Virus qui apparait après formatage

Résolu/Fermé
céne -  
 céne -
Bonjour, j'ai un problème avec mon ordi je m'explique Après avoir formaté avec les 3 cd de restauration avast détecte (uniquement avec un scan au démarrage) un fichier infecté c:\bin... que j'ai supprimé. De plus avast détecte également dcom exploit régulièrement dont j'ai résolu le problème en désactivant le port 135 dans le par feu windows. Et enfin malwaresbytes anti malware detecte un trojan que j'ai supprimé egalement. Etant novice en informatique je ne sais pas si tout cela peut se résoudre pour ne plus avoir ce ou ces virus après un prochain formatage car il(s) revient (nnent) après chaque formatage.
j'ai attrapé cette bête après avoir telecharger un crack winrar d'un éditeur inconnu je sais pas très malin de ma part. Merci pour vos conseils.

34 réponses

  • 1
  • 2
Résumé de la discussion

Après formatage, les outils antivirus signalent des menaces persistantes (fichier infecté au démarrage, DCOM exploit et trojan), et la machine se réinfecte à chaque réinstallation, notamment après le téléchargement d’un crack WinRAR.
Plusieurs solutions préconisent Dr.Web CureIt en mode sans échec, puis une désinfection, l’enregistrement du rapport et la mise en quarantaine des éléments détectés.
D'autres interventions évoquent Combofix et la désactivation du port 135 du pare-feu pour contrer DCOM, tout en soulignant l’importance d’éviter les sources douteuses et cracks.
En cas de doute persistant, il est conseillé de réanalyser le système après redémarrage avec différents outils et de ne pas réutiliser les fichiers ou programmes obtenus sur des sources non fiables.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut ne paye pas un pro :

    ▶ Télécharge Dr Web CureIt sur ton Bureau :

    ▶ redemarre en mode sans échec

    ▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

    ▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

    Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

    ▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
    ▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

    selectionne tous les disques

    ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    ▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
    ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

    ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

    ensuite :

    tu m'envoies l'archive comme ceci :

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶- Ferme Dr.Web Cureit
    ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
    3
  2. gen-hackman
     
    c'est normal c'est sur un cd:)

    # H:\ # Disque CD-ROM
    2
  3. céne
     
    je n'ai pas fait la procedure parce que deja faite il y a 1h dont voici les rapport ci dessus
    1
    1. céne
       
      dois je la faire quand meme?
      0
  4. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 381
     
    Bjr
    dans ce cas c'est un virus de boot qui ne s' élimine définitivement avec un formatage de bas niveau ou remplissage avec des zéros

    cet outil se trouve chez le fabricant de ton DD

    il me semblait pourtant qu'avast se disait capable de traiter les rootkits avec un scan au démarrage!

    cette zone de boot n'est accessible a aucun antivirus, d'où la difficulté de desinfection
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. céne
     
    merci d'avoir pris la peine de me répondre c'est ce que je craignait etant novice je ne serait pas capable de réaliser cette opération de bas niveau je vais très certainement faire faire cette opération par un pro merci beaucoup pour ta réponse
    0
    1. céne
       
      dernieres questions si tu me permet. Y a t- il un risque sur la securité de mes informations bancaire...? Ce virus de boot créer t il des ralentissements sur mon pc ? Puis-je faire l'operatio de formatage de bas niveau dans 2 mois sans risque de deterioration du disque dur?
      0
  7. céne
     
    Merci pour ton aide mais je ne suis pas sur de savoir réaliser tout ceci mais je vais y réflechir laisse moi un peu de temps 1 ou 2 jours je dois m'absenter merci encore je te tiens au courant .
    0
  8. gen-hackman
     
    ok pas de soucis t'inquiete on devrait pouvoir régler ca ! :)
    0
  9. céne
     
    salut gen-hackman tout d'abord merci pour la clarté des démarches a faire. J'ai donc fait les deux analyses mais drweb n'a pas trouvé de virus. Je n'ai donc pas pu enregistrer le rapport.

    j'aimerai t'expliquer mon problème plus clairement que dans le sujet.

