au secours je suis bombardé ! Fermé

Question

bonsoir j'ai été victime d'un beau virus qui m'est arrivé sur le coin de la gu***e 

j'ai été sur un site de fan fiction et le site m'a renvoillé un beau virus 

sa a changé mon wallpaper, sa m'a bloqué le gestionnaire des taches , sa m'a mit pleins de boite de dialogues et une icone dans la barre des taches 

j'ai réussi a réparer le gestionnaire, a retirer l'icone et le wallpaper 

mais je n'arrive pas a me débarrasser de la boite de dialogue ni a changer de wallpaper a partir des propriétes d'affichage 

j'ai lancé un scan antivirus mais que puis-je faire pour ne plus avoir ce(s) virus ? 

et en voulant mettre une image a heberger pour que vous voyez mieux je tombe sur ce message qui me bloque le site imageshark : 

Restricted Site! 

-------------------------------------------------------------------------------- 

This web site is restricted based on your security preferences. 

-------------------------------------------------------------------------------- 

Your system is infected. Please activate your antivirus software. 

s'il vous plais aidez moi ! 

voila l'adresse de l'image
https://www.casimages.com/i/100512103505303732.jpg.html

Configuration: Windows XP / Internet Explorer 7.0

vlar · Answer

J'ai eu le même problème que vous et même sensation d'halucination totale !!! 

Alors j'ai du reformater et flasher mon bios ..... -_- 

Sachant que peut-être mon cas était plus grave que vous... 

Lors du reformatage j'avais des fichiers manquant sur le CD .... Impossible d'avoir un système viable ---> ccl flash du bios) 

Le virus s'est propagé sur le réseau de la maison et pim !! 3 PC infectés pareil !!! Quelques symptomes diffèrent mais globalement pareil .... 

Enfin tout ceci pour vous souhaitez bon courage 

Sincèrement solidaire !! 
Tout groupe humain prend sa richesse dans la communication, l'entraide et la solidarité visant à un but commun : l'épanouissement de chacun dans le respect des différences

Utilisateur anonyme · Answer

oula tu me fait peur Vlar :s mais merci de m'avoir donné cette solution d'urgence ;)

bon l'analyse a fini il m'a trouvé un virus et me l'a placé en quarantaine

le système est plus ou moins stable

mais il me reste encore des problèmes je désespère et j'ai peur de cliquer sur ok de la boite de dialogue....

si il faut flasher le bios la c'est galère....

d'autan que j'ai tres peur de redémarrer mon pc :s

une petite aide ? plus rassurant ?

Utilisateur anonyme · Answer

up :/

Utilisateur anonyme · Answer

bon j'ai redémmaré et le virus est revenu

y'a t'il une solution a part reformater ?

okay · Answer

Salut,

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em

et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

? Executer Shortcut
? Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

? laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Utilisateur anonyme · Answer

Bonsoir ces un rogue un faux logiciel de sécurité         

plus d'explication         

Fais sa Télécharge rkill         
https://download.bleepingcomputer.com/grinler/rkill.exe         
Enregistre-le sur ton Bureau         
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)         
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas         
change de lien de téléchargement en utilisant le suivant à partir d'ici:         
http://download.bleepingcomputer.com/grinler/rkill.pif         
https://download.bleepingcomputer.com/grinler/rkill.scr         
https://download.bleepingcomputer.com/grinler/rkill.com         

une fois qu'il aura terminé         


Téléchargez MalwareByte's Anti-Malware         

http://www.malwarebytes.org/mbam/program/mbam-setup.exe         

. Enregistres le sur le bureau         
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.         
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour         
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte         
. Une fois la mise à jour terminé         
. Rend-toi dans l'onglet, Recherche         
. Sélectionnes Exécuter un examen complet (examen assez long)         
. Cliques sur Rechercher         
. Le scan démarre.         
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.         
. Cliques sur Ok pour poursuivre.         
. Si des malwares ont été détectés, clique sur Afficher les résultats         
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.         
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.         
. Rends toi dans l'onglet rapport/log         
. Tu cliques dessus pour l'afficher, une fois affiché         
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous         
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse         
. tu cliques droit dans le cadre de la reponse et coller         


