Pc, clés, DD externes vérolés Fermé

Question

Bonjour, Mes 2 pcs, mes clés usb, DD externes sont tous vérolés, et j'ai l'impression que c'est de pire en pire... J'ai chopé ça avec ma clé usb sur le pc de ma fac... et ça s'est propagé partout où j'avais besoin de bosser... J'avais avast, et je n'ai jamais réussi à m'en débarasser avec avast. En lisant les forums, j'ai changé d'antivirus pour avira. Depuis, j'ai une alerte toute les 5 minutes... Chevaux de troie généralement. Hier avast me disait que j'avais VBS:Malware-gen. Je suis convaincue qu'il yen a d'autres... J'ai utilisé hier CCleaner, téléchargé avg, hijackthis. Lancé hijackthis. Je vous préviens, je suis pas douée en informatique (j'ai réussi à supprimer sans m'en rendre compte le noyau de mon linux sur mon autre pc depuis mon windows.... c'est un autre pb, je demanderai de l'aide plus tard.. quand j'aurai réglé ce pb de virus) Sur mes périphériques infectés, j'ai un répertoire "carpet" avec un fichier "shey.exe" que je n'ai jamais importé moi-même et impossible à supprimer (et c'est un dossier caché). Je pense que l'origine du virus provient de ce fichier... mais j'imagine que ça s'est multiplié dans d'autres fichiers un peu partout. Je vous met le rapport d'hijackthis. Dites moi si je dois vous fournir d'autres informations. Merci d'avance..... http://www.cijoint.fr/cjlink.php?file=cj201006/cijwbD0mdq.txt Configuration: Configuration: Windows XP / Firefox 3.5.9

Utilisateur anonyme · Accepted Answer

Re

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

blorb · Answer

Merci pour la réponse rapide.

Très pratique ce lien pour déposer un fichier. A moins le message reste lisible.


http://www.cijoint.fr/cjlink.php?file=cj201006/cijz3n0Zw4.txt

Utilisateur anonyme · Answer

Re

1) # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
Ici :  http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 

Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/ 

 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir 


# Double clic sur le raccourci UsbFix présent sur ton bureau. 

# Choisi   Suppression  

# Laisse travailler l outil. 

# Ensuite post le rapport UsbFix.txt qui apparaîtra. 

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) 

(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


2)Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
Ou ici : https://forospyware.com 
>Renomme le pour l'enregistrer sur ton bureau en  asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista «  exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

 Avant d'utiliser ComboFix :  

->  Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.  

->  Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 


- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur 

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

/!\  Ne touche à rien tant que le scan n'est pas terminé.  /!\ : risque de figer l'ordinateur (plantage complet) 


::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes


Poste les rapports au fur et à mesure;merci
@+

blorb · Answer

J'ai lancé usbfix. J'ai du le lancer 2 fois car pas assez de ports usb pour tout scanner en une fois.

Voici les 2 rapports : 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijIIh7xRa.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijUtqgnfx.txt


Là, je m'apprête à lancer combofix renommé en asdehi.

Je posterai le rapport dès que c'est fait.

blorb · Answer

Bon.... le logiciel a planté mon pc (et pourtant tout était fermé et j'ai touché à rien). Cependant, il m'a installé la console de récupération et a redémarré mon pc. Au redémarrage, mon antivirus s'est remis en route. Pendant l'analyse il m'a fait 2 alertes. Voyant que l'analyse n'avançait plus (j'ai du attendre environ 15 minutes), j'ai cliqué sur ignorer quand antivir me demandait ce que je voulais faire du fichier infecté. L'analyse a repris, puis le logiciel a commencé les suppressions de fichiers : un premier .exe (qui était détecté par antivir), puis un fichier "thumb" puis gros plantage. Ecran bleu me conseillant de redémarrer si je vois ce message pour la première fois ou sinon de voir avec l'administrateur (moi-même donc !) si le plantage est lié à l'installation de nouveaux composants.
Bref, j'ai forcé le redémarrage (appui long sur le bouton on/off). Au démarrage, une fenêtre s'ouvre m'informant que windows a récupéré dune grave erreur.

Bien sur, pas de rapport dans la racine car plantage avant la fin du scan.

Je relance le logiciel ? Ca risque pas de planter encore ?

blorb · Answer

En tout cas, merci, car je sens qu'il y a une belle progression déjà !

Utilisateur anonyme · Answer

Bonsoir

Envoie ce fichier et ensuite supprime le.
C:\UsbFix_Upload_Me_ORDIAL.zip
https://www.ionos.fr/?affiliate_id=77097
Merci de votre contribution.

On va vérifier si ComboFix a mis en quarantaine quelques fichiers.
Reposte un nouveau ZPHDiag ;merci

@+

blorb · Answer

Bonjour, 

Voici donc le rapport de ZPHDiag :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijiVUfsJN.txt

Pour le fichier de usbfix, je l'avais déjà envoyé hier.

Utilisateur anonyme · Answer

Re

1)Procède à la mise à jour de ton PC et tu reviens à l'issue.

WindowsSP3 et IE8 via Windows Update.

