Sujet Précédent Sujet Suivant

Pc infecté qui plante et désactive antivir!

Résolu/Fermé
lilium6 - 17 mai 2011 à 11:35
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 28 mai 2011 à 18:50
Bonjour,

Windows XP / Internet Explorer 8.0

Depuis une semaine, j'ai des virus sur mon pc. ca a commencé par :

Cheval de troie TR/Trash.gen et cheval de troie TR/fake.rean.741

Puis hier soir, mon pc s'éteint tout seul, impossible de le rallumer, écran noir.
Je me suis servie du cd de réinstallation pour lancer une restauration. Ensuite je découvre que les virus ont désactivé antivir et je ne peux pas le relancer. J'ai passé malwaresbytes qui m'a détecté 3 rootkit.tdss + trojan.fakems + trojan.exeshell.gen

Le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6593

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17/05/2011 00:52:42
mbam-log-2011-05-17 (00-52-42).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 344054
Temps écoulé: 1 heure(s), 16 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\hp_administrateur\local settings\temp\rneosxcwam.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\documents and settings\hp_administrateur\local settings\temp\15B5.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\documents and settings\hp_administrateur\local settings\temp\15B6.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
c:\system volume information\_restore{512df77d-45b5-4ae1-9c2a-ec48b0f584c1}\RP1611\A0607281.DLL (Trojan.FakeMS) -> Quarantined and deleted successfully.

Antivir vient de redémarrer donc je passe un scan. Je posterais le rapport dés qu'il sera fini. Je pense que mon pc n'est pas clean. Est ce que vous pouvez m'aider à réparer ca ? Merci beaucoup.
A voir également:

88 réponses

Précédent
Réponse 21 / 88
lilium6
17 mai 2011 à 21:33
Re, le scan ne se fait pas et le programme se bloque. Je n'ai plus de barre de taches. L'antivirus s'est redéconnecté tout seul.
0
Réponse 22 / 88
lilium6
17 mai 2011 à 23:26
Bonsoir,

Voici le rapport de malwarebytes :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6599

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

17/05/2011 23:23:36
mbam-log-2011-05-17 (23-23-36).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 347977
Temps écoulé: 1 heure(s), 37 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Mais je n'ai pas pu faire OTL avant, .... Bonne nuit et a demain si tu peux. Merci
0
Réponse 23 / 88
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
17 mai 2011 à 23:39
Re,

Pour le scan avec OTL, peut-être que Kaspersky bloque cette correction.

C'est assez surprenant les symptômes que tu décris.
Pour l'antivirus, c'est peut-être aussi le fait du conflit entre les deux AV.

-------------------------

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+
0
Réponse 24 / 88
lilium6
18 mai 2011 à 10:29
Bonjour,

Merci pour tes conseils. Je vais faire Combofix cet apres midi, là je n'ai pas le temps. Pourquoi faut il brancher des supports amovibles? J'ai juste la clé usb de ma fille... Je poste le rapport tout à l'heure.
A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 88
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 mai 2011 à 11:32
Lors de l'utilisation de Combofix, il te sera demandé de désactiver les antivirus.
Si tu n'arrives pas à désactiver kaspersky, passe outre l'avertissement et effectue l'analyse.

A+
0
Réponse 26 / 88
lilium6
18 mai 2011 à 16:46
Re, j'ai un problème. Combofix s'est déroulé normalement, l'ordinateur a redémarré mais je n'ai pas de rapport. Dans C , il y a combofix mais ca n'est pas un dossier mais un ordinateur et ca dit : Affiche les lecteurs de disques et le matériel connecté à cet ordinateur. quand je passe la souris dessus!
0
Réponse 27 / 88
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 mai 2011 à 20:19
Re,

Regarde si il y a un fichier texte en C:\combofix.txt

A+
0
Réponse 28 / 88
lilium6
18 mai 2011 à 20:21
Non, il n'y a aucun fichier texte! Par contre, mon anti virus a fait sa mise à jour ce soir et ca a l'air de mieux marcher
0
Réponse 29 / 88
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 mai 2011 à 20:44
lilium6,

Bon signe mais pour l'instant cela ne se passe pas idéalement.
Les outils ont du mal à passer et à faire leur travail.

On va vérifier l'état du PC.

Relance OTL et choisis Analyse rapide.
poste le rapport en utilisant le site cjoint.com.

A+
0
Réponse 30 / 88
lilium6
18 mai 2011 à 21:25
Voilà le résultat OTL

http://cjoint.com/?AEsvyI4nEKf
0
Réponse 31 / 88
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
Modifié par verni29 le 18/05/2011 à 21:51
Re,

l'infection est toujours présente. :-(

On va réutiliser Combofix mais en mode sans échec avec prise en charge réseau ( pour l'accès au net ).

1/ Commence par désinstaller Combofix.

Démarrer --> exécuter tape : 
Combofix /uninstall

2/ redémarre le PC et tapote sur la touche F5 ( ou F8 ) pour accéder aux options de démarrage.

# Chois le mode sans échec avec prise en charge réseau.
# utilise ton compte utilisateur.

Sous ta session, lance combofix .

# Si tu as un problème de connexion au net, indique le moi.
# Si l'outil fonctionne, redémarre ton PC et sous ta session windows, poste le rapport.

A+

Allez jusqu'au bout de la procédure de désinfection.
0
Réponse 32 / 88
lilium6
18 mai 2011 à 22:00
Re,

Merci pour tout le temps que tu prends à résoudre mon problème. Pour être sur, faut il que je retélécharge combofix par ton lien ? ( car il a fallu que je le mette à jour ) Est ce que c'est normal?
0
Réponse 33 / 88
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 mai 2011 à 22:02
Re,

Oui, tu le retélécharges.

A+
0
Réponse 34 / 88
lilium6
18 mai 2011 à 22:19
Combofix m'annonce que antivir est actif alors que je suis en mode sans échec et qu'il est désactivé ainsi que le pare feu. Je fais quoi? Ca me dit que ca peut causer des dégats si je poursuis malgré tout. Je poursuis?
0
Réponse 35 / 88
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 mai 2011 à 22:23
Des dégats ? Non.

Antivir aurait du être désactivé en mode sans échec.
Regarde tout de même dans la barre des taches si antivir est actif.

Sinon, oui, poursuis l'analyse.

A+
0
Réponse 36 / 88
lilium6
18 mai 2011 à 22:49
Re,

Voici le rapport :

http://cjoint.com/?AEswVrHJj9n

Pour info, j'ai eu 4 messages pendant le déroulement de combofix me demandant si je voulais rester en mode sans échec. J'ai cliqué oui à chaque fois. J'ai déjà choppé une fois un virus mais là !

A+
0
lilium6
19 mai 2011 à 00:09
Je vais me coucher, A+
0
Réponse 37 / 88
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 mai 2011 à 09:17
Re,

Il y a vraiment du ménage à faire sur le PC.

Désinstalle PC-Doctor 5 for windows.
Il y a déjà assez de protections sur le PC. ;-)

Pour Active Virus Shield, essaie cet outil pour essayer de le désinstaller.
http://downloads1.kaspersky-labs.com/utils/KIS6/REMOVER/KisKav6Remove.zip
Les consignes sont les suivantes : 
1. Boot to safe mode
2. unpack these files to any temporal folder
3. run avp_remove.cmd
4. reboot

Redémarre donc le PC en mode sans échec, dézippe l'archive et lance le fichier avp_remove.cmd puis redémarre le PC sous ta session.

Tu te connectes avec SFR ? Oui ?
Utilises-tu toujours ces outils d'AOL ?

------------------------------------------

Sous windows, fais la manip suivante :
Relance OTL.

* clique sur aucun
* Puis sous personnalisation , copie le texte suivant : 

C:\e9c6af05f2a48107c7db\*.* /s
C:\Documents and Settings\All Users\Application Data\3kf68ax70480i5080438whe3w2m71qndd\*.* /s
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Reinstall /s


* Clique ensuite sur Analyse.

L'analyse va à peine prendre quelques secondes. Un rapport va s'ouvrir.
Poste le dans ta prochaine réponse.

Utilise le site https://www.cjoint.com/ pour poster le rapport.

A+
0
Réponse 38 / 88
lilium6
19 mai 2011 à 11:22
Bonjour,

PC doctor est désinstallé sans problèmes, par contre j'ai téléchargé kiskave 6 puis redémarré en mode sans échec mais du coup, je ne l'ai pas qui apparait. Est ce que je démarre en mode sans échec avec prise en charge réseau pour le télécharger?

Je me connecte surtout avec internet explorer mais j'ai gardé mon adresse aol et mon mari aime bien l'interface. Maintenant si tu penses qu'il faudrait mieux enlever tout ça...

A+
0
Réponse 39 / 88
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 mai 2011 à 13:48
Si tu as téléchargé le fichier .zip sur ton bureau, tu devrais le retrouver en mode sans échec.

Sinon, oui, tu peux passer par le mode sans échec.
0
Réponse 40 / 88
lilium6
19 mai 2011 à 14:05
Re

Bon ca ne fonctionne pas du tout comme tu me le dis. J'ai téléchargé et dézippé en mode sans échec et quand je clique sur avp-remove.cmd, je ne peux rien choisir, j'ai direct une page avec des lignes qui défilent très vite et le fichier se ferme tout seul !!

Au secours....
0
lilium6
19 mai 2011 à 14:15
Active Virus Shield est toujours là O(
0