Présence de plusieurs virus.

Résolu
LAk-47 Messages postés 18 Statut Membre -  
fred08700 Messages postés 3633 Statut Contributeur sécurité -
Bonjour,

Je dois essayer de remettre en état le pc de mon bof. Vraissemblablement de nombreux Virus sont détecté par avast au démarrage et un scan "Windows security" se lance régulièrement, ci-dessous un lien vers un Imp.Ecran :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijcsAiM6c.jpg

Acer Aspire 6530G
AMD Turion X2
3Go
Vista Ed. Familiale SP2 32bits

Je ne sais vraiment pas quoi faire, pouvez-vous m'aider ?

D'avance merci
A voir également:

12 réponses

Réponse 1 / 12
fred08700 Messages postés 3633 Statut Contributeur sécurité 550
 
salut

sous vista : Désactives le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection).

Utilisateur de Spybot Désactives le teatimer

Télécharger rkill depuis l'un des liens ci-dessous:

http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe

* Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.



N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver et passer à malwarebyte


puis

● Télécharges Malwarebytes

● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

● Lance une analyse complète en cliquant sur "Exécuter un examen complet"

● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

L'analyse peut durer un bon moment.....

● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

1
Réponse 2 / 12
fred08700 Messages postés 3633 Statut Contributeur sécurité 550
 
re

tres bien ,relances malwarebytes et vides la quarantaine

fais ceci pour analyser ton pc

? Télécharges Random's System Information Tool (RSIT) de Random/Random, et enregistres le sur ton Bureau.

? Double clique sur RSIT.exe pour lancer l'outil.

? Cliques sur "Continue" à l'écran Disclaimer.

? Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.

? Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp

* Tutoriel illustré pour t'aider

* pour héberger les rapports trop longs de RSIT



Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

[Pierre de Coubertin]
1
Réponse 3 / 12
LAk-47 Messages postés 18 Statut Membre
 
Merci pour ta réponse rapide.

Voici le rapport de malwarebytes... :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4080

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

09/05/2010 12:55:48
mbam-log-2010-05-09 (12-55-48).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 267152
Temps écoulé: 1 heure(s), 6 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 33

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{35a5b43b-cb8a-49ca-a9f4-d3b308d2e3cc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{35a5b43b-cb8a-49ca-a9f4-d3b308d2e3cc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\webserver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\PersonSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Casino King (Adware.Casino) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysfbtray (Worm.Koobface) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\PersonSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\PersonSecurityUninstall (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Windows\bill109.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Casino\City Club Casino\_SetupCasino_3534.exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Casino\City Club Casino\_SetupCasino_3534[1].exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Casino\MansionCasino\_SetupMANSIONCasino_7f73ff.exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Casino\Noble Casino\_SetupCasino_e56080.exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Program Files\webserver\webserver.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272550520.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272470311.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272470873.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272550845.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272884128.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YDAZGHNK\SetupCasino_3534[1].exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\Temp\zpskon_1272497316.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\Temp\2ei53t0h.exe.part (Adware.Casino) -> Quarantined and deleted successfully.
C:\Windows\System32\cfgormd.dll (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Program Files\PersonSecurity\psecurity.exe (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\PersonSecurityUninstall\Uninstall.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\Temp\sbatdel.bat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Desktop\Personal Security.lnk (Rogue.PSecurity) -> Quarantined and deleted successfully.
C:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\0485351984956.xxe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\0535049569854.xxe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272470311.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272470651.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272470873.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272471215.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272550520.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272550845.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272550868.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272884128.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1273391496.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1273393222.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
0
Réponse 4 / 12
LAk-47 Messages postés 18 Statut Membre
 
Ci-dessous le lien vers le fichier Info :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijfQpcJvR.txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
LAk-47 Messages postés 18 Statut Membre
 
Ici, le fichier log

http://www.cijoint.fr/cjlink.php?file=cj201005/cijdPj2dnl.txt
0
Réponse 6 / 12
fred08700 Messages postés 3633 Statut Contributeur sécurité 550
 
Télécharge UsbFix sur ton bureau

--> Lance l installation avec les paramètres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

-->choisi l option 1 (recherche)

--> Le pc va redémarrer

-->Après redémarrage post le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
Note :
Process.exe, une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


0
Réponse 7 / 12
LAk-47 Messages postés 18 Statut Membre
 
Merci encore,

Alors j'ai executé UsbFix mais la machine n'a pas redémarrer et après le scan, le rapport est apparut.

