Pc Virus Qui Bloque Tout Les anti virus spybo Résolu/Fermé

Question

Bonjour Je Suis actuellement sans anti virus car j'ai choppé un virus qui bloque l'ensemble de mes programme de sécurité (spybote avast) Jai Essayer D'installer au moins 10 anti virus   Mes Il quitter a chaque fois que l'installation démarrer, J'ai Voulu Voir Si Sa Marcher en D'instamment D'avast  Depuis je suis sans anti virus sur le net Donc S'il vous Plaît Aider Moi !!!! Merci 

Configuration: Windows XP / Firefox 3.6

marc1301 · Accepted Answer

bonjour, on va regarder, (formater n'est plus la solution face aux nouvelles infections )

essaie d'exécuter zhp outil de diagnostique afin de déterminer le type d'infection




Télécharge la dernière version de ZHPDiag : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint : http://www.cijoint.fr/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

perlenoir · Answer

a tu essayer ces manip en mode sans echec ? avec F8

adel942 · Answer

Oui Absolument Mais A Chaque fois Il M'indique La Meme chose 

Mode sans échec 

Démarrer Windows Normalement 

Dernier parametre ect Et Quand je choisi Sans échec sa reviens a ça

perlenoir · Answer

a tu essayer dr web

executable antivirus sans installation "drweb.exe"

adel942 · Answer

Je vais essayer merci a tout suite

adel942 · Answer

L'installation a échouer A cause Du Virus elle c'est quitter d'un coup 


Ps Je vais aller en cour sincèrement dsl  a tout a leur

perlenoir · Answer

utilise ce si :
https://combofix.fr.softonic.com/
fait gaffe c un puissant logiciel a utilisé avec précaution cherche sur google si tu t'y perd il ya des tuto dispo.

adel942 · Answer

merci je vais essayer (j'espère que sa marchera

à suivre... (lol)

adel942 · Answer

j Ai Déjà Essayer au par avant cela ne marche pas mais je ressaye !

adel942 · Answer

Il M'indique Que Conbofix N'est Pas Une Application Valide Win.32

adel942 · Answer

répondez moi please !!

adel942 · Answer

SVP AIDEZ MOI

adel942 · Answer

PLEASE AIDEZ MOI !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

adel942 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijXimzUKO.txt



Voilà ensuite...

Utilisateur anonyme · Answer

dsl , je squatte dans le topic mais si je peux aider ...

juste une question : t'es page internet ont elles ete modifier ? 
genre la page d'accueil etc...?

ca pourrais ressembler éventuellement a coolwebsearch .

mais ce n'est qu'une idée . 
on va voir l'analyse du rapport zhp . 

mais répond moi pour voir quand même . 

merci .

adel942 · Answer

Nan Je crois pas Dsl Je dois faire quoi

Utilisateur anonyme · Answer

serieux , je suis ppas encore tout a fais au point par rapport au rapport zhp...

cependant , ce qui est sur , c'est que tu es infecter par EoRezo mais ca n'explique en rien tes problemes ...

adel942 · Answer

S'il Vous Plaît J'ai Plus De Moyen de Protection Sur Mon PC (Anti Virus)



Aider Moi S'il Vous plaît

marc1301 · Answer

rapport vu, en effet tu as plusieurs types d'infections différentes, on va essayer de débuter avec : 



* Téléchargez FindyKill sur le Bureau.

http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe

Mirroir :

http://findykill.changelog.fr/Setup.exe

* Double-cliquez sur FindyKill présent sur le Bureau.

* Choisissez l'option 1 (Recherche).

* Laissez travailler l'outil.

* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).

* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

* Tuto : http://pagesperso-orange.fr/NosTools/index.html

adel942 · Answer

############################## | FindyKill V5.041 |

# User : famille (Administrateurs) # MAISON
# Update on 29/04/2010 by El Desaparecido
# Start at: 13:45:23 | 07/05/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) 64 X2 Dual Core Processor 4400+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 279,45 Go (187,88 Go free) [Configuration] # NTFS
# D:\ # Disque fixe local # 69,78 Go (47,39 Go free) [ ACER] # NTFS
# E:\ # Disque amovible
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque fixe local # 69,51 Go (69,44 Go free) [WINDOWS XP ] # NTFS
# J:\ # Disque CD-ROM
# K:\ # Disque CD-ROM
# L:\ # Disque CD-ROM
 
############################## | Processus infectieux stoppés  | 

"C:\Documents and Settings\famille\Application Data\drivers\winupgro.exe"  (1848)
"C:\WINDOWS\wintems.exe"  (872)
"C:\Documents and Settings\famille\Application Data\m\flec006.exe"  (2496)
"C:\Documents and Settings\famille\Application Data\hidires\flec003.exe" -run (2020)

