Infesté de virus Fermé

Question

Bonjour, mon ordinateur est infesté de virus je sais pas pourquoi mais un moment donné j'étais sur un jeux et paf l'ordinateur a fermé tout seul et windows ne demarrait plus donc j'ai faite une installation/reparation de windows par dessus donc je n'ai aucune mise a jours de fait encore. J'ai passé plein de scan anti virus et malwares bytes et sa pas mal aidé, habituellement je vien jamais poster pour de l'aide mais la je sais plus quoi faire donc svp aidez moi :( 

Js:fakeav-ex   trj
win32:malware-gen
win32:malOb-BR (cryp)
win32:rootkit-gen Rtk 

et surment d'autres 

Merci

Xplode · Answer

Bonjour,

[x] Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

[x] Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

Joe156 · Answer

quand je fais créer le lien impossible d'afficher la page :S

joe156 · Answer

https://www.cjoint.com/?ictjK21fqh

Xplode · Answer

-+-+-+-+-> TDSSKiller <-+-+-+-+-


[x] Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.

[x] Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

[x] Clique sur [Start Scan] pour démarrer l'analyse.

[x] Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

[x]  Un rapport s'ouvrira au redémarrage du PC.

[x] Copie/Colle son contenu dans ta prochaine réponse.

[x] Note : Le rapport se trouve également sous C:	dsskiller.txt.

Joe156 · Answer

https://www.cjoint.com/?icwl2tVUfi

aucun element trouvés :/

Xplode · Answer

-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-


[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "

[x] Sélectionne tout tes disques locaux et amovibles

[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Tu peux ensuite vider la quarantaine de MBAM.

[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.

Joe156 · Answer

https://www.cjoint.com/?ide4nRxVjf

Joe156 · Answer

bump

Xplode · Answer

Bonsoir,

Désolé pour le délais.

-+-+-+-+-> ComboFix <-+-+-+- 


[x] Télécharge ComboFix ( de sUBs ) à cette adresse. 

/!\ Ferme toutes les fenêtres de programme ouvertes /!\ 

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ 

[x] Double clique sur " Combofix.exe " 

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

[x] Pendant le scan, ne touche à rien ( souris, clavier ) 

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

Joe156 · Answer

voila https://www.cjoint.com/?iegcTUttRk

il a fallu que je le renomme et meme que j'ai attendu 4heures et rien ne se produisait .. j'ai finalement runné en mode sans echec et il est parti tout suite lol .. en tout cas, merci sa va mieu mais je crois qui en reste d'autres

ps: combofix a t'il juste detecté 1 seul?

Xplode · Answer

Bonjour, 

Il reste des saletés ;-) 

-+-+-+-+-> CFScript <-+-+-+-+- 

/!\ Attention : Cette procédure n'est valable que pour Joe156 /!\ 

[x] Copie le texte en gras ci dessous : 

 
KillAll:: 

SysRst:: 

File:: 

c:\windows\system32\fcbaby.dll   

MBR:: 

FixCSet:: 
 

[x] Ouvre le bloc-note puis colle le texte ci dessus dedans. 

[x] Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ). 

[x] Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici. 

[x] Combofix va se lancer, patiente le temps du scan. 

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\ 

[x] Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse. 
Xplode - Contributeur sécurité.

Joe156 · Answer

voila : https://www.cjoint.com/?ietCdJcwdn

Xplode · Answer

Vu.

Un nouveau ZHPDiag maintenant s'il te plait.

Joe156 · Answer

ok 

voila: https://www.cjoint.com/?ievGkBvWxg

Joe156 · Answer

puis?

j'ai encore des pop-ups et encore un autre fichiers que js:fakeav-ex a infecter hier =C

Xplode · Answer

Bonsoir,

-+-+-+-+-> ZHPFix <-+-+-+-+-


/!\ Utilisateurs de vista/7 , cette manipulation est à effectuer en tant qu'administrateur ( Clic droit -> [Exécuter en tant qu'administrateur] ) /!\

[x] Lance ZHPFix ( sur ton bureau ) puis clique sur le H bleu " Coller les lignes helper ".

[x] Copie/Colle le texte en gras ci-dessous dans l'encadré blanc puis clique sur [Ok]


O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe   
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe 
[HKCU\Software\Conduit] 
O44 - LFC:[MD5.27EE0B1193FDF5C080CA551A51143CD3] - 2010-07-19 - 14:18:01 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\{00000000-00000000-0000000B-00001102-00000002-80611102}.CDF   [3375019]
O44 - LFC:[MD5.A05885328D67957A4C7E44BC16ABE38A] - 2010-07-19 - 22:31:06 R--A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\SET11A.tmp   [1086058]
O44 - LFC:[MD5.A21736545A3FC39B3F9965DC71B7001A] - 2010-07-19 - 22:31:11 R--A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\SET126.tmp   [14043]
O44 - LFC:[MD5.47BD6ACC09AD6F6A1F267B70E13E00F8] - 2010-07-19 - 22:38:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000002-80611102}.rfx   [29808]
O44 - LFC:[MD5.47BD6ACC09AD6F6A1F267B70E13E00F8] - 2010-07-19 - 22:38:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\BMXCtrlState-{00000000-00000000-0000000B-00001102-00000002-80611102}.rfx   [29808]
O44 - LFC:[MD5.08B81F27C1971BD490741262B30C9BF8] - 2010-07-19 - 22:38:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\BMXState-{00000000-00000000-0000000B-00001102-00000002-80611102}.rfx   [17500]
O44 - LFC:[MD5.08B81F27C1971BD490741262B30C9BF8] - 2010-07-19 - 22:38:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\BMXStateBkp-{00000000-00000000-0000000B-00001102-00000002-80611102}.rfx   [17500]
O44 - LFC:[MD5.1681FFC6E046C7AF98C9E6C232A3FE0A] - 2010-07-19 - 22:38:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\DVCState-{00000000-00000000-0000000B-00001102-00000002-80611102}.dat   [24]
O44 - LFC:[MD5.1681FFC6E046C7AF98C9E6C232A3FE0A] - 2010-07-19 - 22:38:24 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\DVCStateBkp-{00000000-00000000-0000000B-00001102-00000002-80611102}.dat   [24]
O44 - LFC:[MD5.A05885328D67957A4C7E44BC16ABE38A] - 2010-07-22 - 11:16:08 R--A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\SET4A.tmp   [1086058]
O44 - LFC:[MD5.A21736545A3FC39B3F9965DC71B7001A] - 2010-07-22 - 11:16:11 R--A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\SET56.tmp   [14043]
O44 - LFC:[MD5.E2459D8D7B243EF41B855994AABD6EFC] - 2010-08-02 - 13:27:22 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\TDSSKiller.2.4.0.0_02.08.2010_14.26.15_log.txt   [40264]
O64 - Services: CurCS - (.not file.) - bdmdivrcrnssiyc (bdmdivrcrnssiyc)  .(.Pas de propriétaire - Pas de description.) - LEGACY_BDMDIVRCRNSSIYC
O64 - Services: CurCS - (.not file.) - klmd23 (klmd23)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KLMD23
O64 - Services: CurCS - (.not file.) - klmd24 (klmd24)  .(.Pas de propriétaire - Pas de description.) - LEGACY_KLMD24
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 24.200.241.37 24.201.245.77 24.200.243.189


[x] Clique maintenant sur [Tous] , puis sur [Nettoyer]

[x] Copie/Colle le contenu du rapport à l'écran dans ton prochain message.

[x] Note : le rapport se trouve également sous C:\Program Files\ZHPDiag\ZHPFixReport.txt

Joe156 · Answer

Bonjour,

voila: https://www.cjoint.com/?ihe5gyCuYP

Xplode · Answer

Bonjour,

Comment se porte le PC?

Joe156 · Answer

je vais regarder sa, pour l'instant ya fallu que je fasse encore une reparation de windows, il ne voulait plus demarrer, et pour les virus mis en quarantaine dans avast qu'est ce que je fais avec ?

merci

Joe156 · Answer

bon et bien j'ai encore des pop-ups quand je veux ouvrir un lien, avast a encore detecter un fichier infecter et quand je veux arreter l'ordinateur il freeze avant :S:S:S

Joe156 · Answer

bump

Xplode · Answer

Bonjour,

-+-+-+-+-> Bootkit Remover <-+-+-+-+-


[x] Télécharge Bootkit Remover et décompresse le sur ton bureau.

[x] Télécharge BTKR_Runbox ( de jeanmimigab ) également sur ton bureau.

Note : Tu dois avoir ces deux fichiers sur ton bureau -> Remover.exe et BTKR_Runbox.exe

[x] Lance BTKR_Runbox, puis sélectionne l'option n°1. Valide en appuyant sur [Entrée]

[x] Suis les instructions et copie/colle le rapport dans ta prochaine réponse.

Joe156 · Answer

Voila: Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600) System volume is \.\C: \.\C: -> \.\PhysicalDrive0 at offset 0x00000000'00007e00 Boot sector MD5 is: 580e12b06e588182236319551a05ba37 Size Device Name MBR Status -------------------------------------------- 37 GB \.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks.remover.exe dump [output_file] To disinfect the master boot sector, use the following command: remover.exe fix To inspect the boot code manually, dump the master boot sector: Done; Press any key to quit... Faite un clic-droit dans cette fen^tre et choisissez "coller" pour faire apparaOEtre le rapport scanxp.txt

Joe156 · Answer

bump

Joe156 · Answer

incapable de mettre les mises a jours windows non plus :/

toujours des pop-ups aussi :S

Xplode · Answer

-+-+-+-+-> Bootkit Remover <-+-+-+-+-


[x] Relance BTKR_Runbox mais sélectionne cette fois ci l'option n°3 puis [Entrée]

[x] Confirme en appuyant sur " 1 " puis [Entrée]

[x] Ton PC redémarrera. Au redémarrage, relance BTKR_Runbox avec l'option n°1 et copie/colle le rapport.

Joe156 · Answer

Bootkit Remover (c) 2009 eSage Lab www.esagelab.com Program version: 1.1.0.0 OS Version: Microsoft Windows XP Professional Service Pack 2 (build 2600) System volume is \.\C: \.\C: -> \.\PhysicalDrive0 at offset 0x00000000'00007e00 Boot sector MD5 is: 580e12b06e588182236319551a05ba37 Size Device Name MBR Status -------------------------------------------- 37 GB \.\PhysicalDrive0 Unknown boot code Unknown boot code has been found on some of your physical disks. To inspect the boot code manually, dump the master boot sector: remover.exe dump [output_file] To disinfect the master boot sector, use the following command: remover.exe fix Done;

Joe156 · Answer

bump

Xplode · Answer

Bonjour,

Bizarre ton histoire.. pourtant il n'y a manifestement plus rien. On va quand même vérifier :

-+-+-+-+-> GMER <-+-+-+-+-


[x] Rends toi sur cette page puis clique sur " Download EXE " pour télécharger GMER ( renommé ).

[x] Lance le, GMER va scanner ton PC automatiquement.

[x] Laisse GMER travailler.

[x] A la fin du scan, si des lignes rouges sont trouvées, fais clic droit dessus puis :

 - Delete service
 - Delete files
 - Kill process

[x] Clique ensuite sur "save" , sauvegarde le rapport puis copie/colle son contenu dans ton prochain message.

Joe156 · Answer

oui je sais.. j'y comprend rien D:

Joe156 · Answer

bon, il semblerait que combofix ai trouvé autre chose

https://www.cjoint.com/?ixagkXWno4

log Gmer: https://www.cjoint.com/?ixduNNr26f

rien trouvé :/

en tout cas merci de pouvoir m'aidé c'est vraiment apprecier, 
il semblerait qui aille plus de pop-ups du moins pour linstant 
mais toujours impossible pour les mise a jours windows

Joe156 · Answer

ah j'ai oublier

Gmer 2 : https://www.cjoint.com/?iEb2X01bFw

dsl du retard je n'avais pas de temps pour m'occuper de cela ces jours ci

Joe156 · Answer

bump

Infesté de virus

33 réponses

Discussions similaires