Le voici :


############################## | UsbFix V6.112 |

User : Aurélien (Administrateurs) # PC-DE-AURÉLIEN
Update on 09/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:31:28 | 09/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Turion(tm) X2 Dual-Core Mobile RM-70
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 111,44 Go (59,07 Go free) [Système] # NTFS
D:\ -> Disque fixe local # 107,9 Go (29,17 Go free) [Bugs] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 980,72 Mo (175,73 Mo free) # FAT

################## | Elements infectieux |

C:\Users\AURLIE~1\AppData\Local\Temp\8BD54F3E-DD19-4a69-93D8-5C6A5BBBE20E.exe
G:\log.txt

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\copy.exe

HKCU\..\..\Explorer\MountPoints2\{118f7920-d45c-11de-a7ce-001e68de7ea6}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\copy.exe

HKCU\..\..\Explorer\MountPoints2\{41bc8626-2a06-11df-aa60-001e68de7ea6}
shell\AutoRun\command =E:\autorun.exe

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !

################## | ! Fin du rapport # UsbFix V6.112 ! |
0
Réponse 8 / 12
fred08700 Messages postés 3633 Statut Contributeur sécurité 550
 
ok

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau

* choisi l'option 2 ( Suppression )

* Ton bureau disparaîtra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

* ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

* :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
* Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
* Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
* Merci d'avance pour ta contribution !!


puis refait un scan rsit . Tu n'auras plus que le rapport log.txt , poste-le
0
Réponse 9 / 12
LAk-47 Messages postés 18 Statut Membre
 
et voilà :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijYxF5gka.txt
0
Réponse 10 / 12
fred08700 Messages postés 3633 Statut Contributeur sécurité 550
 
re


post le deuxième rapport de usbfix , merci

******************************************

tout d'abord vous allez seulement vérifier la présence ou pas de ceci s'il vous plait, vous allez dans "poste de travail" et vous suivez le chemin ci dessous

C:\Program Files\DAEMON Tools Toolbar

ensuite vous allez aussi dans "ajout suppression de programme" vérifier la présence ou pas de cette toolbar. si présente vous désinstaller

************************************

rends toi ici : https://www.virustotal.com/gui/

cliques "parcourir et analyse ce fichier en gras en suivant le chemin

C:\Windows\system32\drivers\afedj9wp.sys

et poste le rapport


*********************************

supprimes ceci C:\Program Files\webserver


***********************************

? Télécharges ToolbarSD (de Team IDN) sur ton Bureau

? Lances l'installation du programme en exécutant le fichier téléchargé.

? Double-clique maintenant sur le raccourci de Toolbar-S&D.

? Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.

? Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.

* Poste le rapport généré. (C:\TB.txt)









Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

[Pierre de Coubertin]
0
Réponse 11 / 12
LAk-47 Messages postés 18 Statut Membre
 
Bonjour,

Merci beaucoup pour ton aide, je suis désolé mais je ne suis plu en mesure de continuer le job.

Mon bof a récupéré sa machine.

Je pense que tu as solutionné le problème premier.
En tout cas le pc se comporte beaucoup mieux.
Je classe en résolu. Merci encore :)
0
Réponse 12 / 12
fred08700 Messages postés 3633 Statut Contributeur sécurité 550
 
salut

dommage car la désinfection n'est pas fini.
0

Discussions similaires

Checking media presence… media present
Jeanpierre67 -
SATS_fr -

2 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
CHECKING MEDIA PRESENCE... MEDIA PRESENT...START PXE overIPV4;
Michonchon -
Renardrougeetnoir -

7 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Reseaux sociaux
ChiotCharmant90 -
MPMP10 -

1 réponse