Virus à partir d'un *.exe Fermé

Question

Bonjour/Bonsoir,    

Tout à l'heure j'ai voulu lancer un *.exe (install d'un programme pour des codecs), il ne sait rien passer mise à part que le *.exe s'est déplacé je ne sais où. J'ai eu alors un crash du PC. De plus, par moment, firefox se lance avec 16 onglets avec divers liens bizarroïdes. Je n'arrive malheureusement pas à le trouver ce satané virus.

Utilisateur anonyme · Answer

Bonsoir

Et bien tu le supprimes via Malwaresbytes;c'est tout.

@+

Still · Answer

J'ai une réponse mais comment se fait-il que je n'arrive pas à la voir ?

Utilisateur anonyme · Answer

Bonjour

Inscris toi avant tout ,sinon je ne pourrais lire ce rapport demandé. 

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php

http://pjjoint.malekal.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

Stilleur · Answer

(C'est Still)

Je n'ai pas compris mais je n'ai pas pu uploader le fichier du rapport (alors que je pouvais pour une image par exemple), donc je l'ai mis à cette adresse :

http://termi78.free.fr/divers/ZHPDiag.txt

Utilisateur anonyme · Answer

Re

1)* Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

http://www.teamxscript.org/adremoverTelechargement.html

! Déconnecte toi et ferme toutes applications en cours ! 

* Double clique ou clic droit (exécuter en tant que admin...sur Vista et Windows7)  sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut. 

* Double-clique ou clic droit (exécuter en tant que admin...sur Vista et Windows 7) sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
* Au menu principal choisis l'option  "Nettoyer"
  et sur [entrée]  .

* Laisse travailler l'outil et ne touche à rien ... 

--> Poste le rapport qui apparaît à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=



2)Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)




Poste les rapports au fur et à mesure;merci.

@+

Stilleur · Answer

Voilà le rapport de AD-R :
http://termi78.free.fr/divers/Ad-Report-CLEAN%5B1%5D.txt

Je vais maintenant passer l'analyse.

Stilleur · Answer

Voici le rapport de MBAM : 
http://www.cijoint.fr/cjlink.php?file=cj201106/cijKAUxB6M.txt 

J'ai noté aussi que MBAM bloquait pmb.exe (Pando Media Booster) par moment et j'ai lu quelques commentaires sur ce *.exe qui disait notamment "Certains malwares se dissimulent en tant que PMB.exe, notamment ceux qui se trouvent dans le répertoire c:\windows ou c:\windows\system32. Pensez à vérifier le processus PMB.exe sur votre PC s'il cause des problèmes." (source : https://www.fichier.net/processus/pmb.exe.html

j'ai aussi noté la présence de "rads_user_kernel.exe *32" dans mes processus et pourtant il me semble que le kernel est par défaut désactiver depuis XP ? Et je ne l'aurais pas activé.

Utilisateur anonyme · Answer

Bonjour

1)Désinstalle Firefox 4

2)Met à jour Windows via Windows Update

3)Pour java utilises JavaRa

et un autre tutoriel javaRa http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-cliques ou clic droit sous Vista  sur le répertoire JavaRa. 
* Puis double-cliques sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis cliques sur Select. 
* Cliques sur  Effacer les anciennes versions 
* Cliques sur Oui pour confirmer. Laisses travailler et cliques ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Postes-le dans ta prochaine réponse. 
* Ferme l'application. 

*Va sur ce site ensuite pour récupérer cette dernière version : https://www.java.com/fr/

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.


@+

Stilleur · Answer

Rapport de JavaRa : http://www.cijoint.fr/cj201106/cij7iqgJss.txt

Utilisateur anonyme · Answer

Re

1) Télécharge DelFix de Xplode
Ou si problème sur ce site : http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe

Ou encore : https://www.commentcamarche.net/download/s/delfix

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 


2)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm



3)Purge la restauration sur Seven
Comment faire :

http://www.forum-seven.com/forum/

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

Stilleur · Answer

Le rapport de DelFix : http://www.cijoint.fr/cjlink.php?file=cj201107/cijCMeR7qK.txt

J'aurais une question : A quel stade des opérations je devrais ne plus avoir de virus ?

Utilisateur anonyme · Answer

Bonjour

C'est normalement le cas.

As tu purgé ta restauration?

Si tu n'as plus de problèmes je te propose de clore ce post.

@+

Stilleur · Answer

Malheureusement oui, j'ai toujours le virus. Il essaye toujours de m'ouvrir des pages internet via firefox et utilise mon svchost.exe depuis ce matin.

g3n-h@ckm@n · Answer

salut

c'est 0 cette desinfection !

je prends la suite :

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

Stilleur · Answer

Rapport : http://www.cijoint.fr/cjlink.php?file=cj201107/cijTzRcApX.txt

Comme on peut le lire dans le rapport j'ai laissé les options de bases après le scan, c'est à dire que je n'ai rien fait pour le "LockedFile.Multi.Generic(sptd) - User select action: Skip".

Si vous pensez que je devrais refaire un scan pour le supprimer faites m'en part. :)

g3n-h@ckm@n · Answer

maintenant tu peux poster un nouveau rapport de zhpdiag par cijoint.fr 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Stilleur · Answer

Rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201107/cijw30OVad.txt

g3n-h@ckm@n · Answer

refais AD-Remover en mode sans echec

Stilleur · Answer

AD-Remover passé en mode sans échec et voici le rapport :  
http://www.cijoint.fr/cjlink.php?file=cj201107/cijE4w93Lq.txt 

(je viens de me rendre compte que les mises à jour de Windows Update faites avec Guillaume5188 ne se sont pas installés bien qu'il n'y ait eu aucun problème apparent durant l'installation. Dois-je les réinstaller tout de suite ?)

g3n-h@ckm@n · Answer

je comprends pas là..

refais un scan ZHPDiag datant de maintenant , coche tout au tournevis et heberge le rapport

Stilleur · Answer

http://www.cijoint.fr/cjlink.php?file=cj201107/cij860Ulxe.txt

g3n-h@ckm@n · Answer

tu n'as pas la possibilité de mettre windows à jour via le menu demarrer/windows update ?

Stilleur · Answer

Si, je vais le faire. Je vous ai juste informer que je dois réinstaller les mises à jour que j'avais déjà installées hier, je n'ai pas compris pourquoi d'ailleurs et j'aurais penser que ça aurait été aussi bien que vous le sachiez.

g3n-h@ckm@n · Answer

ce sont toujiours les memes à reinstaller ?

Stilleur · Answer

Oui, exactement les mêmes sans exceptions.

g3n-h@ckm@n · Answer

fais ca :

demarrer/programmes/accessoires/executer

tape 

RegSVR32 wuaueng.dll

puis valide et reessaie

Stilleur · Answer

J'ai réinstallé les mises à jour et j'ai vérifié qu'elles s'était bien installées

g3n-h@ckm@n · Answer

super refais ZHPdiag

Stilleur · Answer

http://www.cijoint.fr/cjlink.php?file=cj201107/cijSuFGI6a.txt

g3n-h@ckm@n · Answer

ok repasse ad-remover en mode sans echec stp

Stilleur · Answer

Je n'avais plus de connexion, je n'ai pas pu voir votre message. Maintenance de la freebox je crois où je ne sais quoi.

g3n-h@ckm@n · Answer

salut ok en attente du rapport demandé donc...

Stilleur · Answer

A la suite de la maintenance j'ai eu des problèmes sur ma ligne (apparemment il y avait une boucle chez moi) qui m'a empêcher de vous répondre.

Voici le rapport d'AD-R : http://www.cijoint.fr/cjlink.php?file=cj201107/cijQ9uaTXS.txt

Et de ZHPDiag fait juste après le redémarrage : http://www.cijoint.fr/cjlink.php?file=cj201107/cijkbBGNbS.txt

g3n-h@ckm@n · Answer

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Stilleur · Answer

Rapport : http://www.cijoint.fr/cjlink.php?file=cj201107/cijbtQP5qV.txt

Le log dit que le pare-feu de windows est activé alors que :

http://img832.imageshack.us/img832/6180/83293987.jpg

g3n-h@ckm@n · Answer

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-

list::
C:\Users\Still\AppData\Local\G4G.PL      

attrib::                                    
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Stilleur · Answer

http://www.cijoint.fr/cjlink.php?file=cj201107/cijVrqwGD2.txt 

Tu suspectes quoi sur ce dossier ? Il pourrait avoir été infecté ? 
Car ce sont des configs de serveurs d'un Admin Tool pour BFBC2 que j'ai depuis longtemps avant mon infection. 
Je te dis cela juste à titre informatif :)

g3n-h@ckm@n · Answer

non mais ne le connaissant pas j'ai préféré m'assurer de son innocence ^^
mets malwarebytes à jour et fais un scan complet

Stilleur · Answer

http://www.cijoint.fr/cjlink.php?file=cj201107/cijVfGWIHP.txt

g3n-h@ckm@n · Answer

salut tu referas un scan zhpdiag

Virus à partir d'un *.exe

40 réponses

Discussions similaires