Si tu as besoin d'aide regarde ces tutoriels :         
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/         
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam         

PUIS         

Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe         
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.         
* Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.         
* Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).         
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.         
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.         
* Poste le contenu de log.txt ainsi que info.txt         
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )

Utilisateur anonyme · Answer

voila le raport de malwarebytes :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4094

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

13/05/2010 1:02:14
mbam-log-2010-05-13 (01-02-14).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 167829
Temps écoulé: 50 minute(s), 49 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 10
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\helpers32.dll (Trojan.FakeAlert) -> Delete on reboot.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Downloader) -> Data: c:\windows\system32\winlogon32.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Downloader) -> Data: system32\winlogon32.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\winlogon32.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\helpers32.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\System Volume Information\_restore{2660C188-BC9A-4DD4-BDD8-04002626099C}\RP30\A0002507.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{2660C188-BC9A-4DD4-BDD8-04002626099C}\RP30\A0002553.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smss32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogon32.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ES15.exe (Rogue.SecurityEsssentials) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Yann\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

je redemmare et je fait le reste

Utilisateur anonyme · Answer

voila pour le fichier info.txt :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijO2DClVr.txt 

et pour le fichier log.txt :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijifSwmZa.txt 

j'ai redémmaré mon pc je n'ai plus les boites de dialogues  et je peut remmettre mon fond d'ecran

je te remercie lamer01 mais aussi les autres : okay et vlar

je laisse le sujet non résolut si jamais il y a encore une me**e

Utilisateur anonyme · Answer

oui reste un truc 

* Télécharge UsbFix sur ton bureau .   

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe­   


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe,carte SD etc...) susceptible d'avoir été infectées sans les ouvrir   

* Double clic sur "UsbFix.exe" présent sur ton bureau .   

* Choisis l'option F pour français et tape sur [entrée] .   

* Choisis l'option 1 ( Recherche ) et tape sur [entrée] .   

* Laisse travailler l'outil.   

* Ensuite post le rapport UsbFix.txt qui apparaitra.   

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )   

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )   

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.   
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.   
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.   

* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Utilisateur anonyme · Answer

voila le rapport :


############################## | UsbFix V6.113 |

User : Yann (Administrateurs) # YANN-PC
Update on 12/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 15:35:05 | 13/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Sempron(tm) Processor 2800+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : AVG Anti-Virus Free 9.0 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 76,32 Go (60,76 Go free) # NTFS
D:\ -> Disque fixe local # 18,64 Go (1,78 Go free) [World Of Warcraft] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM # 36,15 Mo (0 Mo free) [My Disc] # CDFS
H:\ -> Disque amovible

################## | Elements infectieux |

G:\autorun.inf  
G:\helper.exe  

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{8a04e04a-5de4-11df-a796-00142ae48200}
Shell\AutoRun\command =G:\setup_vmc_lite.exe /checkApplicationPresence

HKCU\..\..\Explorer\MountPoints2\{8a04e04b-5de4-11df-a796-00142ae48200}
Shell\AutoRun\command =G:\setup_vmc_lite.exe /checkApplicationPresence

HKCU\..\..\Explorer\MountPoints2\{efe715f9-5a90-11df-a78c-00142ae48200}
Shell\AutoRun\command =G:\setup_vmc_lite.exe /checkApplicationPresence

HKCU\..\..\Explorer\MountPoints2\{efe715fa-5a90-11df-a78c-00142ae48200}
Shell\AutoRun\command =G:\setup_vmc_lite.exe /checkApplicationPresence

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.113 ! |

Utilisateur anonyme · Answer

Suppression 

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe......) susceptibles d'avoir été infectés sans les ouvrir 

(1) Double clic sur le raccourci UsbFix présent sur ton bureau 

(2) Choisi l option 2 ( Suppression ) 

Ton bureau disparaitra et le pc redémarrera . 

Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil. 

Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau . 

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt ) 

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Au secours je suis bombardé !

11 réponses