Virus détecté, que faire? Résolu/Fermé

Question

Bonjour,   

Je suis bien embèté, j'ai choppé un virus, Trojan.Win32.Pirminay.clx, un antiprogramme d'après mon antivirus.   

J'utilise f secure comme antivirus.   

Dans un premier temps, il me met virus impossible à supprimer, renommé. Ensuite, j'ai voulu le supprimer manuellement. J'ai été le chercher dans mes fichiers, j'ai essayé de le mettre à la corbeille. Et là l'antivirus me met, mise en quarantaine du virus. Je n'ai pas très bien compris.  

Ensuite, j'essaye d'aller voir où il l'a mis en quarantaine. Impossible. Une page windows s'ouvre: "Vos paramètres de sécurité internet ont empèché l'ouverture d'un ou plusieurs fichiers." Ce message s'affiche également lorsque j'essaye d'ouvrir l'utilitaire de diagnostic de f secure.  

J'ai l'impresion que le virus est toujours actif, car j'utilise firefox comme navigateur, mais de temps en temps internet explorer s'ouvre et affiche une page de publicité, alors que je n'ai rien demandé.  

Autre chose aussi: J'essaye d'analyser mon ordinateur à l'aide de mon antivirus, mais la touche analyse ne fonctionne plus, rien ne se passe. Pareil pour la touche paramètre avancés de l'antivirus, rien ne se passe.   

Un tout grand merci d'avance pour votre aide !  


Configuration: Windows 7 / Firefox 3.6.13

Malekal_morte- · Answer

Salut,

c'est détecté dans quel fichier ?

alfa-papa · Answer

Salut.

A la base il le détectait dans les fichier temporaires *	C:\Users\Adrien\AppData\Local\Temp\Vcf.exe
Là ou il l'avait renommé. A partir de là j'ai voulu le supprimer manuellement en le mettant à la corbeille. 
Et là je ne saurais dire ce qu'il s'est passé, il n'est plus dans les fichiers temporaire et mon antivirus l'a mis en quarantaine. Etant donné que je ne sais plus faire d'analyse avec mon antivirus, ni cliquer sur l'onglet des éléments mis en quarantaine dans mon antivirus, je ne sais pas ou il se trouve actuellement. Mais il est toujours actif, des pages internet n'arretent pas de s'ouvrir avec différentes publicité, alors que j'utilise firefox.

Malekal_morte- · Answer

OK c'est ça : https://forum.malekal.com/viewtopic.php?t=21809&start=

Je te laisse voir comment cette infection se propage....


~~

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   
Mets le à jour, fais un scan, supprime tout et poste le rapport ici.   



puis :   

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/   

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.   
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)   

* Lance OTL   
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :   
netsvcs  
msconfig  
safebootminimal  
safebootnetwork  
activex  
drivers32  
%ALLUSERSPROFILE\%Application Data\*.  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%APPDATA%\*.  
%APPDATA%\*.exe /s  
%temp%\.exe /s  
%SYSTEMDRIVE%\*.exe  
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\Tasks\*.job /lockedfiles  
%systemroot%\system32\drivers\*.sys /lockedfiles  
%systemroot%\System32\config\*.sav  
/md5start  
explorer.exe  
winlogon.exe  
wininit.exe  
/md5stop  
CREATERESTOREPOINT  
nslookup www.google.fr /c   
* Clique sur le bouton Analyse.   
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

alfa-papa · Answer

Oui j'avoue, je l'ai choppé en téléchargeant une keygen. Je serai plus prudent la prochaine fois. Je fais tout ca, et j'envois ! Merci pour ton aide !

alfa-papa · Answer

Malwarebyte: J'ai fait un scan rapide, et un scan complet pour être sûr. J'ai supprimé les fichiers infectés, et j'ai maintenant 11 fichiers en quarantaine. Dois je les supprimer ou les restaurer? 

Voici le rapport du scan rapide: 
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5658

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

2/02/2011 11:51:54
mbam-log-2011-02-02 (11-51-54).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 30583
Temps écoulé: 5 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
c:\Users\Adrien\AppData\Local\Temp\Vch.exe (Trojan.Agent) -> 732 -> Unloaded process successfully.
c:\Users\Adrien\AppData\Local\Temp\Vci.exe (Trojan.Agent) -> 1192 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CE8SIIFGSU (Trojan.Agent) -> Value: CE8SIIFGSU -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Adrien\AppData\Local\Temp\Vch.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Adrien\AppData\Local\Temp\Vci.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Et voici le rapport du scan complet:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5658

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

2/02/2011 13:26:41
mbam-log-2011-02-02 (13-26-41).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 292342
Temps écoulé: 1 heure(s), 27 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
c:\Users\Adrien\AppData\Local\Temp\Vci.exe (Trojan.Agent) -> 3232 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\3ETECE6I8G (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\CE8SIIFGSU (Trojan.Agent) -> Value: CE8SIIFGSU -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Adrien\AppData\Local\Temp\Vci.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> Quarantined and deleted successfully.

J'attend ta réponse pour la suite. Merci

alfa-papa · Answer

Après suppression complète:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5658

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

2/02/2011 15:42:42
mbam-log-2011-02-02 (15-42-42).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 289770
Temps écoulé: 1 heure(s), 32 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Analyse OTL en cours...

alfa-papa · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijgoa3mnl.txt pour le lien OTL, 
http://www.cijoint.fr/cjlink.php?file=cj201102/cijgI5pTbW.txt pour le lien extras.

Encore merci de ta patiente !

Malekal_morte- · Answer

C'est correcte.

Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :

https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14

https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9

Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :

https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen

https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

alfa-papa · Answer

Un grand merci pour l'aide et les infos. Je ferai plus attention à l'avenir. 
A plus

Virus détecté, que faire?

9 réponses

Discussions similaires