Virus qui a boulversé le système

Question

Bonjour, 

dernièrement je constate plusieurs problèmes sur mon système :
  - Ctrl+alt+suppr ne marche plus
  - La restauration de système ne fonctionne plus
  - Quand j'essaie de redémarrer en mode sans échec ça ne marche pas j vois toujours un écran vide
  - à chaque démarrage de Windows une vérification du système s'exécute même si le système s'arrête normalement

Je pense que ces problèmes sont dus à un virus mais je ne sais pas comment je peux m'en débarasser , est ce que quelqu'un peut m'aider?

Cordialement 



Configuration: Windows XP / Firefox 3.5.10

H3RV3 · Answer

Salut,

On va analyser ton PC :

&#9679; Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

&#9679; Sous XP : Double clique sur ZHPDiag_silent.exe
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPDiag_silent.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Patiente pendant le scan. Un rapport s'ouvrira à la fin.

&#9679; Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.

Lami · Answer

Merci pour le retour,

J'ai effectué le scan et voici le rapport qui a été généré :

http://www.cijoint.fr/cjlink.php?file=cj201007/cijAeT49n5.txt

Cordialement

H3RV3 · Answer

Tu es effectivement bien infecté.

Note : tu as une infection qui se propage par les disques amovibles. 

&#9679; Télécharge USBFix (de El Desaparecido et C_XX) sur ton Bureau 

&#9679; Double clique sur UsbFix.exe 

&#9679; Clique sur le bouton "Recherche" 

&#9679; Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK 

&#9679; Patiente pendant que l'outil travaille 

&#9679; A la fin du scan un rapport va s'ouvrir, copie/colle le dans ta réponse 

&#9650; Le rapport est sauvegardé dans C:\UsbFix.txt 

Note : 
    UsbFix.exe peut être détecté à tort par certains antivirus, ignore l'alerte.

Lami · Answer

J'ai téléchargé le USBfix mais quand je le lance le scan il s'arrête à 56% et affiche le message "Error allocating memory"

Lami · Answer

voici le fichier généré : http://www.cijoint.fr/cjlink.php?file=cj201007/cijcm4yyPA.txt

Je ne sais pas s'il est complété ou non

H3RV3 · Answer

Le rapport n'est malheureusement pas complet.
Peux-tu refaire un essai et, si çà ne fonctionne toujours pas, essayer en mode sans échec.

Lami · Answer

j'ai réessayé mais ça ne marche pas toujours , concernant le mode sans échec il est déjà controlé par le virus y'a plus un mode sans échec sur mon système

H3RV3 · Answer

On va essayer de commencer par çà :

&#9679; Télécharge et enregistre le fichier sur ton bureau Ad-Remover

&#9679; Double clique sur AD-R.exe

&#9679; Au menu principal choisis l'option "Nettoyer"

&#9679; Patiente pendant que l'outil fait son travail

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\Ad-report.log

Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.

Lami · Answer

voilà le rapport :
 http://www.cijoint.fr/cjlink.php?file=cj201007/cijK1haoRq.txt

H3RV3 · Answer

Bien, peux-tu redémarrer ton PC, si ce n'est déjà fait, et réessayer USBFix.

Lami · Answer

toujours le même problème !
le scan maintenant s'arrête à 56%

H3RV3 · Answer

Peux-tu refaire un rapport ZHPDiag stp.

Lami · Answer

le deuxième rapport de ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201007/cijSyIdViI.txt

H3RV3 · Answer

&#9679; Double clique sur ZHPFix qui présent sur ton bureau

&#9679; Clique sur l'icône représentant un H vert

&#9679; Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :





O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} . (.Secure Digital Services Limited - OfferBox.) -- C:\Program Files\OfferBox\OfferBoxBHO.dll
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
O42 - Logiciel: ShopperReports - (.SmartShopper.) [HKLM]
[HKCU\Software\JDK5SWFMZY]
[HKCU\Software\ShopperReports3]
[HKCU\Software\W34BCG2GRJ]
[HKCU\Software\XML]
[HKLM\Software\ShopperReports3]
O43 - CFD:Common File Directory ----D- C:\Program Files\ShopperReports3
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS
O69 - SBI: SearchScopes {18EAB056-9057-F224-FD4C-1F6569C4D8D2}- (Ask) - http://www.plusnetwork.com/s/?q={searchTerms}&iesrc={referrer:source?}




&#9679; Clique sur le bouton Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin

Lami · Answer

j'ai executé le nettoyage et j'ai obtenu le rapport suivant :
http://www.cijoint.fr/cjlink.php?file=cj201007/cij65mMNZV.txt

H3RV3 · Answer

Bien, peux-tu retester USBFix, après l'avoir retélécharger et me dire si le mode sans échec fonctionne.

Lami · Answer

le scan de usbfix a réussi cette fois ci voici le rapport: 

http://www.cijoint.fr/cjlink.php?file=cj201007/cijPpdy49J.txt

Lami · Answer

mais ça ne marche toujours pas pour le mode sans echec

H3RV3 · Answer

On passe au nettoyage avec USBFix :

&#9679; Relance UsbFix.exe

&#9679; Clique sur le bouton "Suppression"

&#9679; Branche à ton PC tes disques amovibles (clé USB, disque dur externe, lecteur MP3, téléphone, etc...) sans les ouvrir et clique sur le bouton OK

&#9679; Patiente pendant que l'outil travaille

&#9679; A la fin de la suppression un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\UsbFix.txt

Lami · Answer

j'ai effectué le nettoyage avec USBFix et voici le rapport généré :

http://www.cijoint.fr/cjlink.php?file=cj201007/cijmo07q4z.txt

N.B : Le gestionnaire des taches marche bien maintenant ainsi que la restauration du système

il ne reste que l'affichage des fichiers et dossiers cachés

H3RV3 · Answer

Bien, on progresse, la suite :

&#9679; Télécharge Malwarebytes' Anti-Malware (MBAM)

&#9679; Double clique sur mbam-setup.exe pour lancer l'installation

&#9679; Laisse les options par défaut lors de l'installation

&#9679; Lance MBAM et laisse les Mises à jour se télécharger

&#9679; Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

&#9679; A la fin du scan, clique sur Afficher les résultats

&#9679; Coche tous les éléments détectés puis clique sur Supprimer la sélection

&#9679; S'il t'est demandé de redémarrer, clique sur Yes

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport se trouve dans l'onglet Rapports/Logs de MBAM



Puis refais un rapport ZHPDiag.

Lami · Answer

le scan avec MBAM a généré le rapport suivant :http://www.cijoint.fr/cjlink.php?file=cj201007/cijbgASy3n.txt

H3RV3 · Answer

Ok, çà a l'air pas mal.

Comment va ton PC ?

Peux-tu refaire un rapport ZHPDiag stp.

Lami · Answer

oui mtn tt est bien.

http://www.cijoint.fr/cjlink.php?file=cj201007/cijIiTnqUK.txt


merciii

H3RV3 · Answer

Ok, on continue :

&#9679; Double clique sur ZHPFix qui présent sur ton bureau

&#9679; Clique sur l'icône représentant un H vert

&#9679; Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :





O44 - LFC:[MD5.E733CB6ABD28FDC18479F142203B0809] - 17/07/2010 - 00:38:05 RSHA- . (.Pas de propriétaire - Pas de description.) -- C:\image.jpg   [270362]
O44 - LFC:[MD5.E733CB6ABD28FDC18479F142203B0809] - 16/07/2010 - 23:11:43 RSHA- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\imwin.jpg   [270362]




&#9679; Clique sur le bouton Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin


Tu as deux antivirus présents sur ton PC (Avira et AVG), il va falloir faire un choix et en désinstaller un.


Puis :

&#9679; Télécharge HijackThis.exe sur ton bureau

&#9679; Double clique sur HijackThis.exe

&#9679; Clique sur Do a system Scan only

&#9679; Coche les cases suivantes (si elles sont présentes) :




O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe     
O4 - HKLM\..\Run: [Adobe ARM] . (.Adobe Systems Incorporated - Adobe Reader and Acrobat Manager.) -- C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
O4 - HKLM\..\Run: [NeroCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe




&#9679; Clique sur Fix checked puis sur "Oui" dans la fenêtre d'avertissement

&#9679; Ferme HijackThis

Lami · Answer

ci joint le rapport du scan avec ZHPFix : http://www.cijoint.fr/cjlink.php?file=cj201007/cijFODpIFD.txt

H3RV3 · Answer

On va maintenant supprimer les différents outils utilisés :

&#9679; Télécharge ToolsCleaner sur ton Bureau

&#9679; Sous XP : Double clique sur ToolCleaner2.exe
&#9679; Sous Vista/7 : Fais un clic droit sur ToolCleaner2.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Clique sur Recherche et patiente pendant le scan

&#9679; Clique sur Suppression pour supprimer les outils

&#9679; Clique sur Quitter, un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\TCleaner.txt


Tu peux supprimer ToolsCleaner2.exe

Virus qui a boulversé le système

27 réponses

Votre réponse

Discussions similaires

Newsletters