virus W32/Sality Au secours !!! Fermé

Question

Bonjour, 

Voilà je me bats depuis hier soir contre ce virus qui envahi tous mes fichiers .exe  

Actuellement j'ai réussi à l'empêcher de lancer les processus notepad.exe et telnet.exe j'arrive à bloquer ses actions via mon firewall et avira, sauf que avira continue de le détecter sans arrêt. 

Je suis donc passé sous linux et j'ai fait un scan approfondi avec clamscan qui m'a désinfecté plus de 65 fichiers sur deux de mes trois partitions (C et D, mais E c'est la partition linux donc ya pas de exe dessus). 

je redémarre sous windows, mais toujours pareil avira continue à me détecter ce fichu virus et m'affiche une alerte toutes les 3 secondes c'est vraiment pénible ! 

S'il vous plait aidez-moi comment je peux enlever ce virus ? J'ai cherché sur le net et j'ai suivi un tuto mais ça ne fonctionne pas pour moi car je ne peux pas redémarrer en mode sans échec (quand je lance le sans échec il fait écran bleu et redémarre à chaque fois) !

Utilisateur anonyme · Answer

Bonjour 
Imprime cette procédure 
*Tu as attrapé le pire des nuisibles du net
*Evite les téléchargements par le P2P (Limewire, Emule, Shearaza), car c'est comme cela que tu as attrapé cette cochonnerie
*Utilise le moins possible ton PC, car plus tu l'utilises, plus tu l'infecte, car le virut et le Sality
attaquent les fichiers exécutables et y injectent un code malveillant dedans
*Sauvegarde tous tes documents (photos...), sauf les fichiers .exe, .rar, .scr, .html, .htm, .dll, .dat, zip, keygens, keygens générator ou cracks dernièrement téléchargés
*Utilise seulement ton PC que pour les manips que je te demande de faire, et ne perd surtout pas de temps, fait tout de suite ce que je te demande
*Dans ce genre d'infection très difficile à traiter,le temps est contre nous



 Télécharge Dr Web CureIt sur ton Bureau : 

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe 
Après, déconnecte ton PC 

- Double clique drweb-cureit.exe et ensuite clique sur Analyse; 

- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui. 
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". 
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok. 
- De retour à la fenêtre principale : clique pour activer Analyse complète 
- Clique le bouton avec flèche verte sur la droite, et le scan débutera. 
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter. 
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable. 
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv 
- Ferme Dr.Web Cureit 
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). 
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.  
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

SangokuSSJ4 · Answer

Merci pour ta réponse. 

Alors j'ai fait tout comme tu m'as dit, et après plus de 9 heures de scan, voilà le rapport:   

notepad.exe;C:\WINDOWS\system32;Win32.Sector.5;Désinfecté.;  
WinFXDocObj.exe;C:\WINDOWS\system32;Win32.Sector.5;Désinfecté.;  
Photoshop.exe;C:\Program Files\Adobe\Adobe Photoshop CS5;Win32.Sector.5;Désinfecté.;  
IDriver.exe;C:\Program Files\Fichiers communs\InstallShield\Driver\7\Intel 32;Win32.Sector.5;Désinfecté.;  
filezilla.exe;C:\Program Files\FileZilla FTP Client;Win32.Sector.5;Désinfecté.;  
FlashPlayerDebugger.exe;C:\Program Files\FlashDevelop\Tools\flexsdk\runtimes\player\10.1\win;Win32.Sector.5;Désinfecté.;  
Foxit Reader.exe;C:\Program Files\Foxit Software\Foxit Reader;Win32.Sector.5;Désinfecté.;  
MusicConverter.exe;C:\Program Files\Illustrate\dBpowerAMP;Win32.Sector.5;Désinfecté.;  
i_view32.exe;C:\Program Files\IrfanView;Win32.Sector.5;Désinfecté.;  
jre-windows-i586.exe;C:\Program Files\JRE;Win32.Sector.5;Désinfecté.;  
POWERPNT.EXE;C:\Program Files\Microsoft Office\Office12;Win32.Sector.5;Désinfecté.;  
WINWORD.EXE;C:\Program Files\Microsoft Office\Office12;Win32.Sector.5;Désinfecté.;  
plugin-container.exe;C:\Program Files\Mozilla Firefox;Win32.Sector.5;Désinfecté.;  
notepad++.exe;C:\Program Files\Notepad++;Win32.Sector.5;Désinfecté.;  
scalc.exe;C:\Program Files\OpenOffice.org 3\program;Win32.Sector.5;Désinfecté.;  
soffice.bin;C:\Program Files\OpenOffice.org 3\program;Win32.Sector.5;Désinfecté.;  
swriter.exe;C:\Program Files\OpenOffice.org 3\program;Win32.Sector.5;Désinfecté.;  
mplayerc.exe;C:\Program Files\Satsuki Decoder Pack\MPC;Win32.Sector.5;Désinfecté.;  
vlc.exe;C:\Program Files\VideoLAN\VLC;Win32.Sector.5;Désinfecté.;  
winamp.exe;C:\Program Files\Winamp;Win32.Sector.5;Désinfecté.;  
XPSViewer.exe;C:\WINDOWS\system32\XPSViewer;Win32.Sector.5;Désinfecté.;  
LineRider_beta.exe;D:\Multimédia\Délires\Autres;Win32.Sector.5;Désinfecté.;  
EAregister.exe;D:\Multimédia\Jeux\Fifa 11 installé\Support;Win32.Sector.5;Désinfecté.;  
FIFA 11_code.exe;D:\Multimédia\Jeux\Fifa 11 installé\Support;Win32.Sector.5;Désinfecté.;  
FIFA 11_uninst.exe;D:\Multimédia\Jeux\Fifa 11 installé\Support;Win32.Sector.5;Désinfecté.;  
eadm-installer.exe;D:\Multimédia\Jeux\Fifa 11 installé\Support\EADM;Win32.Sector.5;Désinfecté.;  
ConfigTool.exe;D:\Multimédia\Jeux\NFS Hot pursuit installé;Win32.Sector.5;Désinfecté.;  
Launcher.exe;D:\Multimédia\Jeux\NFS Hot pursuit installé;Win32.Sector.5;Désinfecté.;  
EACoreServer.exe;D:\Multimédia\Jeux\NFS Hot pursuit installé\Core;Win32.Sector.5;Désinfecté.;  
EAProxyInstaller.exe;D:\Multimédia\Jeux\NFS Hot pursuit installé\Core;Win32.Sector.5;Désinfecté.;  
PatchProgress.exe;D:\Multimédia\Jeux\NFS Hot pursuit installé\Core;Win32.Sector.5;Désinfecté.;  
eadm-installer.exe;D:\Multimédia\Jeux\NFS Hot pursuit installé\Support\EADM;Win32.Sector.5;Désinfecté.;  
v2game.exe;D:\Multimédia\Jeux\Victoria.II installé;Win32.Sector.5;Désinfecté.;  
binkplay.exe;D:\Multimédia\Jeux\Victoria.II installé\movies;Win32.Sector.5;Désinfecté.;  
mplayerc.exe;D:\Programmes\Audio-Video;Win32.Sector.5;Désinfecté.;  
Satsuki.Decoder.Pack.4.3.0.9.exe;D:\Programmes\Audio-Video;Win32.Sector.5;Désinfecté.;  
vlc 1.1.5_francais_10829.exe;D:\Programmes\Audio-Video;Win32.Sector.5;Désinfecté.;  
jxpiinstall.exe;D:\Programmes\Utilitaire;Win32.Sector.5;Désinfecté.;  
putty.exe;D:\Programmes\Utilitaire;Win32.Sector.5;Désinfecté.;  
uninstall-wubi.exe;E:\ubuntu;Win32.Sector.5;Désinfecté.;

Utilisateur anonyme · Answer

Bonjour
C'est quel OS que tu possèdes ?

