Virus extremement coriace

Résolu
PcFun -  
 PcFun -
Bonjour,

Depuis quelques jours, j'ai un très gros probleme sur mon ordinateur et je pense que c'est dû à un virus.
Voici les symptomes :

- Le gestionnaires des taches et la modification du registre a été desactivé par l'administrateur.
- Les fichiers .exe sont souvent corompu après que je les ai executé.
- Le wifi deconne (connexion limité ou inconnue).
- Certains programmes ne s'ouvre plus (Firefox, Spybot SD).
- L'antivirus ne se lance plus au demarrage.

J'ai formaté plusieurs fois mon ordinateur mais le virus revient à chaque fois car j'ai 4 partitions.
Je PENSE avoir repéré le virus qui est à la racine de mes disques dur, c'est un autorun.inf accompagné d'un .exe qui change de nom en fonctions des disque.

Voici le contenu de l'autorun:

[AutoRun]

;akLI fmBIYi UwueG
;
oPeN=sska.exe
sheLl\opeN\ComMand=sska.exe
shell\OpEn\DEfaULt=1
;dnsevo eXjewGnL
sHELl\explorE\Command = sska.exe
;khat
shElL\auTOpLAy\CoMmand = sska.exe
;wqtVd

J'ai fait des scans avec malwarebytes, combofix et d'autres mais impossible de le supprimer.

Mon PC est fraichement formater (C:)

Merci de votre aide.

27 réponses

  • 1
  • 2
Résumé de la discussion

Une infection présumée bloque le gestionnaire des tâches et la modification du registre, altère des exécutables, perturbe le Wi‑Fi et empêche certains programmes de démarrer sur les quatre partitions. Le symptôme central est un autorun.inf accompagné d'un exécutable qui change de nom selon le disque, un motif fréquent pour masquer le fichier malveillant et contourner des protections antivirus. Plusieurs réponses préconisent des outils et démarches comme ZHPDiag et ZHPFix, des rapports via CiJoint et Virustotal, puis une vérification du système et des indices sur un rootkit. D'autres éléments évoquent la possibilité d'un MBR rootkit nécessitant des outils spécialisés et un nettoyage ciblé, ce qui explique les retours sur les scans et les rapports sans garantie immédiate.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. cHOCho49 Messages postés 1257 Statut Membre 169
     
    Tu devrait essayer de vider ta memoire systeme, le petit gaillard y est surement planqué, tu as divers processus sur le net si tu veut t'aider
    0
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    ca sent pas bon ton affaire selon la description que tu en fais

    peux tu poster tous les rapports en ta possession

    si ca ne passe pas

    Rend toi sur Cjoint :? http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport

    Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message


    CONTRIBUTEUR SECURITE

    Désinfection = diagnostic + traitement + finalisation
    "Restez" jusqu'au bout...merci
    0
  3. PcFun
     
    Voila le rapport de combofix.
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijOnIV0yn.txt

    Il dit avoir supprimé autorun et le fichier .exe mais je le vois toujours dans la racine.

    https://imageshack.com/
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Télécharge ZHPDiag ( de? Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint :? http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. PcFun
     
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijG1EeNpv.txt
    0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    désactive la restauration systeme et fais le prochain outil internet coupé

    ? Téléchargez Dr.Web CureIt! sur ton Bureau :
    ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

    ? Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
    ? Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
    ? Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
    ? Choisissez l'onglet Scanner, et décochez Analyse heuristique.
    ? De retour à la fenêtre principale : choisissez Analyse complète.
    ? Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
    ? Cliquez Oui pour Tout si un fichier est détecté.
    ? A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
    ? Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
    ? Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
    ? Fermez Dr.Web CureIt!
    ? Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
    ? Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note

    Ensuite :

    ? Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
    ? Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
    ? Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse


    CONTRIBUTEUR SECURITE

    Désinfection = diagnostic + traitement + finalisation
    "Restez" jusqu'au bout...merci
    0
  8. PcFun
     
    Je posterai le resultat surement demain car il prend du temps.

    Merci de votre aide.
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      oui il est long celui là..

      @+
      0
  9. PcFun
     
    Bonjour,
    Voila le rapport du drweb (changer l'extension par csv pour avoir le fichier d'origine)

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijGNszqyq.txt
    0
  10. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    j'espère que l'on pourra récuperer le pc...

    dans un premier temps sauvegarde tes données

    Ne sauvegardez aucun logiciel exécutable, zippé (.zip), compressé (.rar), fichiers .scr, vous risqueriez de sauvegarder un fichier infecté par Virut. N'oubliez pas qu'un seul fichier Virut peut infecter le reste du PC.


    vire aussi tous tes cracks


    Fais un nouveau rapport ZHPdiag stp

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    si soucis avec ci joint. fr

    => utiliser https://www.cjoint.com/
    => utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html
    0
  11. PcFun
     
    Voila http://www.cijoint.fr/cjlink.php?file=cj201009/cijsdq5bcz.txt

    pourquoi le "j'espère que l'on pourra récuperer le pc... ", c'est si grave?
    0
  12. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    si c'est virut ou une de ses variantes, il est collant et un seul fichier aussi petit soit il réinfecte le tout

    1)

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified
    O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe
    O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message

    le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    .......................................

    2)

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    C:\hmieo.pif
    C:\WINDOWS\System32\d3d9caps.tmp

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK


    tuto pour t'aider


    http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
    0
  13. PcFun
     
    Rapport de ZHPfix:

    Rapport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
    Fichier d'export Registre : C:\ZHPExportRegistry-11-09-2010-14-07-09.txt
    Run by Mohamed at 11/09/2010 14:08:46
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32 => Clé absente

    ========== Valeur(s) du Registre ==========
    O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe => Valeur absente
    O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Donnée supprimée avec succès
    [HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified => Donnée supprimée avec succès
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified => Donnée supprimée avec succès

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    17 : Valeur(s) du Registre
    12 : Elément(s) de donnée du Registre

    End of the scan

    Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.

    pour venir ici tu veux dire ?

    .....................

    supprime combofix que tu possèdes

    puis

    Attention, avant de commencer, lit attentivement la procédure, et imprime la

    Aide à l'utilisation
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Télécharge ComboFix de sUBs que tu renommes FUN.exe avant de l'enregistrer sur ton Bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

    ---> Double-clique sur ComboFix.exe
    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ---> Mets-le en langue française F
    Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    0
    1. PcFun
       
      Non, le site virustotal, je pense que c'est encore l'oeuvre de mon ami le virus. Aussi, je n'ai pas d'antivirus car il ne veut pas s'installer.
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      ah oui j'avais oublié pardon

      fais combofix

      on y reviendra
      0
  15. PcFun
     
    Voila le rapport Combofix:

    ComboFix 10-09-09.04 - Mohamed 11/09/2010 14:58:15.3.2 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.2.1252.32.1036.18.1023.735 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Mohamed\Bureau\FUN.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    C:\autorun.inf
    C:\hmieo.pif
    D:\Autorun.inf
    D:\bnqo.pif
    E:\Autorun.inf
    E:\ndog.pif

    Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée
    Copie restaurée à partir de - c:\windows\ERDNT\cache\userinit.exe

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Service_amsint32

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 ))))))))))))))))))))))))))))))))))))
    .

