PC infecté : ANTIVIRUS SOFTWARE ALERT

El Pachat Messages postés 3 Date d'inscription   Statut Membre Dernière intervention   -  
 gen-hackman -
Bonjour,

Depuis hier mon pc m'indique qu'il est infecté et m'affiche pleins de liens dans la barre de tâche en me marquant ANTIVIRUS SOFTWARE ALERT,
Attack from : 246.204.211.102, port 64191
Attacked port 22179
treat : win32/Nuqel.E
(Les adresses IP et port changent tout le temps)

Je ne peux lancer aucun exécutable car on me dit que le fichier XXX.exe est infecté.

J'ai regardé d'autres post qui concernait le même problème mais les solutions proposées demandait d'aller sur les sites internet virustotal.com et autre.

Seulement je ne peux pas me connecté à Internet à partir de mon PC (j'utilise un autre PC pour écrire ce post). A chaque fois, Firefox m'affiche "Internet Explorer Warning : visiting this web site may harm your computer !" (alors que je suis sous FF).

En fait je peux seulement aller sur le site de antivirnet.com pour passer à la version payante et visiter les pages www.viagra.com et autre liens pornos qui s'ouvre automatiquement.

Je ne suis pas expert en virus d'où mon post...
Je vous ecoute et merci d'avance.

El Pachat

6 réponses

  1. gen-hackman
     
    salut

    Télécharge rkill :

    https://download.bleepingcomputer.com/grinler/rkill.exe
    https://download.bleepingcomputer.com/grinler/rkill.com
    https://download.bleepingcomputer.com/grinler/rkill.scr
    ▶ http://download.bleepingcomputer.com/grinler/rkill.pif

    ▶ Enregistre-le sur ton Bureau

    ▶ Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)

    Un bref écran noir t'indiquera que le tool s'est correctement exécuté, s'il ne se lance pas,

    change de lien de téléchargement.

    une fois qu'il aura terminé

    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ▶ Télécharge ici :List_Kill'em

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

    choisis l'option Search

    ▶ laisse travailler l'outil

    il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau
    0
    1. mickiya Messages postés 499 Date d'inscription   Statut Membre Dernière intervention   65
       
      D'après ce qu'il a marqué, il ne peut lancer aucun fichier exécutable et ne peut aller sur Internet!
      0
  2. gen-hackman
     
    si tu t'y connaissais un peu , tu saurais que rkill rétablit quand meme cette fonction

    et il fait comment pour ecrire ?

    avant de poster , on reflechit
    0
    1. El Pachat Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
       
      j'ai utiliser une clé USB pour les téléchargements
      et comme mon parfeu antivirus sont désactivés sur mon PC infecté je repasse par celui la (celui avec lequel j'écris).

      Pour les histoires d'exécutables, j'ai réussi a lancer rkill.scr.
      0
  3. El Pachat Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
     
    Salut,

    Voila les rapports

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijV2Ki1rP.txt

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijZIiGYtD.txt

    Juste pour info, List'Killem m'afiche
    "COMPLETED le chemin d'accès est introuvable.
    C:\Program Files\List_Kill'em"

    Il veut que je lui indique quoi ?

    Merci pour ta rapide réponse
    0
  4. gen-hackman
     
    1/.......

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ Relance List&Kill'em , avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Tools puis Kill Proxy

    laisse travailler l'outil.

    en fin de scan un rapport s'ouvre

    ▶ colle le contenu dans ta reponse

    ======================

    2/.....

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Script

    une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

    observe ton bureau une icône "Script" s'est rajouté sur ton bureau

    ▶ crée un nouveau document texte sur ton bureau et copie/colle ce en gras si dessous :


    PROC:ApplicationUpdater.exe
    FILE:C:\Program Files\Application Updater
    FILE:E:\tmp
    FILE:c:\documents and settings\toto\application data\2a5adeee3f83c55bdd1cbb2870f07380
    REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "pimbxhek"
    REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "E:\tmp\Rar$EX01.562\volley.exe"
    REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "E:\tmp\Rar$EX01.562\volley.exe"
    REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "E:\tmp\Rar$EX00.015\volley.exe"
    REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "E:\tmp\Rar$EX00.687\volley.exe"
    REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "E:\tmp\Rar$EX00.843\volley.exe"
    REM:"HKEY_LOCAL_MACHINE\software\microsoft\code store database\distribution units\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}"


    ▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

    ▶ effectue un glisser/deposer de ce fichier sur l'icone "Script"

    laisse travailler l'outil

    poste le resultat

    ▶ Ferme List_Kill'em

    Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

    ======================

    3/...............

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    ▶ Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    =========================

    4/........

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'Option Clean

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta reponse

    ¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤¤
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. El Pachat Messages postés 3 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    Dans l'ordre

    1/ http://www.cijoint.fr/cjlink.php?file=cj201010/cijEWsZ3Bd.txt
    2/ http://www.cijoint.fr/cjlink.php?file=cj201010/cijnidlZkw.txt
    3/ http://www.cijoint.fr/cjlink.php?file=cj201010/cij6fA4mAo.txt
    4/ http://www.cijoint.fr/cjlink.php?file=cj201010/cij0ohqQKw.txt

    Pour le 3 et 4 j'ai eu quelques problèmes comme quoi l'espace du disque n'était pas assez suffisant ... (j'ai passé les quelques fichiers).

    En tout cas il n'y a plus de pseudo attaques au démarrage.
    Est ce que tout est bon ?
    0
  7. gen-hackman
     
    Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ou :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0