    En décembre 2010 j'ai attrapé un trojan que j'ai supprimé puis j'ai fait un formatage. Suite a cela j'ai fait un scan au démarrage avec avast qui m'a trouvé un fichier infecté c:\bin...est infecté par ... que j'ai supprimé. Ensuite j'ai fait un scan avec malwarebytes qui a trouvé un trojan que j'ai supprimé.

    Après de nouveaux formatage de nouveau scan avast qui trouve le même fichier infecté que j'ai supprimé et de nouveau scan avec malwarebytes qui trouve le même trojan que j'ai supprimé. puis j'ai fait des recherche sur internet concernant une alerte régulière d'avast "dcom exploit a été détecté port 135"afin de savoir comment désactiver ce port et je l'ai donc désactivé. Depuis plus d'alerte d'avast.

    Je n'est pas fait de formatage depuis que j'ai désactivé ce port 135
    le virus qui réapparaît après formatage ne viendrait-il pas du fait que ce port n'était pas désactiver ?
    0
  10. gen-hackman
     
    possible mais je ne sais à quelle sorte d'infection il fait reference je l'ai pas dans ma liste ...

    79 Firehotcker
    80 Executor
    110 ProMail Trojan
    121 JammerKillah
    421 TCP Wrappers
    456 Hackers Paradise
    531 Rasmin
    555 Ini-Killer, Phase Zero, Stealth Spy
    666 Satan's Backdoor, Attack FTP
    0
  11. céne
     
    je croit que ce n'est pas une infection mais une intrusion
    0
  12. céne
     
    Je verrai bien la prochaine fois que je formate si le virus est encore la j"applique la meme procedure pour le supprimé avast et malwaresbytes et voila. Mon pc ne bug pas et n'est plus infecté c'est le principal ! Je te suis très reconnaissant de l'aide que tu ma apporté merci beaucoup.
    0
  13. céne
     
    nom du fichier infecté detecté par avast au scan de demarrage:
    C:\HP\Bin\EndProcess.exe est infecté par win32:KillApp-w[PUP]

    nom detecté par avast toute les heure environ :Dcom exploit a été détecté
    action: bloqué avec une adreesse ip qui change seul le port ne change pas(135)

    nom détécté par malwaresbytes:trojan
    0
  14. céne
     
    Peut être ne faut il pas supprimé hp\bin\endprocess.exe après restauration car apparemment c'est un programme qui sert a la restauration usine.

    D'après un autre forum il faut le mettre en quarantaines puis l'analysé en quarantaine s'il est infecté le supprimé si il n'ai pas infecté l'exclure dans avast enfin quelque chose comme ça car je n'ai pas compris les thermes faux positif et poitrine. Qu'est que c'est? je ne sais plus si je dois le supprimé ou le mettre en quarantaine la prochaine fois que je formate et qu' il me détectera ce fichier infecté. Merci de me conseiller la dessus pour clore le chapitre
    0
  15. céne
     
    ok merci pour tous
    0
    1. céne
       
      ouuuups je voulais dire merci pour tout
      0
    2. gen-hackman
       
      lol
      0
  16. céne
     
    Salut quelqu'un peut il m'aider voila en faite j'avais le virus bagle j'ai donc passer findykill et zip scan.j'ai fait la desinfection mais il reste un detail qui me chagrine sur le rapport de findykill:H:\autorun.inf ???? pouvez vous me dire si c'est un fichier infecté et si oui comment le desinfecté ou le supprimer.pouvait vous m'envoyer la procédure pour envoyer le rapport merci de votre aide
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      céne bonjour, je pense que gen va te répondre , mais si tu avais le rapport de findykill cela serait pas mal , sinon perso sur une chose comme H:\autorun.inf je te proposerais de passer USBfix mode SUPPRESSION !!

      * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


      * Telecharges et installes: http://www.teamxscript.org/usbfixTelechargement.html



      (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


      * Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

      * choisi l'option 2 ( Suppression )

      * Ton bureau disparaitra et le pc redémarrera .

      * Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

      * Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

      * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

      ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


      Pendant son nettoyage, l'outil a récolté certains fichiers infectieux.
      Nous vous demandons de nous les faire parvenir pour des futures mises à jour, ainsi que pour un meilleur traitement des infections.
      Nous vous remercions pour votre contribution.



      .UsbFix te proposera d'uploader un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097

      Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.

      Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

      Merci d'avance pour ta contribution !!
      0
  17. céne
     
    ok merci j'essaye
    0
    1. céne
       
      oui j'ai le rapport de findykill mais je ne sais pas l'envoyé peut tu me mettre le lien ci joint pour l'envoi et la procédure merci excuse moi mais c'est la premiere fois que j'utilise le forum
      0
    2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      envoie-le sur : http://www.cijoint.fr/index.php

      fais parcourir comme sur la capture d'écran : http://sd-1.archive-host.com/membres/images/89820622056365782/cijoint_ima_1.jpg

      recherche le rapport :http://sd-1.archive-host.com/membres/images/89820622056365782/cijoint_ima2.jpg

      sélectionne le rapport soit en cliquand dessus et ouvrir ou en double cliquand dessus

      et puis sur " cliquer ici pour déposer le fichier " : http://sd-1.archive-host.com/membres/images/89820622056365782/cijoint_ima3.jpg

      un lien bleu de cette forme va apparaitre :

      Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier. 
      C'est ce même lien que vous devrez transmettre à vos correspondants
      http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 
      


      comme sur l'image:
      http://sd-1.archive-host.com/membres/images/89820622056365782/cijjoint_ima4.jpg

      et c'est ce lien qu'il te faut copier coller sur la discution , merci
      0
  18. céne
     
    ############################## | FindyKill V5.052 |

    # User : ced (Administrateurs) # CED-PC
    # Update on 23/10/2010 by El Desaparecido
    # Start at: 20:35:16 | 19/02/2011
    # Website : http://www.teamxscript.org/
    # Contact : eldesaparecido@teamxscript.org

    # AMD Athlon(tm) II Dual-Core M320
    # Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-bit) #
    # Internet Explorer 8.0.7600.16385
    # Windows Firewall Status : Enabled

    # C:\ # Disque fixe local # 284,1 Go (248,95 Go free) # NTFS
    # D:\ # Disque fixe local # 13,7 Go (2,22 Go free) [RECOVERY] # NTFS
    # E:\ # Disque fixe local # 99,34 Mo (96,74 Mo free) [HP_TOOLS] # FAT32
    # F:\ # Disque CD-ROM
    # G:\ # Disque amovible # 7,45 Go (627,86 Mo free) [KINGSTON] # FAT32
    # H:\ # Disque CD-ROM # 0,86 Mo (0 Mo free) [HP Launcher] # CDFS
    # I:\ # Disque fixe local # 297,44 Go (105,89 Go free) [HP SimpleSave] # NTFS

    ################## | Eléments infectieux |

    (!) Non supprimé ! H:\autorun.inf

    ################## | CRC32 ... |

    ################## | Registre |

    ################## | Etat |

    # Mode sans echec : OK

    # Affichage des fichiers cachés : OK

    # Uac : OK

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
    # Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 )
    # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
    # windefend -> Start = 2 ( Good = 2 | Bad = 4 )
    # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
    # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

    ################## | Fichiers corrompus |

    ... OK !

    ################## | Upload |

    Veuillez envoyer le fichier : C:\FindyKill_Upload_Me_ced-PC.zip : http://www.teamxscript.org/Upload.php
    Merci pour votre contribution .

    ################## | ! Fin du rapport # FindyKill V5.052 ! |
    0
    1. céne
       
      rapport findykill
      0
  • 1
  • 2