Infection virus
Résolu
gautier078
-
benurrr Messages postés 9643 Date d'inscription Statut Contributeur sécurité Dernière intervention -
benurrr Messages postés 9643 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Mon antivirus (Avast) m'informe que je suis infecté par un virus. Il est arrivé ce matin, quand j'ai ouvert mon navigateur Firefox.
Nom du virus : WIN32:Bamital-AC
Emplacement : c:/windows/system32/winlogon.exe
Bien sur, je ne peux pas supprimer ce fichier, qui est essentiel à Windows, mais y a t il vraiment infection ? Si oui, comment la trouver et l'éradiquer ?
Merci à tous pour vos réponses
Mon antivirus (Avast) m'informe que je suis infecté par un virus. Il est arrivé ce matin, quand j'ai ouvert mon navigateur Firefox.
Nom du virus : WIN32:Bamital-AC
Emplacement : c:/windows/system32/winlogon.exe
Bien sur, je ne peux pas supprimer ce fichier, qui est essentiel à Windows, mais y a t il vraiment infection ? Si oui, comment la trouver et l'éradiquer ?
Merci à tous pour vos réponses
A voir également:
- Infection virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
45 réponses
Oui !
Toujours winlogon.exe et explorer.exe que mon antivirus (Avast) bloque. Mais elles sont là....
J'ai lu sur un site qu'il fallait "réinstaller" ces fichiers pour les avoir de nouveau sain ?
Toujours winlogon.exe et explorer.exe que mon antivirus (Avast) bloque. Mais elles sont là....
J'ai lu sur un site qu'il fallait "réinstaller" ces fichiers pour les avoir de nouveau sain ?
Telecharge combofix :
Faire un clic droit sur le lien
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Choisir : "Enregistrer la cible du lien sous..."
* Choisir le Bureau comme destination.
* Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
* Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
Note importante :tu est sous Vista
la désactivation du Contrôle des comptes utilisateurs est obligatoire
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uacer-l-uac
pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)
::Si combofix detecte quelque chose et de demande a redémarrer tu accepte
Faire un clic droit sur le lien
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
* Choisir : "Enregistrer la cible du lien sous..."
* Choisir le Bureau comme destination.
* Dans le champ "Nom du fichier", renommer ComboFix.exe en CCM.exe par exemple, puis enregistrer.
* Attention ! L'étape de renommage est obligatoire sous peine de voir afficher le message "ComboFix.exe n'est pas une application win32 valide" et de le rendre ainsi totalement inefficace.
Note importante :tu est sous Vista
la désactivation du Contrôle des comptes utilisateurs est obligatoire
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uacer-l-uac
pour toute manipulation fait comme ceci( clic droit "exécuter en tant qu'administrateur" pour Vista/7 )
-> Double clique combofix.exe.
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
-Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. risque de figer l'ordi
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordi (plantage complet)
::Si combofix detecte quelque chose et de demande a redémarrer tu accepte
Euh....ça ne marche pas...Plantage complet de mon PC après l'étape 50....
Et Combofix me demande d'être connecté à internet en plus.......
Vais me coucher, je verrais ça demain soir en rentrant...
Et Combofix me demande d'être connecté à internet en plus.......
Vais me coucher, je verrais ça demain soir en rentrant...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai aucun rapport....
Y a t il un moyen de réinstaller ces fichiers sans réinstaller TOUT windows ?
Y a t il un moyen de réinstaller ces fichiers sans réinstaller TOUT windows ?
oui avec le cd d'installation mais avant d'en arriver la fait sa en évitera les surprises
fait les scan içi
https://www.eset.com/
içi un tuto
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32
et içi
https://www.trendmicro.com/en_us/forHome/products/housecall.html
içi un tuto
https://www.commentcamarche.net/faq/8873-scanner-en-ligne-avec-trendmicro-housecall
fait les scan içi
https://www.eset.com/
içi un tuto
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32
et içi
https://www.trendmicro.com/en_us/forHome/products/housecall.html
içi un tuto
https://www.commentcamarche.net/faq/8873-scanner-en-ligne-avec-trendmicro-housecall
Ok je fais ça ce soir.
Par contre, je n'ai aucun CD d'installation. J'ai acheté mon PC "tout fait", windows déjà dedans. Au début, j'avais fais un DVD ou un CD de je ne sais plus trop quoi, c'est tout....
Je fais les scans ce soir !
Merci encore !
Par contre, je n'ai aucun CD d'installation. J'ai acheté mon PC "tout fait", windows déjà dedans. Au début, j'avais fais un DVD ou un CD de je ne sais plus trop quoi, c'est tout....
Je fais les scans ce soir !
Merci encore !
