Sujet Précédent Sujet Suivant

Virus extremement coriace

Résolu/Fermé
PcFun - 8 sept. 2010 à 14:05
 PcFun - 12 sept. 2010 à 23:21
Bonjour,

Depuis quelques jours, j'ai un très gros probleme sur mon ordinateur et je pense que c'est dû à un virus.
Voici les symptomes :

- Le gestionnaires des taches et la modification du registre a été desactivé par l'administrateur.
- Les fichiers .exe sont souvent corompu après que je les ai executé.
- Le wifi deconne (connexion limité ou inconnue).
- Certains programmes ne s'ouvre plus (Firefox, Spybot SD).
- L'antivirus ne se lance plus au demarrage.


J'ai formaté plusieurs fois mon ordinateur mais le virus revient à chaque fois car j'ai 4 partitions.
Je PENSE avoir repéré le virus qui est à la racine de mes disques dur, c'est un autorun.inf accompagné d'un .exe qui change de nom en fonctions des disque.

Voici le contenu de l'autorun:

[AutoRun]

;akLI fmBIYi UwueG
;
oPeN=sska.exe
sheLl\opeN\ComMand=sska.exe
shell\OpEn\DEfaULt=1
;dnsevo eXjewGnL
sHELl\explorE\Command = sska.exe
;khat
shElL\auTOpLAy\CoMmand = sska.exe
;wqtVd



J'ai fait des scans avec malwarebytes, combofix et d'autres mais impossible de le supprimer.

Mon PC est fraichement formater (C:)

Merci de votre aide.

A voir également:

27 réponses

  • 1
  • 2
Réponse 1 / 27
cHOCho49 Messages postés 1079 Date d'inscription lundi 24 mars 2008 Statut Membre Dernière intervention 10 août 2022 169
8 sept. 2010 à 14:07
Tu devrait essayer de vider ta memoire systeme, le petit gaillard y est surement planqué, tu as divers processus sur le net si tu veut t'aider
0
Réponse 2 / 27
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
Modifié par moment de grace le 8/09/2010 à 14:13
bonjour

ca sent pas bon ton affaire selon la description que tu en fais

peux tu poster tous les rapports en ta possession

si ca ne passe pas

Rend toi sur Cjoint :? http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message


CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
0
Réponse 3 / 27
PcFun
8 sept. 2010 à 14:28
Voila le rapport de combofix.
http://www.cijoint.fr/cjlink.php?file=cj201009/cijOnIV0yn.txt

Il dit avoir supprimé autorun et le fichier .exe mais je le vois toujours dans la racine.

https://imageshack.com/
0
Réponse 4 / 27
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 sept. 2010 à 14:31
Télécharge ZHPDiag ( de? Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint :? http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 27
PcFun
8 sept. 2010 à 14:40
http://www.cijoint.fr/cjlink.php?file=cj201009/cijG1EeNpv.txt
0
Réponse 6 / 27
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
Modifié par moment de grace le 8/09/2010 à 14:49
ok

désactive la restauration systeme et fais le prochain outil internet coupé

? Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

? Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
? Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
? Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
? Choisissez l'onglet Scanner, et décochez Analyse heuristique.
? De retour à la fenêtre principale : choisissez Analyse complète.
? Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
? Cliquez Oui pour Tout si un fichier est détecté.
? A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
? Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
? Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
? Fermez Dr.Web CureIt!
? Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
? Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note

Ensuite :

? Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
? Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
? Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse



CONTRIBUTEUR SECURITE

Désinfection = diagnostic + traitement + finalisation
"Restez" jusqu'au bout...merci
0
Réponse 7 / 27
PcFun
8 sept. 2010 à 18:06
Je posterai le resultat surement demain car il prend du temps.

Merci de votre aide.
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
8 sept. 2010 à 18:15
oui il est long celui là..