SangokuSSJ4 · Answer

XP Pro SP3

Utilisateur anonyme · Answer

*Désactive ta restauration pour supprimer les points de restauration infectés:

Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système                                                                                            Coche la case désactiver la restauration                                                            Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...


 *  Le scan va s'éffectuer en Mode sans échec : comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.
    * Tu peux imprimer le message en cliquant sur l'imprimante Image en dessous du message.

    * Télécharge le scanner portable AVPTool sur ton bureau.
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool

    * Ensuite Redémarre le PC en mode sans échec

    * Choisis ta session habituelle
    * Lance l'exécutable intitulé setup_7.0xxxxx en double-cliquant dessus.
    * Réponds Oui à la question Do you want to continue installation ?
    * Clique sur Next pour les deux fenêtres suivantes.
    * AVPTool s'installe sur ton Bureau dans un dossier nommé Kaspersky Lab Tool.
    * L'outil se lance tout seul : coche toutes les cases dans l'onglet Automatic Scan.
    * Clique maintenant sur Scan.
    * Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
    * A la fin du scan, AVPTool signale les objets infectés par l'intermédiaire d'un pop-up.
    * Coche alors Apply to all et clique sur Disinfect ou sur Delete selon ce que propose la fenêtre.
    * Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés.
    * Ils apparaissent en rouge dans la liste : clique alors sur le bouton Neutralize all de la fenêtre de progression du scan.
    * Si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur OK.
    * Rends-toi maintenant dans l'onglet Events de la fenêtre de progression du scan et décoche Show all events.
    * Clique enfin sur Reports puis Save to file et enregistre le rapport sur ton Bureau sous le nom Rapport AVPTool.
    * Ferme les fenêtres d'AVPTool : un message apparaît proposant de désinstaller le logiciel
    * choisis Yes.
    * Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation. À la question Would you like to restart now, réponds Oui et laisse ton ordinateur redémarrer en Mode normal.
    * Ensuite poste le rapport dans ta prochaine réponse.

SangokuSSJ4 · Answer

Je ne peux pas redémarrer en mode sans échec, quand je le lance ça me fait un écran bleu et ça reboot :/

Par contre après le premier scan fait avec Dr web, je n'ai plus de symptômes apparent du moindre virus, est-ce malgré ça il est possible qu'il reste quand même un virus ?

Utilisateur anonyme · Answer

Bonjour
Sality a fait probablement des dégâts, c'est un virus informatique redoutable

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

SangokuSSJ4 · Answer

Voilà: http://www.cijoint.fr/cj201012/cijsd4sVfx.txt

Utilisateur anonyme · Answer

Bonjour
C'est quoi ce rapport que tu as hébergé ?
En tout cas, c'est pas le rapport de ZHPDiag ça
Le rapport est sur le bureau, et se nomme ZHPDiag.txt

SangokuSSJ4 · Answer

Oops, désolé en fait c'est le rapport de AVPTool, je me suis gourré de lien lol. Ok je recommence avec ZHP cette fois

Utilisateur anonyme · Answer

Ah d'accord tu as réussit à faire AVPTool, c'est une bonne chose ça

SangokuSSJ4 · Answer

Bah je l'ai fait mais pas en mode sans echec du coup, vu que j'arrive pas à le démarrer.

Voilà le rapport de ZHP: http://www.cijoint.fr/cj201012/cijmqoQjNu.txt

Utilisateur anonyme · Answer

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

[HKLM\Software\AskBarDis]  
[HKLM\Software\InstallPedia]   
O53 - SMSR:HKLM\...\startupreg\IP Network  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\InstallPedia
etworker.exe    
O64 - Services: CurCS - C:\Program Files\InstallPedia\service.exe (.not file.) - service de mise a jour pour IP networker (IP netservices)  .(.Pas de propriétaire - Pas de description.) - LEGACY_IP_NETSERVICES   
SS - | Auto 14/11/2005 0 | C:\Program Files\InstallPedia\service.exe (IP netservices) . (.Pas de propriétaire.) - C:\Program Files\InstallPedia\service.exe   
OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe
OPT:O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
OPT:O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} . (.Pas de propriétaire - Pas de description.) -- (.not file.)   
O23 - Service:  (IP netservices) - Clé orpheline   
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Kurah\LOCALS~1\Temp\winkriu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --    
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Kurah\LOCALS~1\Temp\windvncjn.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --    
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Kurah\LOCALS~1\Temp\winpnfmy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --   
O47 - AAKE:Key Export SP - "C:\Inxppect v1.5.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --    
O47 - AAKE:Key Export SP - "C:\Bases\mwavscan.com" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  
O64 - Services: CurCS - (.not file.) - 74153111 (74153111)  .(.Pas de propriétaire - Pas de description.) - LEGACY_74153111    
O64 - Services: CurCS - (.not file.) - 74153112 Boot Guard Driver (74153112)  .(.Pas de propriétaire - Pas de description.) - LEGACY_74153112    
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\oiplgd.sys (.not file.) - aic32p (aic32p)  .(.Pas de propriétaire - Pas de description.) - LEGACY_AIC32P    
O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_15.12.2010_12-23drv (setup_9.0.0.722_15.12.2010_12-23drv)  .(.Pas de propriétaire - Pas de description.) - LEGACY_SETUP_9.0.0.722_15.12.2010_12-23DRV   


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu 
as mis en mémoire  
* Clique sur le bouton CTFFix qui se trouve à droite
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse

SangokuSSJ4 · Answer

Rapport de ZHPFix 1.12.3227 par Nicolas Coolman, Update du 16/12/2010
Fichier d'export Registre : 
Run by Kurah at 17/12/2010 09:12:13
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
CTFDisabled  => Donnée supprimée avec succès


========== Récapitulatif ==========
1 : Elément(s) de donnée du Registre


End of the scan

Utilisateur anonyme · Answer

Bonjour
Est-ce que tu as lancé 2 fois ZHPFix ?

SangokuSSJ4 · Answer

oui en fait la première fois ça a planté (le fameux message envoyer un rapport d'erreur)

Utilisateur anonyme · Answer

Pourrais tu refaire ZHPDiag pour que je vois quelque chose

SangokuSSJ4 · Answer

Voilà :) 

Rapport de ZHPFix 1.12.3228 par Nicolas Coolman, Update du 19/12/2010
Fichier d'export Registre : C:\ZHPExportRegistry-19-12-2010-23-56-53.txt
Run by Kurah at 19/12/2010 23:56:53
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKLM\Software\AskBarDis  => Clé absente
HKLM\Software\InstallPedia  => Clé absente
O53 - SMSR:HKLM\...\startupreg\IP Network [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\InstallPedia
etworker.exe  => Clé absente
O64 - Services: CurCS - C:\Program Files\InstallPedia\service.exe (.not file.) - service de mise a jour pour IP networker (IP netservices) .(.Pas de propriétaire - Pas de description.) - LEGACY_IP_NETSERVICES  => Clé absente
SS - | Auto 14/11/2005 0 | C:\Program Files\InstallPedia\service.exe (IP netservices) . (.Pas de propriétaire.) - C:\Program Files\InstallPedia\service.exe  => Clé absente
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} . (.Pas de propriétaire - Pas de description.) -- (.not file.)  => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]  => Clé supprimée avec succès
[HKCR\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]  => Clé supprimée avec succès
O23 - Service: (IP netservices) - Clé orpheline  => Clé absente
O64 - Services: CurCS - (.not file.) - 74153111 (74153111) .(.Pas de propriétaire - Pas de description.) - LEGACY_74153111  => Clé absente
O64 - Services: CurCS - (.not file.) - 74153112 Boot Guard Driver (74153112) .(.Pas de propriétaire - Pas de description.) - LEGACY_74153112  => Clé supprimée avec succès
O64 - Services: CurCS - C:\WINDOWS\system32\drivers\oiplgd.sys (.not file.) - aic32p (aic32p) .(.Pas de propriétaire - Pas de description.) - LEGACY_AIC32P  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - setup_9.0.0.722_15.12.2010_12-23drv (setup_9.0.0.722_15.12.2010_12-23drv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SETUP_9.0.0.722_15.12.2010_12-23DRV  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe  => Valeur absente
O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe  => Valeur absente
O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe  => Valeur absente
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur absente
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur absente
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe  => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Kurah\LOCALS~1\Temp\winkriu.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Kurah\LOCALS~1\Temp\windvncjn.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente
O47 - AAKE:Key Export SP - "C:\DOCUME~1\Kurah\LOCALS~1\Temp\winpnfmy.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente
O47 - AAKE:Key Export SP - "C:\Inxppect v1.5.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente
O47 - AAKE:Key Export SP - "C:\Bases\mwavscan.com" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --  => Valeur absente

========== Fichier(s) ==========
c:\program files\installpedia
etworker.exe ()   => Fichier absent
c:\program files\installpedia\service.exe ()   => Fichier absent


========== Récapitulatif ==========
13 : Clé(s) du Registre
11 : Valeur(s) du Registre
2 : Fichier(s)


End of the scan

Utilisateur anonyme · Answer

Bonjour
On va faire un scan généraliste

Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller

SangokuSSJ4 · Answer

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5365

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/12/2010 15:14:34
mbam-log-2010-12-21 (15-14-34).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 319328
Temps écoulé: 1 heure(s), 13 minute(s), 44 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Kurah\local settings\application data\Mozilla\Firefox\Profiles\dc2qjwfo.default\Cache(5)\92e5fdf9d01 (Trojan.Dropper) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Bonjour
Vide la quarantaine de Malwarebytes
Comment se comporte le PC maintenant ?

SangokuSSJ4 · Answer

Le PC va bien, rapide, pas de virus détecté nikel quoi, mais le mode sans échec marche toujours pas.

En tout cas merci beaucoup pour ton aide concernant le virus c'est super !!! Il a disparu et j'ai pas eu besoin de formatter (ouf lol) :)

Utilisateur anonyme · Answer

Nettoie tous les outils
Télécharge DelFix (d'Xplode) sur ton bureau.

Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
  
Sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

Utilisateur anonyme · Answer

Bonsoir
*Réactive ta restauration :
Clique droit sur Poste de travail,  clique sur Propriétés, puis sur Restauration système                                                                                           Décoche la case désactiver la restauration                                                                                                                                                                       Clique sur appliquer, puis sur OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). 

Créer un point de restauration propre manuellement:
Démarrer, Programmes
Va dans accessoires, et dans outils système
Sélectionne restauration système
Clique sur suivant
Entre la date du point de restauration que tu veux créer
Clique sur créer, et le point de restauration se crée automatiquement

SangokuSSJ4 · Answer

J'ai pas restauration système dans le panneau de config. Je suis sous XP, mais je peux le faire via msconfig :)

Encore merci pour ton aide :)

Utilisateur anonyme · Answer

Bonjour
Relis bien ma procédure, c'est pas dans le panneau de configuration qu'il faut aller

Utilisateur anonyme · Answer

Bonjour
Un dernier petit nettoyage pour ton PC, on va passer C Cleaner pour nettoyer les 
fichiers temporaires, les cookies, vider le cache du navigateur, et nettoyer
le registre, Ce logiciel, c'est pour l'optimisation seulement

Télécharge C Cleaner Slim
   * Enregistre le sur le Bureau
   * Double-clique sur le fichier pour lancer l'installation
   * Sur la fenêtre de l'installation langage bien choisir français et OK
   * Clique sur suivant
   * Lit la licence, et clique sur j'accepte
   * Clique sur suivant, sur installer, puis sur fermer
   * Double-clique sur l'icône de C Cleaner pour l'ouvrir
   * Clique sur option, et puis avancé
   * Tu décoches effacer uniquement les fichiers du dossier temp de windows plus vieux que 48 heures
   * Clique sur nettoyeur
   * Clique sur windows, et dans la colonne avancé
   * Coche la première case vieilles données du perfetch que celle-là, ce qui te donnes la case vieilles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-là
   *  Clique sur analyser 
   *Clique sur nettoyer et sur la demande de confirmation OK. Tu recommences jusqu'à ce que C Cleaner ne trouve plus rien
   * Clique maintenant sur registre et puis sur chercher les erreurs
   *  Laisse tout coché, et clique sur corriger les erreurs sélectionnées
   *Il te demande de sauvegarder OUI
   *Tu lui donnes un nom pour pouvoir la retrouver et enregistre
   * Clique sur chercher les erreurs sélectionnées et sur la demande de confirmation OK
   * Il supprime, et fermer, tu vérifies en relançant chercher les erreurs
   *Tu retournes dans options, et tu recoches la case effacer uniquement les fichiers, du dossier temps de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du prefetch
   * Tu peux fermer C Cleaner

Dernières recommandations pour préserver et entretenir ton PC:

*Il faut garder Malwarebytes pour scanner une fois de temps en temps ton PC, et
pense à le mettre à jour avant chaque scan.
*Pense à garder à jour Windows et tous tes logiciels pour éviter les failles de sécurité
*Nettoye ton PC régulièrement avec C Cleaner.
*Il faut défragmenter régulièrement le disque dur pour éviter les ralentissements,
et une usure trop rapide du disque dur.
*Soit prudente quand tu surfes, et fait attention lorsque tu installes un logiciel gratuit 
et que tu le mets à jour, il faut refuser les compléments, telles que les barres d'outil.
*Ne télécharge pas de logiciel que tu ne connais pas, sur des sites que 
tu ne connais pas.
*Mieux vaut télécharger des logiciels connus sur des sites de très bonne réputation,
si tu as un doute sur un logiciel que tu veux télécharger, vérifie d'abord sa légitimité.
Je conseille de télécharger les logiciels sur les sites officiels.
*Les logicels P2P( Shaeraza, Bittorent, Emule, limewire), sont à bannir, car
on risque de télécharger avec des fichiers infectés. Attention, ne télécharge jamais 
de cracks avec les logiciels P2P, car tu risques d'attraper le Bagle (ver), ou le Virut, 
virus dangereux.
*Sache que le meilleur anti-virus, c'est ta propre vigilence.
*Fait très attention aussi aux pubs qui proposent des faux logiciels de sécurité, 
ne clique pas sur les bannières publicitaires qui proposent des rogues
*Ne télécharge aussi jamais de logiciels proposés par EoRezo, car ils sont 
néfastes. Ils peuvent modifier la page d'accueil et la base de registre.
*Il est indispensable de faire des sauvegardes régulièrement dans un support
externe, car en cas d'infection, tu auras un double des tes documents importants.


Pour ceux qui ont Firefox, je conseille ce module qui nous prévient si on visite
un site dangereux
https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

Pour ceux qui ont Internet Explorer 8, je recommande ce
module qui prévient si on visite un site dangereux
https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Je t'invite à lire ce document suivant:
http://www.malekal.com/fichiers/projetantimalwares/
ProjetAntiMalware-courte.pdf

Virus W32/Sality Au secours !!!

27 réponses

Discussions similaires