Virus cluster défectueux win7
Résolu
Guillaume
-
Guillaume -
Guillaume -
A voir également:
- Virus cluster défectueux win7
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
74 réponses
Hello,
Nous allons essayer de régler ton problème ensemble. D''abord, quelques rappels :
▶ N''ouvre pas d''autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
▶ N''hésite pas à poser des questions en cas de besoin ;)
▶ Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
▶ La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l''infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu''au bout, sinon ce qu''on a fait n''aura servi à rien.
Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique.
désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu
Télécharge Pre_scan (de gen-hackman)
♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau
▶ Exécute Pre_scan. Si l''outil détecte un proxy et que tu n''en as pas installé clique sur "supprimer le proxy"
♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Nous allons essayer de régler ton problème ensemble. D''abord, quelques rappels :
▶ N''ouvre pas d''autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
▶ N''hésite pas à poser des questions en cas de besoin ;)
▶ Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
▶ La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l''infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu''au bout, sinon ce qu''on a fait n''aura servi à rien.
Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique.
désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu
Télécharge Pre_scan (de gen-hackman)
♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau
▶ Exécute Pre_scan. Si l''outil détecte un proxy et que tu n''en as pas installé clique sur "supprimer le proxy"
♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Re,
Décidément, il est coriace ce rootkit. On va chercher à remplacer les fichiers qu'il utilise pour effectuer ses actions malveillantes...
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
Décidément, il est coriace ce rootkit. On va chercher à remplacer les fichiers qu'il utilise pour effectuer ses actions malveillantes...
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll:: SRPeek:: C:\Windows\system32\DRIVERS\ndiswan.sys C:\Windows\system32\DRIVERS\netbt.sys Quit::
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
Humm on dirait que pre_scan a eu du mal de travailler, le rapport est incomplet...
Copie ce texte en gras sans les lignes :
______________________________
host::
______________________________
Lance pre_script qui est sur ton bureau
Dans le fichier du bloc note qui s'ouvre, colle le texte copié
Fichier>Enregistrer
Ferme le bloc note
Poste le rapport qui s'ouvrira à la fin
.::. Contributeur Sécurité .::.
Copie ce texte en gras sans les lignes :
______________________________
host::
______________________________
Lance pre_script qui est sur ton bureau
Dans le fichier du bloc note qui s'ouvre, colle le texte copié
Fichier>Enregistrer
Ferme le bloc note
Poste le rapport qui s'ouvrira à la fin
.::. Contributeur Sécurité .::.
non ....
828 | c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe - Système - Normal - "c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe" - 544
2704 | C:\Program Files\Microsoft Security Client\msseces.exe - Guillaume - Normal - "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey - 2140
828 | c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe - Système - Normal - "c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe" - 544
2704 | C:\Program Files\Microsoft Security Client\msseces.exe - Guillaume - Normal - "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey - 2140
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai refais tourner pre_scan en copiant le texte en gras dans le rapport mais lors de l'exécution le programme a planté.
voici quand même le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201105/cij83wcrZk.txt
voici quand même le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201105/cij83wcrZk.txt
ah c'est l installation de pre_script qui bloque le prog regarde juju
FileWriteLine($txt, "¤¤¤¤¤¤¤¤¤¤ Listing Tasks")
code
c'est pour cela qu'il stoppe ici au scan je pense que le programme doit etre lancé dans la sandbox de l'antivirus
FileInstall("Pre_Script.exe", @DesktopDir & "\Pre_Script.exe")
ProgressOn("Pre_Scan", "Réattribution Fichiers | Dossiers")
code
FileWriteLine($txt, "¤¤¤¤¤¤¤¤¤¤ Listing Tasks")
code
c'est pour cela qu'il stoppe ici au scan je pense que le programme doit etre lancé dans la sandbox de l'antivirus
FileInstall("Pre_Script.exe", @DesktopDir & "\Pre_Script.exe")
ProgressOn("Pre_Scan", "Réattribution Fichiers | Dossiers")
code
ok mais moi je ne comprends pas grand chose en autoit :o)
@Guillaume :
▶ Télécharge sur le bureau RogueKiller (par tigzy)
▶ ▶ Sous Windows XP, double clic gauche
▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur
▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
▶ A ce moment tape 2 et valide
Note: s''il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse
▶ Toujours dans RogueKiller, tape 3 et poste RKReport2
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
@Guillaume :
▶ Télécharge sur le bureau RogueKiller (par tigzy)
▶ ▶ Sous Windows XP, double clic gauche
▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur
▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
▶ A ce moment tape 2 et valide
Note: s''il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse
▶ Toujours dans RogueKiller, tape 3 et poste RKReport2
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
Voilà pour le 2ième rapport généré par RogueKiller :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijJ2RInkY.txt
http://www.cijoint.fr/cjlink.php?file=cj201105/cijJ2RInkY.txt
Heu bizarre ....
Soit
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Soit
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Voilà le rapport ZHPDiag généré.
http://pjjoint.malekal.com/files.php?id=96edf3bd6d13813
A noter que j'ai eu une erreur pendant l'exécution du programme, mais ça n'a pas empêché l'exécution de se terminer.
http://pjjoint.malekal.com/files.php?id=96edf3bd6d13813
A noter que j'ai eu une erreur pendant l'exécution du programme, mais ça n'a pas empêché l'exécution de se terminer.
Rebonjour juju,
Voilà le rapport généré:
http://pjjoint.malekal.com/files.php?id=665dcecbbf11147
A priori tout rentre dans l'ordre. Tout ce que j'avais sur mon bureau est revenu, mon dossier utilisateur aussi et je peux à nouveau réutiliser mes programmes qui avait disparus :).
Voilà le rapport généré:
http://pjjoint.malekal.com/files.php?id=665dcecbbf11147
A priori tout rentre dans l'ordre. Tout ce que j'avais sur mon bureau est revenu, mon dossier utilisateur aussi et je peux à nouveau réutiliser mes programmes qui avait disparus :).
En fait tout était là mais en fichiers cachés....
Ton pc présente diverses infections Adwares.
CF : https://www.futura-sciences.com/tech/definitions/internet-adware-1857/
▶ Télécharge de AD-Remover sur ton Bureau. (TeamXScript)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\
▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Scanner »
▶ Confirme lancement du scan
▶ Laisse travailler l''outil.
▶ Quand il a fini, un rapport s'ouvrira : ferme le.
♦ Pour me transmettre le rapport
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Ton pc présente diverses infections Adwares.
CF : https://www.futura-sciences.com/tech/definitions/internet-adware-1857/
▶ Télécharge de AD-Remover sur ton Bureau. (TeamXScript)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\
▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Scanner »
▶ Confirme lancement du scan
▶ Laisse travailler l''outil.
▶ Quand il a fini, un rapport s'ouvrira : ferme le.
♦ Pour me transmettre le rapport
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Voici le rapport généré par AD- Remover
http://www.cijoint.fr/cjlink.php?file=cj201106/cijDCicsXl.txt
http://www.cijoint.fr/cjlink.php?file=cj201106/cijDCicsXl.txt