    2010-09-08 14:10 . 2010-09-08 14:57 -------- d-----w- c:\documents and settings\Mohamed\DoctorWeb
    2010-09-08 13:42 . 2010-09-11 12:07 -------- d-----w- c:\program files\ZHPDiag
    2010-09-08 13:37 . 2010-09-08 13:37 664 ----a-w- c:\windows\system32\d3d9caps.dat
    2010-09-08 13:08 . 2010-09-08 13:08 0 ----a-w- c:\windows\nsreg.dat
    2010-09-08 13:08 . 2010-09-08 13:08 -------- d-----w- c:\documents and settings\Mohamed\Local Settings\Application Data\Mozilla
    2010-09-08 12:48 . 2005-03-01 11:49 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\ApplicationHistory
    2010-09-08 12:48 . 2005-02-08 16:37 64152 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-09-08 12:48 . 2005-02-08 16:17 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\PowerCinema
    2010-09-08 12:48 . 2005-02-08 15:59 -------- d-----w- c:\windows\system32\config\systemprofile\WINDOWS
    2010-09-08 12:48 . 2005-01-25 16:00 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\Adobe
    2010-09-08 12:48 . 2005-01-25 15:25 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150010}
    2010-09-08 12:48 . 2005-01-20 18:01 135 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\fusioncache.dat
    2010-09-08 12:48 . 2005-01-20 17:52 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
    2010-09-08 12:48 . 2005-01-20 17:08 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\WMTools Downloaded Files
    2010-09-08 12:46 . 2005-02-08 15:59 -------- d-----w- c:\documents and settings\Default User\WINDOWS
    2010-09-08 12:46 . 2005-01-20 17:52 -------- d-s---w- c:\documents and settings\Default User\UserData

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-09-11 10:37 . 2005-01-20 16:14 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS
    2010-09-08 13:43 . 2010-09-08 13:43 664 ----a-w- c:\windows\system32\d3d9caps.tmp
    2010-09-08 13:11 . 2005-01-20 13:21 61938 ----a-w- c:\windows\system32\perfc00C.dat
    2010-09-08 13:11 . 2005-01-20 13:21 440378 ----a-w- c:\windows\system32\perfh00C.dat
    2005-01-25 16:24 . 2005-01-25 16:24 8 --sh--r- c:\windows\system32\F2A38CDCBF.sys
    2005-01-25 16:24 . 2005-01-25 16:24 5744 --sha-w- c:\windows\system32\KGyGaAvL.sys
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-09-08_13.26.58 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2005-01-25 16:30 . 2001-07-09 09:50 229376 c:\windows\system32\NeroCheck.exe
    + 2010-09-08 13:37 . 2010-09-08 13:37 232912 c:\windows\system32\Macromed\Flash\FlashUtil10i_Plugin.exe
    + 2010-09-08 13:37 . 2010-09-08 13:37 5969360 c:\windows\system32\Macromed\Flash\NPSWF32.dll
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Dit"="Dit.exe" [2004-07-20 90112]
    "AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 229376]
    "Keyboard Status"="c:\progra~1\Medion Tools\KeyStat\KeyStat.exe" [2005-01-25 411648]
    "ATIPTA"="c:\program files\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" [2005-01-12 425984]
    "PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 196750]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-8 1187840]

    [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
    "EnableLUA"= 0 (0x0)

    [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
    "DisableTaskMgr"= 1 (0x1)
    "DisableRegistryTools"= 1 (0x1)

    [HKEY_LOCAL_MACHINE\software\microsoft\security center]
    "AntiVirusOverride"=dword:00000001
    "FirewallOverride"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
    "AntiVirusOverride"=dword:00000001
    "AntiVirusDisableNotify"=dword:00000001
    "FirewallDisableNotify"=dword:00000001
    "FirewallOverride"=dword:00000001
    "UpdatesDisableNotify"=dword:00000001
    "UacDisableNotify"=dword:00000001

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)
    "DisableNotifications"= 1 (0x1)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "c:\\WINDOWS\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Messenger\\msmsgs.exe"=
    "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
    "c:\\WINDOWS\\system32\\fxsclnt.exe"=
    "c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
    "c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
    "c:\\WINDOWS\\system32\\NeroCheck.exe"=
    "c:\\WINDOWS\\Dit.exe"=
    "c:\\PROGRAM FILES\\ATI TECHNOLOGIES\\ATI CONTROL PANEL\\ATIPTAXX.EXE"=
    "c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
    "c:\\Program Files\\IVT Corporation\\BlueSoleil\\hid2hci.exe"=
    "c:\\WINDOWS\\system32\\wuauclt.exe"=

    R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [13/02/2005 15:02 666368]
    R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [20/01/2005 16:05 1272000]
    R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [20/01/2005 18:19 19928]
    S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [20/01/2005 18:14 17408]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - AMSINT32
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.aldi.com/
    IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
    IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
    IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
    IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
    FF - ProfilePath - c:\documents and settings\Mohamed\Application Data\Mozilla\Firefox\Profiles\u9k872ek.default\
    FF - plugin: c:\program files\Java\jre1.5.0_01\bin\NPJPI150_01.dll

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
    .

