Virus cheval de troie?

guillaume -  
 guillaume -
Bonjour,

Je crois avoir un virus qui paralyze plusieurs programmes et fonctions de mon Pc. J'ai beau esseyer de m'en debarrasser, rien n'y fait.

Quelqu'un peu m'aider s.v.p?

Merci

19 réponses

  1. sherred Messages postés 8605 Statut Membre 351
     
    ok salut
    on va regarder ca ensemble
    * Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Rend toi sur Cijoint http://www.cijoint.fr/
    et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
    Un lien sera généré, copie et colle-le dans ta prochaine réponse.
    1
  2. guillaume
     
    voici le liens:

    http://www.cijoint.fr/cjlink.php?file=cj201009/cijrPMY6bv.txt

    Merci
    0
  3. sherred Messages postés 8605 Statut Membre 351
     
    ok

    1

    System drive C: has 3 GB (1%) free of 244 GB => Seuil critique dépassé
    si tu continu , tu risque de bloquer définitivement, il faut nettoyer " vide deja la corbeille "

    2

    -- C:\Documents and Settings\Guillaume\Application Data\Booka\vuraa.exe ?
    sait tu , ce que sait que ce programme ? utilise https://www.virustotal.com/gui/
    pour verifier

    3

    Spyware Doctor est une @^\\'|[|[{[ , desinstalle le , "en priorité"

    4

    VirtualGirl aussi ;)

    5

    utilise Ccleaner https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 24 heures .
    tu fait le nettoyage
    Fichiers temporaires de Windows
    Cookies, cache, historique d'Internet Explorer, Opera et Firefox
    Documents récents de Windows

    6

    télécharge Malwarebyte's ici
    http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
    ou ici
    https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
    le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > click sur supprimer la sélection.

    si il t'es demandé de redémarrer > click sur "yes".

    A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log

    7

    reposte un rapport ZHPDiag

    Quand les bornes sont franchies, il n'y a plus de limite
    Ce que j'ai écrit, je l'ai écrit
    0
  4. guillaume
     
    salut,

    Desoler d,avoir pris autant de temps, mais le virus s,attaque maintenant au extension .exe ce qui m'empeche d,avoir acces a explorer, ainsi que plusieurs autres programmes.

    donc, j'ai quand meme reussi a passer le scan, voici donc les resultats:

    le rapport malewarebytes:

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4052

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    2010-09-22 19:20:35
    mbam-log-2010-09-22 (19-20-35).txt

    Type d'examen: Examen complet (C:\|E:\|)
    Elément(s) analysé(s): 225610
    Temps écoulé: 3 heure(s), 10 minute(s), 28 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\WS9E3IQBKY (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.164.72,93.188.166.222 -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{97b61738-83cf-437b-9b7a-7d24ac988478}\NameServer (Trojan.DNSChanger) -> Data: 93.188.164.72,93.188.166.222 -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\scandisk.lnk (Trojan.Downloader) -> Quarantined and deleted successfully.

    Petite note, je n'ai pas réussi a faire les mises a jour de malewarebytes.

    Et voici le rapport ZHPDIAG: http://www.cijoint.fr/cjlink.php?file=cj201009/cijfB7Allv.txt

    Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sherred Messages postés 8605 Statut Membre 351
     
    salut

    Télécharge combofix.exe sur ton bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    double clique combofix.exe.
    touche 1 (Yes) pour démarrer le scan.
    une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve également ici : C:\Combofix.txt

    Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.

    arrête provisoirement les anti virus et autres protections pendant l'analyse comme AVG et Spybot Search & Destroy

    pour Spybot Search & Destroy désactiver le TeaTimer :
    => Ouvrir Spybot S&D
    => Dans le menu "Mode", séléctionner le mode avancé.
    => Une fenêtre demande confirmation cliquer sur "oui".
    => Une fois le mode avancé actif, ouvrir l'onglet "Outils".
    => Cliquer sur Résident.
    => La partie Résident comporte deux lignes qui sont normalement cochées :
    *Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.

    * Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

    => Décocher la ligne TeaTimer.
    => Redémarrer Spybot (le fermer et le réouvrir)
    => Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.


    durant la durée de l'analyse ne te sert pas de ton pc

    une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares
    0
  7. Utilisateur anonyme
     
    re,

    reste sur cette discussion

    pour avancer Sherred :-)

    il est ou ton rapport de combofix ?
    O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
    0
  8. Guillaume
     
    mais les truc à téléchargé je les télécharge sur mon pc portable ou il y a le virus ou celui avec le quel j'écri en ce moment??
    0
  9. Utilisateur anonyme
     
    utilise le carré vert en bas de mon message pour répondre

    Merci.

    télechrage et ransfère Combofix depuis une clé usb sur le pc infecté,

    lance ma, puis laisse le travailler,

    à la fin de scan, il redemarre le pc infecté,

    essaie de le connecter à inernet, puis poste son rapport
    0
  10. Utilisateur anonyme
     
    télecharge combofix sur ton pc qui fonctionne, puis tranfère combofix via une clé usb sur le pc infecté,
    évite de créer des doublons :-)

    le carré vert en bas de mon message est fait pour répondre :-)

