"Your system is infected" sur le bureau Fermé

Question

Bonjour, 

j'ai donc un problème avec un virus qui fait assez peur. 

Il y a un message sur mon bureau qui dit "YOUR SYSTEM IS INFECTED. system has been stopped due to a serious malfunction spyware actyvity has been detected" et quand je redémarre mon ordi il me force à faire un scan avec un antivirus que j'ai pas je comprends pas trop.
Il me semble que j'ai chopé ce virus en ouvrant un foutu email.

J'ai cherché sur comment ça marche et j'ai vu qu'il poster un rapport de UsbFix apparement mais j'préfère demander d'abord, Je suis un peu beaucoup perdu en fait.

Est-ce qu'il y'aurais donc quelqu'un pour m'aider svp ? :)

Configuration: Windows 7 / Safari 534.3

Utilisateur anonyme · Accepted Answer

bonjour,
sans lien, parmis tous ces postes, on est un peu perdu !
ça prend du temps de trouver un poste quand on n'a pas de lien  :-)

on va tout reprendre dés le début :
tu es sous Seven


* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Utilisateur anonyme · Answer

Salut,
Tu as quelle antivirus ?

Ciao

Swaan31 · Answer

AntiVir.

Utilisateur anonyme · Answer

Bizarre il est assez bon normalement, moi je ne sais pas comment ca marche usbfix.

Pour ma part, j'aurais opté pour la manière brute : Réinstallation de l'ordi...

Swaan31 · Answer

Réinstallation de l'ordi ? C'est-à-dire tout perdre dessus ? aie aie j'vais attendre un peu pour ça, pour l'instant je fais un scan avec antivir.

georges86400 · Answer

Bonjour
ne pas réinstaller tout, tu es certainement infecté par un Rogue, attend qu'un helper vienne t'aider

Swaan31 · Answer

Voilà mon rapport AntiVir si ça peu aider:


Avira AntiVir Personal
Date de création du fichier de rapport : samedi 18 septembre 2010  15:44

La recherche porte sur 2851395 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows Vista 64 Bit
Version de Windows      : (plain)  [6.1.7600]
Mode Boot               : Démarré normalement
Identifiant             : Système
Nom de l'ordinateur     : FLORIAN-PC