################## | Eléments infectieux |

C:\WINDOWS\ban_list.txt  
C:\WINDOWS\mdelk.exe  
C:\WINDOWS\wintems.exe  
C:\WINDOWS\system32\srosa2.sys  
C:\WINDOWS\system32\wfsintwq.sys  
C:\Documents and Settings\famille\Application Data\drivers  
C:\Documents and Settings\famille\Application Data\drivers\downld  
C:\Documents and Settings\famille\Application Data\drivers\winupgro.exe  
C:\Documents and Settings\famille\Application Data\hidires  
C:\Documents and Settings\famille\Application Data\hidires\config  
C:\Documents and Settings\famille\Application Data\hidires\config\AC_BootstrapIPs.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\AC_SearchStrings.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\AC_ServerMetURLs.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\cancelled.met  
C:\Documents and Settings\famille\Application Data\hidires\config\clients.met  
C:\Documents and Settings\famille\Application Data\hidires\config\clients.met.bak  
C:\Documents and Settings\famille\Application Data\hidires\config\cryptkey.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\emfriends.met  
C:\Documents and Settings\famille\Application Data\hidires\config\key_index.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\known.met  
C:\Documents and Settings\famille\Application Data\hidires\config\known2_64.met  
C:\Documents and Settings\famille\Application Data\hidires\config\load_index.dat  
C:\Documents and Settings\famille\Application Data\hidires\config
odes.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\preferences.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\preferences.ini  
C:\Documents and Settings\famille\Application Data\hidires\config\preferencesKad.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\server.met  
C:\Documents and Settings\famille\Application Data\hidires\config\server_met.old  
C:\Documents and Settings\famille\Application Data\hidires\config\shareddir.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\src_index.dat  
C:\Documents and Settings\famille\Application Data\hidires\config\statistics.ini  
C:\Documents and Settings\famille\Application Data\hidires\config\StoredSearches.met  
C:\Documents and Settings\famille\Application Data\hidires\downloads.bak  
C:\Documents and Settings\famille\Application Data\hidires\downloads.txt  
C:\Documents and Settings\famille\Application Data\hidires\file.exe  
C:\Documents and Settings\famille\Application Data\hidires\flec003.exe  
C:\Documents and Settings\famille\Application Data\hidires\flec005.exe  
C:\Documents and Settings\famille\Application Data\hidires\Incoming  
C:\Documents and Settings\famille\Application Data\hidires\lang  
C:\Documents and Settings\famille\Application Data\hidires
ames.txt  
C:\Documents and Settings\famille\Application Data\hidires\server.txt  
C:\Documents and Settings\famille\Application Data\hidires\skins  
C:\Documents and Settings\famille\Application Data\hidires\Temp  
C:\Documents and Settings\famille\Application Data\hidires\WDIR  
C:\Documents and Settings\famille\Application Data\hidires\webserver  
C:\Documents and Settings\famille\Application Data\m  
C:\Documents and Settings\famille\Application Data\m\data.oct  
C:\Documents and Settings\famille\Application Data\m\flec006.exe  
C:\Documents and Settings\famille\Application Data\m\list.oct  
C:\Documents and Settings\famille\Application Data\m\srvlist.oct  
C:\Documents and Settings\famille\Application Data\m\shared  
C:\Documents and Settings\famille\Local Settings\Temporary Internet Files\Content.IE5\4Z4POPVB\mxd[1].jpg  
C:\Documents and Settings\famille\Local Settings\Temporary Internet Files\Content.IE5\4Z4POPVB\mxd[2].jpg  
C:\Documents and Settings\famille\Local Settings\Temporary Internet Files\Content.IE5\811XQCSG\mxd2[1].jpg  
C:\Documents and Settings\famille\Local Settings\Temporary Internet Files\Content.IE5\811XQCSG\mxd[1].jpg  
C:\Documents and Settings\famille\Local Settings\Temporary Internet Files\Content.IE5\CE9YXXEO\mxd[1].jpg  

################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Services\srosa]  
[HKLM\SYSTEM\ControlSet002\Services\srosa]  
[HKLM\SYSTEM\ControlSet003\Services\srosa]  
[HKCU\Software\bisoft]  
[HKCU\Software\DateTime4]  
[HKCU\Software\MuleAppData]  
[HKCU\Software\WS4001]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKU\S-1-5-21-1708537768-2077806209-682003330-1001\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
[HKU\S-1-5-21-1708537768-2077806209-682003330-1001\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKU\S-1-5-21-1708537768-2077806209-682003330-1001\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"  
[HKU\S-1-5-21-1708537768-2077806209-682003330-1001\Software\Microsoft\Windows\CurrentVersion\Run] "flec003.exe"  
[HKU\S-1-5-21-1708537768-2077806209-682003330-1001\Software\bisoft]  
[HKU\S-1-5-21-1708537768-2077806209-682003330-1001\Software\DateTime4]  
[HKU\S-1-5-21-1708537768-2077806209-682003330-1001\Software\MuleAppData]  
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]  
[HKU\S-1-5-21-1708537768-2077806209-682003330-1001\Software\Local AppWizard-Generated Applications\winupgro]  

################## | Etat |

# Affichage des fichiers cachés : OK
 
Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !  
 
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )  
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.041 ! |








VOILA LE RAPPORT ENSUITE

marc1301 · Answer

Hum " bonjour;-)"  lol


voici pour supprimer la première infection ( après nous aurons encore pas mal de travail )



! Déconnecte toi et ferme toutes application en cours (navigateur compris ) .

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...

* Double clique sur setup.exe présent sur ton bureau pour lancer l'outil.

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu choisis l'option 2 (suppression) et tape sur [entrée]

* Le pc va redémarrer automatiquement ...

? le programme va travailler, ne touche à rien ... , ton bureau ne sera pas accessible c est normal !

? Poste le rapport qui apparaît à la fin ( le rapport est sauvegardé aussi sous C:\FindyKill.txt)

Si le Bureau ne réapparaît pas, presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide