Bonjour,
depuis ce matin avast m'envoie des alertes sur un virus en mettant qu'il s'agit d'un logiciel malveillant Win32/Malware-gen et il ne peut pas réparer, et si je mets en quarantaine ou que je supprime le fichier l'alerte revient quand même un quart d'heure après.
Le nom du fichier diffère à chaque fois par exemple l'avant dernier c'était
C:\Windows\Temp\qsor.tmp\svchost.exe
et le dernier : C:\Windows\Temp\oipv.tmp\svchost.exe
J'ai lancé Malwarebytes et il n'a rien trouvé.
Si quelqu'un pouvait m'aider car je n'y connais rien, et ces alertes tous les quarts d'heure c'est vraiment inquiétant
Salut et moi en 1seconde de réflexion, je me dit que depuis 4 ans les infections ont évolués et les outils pour les combattre aussi ...
pour mayflower : ep44 ou guillaume 5188 vont s'occuper de ton PC (ils ont postés en même temps) car c'est une infection TDSS très coriace.
Bonne continuation A+
Je suis entièrement d'accord avec toi dada62160, une recherche sur Google est très utile quand on sait s'en servir. C:\Windows\Temp\xxxx.tmp\svchost.exe en rapport avec l'infection TDSS TLD 3 aurait conduit ici par exemple : https://forum.malekal.com/viewtopic.php?t=22604&start= A noter que celui-ci est récent et donc d'actualité. A la lecture de cet article, effectivement on voit pas la nécessité de poster pour notre ami internaute, tellement cela me parait facile à traiter
(ndlr : humour)
CQFD
pas moyen de mettre le fichier dans l'adresse que tu donnes il y a un message comme quoi la connexion est interrompue pendant le transfert. Vu la longueur du document je doute que je puisse le coller ici. Je fais quoi ? la dernière ligne est la suivante :
---\\ Infection Rogue/FakeAlert (Possible)
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
[HKCU\Software\EoRezo]
PS : juste pour signaler au casoù ça aurait de l'importance que je n'ai pas de message d'alarme quand ma connexion est désactivée et aussi que j'ai une alerte sécurité windows comme quoi je n'ai pas d'antivirus d'activé alors que Avast tourne normalement
♦ IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau
♦ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils
♦ Fait un double clic sur combofix.exe et suit les invites.
♦ Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.
♦ Suit les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
◊ ◊ Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.
♦ Une fois fait clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.
♦ Lorsque l'outil aura terminé, il affichera un rapport, copie le contenu de C:\ComboFix.txt dans votre prochaine réponse.
C'est généralement lorsque le disque dur plante qu'on se rend compte qu'on a oublié de le sauvegarder.
merci beaucoup à tous de vouloir m'aider, voilà le CR de ComboFix en espérant que ça n'est pas trop grave (je n'ai pas compris ce qu'était "kitty have a snack" :
ComboFix 10-04-21.01 - Mimi 24/04/2010 16:24:30.1.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3062.1783 [GMT 2:00]
Lancé depuis: c:\users\Mimi\Downloads\ComboFix.exe
SP: Spybot - Search and Destroy *disabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\$recycle.bin\S-1-5-21-3439835839-1429783917-1240170184-500
C:\ErrLog.txt
c:\users\Mimi\AppData\Roaming\.#
c:\users\Mimi\AppData\Roaming\Desktopicon
c:\users\Mimi\AppData\Roaming\Desktopicon\config.ini
c:\users\Mimi\AppData\Roaming\Desktopicon\eBayShortcuts.exe
c:\users\Mimi\AppData\Roaming\Microsoft\Windows\Recent_NEW_Time_Management_Game_[AllSmartGas.pif
c:\users\Mimi\AppData\Roaming\Microsoft\Windows\Recent
Une copie infectée de c:\windows\system32\drivers\volmgr.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_Boonty Games
((((((((((((((((((((((((((((( Fichiers créés du 2010-03-24 au 2010-04-24 ))))))))))))))))))))))))))))))))))))
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
1)Désactiver le TeaTimer de Spybot (Merci à Nico):
Pour désactiver le TeaTimer :
=> Ouvrir Spybot S&D
=> Dans le menu "Mode", sélectionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.
* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.
=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le rouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.
2) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
Ici : : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir
# Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.
# Choisi l option 2 (Suppression)
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
3)* Télécharge Ad-remover ( de C_XX ) sur ton bureau :
! Déconnecte toi et ferme toutes applications en cours !
* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7) sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut.
* Double-clique ou clic droit (exécuter en tant que admin...sur Vista) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
* Au menu principal choisis l'option "Nettoyer" et sur [entrée] .
* Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparaît à la fin , sur le forum ...
( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Aides en images (Installation) : http://pagesperso-orange.fr/NosTools/ad_remover.html images (Recherche): http://pagesperso-orange.fr/NosTools/tuto_adr_2.html
Poste les rapports au fur et à mesure ;merci
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
je n'avais aucun périphérique de ce type branché, mon PC est partagé mais avec un mac et donc je ne pense pas que ça risque grand chose du côté mac.
Pour ce qui est de Ad-remover, voilà le rapport :
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,C | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 22/04/10 à 19:00
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 17:03:23 le 24/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows Vista(TM) HomePremium Service Pack 2 - X86
Nom du PC: XXXXXXX (Packard Bell BV EasyNote SB87)
Utilisateur actuel: Mimi (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Program Files\EoRezo
C:\ProgramData\Trymedia
C:\Users\Mimi\AppData\Local\gqumk.bat
C:\Users\Mimi\AppData\Roaming\EoRezo
C:\Users\Mimi\AppData\Roaming\ItsLabel
Je n'ai plus aucun message d'alerte de virus d'Avast, ouf, par contre j'ai toujours le message "alerte de sécurité Windows" (bouclier rouge barré) qui me dit qu'il n'a trouvé aucun antivirus d'installé alors que Avast a priori semble fonctionner.
tu es gentil de me prier mais comme dit dans mon message précédent : JE NE PEUX PAS... ce logiciel me demande au lancement d'insérer une clé usb ou un disque externe et JE N'EN AI PAS et il ne me propose pas d'autres alternatives. Vu que mon PC est un portable je n'ai aucun périf de stockage puisque je stocke soit sur DVD soit sur mon mac.
Pour le problème de sécurité j'ai mis l'option de choisir moi-même l'antivirus comme ça je n'ai plus l'alerte. Si ça n'est pas la bonne manipe, me dire ce qu'il faut faire.
Merci
User : Mimi (Administrateurs) # XXXXX
Update on 23/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 08:58:03 | 25/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 Duo CPU T8300 @ 2.40GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 7.0.6002.18005
Windows Firewall Status : Enabled
C:\ -> Disque fixe local # 286,09 Go (138,12 Go free) [HDD] # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
Il y avait bien une infection par support amovible...
1)Envoie ce fichier comme demandé ,ensuite supprime le.
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_XXXXXXXXzip : https://www.ionos.fr/?affiliate_id=77097 Merci pour votre contribution .
2)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles
---> Télécharge Toolscleaner sur ton Bureau.
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ * Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista et Seven)pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
.enregistres le sur le bureau .double-cliques sur le fichier pour lancer l'installation .sur la fenêtre de l'installation langage bien choisir français et OK
.cliques sur <gras>suivant .lis la licence et j'accepte .cliques sur suivant .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner .cliques sur installer .cliques sur fermer .double-cliques sur <gras>l'icône de Ccleaner pour l'ouvrir
.une fois ouvert tu cliques sur <gras>option et puis avancé .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures
.cliques sur nettoyeur .cliques sur windows et dans la colonne avancé . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la .cliques sur analyse une fois l'analyse terminé
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
.clique maintenant sur registre et puis sur rechercher les erreurs .laisse tout coché et clique sur réparer les erreurs sélectionnées .il te demande de sauvegarder OUI .tu lui donnes un nom pour pouvoir la retrouver et enregistre .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
.il supprime et <gras>fermer tu vérifies en relançant <gras>rechercher les erreurs .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch .tu peux fermer Ccleaner.
si je peux j'aimerais poser une dernière question : j'ai acheté Avast, j'ai toutes les semaines, si ce n'est plus, des mises à jour Windows defense, j'ai SpyBot d'installé, alors comment mon ordi a pu être infecté comme ça, et si Avast a détecté une fois le PC infecté pourquoi rien n'empêche l'infection ?
Je pense que ça vient d'une installation téléchargée hier sur le net et n'arrivant pas à installer, j'ai jeté le fichier mais de toute évidence cela avait libéré le trojan et Avast l'a détecté pratiquement de suite mais n'a pas pu ni réparer ni supprimer.
Tu me dis que ça vient d'u support amovible et je ne vois pas comment vu que je n'en utilise pas et que je suis la seule à me servir de mon ordi, à moins que tu ne considères le mac qui est partagé avec le PC comme support amovible.
et aussi mon mac est connceté à internet via éthernet mais le portable PC est connecté au net en wifi via le mac (routeur). Est-ce que quelqu'un aurait pu m'infecter via ma liaison wifi ?
Comme tu viens de le préciser;un faux logiciel et te voilà contaminé;donc on ne télécharge pas n'importe quoi sans en avoir vérifier la source.
Un antivirus n'est pas infaillible...
La personne qui utilise son PC avec vigilance peut aider...
Concernant cette infection Usb ; peut être déployée par ce même faux logiciel;ou un reste d'une infection.
pour mayflower : ep44 ou guillaume 5188 vont s'occuper de ton PC (ils ont postés en même temps) car c'est une infection TDSS très coriace.
Bonne continuation A+
Justement ;regarde sur Google en tapant ceci:
C:\Windows\Temp\*.tmp\svchost.exe
@+
A noter que celui-ci est récent et donc d'actualité. A la lecture de cet article, effectivement on voit pas la nécessité de poster pour notre ami internaute, tellement cela me parait facile à traiter
(ndlr : humour)
CQFD
edit : salut Guillaume, j'avais pas vu