Informations de version :
BUILD.DAT               : 9.0.0.77      21698 Bytes  09/06/2010 12:01:00
AVSCAN.EXE              : 9.0.3.10     466689 Bytes  22/04/2010 16:02:19
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 09:21:02
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 10:35:11
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 09:21:31
VBASE000.VDF            : 7.10.0.0   19875328 Bytes  06/11/2009 16:02:18
VBASE001.VDF            : 7.10.1.0    1372672 Bytes  19/11/2009 16:02:18
VBASE002.VDF            : 7.10.3.1    3143680 Bytes  20/01/2010 16:02:19
VBASE003.VDF            : 7.10.3.75    996864 Bytes  26/01/2010 16:02:19
VBASE004.VDF            : 7.10.4.203   1579008 Bytes  05/03/2010 16:02:19
VBASE005.VDF            : 7.10.6.82   2494464 Bytes  15/04/2010 16:02:19
VBASE006.VDF            : 7.10.7.218   2294784 Bytes  02/06/2010 15:51:22
VBASE007.VDF            : 7.10.9.165   4840960 Bytes  23/07/2010 20:43:48
VBASE008.VDF            : 7.10.11.133   3454464 Bytes  13/09/2010 15:18:42
VBASE009.VDF            : 7.10.11.134      2048 Bytes  13/09/2010 15:18:42
VBASE010.VDF            : 7.10.11.135      2048 Bytes  13/09/2010 15:18:43
VBASE011.VDF            : 7.10.11.136      2048 Bytes  13/09/2010 15:18:44
VBASE012.VDF            : 7.10.11.137      2048 Bytes  13/09/2010 15:18:45
VBASE013.VDF            : 7.10.11.165    172032 Bytes  15/09/2010 15:10:50
VBASE014.VDF            : 7.10.11.166      2048 Bytes  15/09/2010 15:10:50
VBASE015.VDF            : 7.10.11.167      2048 Bytes  15/09/2010 15:10:50
VBASE016.VDF            : 7.10.11.168      2048 Bytes  15/09/2010 15:10:50
VBASE017.VDF            : 7.10.11.169      2048 Bytes  15/09/2010 15:10:52
VBASE018.VDF            : 7.10.11.170      2048 Bytes  15/09/2010 15:10:52
VBASE019.VDF            : 7.10.11.171      2048 Bytes  15/09/2010 15:10:53
VBASE020.VDF            : 7.10.11.172      2048 Bytes  15/09/2010 15:10:53
VBASE021.VDF            : 7.10.11.173      2048 Bytes  15/09/2010 15:10:53
VBASE022.VDF            : 7.10.11.174      2048 Bytes  15/09/2010 15:10:55
VBASE023.VDF            : 7.10.11.175      2048 Bytes  15/09/2010 15:10:56
VBASE024.VDF            : 7.10.11.176      2048 Bytes  15/09/2010 15:10:56
VBASE025.VDF            : 7.10.11.177      2048 Bytes  15/09/2010 15:10:57
VBASE026.VDF            : 7.10.11.178      2048 Bytes  15/09/2010 15:10:58
VBASE027.VDF            : 7.10.11.179      2048 Bytes  15/09/2010 15:10:59
VBASE028.VDF            : 7.10.11.180      2048 Bytes  15/09/2010 15:10:59
VBASE029.VDF            : 7.10.11.181      2048 Bytes  15/09/2010 15:10:59
VBASE030.VDF            : 7.10.11.182      2048 Bytes  15/09/2010 15:11:00
VBASE031.VDF            : 7.10.11.200    114176 Bytes  17/09/2010 15:20:58
Version du moteur       : 8.2.4.58 
AEVDF.DLL               : 8.1.2.1      106868 Bytes  01/08/2010 21:01:02
AESCRIPT.DLL            : 8.1.3.45    1368443 Bytes  17/09/2010 15:23:41
AESCN.DLL               : 8.1.6.1      127347 Bytes  13/05/2010 15:49:03
AESBX.DLL               : 8.1.3.1      254324 Bytes  23/04/2010 15:49:05
AERDL.DLL               : 8.1.9.0      631156 Bytes  17/09/2010 15:23:21
AEPACK.DLL              : 8.2.3.7      471413 Bytes  17/09/2010 15:23:03
AEOFFICE.DLL            : 8.1.1.8      201081 Bytes  21/07/2010 20:38:34
AEHEUR.DLL              : 8.1.2.26    2916727 Bytes  17/09/2010 15:22:49
AEHELP.DLL              : 8.1.13.3     242038 Bytes  26/08/2010 15:11:03
AEGEN.DLL               : 8.1.3.22     401780 Bytes  17/09/2010 15:21:34
AEEMU.DLL               : 8.1.2.0      393588 Bytes  23/04/2010 15:48:55
AECORE.DLL              : 8.1.16.2     192887 Bytes  20/07/2010 20:38:34
AEBB.DLL                : 8.1.1.0       53618 Bytes  23/04/2010 15:48:53
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 07:47:30
AVPREF.DLL              : 9.0.3.0       44289 Bytes  22/04/2010 16:02:19
AVREP.DLL               : 8.0.0.7      159784 Bytes  22/04/2010 16:02:19
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 14:24:42
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 14:05:22
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 09:36:37
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 07:20:57
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 14:40:59
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  22/04/2010 16:02:18
RCTEXT.DLL              : 9.0.73.0      88321 Bytes  22/04/2010 16:02:18

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files (x86)\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : samedi 18 septembre 2010  15:44

La recherche d'objets cachés commence.
Impossible d'initialiser le pilote.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SearchFilterHost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SearchProtocolHost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '0' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '0' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'DivXUpdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'reader_sl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '0' module(s) sont contrôlés
Processus de recherche 'GoogleCrashHandler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lxddamon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvSCPAPISvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSCamS64.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lxddcoms.exe' - '0' module(s) sont contrôlés
Processus de recherche 'vVX1000.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApplicationUpdater.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '0' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '0' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '0' module(s) sont contrôlés
Processus de recherche 'taskhost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '0' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'nvvsvc.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '0' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '0' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '0' module(s) sont contrôlés
Processus de recherche 'services.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '0' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '0' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '0' module(s) sont contrôlés
'17' processus ont été contrôlés avec '17' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '24' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Users\Florian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\SG6SDVUI\swflash[1].cab
  [0] Type d'archive: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\Users\Florian\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\7DKHE0YF\swflash[2].cab
  [0] Type d'archive: CAB (Microsoft)
    --> FP_AX_CAB_INSTALLER.exe
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.


Fin de la recherche : samedi 18 septembre 2010  16:23
Temps nécessaire: 39:13 Minute(s)

La recherche a été effectuée intégralement

  25327 Les répertoires ont été contrôlés
 497199 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
 497197 Fichiers non infectés
   3303 Les archives ont été contrôlées
      6 Avertissements
      2 Consignes

Swaan31 · Answer

Pas de nouvelles ?
Personne d'autres peut-être ?

Swaan31 · Answer

Merci beaucoup pour ton temps par contre l'histoire des liens j'ai pas compris :/

Sinon voici le rapport ZHPdiag: http://www.cijoint.fr/cj201009/cijEh0BU9H.txt

Utilisateur anonyme · Answer

l'histoire de lien était pour notre ami Georges86400 :-)

tu es sous Seven 64 bit !

tu as toutes sortes d'infections sur ton pc, suis ceci

*	Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir: 

https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

 

puis, une fois le scan d'ADR términé :


*	Télécharge USBFIX sur ton bureau (Merci à El Desaparecido/C_XX)

https://www.ionos.fr/?affiliate_id=77097

ou :

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe 
	
/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton :
« Suppression »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt
Note : A la fin de l'option nettoyage, il est recommandé de redémarrer le pc

Swaan31 · Answer

Ok merci, voilà les rapports:

ADR: http://www.cijoint.fr/cj201009/cijJA4JHsN.txt


Usbfix: http://www.cijoint.fr/cj201009/cijanuMjGx.txt

Utilisateur anonyme · Answer

relance ADR, clique sur Désinstaller,

repasse unn autre zhpdiag, enregistre son rapport sur ton bureau, héberge le sur Cijoint .....

Swaan31 · Answer

http://www.cijoint.fr/cj201009/cijexxACu2.txt

Utilisateur anonyme · Answer

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

ou ici : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Swaan31 · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4652

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

19/09/2010 22:12:45
mbam-log-2010-09-19 (22-12-45).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 293505
Temps écoulé: 37 minute(s), 53 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 36
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Userinit (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\aaaaaaaas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\aaaaaaaas (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mque (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mque (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mquse (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mquse (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mquvc (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mquvc (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mqvpe (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mqvpe (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mqsz (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mqsz (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mqva (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mqva (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ewrgetuj (Worm.Prolaco.M) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mqrtc (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mqrtc (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefniz (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnf (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnoc (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefny (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefndtcd.com/dw/dw.php?id=%s&ver=d01 (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnsdc (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnqg (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefntg (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnrc (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefniz (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnf (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnoc (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefny (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefndtcd.com/dw/dw.php?id=%s&ver=d01 (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnsdc (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnqg (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefntg (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lvfqfeefnrc (Trojan.Downloader.Gen) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Florian\aaaaaaaas.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\aaaaaaaas.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\SysWOW64\aaaaaaaas.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:	ujserrew.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Florian\AppData\Local\Temp\skaioejiesfjoee.tmp (Malware.Trace) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

bonjour,
relance MBAM, vide sa quarantaine,
refais une mise à jour et lance un autre sacn complet de tous tes DD, c & d.

s'il trouve des choses, mets tout en auarantaine, poste son rapport

Swaan31 · Answer

http://www.cijoint.fr/cj201009/cijyv4GqBn.txt

Utilisateur anonyme · Answer

bonjour,
comment va le pc ?

as tu toujurs des messages d'alertes ?

Swaan31 · Answer

Alors, le message de départ qui était présent sur le bureau a disparu ainsi que "Antivirus 2010" (le rogue je crois) qui ne s'ouvre plus au démarrage. Tout est redevenu comme avant.

A part un petit détail, il y a un icone de drapeau avec une croix rouge en bas à droite avec des messages importants et un me dit d'activer le Service Centre de Sécurité Windows mais quand je clique sur activer il y a un message d'erreur comme quoi c'est impossible de le démarrer. Et ça n'y était pas avant.

En tous cas merci encore..

Utilisateur anonyme · Answer

peux tu faire une capture d'ecran, l'héberger sur cijoinet de me l'envoyer ?

Swaan31 · Answer

http://www.cijoint.fr/cj201009/cijPp7n4wq.png

Utilisateur anonyme · Answer

est ce que ton antivirus est actif et à jour ?

pose tout simplement ton pointeur pour voir de quel programme il s'agit !

Swaan31 · Answer

Oui mon antivirus est bien à jour.

Le truc du pointeur j'ai pas compris, je le pose où et pour quoi ?

Utilisateur anonyme · Answer

ou tu pose le pointeur de ta sourie la dessus pour voir de quel programme il s'agit, ou tu fait un clique drout sur la barre de lancement rapide, puis propriété, personnaliser, tu trouve le logo pour voir ce que c'est exactement  :-)

Swaan31 · Answer

C'est Avira Antivir Personal, mais je ne crois pas avoir compris ce que tu voulais en fait.

Utilisateur anonyme · Answer

j'essaie de comprendre ce qui se passe, normalement, le logo d'avira est un parapluie rouge

Swaan31 · Answer

Oui c'est un parapluie rouge ouvert.

Utilisateur anonyme · Answer

essaie de voir le logo avec la croix rouge à quoi correspond exactement

Swaan31 · Answer

Alors, quand je pose ma souris dessus : http://www.cijoint.fr/cj201009/cijJ1NdfEk.png


Quand je clique dessus :
http://www.cijoint.fr/cj201009/cijGupDe92.png


Et quand je clique sur "1 message important, 7 messages au total" : http://www.cijoint.fr/cj201009/cijDvsGjVQ.png


Voilà.

Utilisateur anonyme · Answer

ok, c'set le centre de maintenance de windows,
il faut effectue les oprérations de maintenace pour que le message (loigo) s'en aille  :-)

clique sur activer maintenance pour voir ce qu'il te propose  :-)

Swaan31 · Answer

Quand je clique sur "Activer maintenant" pour le message important de sécurité il y a un message d'erreur.

http://www.cijoint.fr/cj201009/cijKoEoiCY.png

Utilisateur anonyme · Answer

bonjour,
vérifie les paramètres du centre de contrôle et le comtrôle de copte d'utilisateur

Swaan31 · Answer

C'est à dire vérifie ? Je doit faire quoi exactement ?

Utilisateur anonyme · Answer

il faut effectuer les opérations de maintenance sur ton pc, sur la même page, tu peux le faire en cliquant sur les onglets de droite

Swaan31 · Answer

Bon j'ai effectué toutes les maintenances mais je peux toujours pas activer le service centre de sécurité windows, même si le drapeau avec la croix rouge a disparu en bas à droite.

Utilisateur anonyme · Answer

bonjour,
*	Télécharge FindyKill sur le Bureau (Merci à l'équipe FYK) : 
http://findykill.changelog.fr/Setup.exe 
ou 
http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
* Double-cliquez sur FindyKill présent sur le Bureau. 
* Choisis l'option F pour la langue
* Choisissez l'option 1 (Recherche).
* Laissez travailler l'outil. 
* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).

(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller) 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
* Tuto : http://pagesperso-orange.fr/NosTools/index.html
Note : l'UAC de Vista ne gêne plus FindyKill.

@+

Swaan31 · Answer

############################## | FindyKill V5.050 |

# User : Florian (Administrateurs) # FLORIAN-PC
# Update on 03/09/2010 by El Desaparecido
# Start at: 11:20:26 | 22/09/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Phenom(tm) II X2 550 Processor
# Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 465,66 Go (331,63 Go free) # NTFS
# D:\ # Disque CD-ROM

################## | Eléments infectieux |

C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf  

################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# (!) Uac = 0x0 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 3 ( Good = 2 | Bad = 4 ) 
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )  

################## | ! Fin du rapport # FindyKill V5.050 ! |

Utilisateur anonyme · Answer

bonjour,
relance FYK, choisis l'option 2, poste son rapport

Swaan31 · Answer

Bonjour, ça sert à quoi en fait ce truk avec FindyKill ?

Swaan31 · Answer

Bonjour, ça sert à quoi de faire tous ça avec FindyKill en fait ?

Utilisateur anonyme · Answer

bonjour,
tu as deux infections là :

################## | Eléments infectieux | 

C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf 


# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )

Swaan31 · Answer

Bonjour, voilà je l'ai enfin fait :






############################## | FindyKill V5.050 |

# User : Florian (Administrateurs) # FLORIAN-PC
# Update on 03/09/2010 by El Desaparecido
# Start at: 23:40:46 | 05/10/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Phenom(tm) II X2 550 Processor
# Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 465,66 Go (334,64 Go free) # NTFS
# D:\ # Disque CD-ROM

################## | Eléments infectieux |

Supprimé ! C:\Windows\prefetch\WINUPGRO.EXE-C12B80B5.pf 

################## | CRC32 ... |


################## | Registre | 


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | Fichiers corrompus  |

... OK !  

################## | Upload |

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_Florian-PC.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution . 

################## | ! Fin du rapport # FindyKill V5.050 ! |

Utilisateur anonyme · Answer

bonjour,
envoie ce fichier, ceci permet d'améliorer FYK :

Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_Florian-PC.zip :

 https://www.ionos.fr/?affiliate_id=77097 

Merci pour ta contribution . 


donne moi des nouvelles du fonctionnement du pc avant de finaliser la désinfection  :-)

@++

Swaan31 · Answer

C'est bon j'ai uploader le fichier.
Et sinon le PC il va bien là à part ce drapeau avec la croix rouge en bas qui est toujours là.

Utilisateur anonyme · Answer

. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 

.double-cliques sur le fichier pour lancer l'installation 
/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur »

.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur suivant 
.lis la licence et j'accepte 
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer 
.double-cliques sur l'icône de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option et puis avancé 
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur 
.cliques sur windows et dans la colonne avancé 
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
.cliques sur analyse une fois l'analyse terminé 
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.cliques maintenant sur registre et puis sur rechercher les erreurs 
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
.il supprime et fermer tu vérifies en relançant rechercher les erreurs 
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
.tu peux fermer Ccleaner


*	pour supprimer les outils de désinfection :
Télecharge Delfix sur ton bureau :
http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

*	Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 


Pour Windows 7 :
 
http://www.jenyburn.com/home/comment-desactiver-la-restauration-du-systeme-sous-windows-7

fais une mise à jour de ton antivirus, lance un scan complet dee ton pc, tiens moi au courant du résultat  :-)

@ ++

"Your system is infected" sur le bureau

45 réponses

Discussions similaires