@+

blorb · Answer

J'utilise pas internet explorer, est-ce vraiment nécessaire de le mettre à jour ?

Utilisateur anonyme · Answer

Re

Oui ;de plus tu peux également mettre à jour Firefox>>3.6.3

@+

blorb · Answer

OK, mises à jour effectuées.

Au redémarrage, antivir m'a fait une alerte : un ver dans mon fichier Syberia2.exe

Utilisateur anonyme · Answer

Re

Lance une analyse avec ton antivirus à jour et poste moi le rapport;merci
@+

blorb · Answer

Je sais pas où se trouve le rapport d'antivir... (j'ai pas encore fait le tour du propriétaire).
J'ai fait une impression d'ecran :
http://photomaniak.com/upload/out.php/i987524_antivir.JPG

Je fais quoi avec ces fichiers ? Quarantaine (ce qui est suggéré) ?

Merci

Utilisateur anonyme · Answer

Bonsoir

Oui ;met tous ces fichiers en quarantaine.

Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's. 

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+

blorb · Answer

Voici le rapport après scan et suppression des fichiers infectés : 
http://www.cijoint.fr/cjlink.php?file=cj201006/cij4qEs0RJ.txt


Et j'ai trouvé le rapport antivir de tout à l'heure donc je le met au cas où si besoin :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijKxHgRbR.txt

Utilisateur anonyme · Answer

Re La plupart de tes infections sont dans la restauration ;mais certains programmes via le P2P sont pour la plupart néfastes d'où tes alertes!!! Vide la quarantaine Antivir ainsi que celle de Malwaresbytes. On nettoie: 1)Télécharges Toolscleaner afin de supprimer les logiciels de désinfection inutiles ---> Télécharge Toolscleaner sur ton Bureau. https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/ * Double-clique sur ToolsCleaner2.exe(ou clic droit « exécuter en tant que administrateur » pour Vista et Seven)pour le lancer. * Clique sur Recherche et laisse le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). Tu supprimes ensuite Tools Cleaner et le fichier .txt. 2)Tu disposes de Ccleaner;passe le après mise à jour avec ces réglages: .double-cliques sur l'icône de Ccleaner pour l'ouvrir .une fois ouvert tu cliques sur option et puis avancé .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures .cliques sur nettoyeur .cliques sur windows et dans la colonne avancé . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la .cliques sur analyse une fois l'analyse terminé .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien .clique maintenant sur registre et puis sur rechercher les erreurs .laisse tout coché et clique sur réparer les erreurs sélectionnées .il te demande de sauvegarder OUI .tu lui donnes un nom pour pouvoir la retrouver et enregistre .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK .il supprime et fermer tu vérifies en relançant rechercher les erreurs .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch .tu peux fermer Ccleaner. 3)Purge la restauration comme ceci : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924 Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections @+

blorb · Answer

Voilà déjà le rapport de ToolsCleaner.

http://www.cijoint.fr/cjlink.php?file=cj201006/cijLDFprbZ.txt


J'avais refait entre temps un nouveau scan avec antivir (j'ai eu des alertes lors du scan avec Malwaresbytes), il m'avait trouvé 5 nouveaux fichiers infectés. Mis en quarantaine puis supprimés.  

Je passe CCleaner...

pfiouuu, et dire que j'ai un 2eme pc au moins aussi infecté que celui-ci à scanner dans tous les sens...

blorb · Answer

J'ai lancé CCleaner. Puis relancé antivir. Plus rien à signaler comme fichier infecté mais par contre il y a toujours 5 avertissements.


Je vais entamer la résurrection de mon pc portable. Mais avant, je voudrais savoir dans quel ordre je fais les chose. Voici tout ce que je dois faire :
- désinstaller ce qui me reste de mon ancien linux puis réinstaller linux sur ma partition.
- Réagrandir un peu ma partition windows (si c'est faisable) parce qu'il me reste quelques centaines de Mo de libre (partition de 6Go...)
- Nettoyer le windows de tous les virus (sachant que je n'ai sans doute pas assez de place pour télécharger tous les utilitaires nécessaires... ou faire la dernière mise à jour windows vers SP3). Mon windows voit mon linux, y a t'il des précautions à prendre par rapport à cela lors des scans ?

Je créerai un nouveau fil de discussion au bon endroit pour tout ce qui est gestion de mes partitions et installation de linux.

Je pense commencer doucement par changer d'antivirus, et faire un premier scan pour voir ce qui en sort. 

En tout cas, merci beaucoup Guillaume pour toute l'aide que tu m'as déjà apporté !!!

Utilisateur anonyme · Answer

Bonjour 

Je te propose comme tu le suggères de poster dans la rubrique adéquate concernant le partitionnement de ton ou tes disques pour installation Linux et espace disque pour Windows 
Si ton problème sur ce forum est résolu je te propose de clore ce post. 

La mise à jour SP3 n'a pas été faite 
1)Procède à la mise à jour de ton PC et tu reviens à l'issue. 

WindowsSP3 et IE8 via Windows Update.ici 

a+  
On a tous été un jour débutant dans quelque chose. 
Mais le savoir est la récompense de l'assiduité.