    0
  11. sherred Messages postés 8605 Statut Membre 351
     
    salut et merci Electricien 69

    Guillaume ? ce rapport ?
    0
    1. Utilisateur anonyme
       
      hello,
      bonne chasse :-)
      0
  12. guillaume
     
    Voici enfin le log combofix

    http://www.cijoint.fr/cjlink.php?file=cj201010/cij3mEVthY.txt
    0
  13. sherred Messages postés 8605 Statut Membre 351
     
    reposte un ZHPDiag
    0
  14. guillaume
     
    voci le rapport ZHPDiag:

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijJWd20Nf.txt

    merci
    0
  15. sherred Messages postés 8605 Statut Membre 351
     
    Désactiver le TeaTimer de Spybot (Merci à Nico):

    Pour désactiver le TeaTimer :
    => Ouvrir Spybot S&D
    => Dans le menu "Mode", séléctionner le mode avancé.
    => Une fenêtre demande confirmation cliquer sur "oui".
    => Une fois le mode avancé actif, ouvrir l'onglet "Outils".
    => Cliquer sur Résident.
    => La partie Résident comporte deux lignes qui sont normalement cochées :
    *Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.

    * Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

    => Décocher la ligne TeaTimer.
    => Redémarrer Spybot (le fermer et le réouvrir)
    => Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.

    -----------------------------------------------------

    * Copie le tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
    c:\documents and settings\all users\desktop\mes photos logitech.lnk . (.microsoft corporation.) -- c:\windows\explorer.exe

    O4 - HKLM\..\Run: [NeroFilterCheck] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe


    Puis Lance ZHPFix que tu doit avoir depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie :
    - que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
    - que les lignes soient disposées les unes en dessous des autres .

    * Puis clique sur le bouton [ OK ] .
    > à ce moment là , il apparaitra au début de chaque ligne une petite case vide .

    Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

    * Enfin clique sur le bouton [ Nettoyer ] .

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !

    Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )

    --------------------------------------
    0
  16. guillaume
     
    Voici le rapport ZhpFix:

    Rapport de ZHPFix 1.12.3206 par Nicolas Coolman, Update du 04/10/2010
    Fichier d'export Registre :
    Run by Guillaume at 2010-10-06 15:15:13
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Processus mémoire ==========
    c:\windows\explorer.exe => Supprimé et mis en quarantaine

    ========== Valeur(s) du Registre ==========
    O4 - HKLM\..\Run: [NeroFilterCheck] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe => Valeur absente

    ========== Elément(s) de donnée du Registre ==========
    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès

    ========== Fichier(s) ==========
    c:\program files\common files\ahead\lib\nerocheck.exe => Supprimé et mis en quarantaine

    ========== Récapitulatif ==========
    1 : Processus mémoire
    1 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Fichier(s)

    End of the scan

    Merci
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      comment ce comporte ton pc ?
      0
    2. guillaume
       
      Il va mieux, mais j,ai encore quelques problèmes. Par exemple, mes fonctions sur mon clavier ne fonctionne plus, mon itunes n'est plus accesible et impossible de le réinstaller et le desinstaller, mon firefox ne s'ouvre pas lorsque je click sur l'icone et mon explorer telecharge la page voulue une fois sur deux, la majorité du temps la fenetre s'ouvre mais la page reste en telechargement à l'infini.

      Mais il est beaucoup plus rapide et je n,ai plus les messages de virus.
      0
  17. sherred Messages postés 8605 Statut Membre 351
     
    ok

    on continu :)

    Ccleaner https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
    *Décocher dans le menu Options - sous-menu Avancé :
    Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 24 heures .
    tu fait le nettoyage
    Fichiers temporaires de Windows
    Cookies, cache, historique d'Internet Explorer, Opera et Firefox
    Documents récents de Windows
    et ensuite----->> onglet registre recherche et réparation de la base de registre.
    0
  18. guillaume
     
    voila c'est fait, j'ai du passé plusieur fois le scanneur du registre pour regler les problemes, maintenant ca semble bon, il ne detecte plus de problemes.

    Dois-je te transmettre un rapport quelconque??

    Merci
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      ca a resolu des problemes ? ou c'est pareil ?
      0
    2. guillaume
       
      l'ordi ce comporte mieux, mais il y a un nouveau message de virus qui apparait, C:\windows\system32\drivers\pci.sys

      C'est le message qui m,apparaissait au depart des problemes

      Je n'ai toujours pas acces aux fonctions de mon clavier sans fil, qui a pourtant necécité aucune instalation de drivers lors du branchement initial.

      Je crois que je vais devoir réinstaller firefox, puisque qu'il m'indique qu'il manque des fichiers et m,affiche un rapport de plantage.

      Enfin, toujours impossible de reinstaller itunes, il me dit que quicktime n,est pas installer et pourtant il l'est. En plus parfois lorsque je branche mon ipod, j,ai un ecran bleu de plantage.

      Merci de bien continuer a m,aider.
      0
    3. sherred Messages postés 8605 Statut Membre 351
       
      ce fichier est indispensable
      a tu un ce d'install d'xp
      0
    4. guillaume
       
      Je l'ai surement quelque part, mais je ne le trouve pas en ce moment. Est-ce que le fichier est trouvable en ligne??
      0