶ Merci d'avance pour ta contribution !!

2-

Pourrais tu essayer de refaire un ZHPdiag ?

A+
0
Réponse 7 / 27
mel
 
J'ai 2 petites questions ^^

La première, j'ai lancé usbfix, ça a redémaré l'ordi, et maintenant il est sur l'écran de choix des sessions, je dois aller sur la mienne ??

Et aussi, je me souviens que j'avais branché ma clé usb sur un autre ordi (celui sur lequel je suis en ce moment), il doit sûrement être infecté aussi, non ?? Je dois faire un ZHPdiag dessus ??

Merci d'avance en espérant que je sois au bout de mes problèmes...
0
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Oui va sur la tienne
0
Mel
 
Voilà, j'ai fait usbfix, envoyé le fichier, maintenant je refais le ZHPdiag ^^
0
Mel
 
Ah ben finalement il a pas voulu envoyer le rapport parce que sa taille est supérieure à 2000ko
0
Réponse 8 / 27
Mel
 
Voilà le rapport de ZHPdiag :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijOf0Y9QN.txt
0
Mel
 
Je vais faire un test sur msn voir si ça a marché ^^
0
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Pourrais tu poster le rapport de UsbFix stp ?
0
Mel
 
Bon ben bonne nouvelle je bug plus ^^ Le virus est mort !!
Merci beaucoup beaucoup !!
0
Réponse 9 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Salut !

1-

-> Lance ZHPfix soit par le raccourci présent sur ton bureau ou via ZHPdiag ( dans ce cas clique sur le bouclier vert ) en faisant clic doirt -> Exécuter en tant qu'administrateur pour vista/seven

-> Clique sur le H bleu ( "coller les lignes Helper" )

-> Copie ceci

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
O2 - BHO: sarpbho Class - {222B8372-1556-430c-BB5E-0AFF73775229} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\SARP32.dll
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\83.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\83.exe


-> Colle le dans ZHPfix

-> Clique sur [ OK ] puis sur [ TOUS ] et enfin sur [ NETTOYER ]

-> copie et colle le rapport de ZHPfix

2-

> Rends toi sur VirusTotal

-> Affiche les fichiers et dossiers cachés

-> Upload ces fichiers

C:\WINDOWS\msnmeg.exe

-> Copie et colle les liens des rapports dans ta prochaine réponse.

A+
0
Réponse 10 / 27
Mel
 
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{222B8372-1556-430c-BB5E-0AFF73775229}]

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"="C:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"="C:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare"
"C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"C:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe"="C:\\Program Files\\Veoh Networks\\VeohWebPlayer\\veohwebplayer.exe:*:Enabled:Veoh Web Player "
"C:\\Documents and Settings\\Mélanie\\Mes documents\\Téléchargements\\PIC00732010-JPG-www-facebook-com.scr"="C:\\Documents and Settings\\Mélanie\\Mes documents\\Téléchargements\\PIC00732010-JPG-www-facebook-com.scr:*:Enabled:Userinit"
"C:\\DOCUME~1\\MLANIE~1\\LOCALS~1\\Temp\\51.exe"="C:\\DOCUME~1\\MLANIE~1\\LOCALS~1\\Temp\\51.exe:*:Enabled:Userinit"
"C:\\DOCUME~1\\MLANIE~1\\LOCALS~1\\Temp\\83.exe"="C:\\DOCUME~1\\MLANIE~1\\LOCALS~1\\Temp\\83.exe:*:Enabled:Userinit"
"C:\\Documents and Settings\\Mélanie\\Application Data\\erase_me062476.exe"="C:\\Documents and Settings\\Mélanie\\Application Data\\erase_me062476.exe:*:Enabled:Userinit"

C'est ça le rapport ?? Je l'ai trouvé dans C:
0
Réponse 11 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Non ce n'est pas cela :

Il se présente sous cette forme dans ZHPfix après avoir fait nettoyer.

ZHPFix v1.12.3081 by Nicolas Coolman - Rapport de suppression du 31/03/2010 10:03:40
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-h [...] hpfix.html

Processus mémoire :
(Néant)

Module mémoire :

Clé du Registre :

Valeur du Registre :

Elément de données du Registre :

Dossier :

Fichier :

Logiciel :

Script Registre :

Autre :

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0

End of the scan
0
Réponse 12 / 27
Mel
 
Par contre, aucune trace de C:\WINDOWS\msnmeg.exe
Je l'ai cherché manuellement (en allant dans dans le dossier Windows, rien)
Et j'ai copié collé le nom du fichier, j'ai cliqué sur envoyer mais il n'a rien reçu...
Pourtant j'avais bien affiché les fichiers cachés.

J'ai raté quelque chose ??
0
Réponse 13 / 27
Mel
 
Ah je crois que je l'ai :

ZHPFix v1.12.3085 by Nicolas Coolman - Rapport de suppression du 14/04/2010 15:10:25
Fichier Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: sarpbho Class - {222B8372-1556-430c-BB5E-0AFF73775229} . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\SARP32.dll => Clé supprimée avec succès

Valeur du Registre :
O47 - AAKE:Key Export SP - "C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\83.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\83.exe => Valeur supprimée avec succès

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

Dossier :
(Néant)

Fichier :
c:\windows\system32\sarp32.dll => Supprimé et mis en quarantaine
c:\docume~1\mlanie~1\locals~1\temp\83.exe => Fichier absent

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)

Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 1
Valeur du Registre : 1
Elément de données du Registre : 1
Dossier : 0
Fichier : 2
Logiciel : 0
Autre : 0

End of the scan
0
Réponse 14 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Ok, c'est bon.

1-

* Télécharge SEAF (de C_XX) sur ton Bureau.
* Lance SEAF
* Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
* Tape msnmeg.exe dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
* Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.

2-

As tu encore des problèmes ?

A+
0
Réponse 15 / 27
Mel
 
e 1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:54:34 le 14/04/2010
4.
5. Valeur(s) recherchée(s):
6.
7. msnmeg.exe
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Informations supplémentaires
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. "c:\WINDOWS\msnmeg.exe" [ ----RSH---- | 110592 ]
16. TC: 01/04/2010,20:13:44 | TM: 01/04/2010,20:13:42 | DA: 14/04/2010,14:03:26
17. MD5: 3906ddac6fce1da36b9d2d906fc01378
18.
19.
20.
21. =========================
22.
23. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
24.
25. Aucun dossier trouvé
26.
27.
28. ====== Entrée(s) du registre ======
29.
30.
31.
32. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
33. "g"="C:\WINDOWS\msnmeg.exe"
34.
35. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
36. "g"="C:\WINDOWS\msnmeg.exe"
37.
38. [HKEY_USERS\S-1-5-21-2461615463-3632565439-2276841241-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*]
39. "g"="C:\WINDOWS\msnmeg.exe"
40.
41. [HKEY_USERS\S-1-5-21-2461615463-3632565439-2276841241-1006\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe]
42. "g"="C:\WINDOWS\msnmeg.exe"
43.
44. =========================
45.
46. Fin à: 17:56:24 le 14/04/2010 ( E.O.F )

Sinon, tout va bien, msn marche très bien et avast ne m'envoie plus de fenêtre, mon bureau et la barre des taches n'ont pas bougé ^^
0
Réponse 16 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
OK,

▶ Télécharge malwarebyte's anti-malware

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

▶ Lance une analyse complète en cliquant sur "<gras>Exécuter un examen complet"

▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

▶ L'analyse peut durer un bon moment.....

▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

A+
0
Mel
 
J'avais déjà installé ce logiciel, je le désinstalle/réinstalle pour avoir la mise à jour ??
Je m'en occupe demain (dans le doute je vais désinstaller réinstaller)
0
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Non pas besoin de le désinstaller.
0
Mel
 
Désolé de pas avoir lancé le scan hier, je suis entrain de le faire ^^
Par contre, avast vient de me détecter plusieurs erase_me***.exe, que j'ai mis en quarantaine.
0
Réponse 17 / 27
Mel
 
Voilà le rapport :

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3930

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

16/04/2010 21:32:34
mbam-log-2010-04-16 (21-32-34).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 182177
Temps écoulé: 1 heure(s), 14 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SystemCertificates\TrustedPublisher\Certificates\93eb9fd3ea40f221e990e3e71343e6d47d3fa0c0 (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\google updater (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{096377CD-06ED-487F-AAD2-3C5586869405}\RP95\A0020656.exe (Adware.ADON) -> Quarantined and deleted successfully.
C:\UsbFix\Quarantine\C\WINDOWS\system32\sysconfig32.exe.UsbFix (Worm.Pushbot) -> Delete on reboot.
0
Mel
 
Il y a beaucoup de choses étranges qui se sont passées durant l'analyse !!

Déjà, avast qui a détecté les "erase_me.exe". Après, quand l'analyse est arrivée au fichier C:\System Volume Information, avast a détecté au moins une dizaine de virus (j'ai systématiquement cliqué sur "ne rien faire"), alors que malwarebyte n'en a détecté qu'un. Ensuite, encore la même chose quand l'analyse est arrivée à la quarantaine d'USBFix (au moins une vingtaine de messages d'avast et un seul détecté par malwarebytes). Avast a aussi détecté "msnmeg.exe" que j'ai mis en quarantaine.

Le problème, c'est qu'à chaque fois qu'avast m'ouvrait la fenêtre, ça faisait planter malwarebytes qui ne redémarrait qu'après la fermeture de la fenêtre d'avast. Du coup, j'ai un peu peur que l'analyse ait été perturbée...
0
Réponse 18 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Salut

Peut tu me refaire un ZHPdiag pour que l'on fasse le point.

C:\System Volume Information => la restauration de système, rien de bien grave ;)

A+
0
Mel
 
je supprime la restauration système alors ??
0
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
non non, refait moi un zhpdiag, on purgera la resto systeme après :)
0
Réponse 19 / 27
Mel
 
Voilà le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijufIu9vW.txt
0
Réponse 20 / 27
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
re-salut

1-

> Rends toi sur VirusTotal

-> Affiche les fichiers et dossiers cachés

-> Upload ces fichiers

C:\Documents and Settings\Mélanie\Mes documents\Téléchargements\PIC00732010-JPG-www-facebook-com.scr

-> Copie et colle les liens des rapports dans ta prochaine réponse.

2-

-> Lance ZHPfix soit par le raccourci présent sur ton bureau ou via ZHPdiag ( dans ce cas clique sur le bouclier vert ) en faisant clic doirt -> Exécuter en tant qu'administrateur

-> Clique sur le H bleu ( "coller les lignes Helper" )

-> Copie ceci

O47 - AAKE:Key Export SP - "C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\51.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\MLANIE~1\LOCALS~1\Temp\51.exe
O47 - AAKE:Key Export SP - "C:\Documents and Settings\Mélanie\Application Data\erase_me062476.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Documents and Settings\Mélanie\Application Data\erase_me062476.exe



-> Colle le dans ZHPfix

-> Clique sur [ OK ] puis sur [ TOUS ] et enfin sur [ NETTOYER ]

-> copie et colle le rapport de ZHPfix

A+
0
Mel
 
Bien, je le ferai demain ^^
Mais je suis un peu inquiète pour l'autre pc sur lequel j'avais utilisé ma clef usb quand elle était infectée... Il n'a pas de symptômes mais j'ai peur de lui avoir transmis le virus !! Je ferais mieux de créer un autre post pour celui-là, non ?
0
NicoVA Messages postés 1126 Statut Contributeur sécurité 71
 
Non pour l'autre pc tu me transmet un ZHPdiag et je te dirais si oui ou non il est infecté. Et dans ce cas nous le désinfecterons ;)

A+
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses