Présence de plusieurs virus. Résolu/Fermé

Question

Bonjour, 

Je dois essayer de remettre en état le pc de mon bof. Vraissemblablement de nombreux Virus sont détecté par avast au démarrage et un scan "Windows security" se lance régulièrement, ci-dessous un lien vers un Imp.Ecran :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijcsAiM6c.jpg 

Acer Aspire 6530G
AMD Turion X2
3Go
Vista Ed. Familiale SP2 32bits

Je ne sais vraiment pas quoi faire, pouvez-vous m'aider ?

D'avance merci

fred08700 · Answer

salut

	sous vista : Désactives le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection).	

		Utilisateur de Spybot Désactives le teatimer

	Télécharger rkill depuis l'un des liens ci-dessous:	

	http://download.bleepingcomputer.com/grinler/rkill.pif	
	https://download.bleepingcomputer.com/grinler/rkill.scr	
	https://download.bleepingcomputer.com/grinler/rkill.com	
	https://download.bleepingcomputer.com/grinler/rkill.exe	

	    * Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.	



	N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver et passer à malwarebyte 		


puis

  &#9679 Télécharges Malwarebytes			

   &#9679 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.			

    &#9679 Fais la mise à jour du logiciel (elle se fait normalement à l'installation)			

    &#9679 Lance une analyse complète en cliquant sur "Exécuter un examen complet"			

    &#9679 Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"			

    &#9679 L'analyse peut durer un bon moment.....			

    &#9679 Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"		

    &#9679 Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"		

    &#9679 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum		

&#9679 Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée		


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.		
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

LAk-47 · Answer

Merci pour ta réponse rapide.

Voici le rapport de malwarebytes... :


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4080

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

09/05/2010 12:55:48
mbam-log-2010-05-09 (12-55-48).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 267152
Temps écoulé: 1 heure(s), 6 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 33

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{35a5b43b-cb8a-49ca-a9f4-d3b308d2e3cc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{35a5b43b-cb8a-49ca-a9f4-d3b308d2e3cc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\webserver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\PersonSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Casino King (Adware.Casino) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysfbtray (Worm.Koobface) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\PersonSecurity (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\PersonSecurityUninstall (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Windows\bill109.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Casino\City Club Casino\_SetupCasino_3534.exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Casino\City Club Casino\_SetupCasino_3534[1].exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Casino\MansionCasino\_SetupMANSIONCasino_7f73ff.exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Casino\Noble Casino\_SetupCasino_e56080.exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Program Files\webserver\webserver.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272550520.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272470311.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272470873.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272550845.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\rdr_1272884128.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YDAZGHNK\SetupCasino_3534[1].exe (Adware.Casino) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\Temp\zpskon_1272497316.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\Temp\2ei53t0h.exe.part (Adware.Casino) -> Quarantined and deleted successfully.
C:\Windows\System32\cfgormd.dll (Worm.Koobface) -> Quarantined and deleted successfully.
C:\Program Files\PersonSecurity\psecurity.exe (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Program Files\Common Files\PersonSecurityUninstall\Uninstall.lnk (Rogue.PersonalSecurity) -> Quarantined and deleted successfully.
C:\Users\Aurélien\AppData\Local\Temp\sbatdel.bat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Desktop\Personal Security.lnk (Rogue.PSecurity) -> Quarantined and deleted successfully.
C:\Windows\bk23567.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\0485351984956.xxe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\0535049569854.xxe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272470311.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272470651.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272470873.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272471215.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272550520.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272550845.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272550868.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1272884128.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1273391496.exe (Worm.KoobFace) -> Quarantined and deleted successfully.
C:\Users\Aurélien\Local Settings\Application Data\rdr_1273393222.exe (Worm.KoobFace) -> Quarantined and deleted successfully.

fred08700 · Answer

re 

tres bien ,relances malwarebytes et vides la quarantaine

 fais ceci pour analyser ton pc 

  ? Télécharges Random's System Information Tool (RSIT)  de Random/Random, et enregistres le sur ton Bureau. 

  ? Double clique sur RSIT.exe pour lancer l'outil. 

  ? Cliques sur "Continue" à l'écran Disclaimer. 

  ? Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence. 

  ? Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp 

 * Tutoriel illustré pour t'aider  

 *  pour héberger les rapports trop longs de RSIT 



Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.  
  