Rapport après Eset :
C:\Documents and Settings\All Users\Documents\Server\hlp.dat Win32/Bamital.EB cheval de troie nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine
C:\Documents and Settings\Le*****\Mes documents\Téléchargements\Betclic Poker.fr.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\Program Files\Betclic Poker.fr\Betclic Pokerfr.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\Program Files\Betclic Poker.fr\CStart.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP11\A0003844.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP11\A0003845.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\WINDOWS\explorer.exe Win32/Bamital.EC cheval de troie impossible de nettoyer
Mémoire vive Win32/Bamital.EC cheval de troie
C:\Documents and Settings\All Users\Documents\Server\hlp.dat Win32/Bamital.EB cheval de troie nettoyé par suppression (après le prochain redémarrage) - mis en quarantaine
C:\Documents and Settings\Le*****\Mes documents\Téléchargements\Betclic Poker.fr.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\Program Files\Betclic Poker.fr\Betclic Pokerfr.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\Program Files\Betclic Poker.fr\CStart.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP11\A0003844.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP11\A0003845.exe une variante de Win32/Casino application nettoyé par suppression - mis en quarantaine
C:\WINDOWS\explorer.exe Win32/Bamital.EC cheval de troie impossible de nettoyer
Mémoire vive Win32/Bamital.EC cheval de troie
Et voilà....je n'ai plus de PC !!!
Enfin....il vient de me lâcher ! Après avoir fait la désinfection par ESET, j'ai redémarrer comme conseillé et là....bim plus rien.
Message suivant :
STOP: c0000021a
Erreur système irrécupérable
Le processus système Windows Logon Process s'est terminé de façon innattendue avec l'état 0xc0000005
Le système a été arrêté.
Impossible de redémarer, même en mode sans échec.
Questions :
Le formatage est inévitable ?
Puis récupérer mes fichiers (photos et autres) avant de formater ?
Tant pis si je ne peux récupérer, mais j'aimerai au moins savoir si je peux formater ?
Je n'ai pas de CD d'installation.
Comment formate-je ?
Merci d'avance
Enfin....il vient de me lâcher ! Après avoir fait la désinfection par ESET, j'ai redémarrer comme conseillé et là....bim plus rien.
Message suivant :
STOP: c0000021a
Erreur système irrécupérable
Le processus système Windows Logon Process s'est terminé de façon innattendue avec l'état 0xc0000005
Le système a été arrêté.
Impossible de redémarer, même en mode sans échec.
Questions :
Le formatage est inévitable ?
Puis récupérer mes fichiers (photos et autres) avant de formater ?
Tant pis si je ne peux récupérer, mais j'aimerai au moins savoir si je peux formater ?
Je n'ai pas de CD d'installation.
Comment formate-je ?
Merci d'avance
PC Packard BELL
Processeur AMD 64 bits 2.2
1.5 Go RAM
250 Go DD
Nvidia 6200 SE TC
Euh...c'est à peu près tout !
Processeur AMD 64 bits 2.2
1.5 Go RAM
250 Go DD
Nvidia 6200 SE TC
Euh...c'est à peu près tout !
Contacter les anciens ?
Euh....bon, ben je vais me plonger là dedans alors....
J'ouvre et je retire la vieille barette.
Je te tiens au jus !
Euh....bon, ben je vais me plonger là dedans alors....
J'ouvre et je retire la vieille barette.
Je te tiens au jus !
Alors, j'ai retiré la première barette (celle d'origine)
Toujours le même problème, impossible de lancer mon PC.
Bloquage avec le même message :
Le processus système Windows Logon Process s'est terminé de façon innattendue.............
J'essaye l'autre...
Toujours le même problème, impossible de lancer mon PC.
Bloquage avec le même message :
Le processus système Windows Logon Process s'est terminé de façon innattendue.............
J'essaye l'autre...
Bonsoir gauthier078
Essayons un autre utilitaire pour vérifier:
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
* Assure toi d'avoir fermé toutes les applications en cours de fonctionnement.
* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
* Copies et colles le contenu de cette citation dans la partie inférieure d'OTL "Personnalisation"
---------------------------------------------------------------------------
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
Winlogon.exe
Explorer.exe
Firefox.exe
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
-------------------------------------------------------------------------
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
Essayons un autre utilitaire pour vérifier:
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
* Assure toi d'avoir fermé toutes les applications en cours de fonctionnement.
* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
* Copies et colles le contenu de cette citation dans la partie inférieure d'OTL "Personnalisation"
---------------------------------------------------------------------------
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
Winlogon.exe
Explorer.exe
Firefox.exe
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
-------------------------------------------------------------------------
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
@+
---------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.
J'aimerai bien mais je ne peux rien faire mon PC ne se lance plus.
Enfin, il s'allume, mais après le boot, il s'éteint, me donne un message d'erreur (cf plus haut) et voilà !
Formatage ?
Enfin, il s'allume, mais après le boot, il s'éteint, me donne un message d'erreur (cf plus haut) et voilà !
Formatage ?
Je vous remercie de m'aider.
Mais là, je dois avouer que je cale vraiment.
Le formatage me parait plus simple mais, vu que vous ne m'en parlez pas, j'ai peur que ce ne soit inutile ? Ou bien un formatage me permettrait une remise à zéro complète ?
Merci d'avance en tout cas !
Mais là, je dois avouer que je cale vraiment.
Le formatage me parait plus simple mais, vu que vous ne m'en parlez pas, j'ai peur que ce ne soit inutile ? Ou bien un formatage me permettrait une remise à zéro complète ?
Merci d'avance en tout cas !
Re
Cette solution ;te permets même si on n'arrive pas à le désinfecter de pouvoir sauvegarder toutes tes données importantes.
Donc à toi de voir...
@+
Cette solution ;te permets même si on n'arrive pas à le désinfecter de pouvoir sauvegarder toutes tes données importantes.
Donc à toi de voir...
@+
Mon PC permet un boot sur clé USB, ne serait-ce pas plus simple que sur CD ? là je galère pour graver, il reste sur 0% Extracting................
Re
Archive SFX personnalisée réalisée avec 7zip : 129Mo
Comprend le nécessaire pour formater la clé usb + iso
Télécharger OTLPEUSB sur ton bureau.
http://www.mediafire.com/file/wijgm3nmmnn/OTLPEUSBInstall.exe/file
Double-clic sur l'exécutable pour extraire et exécuter le programme.
Insère une clé usb avant de poursuivre.
/!\ Attention ta clé usb sera formaté pour la rendre bootable /!\
Lorsque la fenêtre s'ouvrira, sélectionne la clé que tu souhaites formater
Sélectionnes dans la zone Boot Option : XP (NTLDR)
Coches la case : OTLPE_Network.iso
Clic sur le bouton Lancer.
Patiente pendant le formatage et l'installation des fichiers nécessaires pour démarrer OLTPE_Network.
Une fois, terminer ferme le programme
Sur le PC en panne
Redémarre ton PC en t'assurant de booter sur la clé usb en modifiant ta séquence de boot (USB-FDD ou USB-HDD)
Au menu choisir OTLPE Into RAM, Patiente le temps du chargement...
Windows se charge tu arrives sur le bureau REATOGO-X-PE
Ensuite
Double clique sur OTLPE
= Une fenêtre s'ouvre : Do you wish to load the remote registry ; Clique sur YES
= Une seconde : Do you wish to load remote user profile(s) for scanning ; Clique sur YES
= Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuie sur OK
OTL se lance.
= Clique sur Run Scan pour démarrer le scanner, cela peut prendre quelques minutes
= Une fois fini le rapport s'ouvre, utilise l'icône d'Internet explorer pour copier coller son contenu dans la réponse.
Note : si tu n'as pas de connexion Internet, sauvegarde le rapport sur un
périphérique USB
@+
Archive SFX personnalisée réalisée avec 7zip : 129Mo
Comprend le nécessaire pour formater la clé usb + iso
Télécharger OTLPEUSB sur ton bureau.
http://www.mediafire.com/file/wijgm3nmmnn/OTLPEUSBInstall.exe/file
Double-clic sur l'exécutable pour extraire et exécuter le programme.
Insère une clé usb avant de poursuivre.
/!\ Attention ta clé usb sera formaté pour la rendre bootable /!\
Lorsque la fenêtre s'ouvrira, sélectionne la clé que tu souhaites formater
Sélectionnes dans la zone Boot Option : XP (NTLDR)
Coches la case : OTLPE_Network.iso
Clic sur le bouton Lancer.
Patiente pendant le formatage et l'installation des fichiers nécessaires pour démarrer OLTPE_Network.
Une fois, terminer ferme le programme
Sur le PC en panne
Redémarre ton PC en t'assurant de booter sur la clé usb en modifiant ta séquence de boot (USB-FDD ou USB-HDD)
Au menu choisir OTLPE Into RAM, Patiente le temps du chargement...
Windows se charge tu arrives sur le bureau REATOGO-X-PE
Ensuite
Double clique sur OTLPE
= Une fenêtre s'ouvre : Do you wish to load the remote registry ; Clique sur YES
= Une seconde : Do you wish to load remote user profile(s) for scanning ; Clique sur YES
= Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuie sur OK
OTL se lance.
= Clique sur Run Scan pour démarrer le scanner, cela peut prendre quelques minutes
= Une fois fini le rapport s'ouvre, utilise l'icône d'Internet explorer pour copier coller son contenu dans la réponse.
Note : si tu n'as pas de connexion Internet, sauvegarde le rapport sur un
périphérique USB
@+
