Virus proposant faux antivirus

Résolu
colaaa Messages postés 84 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Voilà depuis quelque jours, et du jour au lendemain, j'ai constaté que mon pc était attaqué par un virus. Je ne peux lancer aucune application car à chaque essai, il me dit que le .exe en question est infecté, à l'exception de firefox...
Une fenêtre répetitive reviens en permanence me disant qu'un virus est présent, et des pages internet porno ou du même genre s'ouvre tout le temps, bref, je pense que c'est un virus qui nous fait croire que y'a un virus et veut recolter des thunes...

Je sais que le problème est connu est qu'il y a 3000 posts là dessus, mais cela marche au cas par cas puisque faut poster les rapport HiJackThis ou des trucs comme ca..

Bref, j'aurais besoin de quelqu'un qui me suit dans cette demarche, m'indiquant quel soft lancer et qui regarde les rapports pour me guider parceque comme tout le monde j'ai besoin de mon PC !!!

Un grand merci d'avance !!

37 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    * Salut

    Je vous laisse continuer vous deux !

    Membre Contributeur sécurité CCM
    Windows Vista // Windows XP
    0
    1. Utilisateur anonyme
       
      Bonjour VIRUS/C/C
      il me dit que le .exe en question est infecté, à l'exception de firefox...
      Cela me fait penser à Virut
      0
  2. Utilisateur anonyme
     
    Bonjour
    Edit
    Ou peut-être un rogue
    0
  3. colaaa Messages postés 84 Statut Membre
     
    J'en était sur, le virus par lequel je suis infecté me dit que "rsit.exe is infected", je ne peut donc pas lancer RSIT. Bien qu'il m'affiche la fenetre disclaimer, ca va pas plus loin, mon virus le bloque...

    Pour info, le faux antivirus proposé est antivir pro..

    Bref, jsuis en train de m'arracher les cheveux là...
    0
    1. Cosmi10 Messages postés 930 Statut Membre 89
       
      Renommer Rsit.exe durant le téléchargement ......
      * Faites un clic-droit sur ce le lien de téléchargement
      * Sélectionnez soit avec :
      - Internet Explorer : Enregistrer la cible sous...
      - Firefox : Enregistrer la cible du lien sous...

      Essayer en le renommant soit en firefox.exe ou Explorer.exe
      0
  4. colaaa Messages postés 84 Statut Membre
     
    Mais comment ca se fait que des réponses disparaissent de cette discussion ???

    J'était en train de suivre les indications de je sais plus qui, j'ai fait une analyse avec malware bytes anti malware qu'a duré 3h30 et je me retrouve bloqué parceque j'ai plus la suite, c'est super enervant...

    Comment ca se fait ??????????

    J'ai pas envie de recommencer à suivre d'autres indications pour voir le message supprimé par la suite...

    J'explique ce que j'ai fait jusque là : J'ai lancé rkill mais on m'avais pas dit de poster le message, et ensuite j'ai fait une analyse complete avec malwarebytes et là je suis dans l'onglet "afficher les resultat" ...

    Quelqu'un pour me guider pour la suite ???

    Merci beaucoup à vous
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    colaaa, excuse moi, c'est pas moi qui t'avais pris en charge, c'est VIRUS/C/C, c'est
    pour cela que j'avais supprimé mon post pour laisser travailler VIRUS/C/C

    Je te prie de m'excuser encore
    As tu le rapport de Malwarebytes ?
    0
  7. colaaa Messages postés 84 Statut Membre
     
    Ben à partir de la fenetre d'affichage des resultats je fais comment pour pouvoir poster le rapport ?
    0
  8. Utilisateur anonyme
     
    Tu cliques sur l'onglet rapport/logs, tu ouvres le rapport et tu le postes ici
    0
  9. colaaa Messages postés 84 Statut Membre
     
    Il l'ouvre pas, il se passe rien quand je clique dessus.
    Est que je devrais pas "supprimer la selection" avant de pouvoir ouvrir l'onglet ?
    0
  10. Utilisateur anonyme
     
    Clique sur supprimer la sélection, et le PC devrai redémarrer, puis ensuite,
    poste le rapport
    0
  11. colaaa Messages postés 84 Statut Membre
     
    Rapport Malwarebytes : c'est bien ca ?

    Je precise qu'un certain dll n'as pas pu demarrer lors du reboot, je suppose que malware l'a viré...

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4052

    Windows 6.0.6001 Service Pack 1
    Internet Explorer 8.0.6001.18928

    19/07/2010 00:13:06
    mbam-log-2010-07-19 (00-13-06).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
    Elément(s) analysé(s): 418842
    Temps écoulé: 3 heure(s), 7 minute(s), 36 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\uvc7jk640c (Trojan.Downloader) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ajshxwcv (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\otofokuqi (Trojan.Agent.U) -> Delete on reboot.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Program Files\Ad-Remover\QUARANTINE\PROGRA~1\MYWEBS~1\bar\1.bin\F3SCHMON.EXE.vir (Adware.MyWebSearch) -> Quarantined and deleted successfully.
    C:\Users\Colaa'\AppData\Local\Temp\37A.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
    C:\Users\Colaa'\AppData\Local\Temp\E1C6.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
    C:\Users\Colaa'\AppData\Local\Temp\EBC5.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
    C:\Users\Colaa'\AppData\Local\VirtualStore\Windows\System32\htql.ano (Backdoor.Bot) -> Quarantined and deleted successfully.
    C:\Users\Colaa'\AppData\Local\wswyviccw\mlolbfntssd.exe (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.
    C:\Users\Colaa'\AppData\Local\audstet.dll (Trojan.Agent.U) -> Delete on reboot.
    C:\Users\Colaa'\AppData\Local\Temp\e.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
    0
  12. HELPPP
     
    J'ai le même problème ! Je n'ai pas compris la démarche, venez moi en aide s'il vous plait !
    0
  13. Utilisateur anonyme
     
    Bonjour colaaa
    C'est bien cela
    ça sent pas bon ce rapport, je crains qu'il y ai un rootkit, on verra après
    On va examiner en profondeur le PC pour voir s'il y a d'autres infections

    * Télécharge ZHPDiag (de Nicolas Coolman)
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Héberge le rapport ICI

    Bonjour HELPPP
    Ce serai bien d'ouvrir un topic pour ton problème
    0
  14. colaaa Messages postés 84 Statut Membre
     
    J'ai le rapport, mais quand je valide pour le poster il charge et s'arrete, le texte doit être trop long...
    0
  15. colaaa Messages postés 84 Statut Membre
     
    Voilà je l'ai hebergé, désolé je suis lent à répondre mais je bosse en même temps, donc voici le lien du rapport ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201007/cij8bfndPz.txt
    0
  16. Utilisateur anonyme
     
    Bonjour
    Encore infecté, il y a encore un peu de boulot

    Télécharge UsbFix (de El Desaparecido, C_XX) sur ton bureau­
    https://www.ionos.fr/?affiliate_id=77097

    # Clic droit sur UsbFix présent sur ton bureau, et clique sur
    exécuter en tant qu'administrateur
    , puis clique sur exécuter
    pour lancer l'installation qui se fera automatiquement

    # Clique sur Suppression

    # Branche toutes tes sources et données externes (clé USB, disque dur
    externe...) sans les ouvrir sur ton PC, et clique sur OK

    # La suppression est lancée. Le bureau va disparaitre, c'est normal

    # Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
    pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
    demandant d'envoyer le fichier UsbFix_Upload_Me

    # Clique sur Parcourir pour aller chercher le fichier
    compressé qui se trouve à la racine du disque

    # Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
    le fichier


    # Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

    # Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
    0
  17. colaaa Messages postés 84 Statut Membre
     
    Alors voici le rapport Usb Fix (encore désolé d'être aussi long) :

    ############################## | UsbFix 7.017 | [Suppression]

    Utilisateur: Colaa' (Administrateur) # NICOO [Acer Aspire 8730]
    Mis à jour le 22/07/10 par El Desaparecido / C_XX
    Lancé à 12:56:27 | 23/07/2010
    Site Web: http://pagesperso-orange.fr/NosTools/index.html
    Contact: FindyKill.Contact@gmail.com

    CPU: Intel(R) Pentium(R) Dual CPU T3400 @ 2.16GHz
    CPU 2: Intel(R) Pentium(R) Dual CPU T3400 @ 2.16GHz
    Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
    Internet Explorer 8.0.6001.18928

    Pare-feu Windows: Activé
    RAM -> 3066 Mo
    C:\ (%systemdrive%) -> Disque fixe # 143 Go (14 Go libre(s) - 10%) [ACER] # NTFS
    D:\ -> Disque fixe # 143 Go (21 Go libre(s) - 15%) [DATA] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    G:\ -> Disque fixe # 75 Go (2 Go libre(s) - 3%) [HP Pocket Media Drive] # NTFS

    ################## | Éléments infectieux |

    Supprimé! C:\Users\Colaa'\AppData\Local\Temp\Update.exe
    Supprimé! G:\Autorun.inf

    ################## | Registre |

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{0256e95b-8225-11de-9fb8-001d72eb3110}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{81e46543-d6f7-11de-9bcf-001d72eb3110}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{bafad54a-0d02-11df-ace5-001d72eb3110}

    ################## | Listing |

    [09/04/2010 - 18:54:31 | HD ] C:\$AVG
    [23/07/2010 - 13:18:01 | SHD ] C:\$RECYCLE.BIN
    [08/05/2009 - 02:18:07 | D ] C:\Acer
    [19/12/2009 - 14:32:39 | A | 579] C:\Ad-Report-CLEAN[1].log
    [19/12/2009 - 14:44:11 | A | 17349] C:\Ad-Report-CLEAN[2].log
    [19/12/2009 - 14:02:04 | A | 18141] C:\Ad-Report-SCAN[1].log
    [19/12/2009 - 19:06:55 | A | 4] C:\autoexec.bat
    [19/12/2009 - 16:56:31 | RASHD ] C:\autorun.inf
    [12/12/2008 - 23:37:43 | D ] C:\Book
    [06/02/2008 - 01:25:41 | SHD ] C:\Boot
    [21/01/2008 - 04:24:42 | RASH | 333203] C:\bootmgr
    [06/02/2008 - 01:25:41 | RAS | 8192] C:\BOOTSECT.BAK
    [12/12/2008 - 14:53:28 | D ] C:\CLSetup
    [18/09/2006 - 23:43:37 | A | 10] C:\config.sys
    [28/03/2010 - 18:28:21 | D ] C:\divx
    [02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
    [08/05/2009 - 02:19:15 | D ] C:\Elements
    [10/06/2010 - 11:04:43 | D ] C:\FA-123
    [10/06/2010 - 10:51:40 | D ] C:\FXIWIN19
    [23/07/2010 - 12:49:05 | ASH | 3215847424] C:\hiberfil.sys
    [31/01/2010 - 19:05:47 | A | 6779] C:\Installer.log
    [11/11/2008 - 05:39:10 | D ] C:\Intel
    [10/06/2010 - 10:49:44 | RASH | 0] C:\IO.SYS
    [19/12/2009 - 19:02:28 | D ] C:\Kill'em
    [19/12/2009 - 19:06:55 | A | 2390] C:\Kill'em.txt
    [16/06/2009 - 02:23:46 | D ] C:\KU990I
    [19/12/2009 - 17:20:59 | A | 15073] C:\List'em.txt
    [31/01/2010 - 19:04:59 | A | 90] C:\LogiSetup.log
    [12/12/2008 - 14:53:28 | A | 20] C:\Medion.ini
    [15/03/2010 - 18:45:28 | D ] C:\MoTemp
    [10/06/2010 - 10:49:44 | RASH | 0] C:\MSDOS.SYS
    [20/11/2008 - 02:39:16 | RHD ] C:\MSOCache
    [29/02/2004 - 17:44:34 | A | 52576] C:\orange.bmp
    [23/07/2010 - 12:49:04 | ASH | 3529433088] C:\pagefile.sys
    [12/12/2008 - 14:49:56 | A | 58] C:\Partition.txt
    [05/12/2008 - 00:45:00 | ASH | 1256] C:\Patch.rev
    [21/01/2008 - 04:32:31 | D ] C:\PerfLogs
    [21/11/2008 - 02:43:54 | RASH | 147] C:\preload.rev
    [23/07/2010 - 12:49:47 | D ] C:\Program Files
    [23/07/2010 - 12:49:47 | D ] C:\ProgramData
    [12/12/2008 - 14:48:27 | A | 871] C:\RHDSetup.log
    [18/07/2010 - 15:54:10 | A | 512] C:\rkill.log
    [19/12/2009 - 14:50:12 | D ] C:\rsit
    [16/06/2009 - 02:27:20 | D ] C:\Sounds
    [22/07/2010 - 18:08:24 | SHD ] C:\System Volume Information
    [18/03/2010 - 23:18:45 | D ] C:\Temp
    [23/07/2010 - 13:18:01 | D ] C:\UsbFix
    [23/07/2010 - 12:56:28 | A | 3620] C:\UsbFix.txt
    [08/05/2009 - 02:17:20 | RD ] C:\Users
    [19/07/2010 - 00:14:40 | D ] C:\Windows
    [21/02/2010 - 01:53:13 | D ] C:\wmdownloads
    [23/07/2010 - 13:18:01 | SHD ] D:\$RECYCLE.BIN
    [29/04/2010 - 00:06:52 | A | 11141120] D:\18773924_MVM_0.tmp
    [08/11/2009 - 03:33:01 | A | 403308544] D:\37278732_MVM_0.tmp
    [08/11/2009 - 03:32:43 | A | 0] D:\37278732_MVM_1.tmp
    [19/12/2009 - 16:56:31 | RASHD ] D:\autorun.inf
    [13/07/2010 - 13:31:12 | D ] D:\Films
    [05/07/2010 - 17:36:35 | D ] D:\Images
    [12/07/2010 - 11:41:53 | D ] D:\Musique
    [01/09/2009 - 16:21:47 | SHD ] D:\System Volume Information
    [10/05/2010 - 02:25:15 | D ] D:\Videocopilot
    [23/07/2010 - 13:18:01 | SHD ] G:\$RECYCLE.BIN
    [13/07/2010 - 19:19:57 | D ] G:\bernard movies
    [18/10/2009 - 00:30:03 | A | 7658952] G:\daemon-tools_daemon_tools_4.30.4_francais_10729.exe
    [13/07/2010 - 20:07:39 | D ] G:\Film
    [14/07/2010 - 13:18:07 | D ] G:\Groland
    [14/07/2010 - 13:26:37 | D ] G:\jeux lan
    [12/04/2008 - 14:15:15 | A | 714907648] G:\La tour Montparnasse infernale.avi
    [02/11/2007 - 23:35:07 | D ] G:\MSIb4e4d.tmp
    [14/07/2010 - 13:28:29 | D ] G:\musiques
    [14/07/2010 - 13:34:09 | D ] G:\PMD
    [18/10/2009 - 00:59:33 | A | 156] G:\prepatch.log
    [04/08/2004 - 01:55:02 | A | 28672] G:\setupSNK.exe
    [14/07/2010 - 13:34:11 | D ] G:\SMRTNTKY
    [02/12/2009 - 09:25:32 | A | 735752192] G:\svl-jb.avi
    [27/02/2008 - 00:27:54 | SHD ] G:\System Volume Information
    [07/03/2007 - 22:47:54 | A | 1643] G:\Theatre 2nd1.txt
    [15/07/2010 - 13:47:20 | D ] G:\Videocopilot
    [14/07/2010 - 13:43:15 | D ] G:\World of Warcraft
    [19/10/2009 - 08:56:18 | D ] G:\_096562_

    ################## | Vaccin |

    C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
    G:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_NICOO.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    ################## | E.O.F |
    0
  18. Utilisateur anonyme
     
    Bonjour
    As tu fait ceci ?
    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_NICOO.zip
    https://www.ionos.fr/?affiliate_id=77097
    Merci de votre contribution.

    * Lance ZHPFix (tu dois avoir un raccourci sur ton Bureau, sinon tu peux le lancer à partir de ZHPDiag),clic droit dessus, et sur exécuter en tant
    qu'administrateur

    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    * Copie/colle la ligne suivante et place la dans ZHPFix :

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643
    O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM]
    O42 - Logiciel: Java 6 Update 13 - (.Sun Microsystems, Inc..) [HKLM]
    [HKCU\Software\AVSolution]
    [HKCU\Software\Winsudate]
    [HKLM\Software\Winsudate]
    O53 - SMSR:HKLM\...\startupreg\LosAlamos [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\sshnas.dll


    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse

    O.o°*??? Ex Nathandre °.Oø¤º°'°º¤ø
    0
  19. colaaa Messages postés 84 Statut Membre
     
    Voici le rapport ZHPFix :

    Rapport de ZHPFix v1.12.3124 par Nicolas Coolman, Update du 18/07/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-24-07-2010-12-12-14.txt
    Run by Colaa' at 24/07/2010 12:12:14
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé du Registre ==========
    O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] => Clé supprimée avec succès
    HKCU\Software\AVSolution => Clé supprimée avec succès
    HKCU\Software\Winsudate => Clé supprimée avec succès
    HKLM\Software\Winsudate => Clé supprimée avec succès
    O53 - SMSR:HKLM\...\startupreg\LosAlamos [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Windows\system32\sshnas.dll => Clé supprimée avec succès

    ========== Elément de données du Registre ==========
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5643 => Donnée supprimée avec succès

    ========== Fichier ==========
    c:\windows\system32\sshnas.dll => Fichier absent

    ========== Logiciel ==========
    O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] => Logiciel supprimé avec succès
    O42 - Logiciel: Java 6 Update 13 - (.Sun Microsystems, Inc..) [HKLM] => Logiciel absent

    ========== Récapitulatif ==========
    5 : Clé du Registre
    1 : Elément de données du Registre
    1 : Fichier
    2 : Logiciel

    End of the scan
    0
  20. Utilisateur anonyme
     
    Bonjour colaaa,
    Avant de continuer, je voulais savoir comment va le PC ?
    0
  • 1
  • 2