    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(492)
    c:\windows\system32\Ati2evxx.dll
    c:\windows\system32\gpkcsp.dll
    c:\windows\system32\gpkrsrc.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\System32\SCardSvr.exe
    c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe
    c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
    c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
    c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
    c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
    c:\windows\system32\wdfmgr.exe
    c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
    c:\windows\Dit.exe
    c:\windows\AGRSMMSG.exe
    c:\progra~1\COMMON~1\X10\Common\x10nets.exe
    c:\windows\system32\rundll32.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-09-11 15:03:10 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-09-11 13:03
    ComboFix2.txt 2010-09-08 13:28

    Avant-CF: 73.131.114.496 octets libres
    Après-CF: 73.289.388.032 octets libres

    - - End Of File - - D2D30BD7B6BCF7A6D54D3E9E86E6E742
    0
  16. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    on va retester VT

    Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Clique sur parcourir et cherche ce fichier :

    c:\windows\system32\F2A38CDCBF.sys
    c:\windows\system32\d3d9caps.tmp

    Clique sur Send File.

    Un rapport va s'élaborer ligne à ligne.

    Attends la fin. Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta réponse.

    Si tu ne trouves pas le fichier alors

    Affiche tous les fichiers et dossiers :

    Pour cela :
    Clique sur démarrer/panneau de configuration/option des dossiers/affichage

    Cocher afficher les dossiers cachés

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu

    Puis fais «appliquer» pour valider les changements.

    Et OK


    tuto pour t'aider


    http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
    0
  17. PcFun
     
    Non, je n'y arrive pas, il charge indéfiniment...
    0
  18. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bon

    on va tenter de traiter le pc avant le démarrage de windows

    à partir d'un autre pc si possible télécharges et graves ceci sur un cd
    (gravure d'un iso ou d'une image)

    https://free.drweb.com/aid_admin/

    redemarrer le pc en mettant le cd DRWEB dans le lecteur
    puis
    redémarrer le pc en bootant sur le cd Dr.Web
    (si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd »)

    suivre ensuite les indications de l'outil

    aide toi de ce lien

    http://jal.cyber-nux.fr/?p=123
    0
    1. PcFun
       
      Ok, je télécharge ca. Ca prend combien de temps le scan?

      Merci de ton aide.
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      probablement long
      0
    3. PcFun
       
      Ok, je posterai surment demain.
      0
  19. PcFun
     
    Voila, il a fini et j'ai supprimé toutes les infections.
    Je continuerai demain.

    Merci
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      j'ai supprimé toutes les infections.

      as tu vu le ou les noms des infections ?
      0
    2. PcFun
       
      Non, il n'y a pas de rapport?
      0
  20. PcFun
     
    Je pense que le virus a disparu car j'ai remis la modification du registre et le gestionnaire des taches et il ne les a pas enlever.
    Peut tu me le confirmer? (j'ai fait des diagnostic avec Combofix et HJT)

    Rapport Combofix :
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijIIuRrOy.txt

    Rapport Hijackthis :
    http://www.cijoint.fr/cjlink.php?file=cj201009/cijmSlu14w.txt

    Voila un screen de C:\, apparemment le autorun.inf et le .exe ont disparu
    https://imageshack.com/

    Merci.
    0
  21. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    on va voir si c'est bon

    1)

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet (examen assez long)
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    .......................................

    2)

    et là c'est le plus intéressant

    fais un scan en ligne si tu le peux

    Eset (Nod32) en ligne
    https://www.eset.com/

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr

    0
    1. Utilisateur anonyme
       
      Waouw virut fait autant de degat que ca ?
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      http://www.commentcamarche.net/faq/16138-comment-supprimer-virut
      0
    3. PcFun
       
      Je vais faire ça.
      0
  • 1
  • 2