@+
0
Réponse 8 / 27
PcFun
11 sept. 2010 à 11:28
Bonjour,
Voila le rapport du drweb (changer l'extension par csv pour avoir le fichier d'origine)

http://www.cijoint.fr/cjlink.php?file=cj201009/cijGNszqyq.txt
0
Réponse 9 / 27
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
11 sept. 2010 à 11:40
ok

j'espère que l'on pourra récuperer le pc...

dans un premier temps sauvegarde tes données

Ne sauvegardez aucun logiciel exécutable, zippé (.zip), compressé (.rar), fichiers .scr, vous risqueriez de sauvegarder un fichier infecté par Virut. N'oubliez pas qu'un seul fichier Virut peut infecter le reste du PC.


vire aussi tous tes cracks


Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message


si soucis avec ci joint. fr

=> utiliser https://www.cjoint.com/
=> utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html
0
Réponse 10 / 27
PcFun
11 sept. 2010 à 12:34
Voila http://www.cijoint.fr/cjlink.php?file=cj201009/cijsdq5bcz.txt

pourquoi le "j'espère que l'on pourra récuperer le pc... ", c'est si grave?
0
Réponse 11 / 27
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
11 sept. 2010 à 13:29
si c'est virut ou une de ses variantes, il est collant et un seul fichier aussi petit soit il réinfecte le tout

1)

Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32

Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

Copie/Colle le rapport à l'écran dans ton prochain message

le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

.......................................

2)

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

C:\hmieo.pif
C:\WINDOWS\System32\d3d9caps.tmp


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
0
Réponse 12 / 27
PcFun
11 sept. 2010 à 14:08
Rapport de ZHPfix:

Rapport de ZHPFix v1.12.3147 par Nicolas Coolman, Update du 07/09/2010
Fichier d'export Registre : C:\ZHPExportRegistry-11-09-2010-14-07-09.txt
Run by Mohamed at 11/09/2010 14:08:46
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\hojjm.sys (.not file.) - amsint32 (amsint32) .(.Pas de propriétaire - Pas de description.) - LEGACY_AMSINT32 => Clé absente

========== Valeur(s) du Registre ==========
O47 - AAKE:Key Export SP - "C:\ComboFix\CF12193.cfxxe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\ComboFix\CF12193.cfxxe:*:Enabled:ipsec => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winkoxjs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winynpwww.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\curj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winlcmpiu.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\jnih.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\peoiy.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lwhqjr.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhqutw.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\lfwq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\aapbcs.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\ommpou.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winhfmq.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winwdhb.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wincwpjt.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\winajkj.exe => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\DOCUME~1\Mohamed\LOCALS~1\Temp\wevs.exe => Valeur absente

========== Elément(s) de donnée du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableTaskMgr: Modified => Donnée supprimée avec succès
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] DisableRegistryTools: Modified => Donnée supprimée avec succès


========== Récapitulatif ==========
1 : Clé(s) du Registre
17 : Valeur(s) du Registre
12 : Elément(s) de donnée du Registre


End of the scan







Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.
0
Réponse 13 / 27
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
11 sept. 2010 à 14:26
Pour le site, il ne veut pas s'ouvrir, il charge indefiniment.

pour venir ici tu veux dire ?

.....................

supprime combofix que tu possèdes

puis

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs que tu renommes FUN.exe avant de l'enregistrer sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt



0
PcFun
Modifié par PcFun le 11/09/2010 à 14:39
Non, le site virustotal, je pense que c'est encore l'oeuvre de mon ami le virus. Aussi, je n'ai pas d'antivirus car il ne veut pas s'installer.
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
11 sept. 2010 à 14:39
ah oui j'avais oublié pardon

fais combofix

on y reviendra
0
Réponse 14 / 27
PcFun
11 sept. 2010 à 15:05
Voila le rapport Combofix:

ComboFix 10-09-09.04 - Mohamed 11/09/2010 14:58:15.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.2.1252.32.1036.18.1023.735 [GMT 2:00]
Lancé depuis: c:\documents and settings\Mohamed\Bureau\FUN.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\hmieo.pif
D:\Autorun.inf
D:\bnqo.pif
E:\Autorun.inf
E:\ndog.pif

Une copie infectée de c:\windows\system32\userinit.exe a été trouvée et désinfectée
Copie restaurée à partir de - c:\windows\ERDNT\cache\userinit.exe

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_amsint32


((((((((((((((((((((((((((((( Fichiers créés du 2010-08-11 au 2010-09-11 ))))))))))))))))))))))))))))))))))))
.