[Pierre de Coubertin]

LAk-47 · Answer

Ci-dessous le lien vers le fichier Info :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijfQpcJvR.txt

LAk-47 · Answer

Ici, le fichier log

http://www.cijoint.fr/cjlink.php?file=cj201005/cijdPj2dnl.txt

fred08700 · Answer

Télécharge UsbFix sur ton bureau

	--> Lance l installation avec les paramètres par défaut

	Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
	
	--> Double clic sur le raccourci UsbFix sur ton bureau

	-->choisi l option 1 (recherche)

	--> Le pc va redémarrer

	-->Après redémarrage post le rapport UsbFix.txt

	Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
	Note :						
	Process.exe, une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.						
	Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.						
	Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

LAk-47 · Answer

Merci encore,

Alors j'ai executé UsbFix mais la machine n'a pas redémarrer et après le scan, le rapport est apparut.  

Le voici :


############################## | UsbFix V6.112 |

User : Aurélien (Administrateurs) # PC-DE-AURÉLIEN
Update on 09/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 13:31:28 | 09/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Turion(tm) X2 Dual-Core Mobile RM-70
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 111,44 Go (59,07 Go free) [Système] # NTFS
D:\ -> Disque fixe local # 107,9 Go (29,17 Go free) [Bugs] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 980,72 Mo (175,73 Mo free) # FAT

################## | Elements infectieux |

C:\Users\AURLIE~1\AppData\Local\Temp\8BD54F3E-DD19-4a69-93D8-5C6A5BBBE20E.exe  
G:\log.txt  

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\G
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\copy.exe

HKCU\..\..\Explorer\MountPoints2\{118f7920-d45c-11de-a7ce-001e68de7ea6}
shell\AutoRun\command =C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\copy.exe

HKCU\..\..\Explorer\MountPoints2\{41bc8626-2a06-11df-aa60-001e68de7ea6}
shell\AutoRun\command =E:\autorun.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.112 ! |

fred08700 · Answer

ok

	  *  Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir						

	    * Double clic sur le raccourci UsbFix présent sur ton bureau						

	    * choisi l'option 2 ( Suppression )

	    * Ton bureau disparaîtra et le pc redémarrera .

	    * Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

	    * Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .

	    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

	    * ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

	    * :!: UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
	    * Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
	    * Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
	    * Merci d'avance pour ta contribution !!


puis refait un scan rsit . Tu n'auras plus que le rapport log.txt , poste-le

LAk-47 · Answer

et voilà :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijYxF5gka.txt

fred08700 · Answer

re   


post le deuxième rapport de usbfix , merci  

******************************************  

tout d'abord vous allez seulement vérifier la présence ou pas de ceci s'il vous plait, vous allez dans "poste de travail" et vous suivez le chemin ci dessous   

C:\Program Files\DAEMON Tools Toolbar   

ensuite vous allez aussi dans "ajout suppression de programme" vérifier la présence ou pas de cette toolbar. si présente vous désinstaller   

************************************   

rends toi ici : https://www.virustotal.com/gui/   

cliques "parcourir et analyse ce fichier en gras en suivant le chemin   

C:\Windows\system32\drivers\afedj9wp.sys   

et poste le rapport    


*********************************   

supprimes ceci C:\Program Files\webserver       


*********************************** 

 ?  Télécharges ToolbarSD (de Team IDN) sur ton Bureau    

     ? Lances l'installation du programme en exécutant le fichier téléchargé.    

    ? Double-clique maintenant sur le raccourci de Toolbar-S&D.    

    ? Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.    

    ? Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.    

     * Poste le rapport généré. (C:\TB.txt)    









Chaque difficulté  rencontrée  doit être  l'occasion d'un nouveau progrès.    
    
[Pierre de Coubertin]

LAk-47 · Answer

Bonjour,

Merci beaucoup pour ton aide, je suis désolé mais je ne suis plu en mesure de continuer le job. 

Mon bof a récupéré sa machine. 

Je pense que tu as solutionné le problème premier. 
En tout cas le pc se comporte beaucoup mieux. 
Je classe en résolu. Merci encore :)

fred08700 · Answer

salut

dommage car la désinfection n'est pas fini.

Présence de plusieurs virus.

12 réponses

Discussions similaires