2010-09-08 14:10 . 2010-09-08 14:57 -------- d-----w- c:\documents and settings\Mohamed\DoctorWeb
2010-09-08 13:42 . 2010-09-11 12:07 -------- d-----w- c:\program files\ZHPDiag
2010-09-08 13:37 . 2010-09-08 13:37 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-09-08 13:08 . 2010-09-08 13:08 0 ----a-w- c:\windows\nsreg.dat
2010-09-08 13:08 . 2010-09-08 13:08 -------- d-----w- c:\documents and settings\Mohamed\Local Settings\Application Data\Mozilla
2010-09-08 12:48 . 2005-03-01 11:49 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\ApplicationHistory
2010-09-08 12:48 . 2005-02-08 16:37 64152 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-09-08 12:48 . 2005-02-08 16:17 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\PowerCinema
2010-09-08 12:48 . 2005-02-08 15:59 -------- d-----w- c:\windows\system32\config\systemprofile\WINDOWS
2010-09-08 12:48 . 2005-01-25 16:00 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\Adobe
2010-09-08 12:48 . 2005-01-25 15:25 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\{3248F0A6-6813-11D6-A77B-00B0D0150010}
2010-09-08 12:48 . 2005-01-20 18:01 135 ----a-w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\fusioncache.dat
2010-09-08 12:48 . 2005-01-20 17:52 -------- d-s---w- c:\windows\system32\config\systemprofile\UserData
2010-09-08 12:48 . 2005-01-20 17:08 -------- d-----w- c:\windows\system32\config\systemprofile\Local Settings\Application Data\WMTools Downloaded Files
2010-09-08 12:46 . 2005-02-08 15:59 -------- d-----w- c:\documents and settings\Default User\WINDOWS
2010-09-08 12:46 . 2005-01-20 17:52 -------- d-s---w- c:\documents and settings\Default User\UserData

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-09-11 10:37 . 2005-01-20 16:14 17408 ----a-w- c:\windows\system32\drivers\USBCRFT.SYS
2010-09-08 13:43 . 2010-09-08 13:43 664 ----a-w- c:\windows\system32\d3d9caps.tmp
2010-09-08 13:11 . 2005-01-20 13:21 61938 ----a-w- c:\windows\system32\perfc00C.dat
2010-09-08 13:11 . 2005-01-20 13:21 440378 ----a-w- c:\windows\system32\perfh00C.dat
2005-01-25 16:24 . 2005-01-25 16:24 8 --sh--r- c:\windows\system32\F2A38CDCBF.sys
2005-01-25 16:24 . 2005-01-25 16:24 5744 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-09-08_13.26.58 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-01-25 16:30 . 2001-07-09 09:50 229376 c:\windows\system32\NeroCheck.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 232912 c:\windows\system32\Macromed\Flash\FlashUtil10i_Plugin.exe
+ 2010-09-08 13:37 . 2010-09-08 13:37 5969360 c:\windows\system32\Macromed\Flash\NPSWF32.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dit"="Dit.exe" [2004-07-20 90112]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 88363]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 229376]
"Keyboard Status"="c:\progra~1\Medion Tools\KeyStat\KeyStat.exe" [2005-01-25 411648]
"ATIPTA"="c:\program files\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE" [2005-01-12 425984]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 196750]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BlueSoleil.lnk - c:\program files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-2-8 1187840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"c:\\WINDOWS\\system32\\fxsclnt.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PowerCinema.exe"=
"c:\\WINDOWS\\system32\\NeroCheck.exe"=
"c:\\WINDOWS\\Dit.exe"=
"c:\\PROGRAM FILES\\ATI TECHNOLOGIES\\ATI CONTROL PANEL\\ATIPTAXX.EXE"=
"c:\\Program Files\\Home Cinema\\PowerCinema\\PCMService.exe"=
"c:\\Program Files\\IVT Corporation\\BlueSoleil\\hid2hci.exe"=
"c:\\WINDOWS\\system32\\wuauclt.exe"=

R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [13/02/2005 15:02 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [20/01/2005 16:05 1272000]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [20/01/2005 18:19 19928]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [20/01/2005 18:14 17408]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - AMSINT32
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.aldi.com/
IE: &Google Search - c:\program files\google\GoogleToolbar2.dll/cmsearch.html
IE: Pages liées - c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
IE: Pages similaires - c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
IE: Version de la page actuelle disponible dans le cache Google - c:\program files\google\GoogleToolbar2.dll/cmcache.html
FF - ProfilePath - c:\documents and settings\Mohamed\Application Data\Mozilla\Firefox\Profiles\u9k872ek.default\
FF - plugin: c:\program files\Java\jre1.5.0_01\bin\NPJPI150_01.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(492)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\gpkcsp.dll
c:\windows\system32\gpkrsrc.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\IVT Corporation\BlueSoleil\BTNtService.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
c:\program files\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
c:\windows\system32\wdfmgr.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\windows\Dit.exe
c:\windows\AGRSMMSG.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\windows\system32\rundll32.exe
.
**************************************************************************
.
Heure de fin: 2010-09-11 15:03:10 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-09-11 13:03
ComboFix2.txt 2010-09-08 13:28

Avant-CF: 73.131.114.496 octets libres
Après-CF: 73.289.388.032 octets libres

- - End Of File - - D2D30BD7B6BCF7A6D54D3E9E86E6E742
0
Réponse 15 / 27
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
11 sept. 2010 à 16:25
on va retester VT

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

c:\windows\system32\F2A38CDCBF.sys
c:\windows\system32\d3d9caps.tmp


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
0
Réponse 16 / 27
PcFun
Modifié par PcFun le 11/09/2010 à 16:54
Non, je n'y arrive pas, il charge indéfiniment...
0
Réponse 17 / 27
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
11 sept. 2010 à 17:07
bon

on va tenter de traiter le pc avant le démarrage de windows

à partir d'un autre pc si possible télécharges et graves ceci sur un cd
(gravure d'un iso ou d'une image)

https://free.drweb.com/aid_admin/

redemarrer le pc en mettant le cd DRWEB dans le lecteur
puis
redémarrer le pc en bootant sur le cd Dr.Web
(si ton pc est bien configuré, tu devrais avoir un message dés le début du lancement « appuyer sur une touche pour démarrer du cd »)


suivre ensuite les indications de l'outil

aide toi de ce lien

http://jal.cyber-nux.fr/?p=123
0
PcFun
11 sept. 2010 à 17:10
Ok, je télécharge ca. Ca prend combien de temps le scan?

Merci de ton aide.
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
11 sept. 2010 à 17:16
probablement long
0
PcFun
11 sept. 2010 à 17:21
Ok, je posterai surment demain.
0
Réponse 18 / 27
PcFun
12 sept. 2010 à 00:33
Voila, il a fini et j'ai supprimé toutes les infections.
Je continuerai demain.

Merci
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
12 sept. 2010 à 07:38
j'ai supprimé toutes les infections.

as tu vu le ou les noms des infections ?
0
PcFun
Modifié par PcFun le 12/09/2010 à 11:45
Non, il n'y a pas de rapport?
0
Réponse 19 / 27
PcFun
Modifié par PcFun le 12/09/2010 à 13:07
Je pense que le virus a disparu car j'ai remis la modification du registre et le gestionnaire des taches et il ne les a pas enlever.
Peut tu me le confirmer? (j'ai fait des diagnostic avec Combofix et HJT)

Rapport Combofix :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijIIuRrOy.txt

Rapport Hijackthis :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijmSlu14w.txt

Voila un screen de C:\, apparemment le autorun.inf et le .exe ont disparu
https://imageshack.com/

Merci.
0
Réponse 20 / 27
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
12 sept. 2010 à 14:12
ok

on va voir si c'est bon

1)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

.......................................

2)

et là c'est le plus intéressant

fais un scan en ligne si tu le peux

Eset (Nod32) en ligne
https://www.eset.com/


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

0
Utilisateur anonyme
12 sept. 2010 à 14:23
Waouw virut fait autant de degat que ca ?
0
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 2 274
12 sept. 2010 à 14:26
http://www.commentcamarche.net/faq/16138-comment-supprimer-virut
0
PcFun
12 sept. 2010 à 15:32
Je vais faire ça.
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses