Besoin d'aide pour suprimer virus svp
Fermé
Mart70
Messages postés
28
Date d'inscription
mercredi 29 juin 2011
Statut
Membre
Dernière intervention
2 juillet 2011
-
29 juin 2011 à 12:30
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 5 juil. 2011 à 20:23
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 5 juil. 2011 à 20:23
A voir également:
- Besoin d'aide pour suprimer virus svp
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Suprimer edge - Guide
- Faux message virus iphone - Forum iPhone
43 réponses
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
29 juin 2011 à 12:35
29 juin 2011 à 12:35
Hello,
* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
29 juin 2011 à 17:34
29 juin 2011 à 17:34
est ce que je peux suprimer cette ligne avec hijack sans causer de problèmes?
Ne supprimes rien pour le moment .
Relance RogueKiller mais ce coup ci option 6 afin de récupérer les attributs cachés de tes fichiers .
bonjour et merci,
voici le rapport:
RogueKiller V5.2.6 [27/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Cindy [Droits d'admin]
Mode: Suppression -- Date : 29/06/2011 12:43:49
Processus malicieux: 2
[SUSP PATH] panda_url_filtering.dll -- C:\Documents and Settings\All Users\Application Data\Panda Security URL Filtering\panda_url_filtering.dll -> UNLOADED
[SUSP PATH] Panda_URL_Filtering.exe -- c:\documents and settings\all users\application data\panda security url filtering\panda_url_filtering.exe -> KILLED
Entrees de registre: 2
[SUSP PATH] HKLM\[...]\Run : Panda Security URL Filtering ("C:\Documents and Settings\All Users\Application Data\Panda Security URL Filtering\Panda_URL_Filtering.exe") -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 www.facebook.com
127.0.0.1 facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 www.facebook.com/login.php
127.0.0.1 hxxp://www.facebook.com/login.php
127.0.0.1 facebook.com/login.php
127.0.0.1 m.facebook.com/home.php
Termine : << RKreport[1].txt >>
RKreport[1].txt
ps: facebook, c'est moi qui l'ai ajouté au fichier host
voici le rapport:
RogueKiller V5.2.6 [27/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Cindy [Droits d'admin]
Mode: Suppression -- Date : 29/06/2011 12:43:49
Processus malicieux: 2
[SUSP PATH] panda_url_filtering.dll -- C:\Documents and Settings\All Users\Application Data\Panda Security URL Filtering\panda_url_filtering.dll -> UNLOADED
[SUSP PATH] Panda_URL_Filtering.exe -- c:\documents and settings\all users\application data\panda security url filtering\panda_url_filtering.exe -> KILLED
Entrees de registre: 2
[SUSP PATH] HKLM\[...]\Run : Panda Security URL Filtering ("C:\Documents and Settings\All Users\Application Data\Panda Security URL Filtering\Panda_URL_Filtering.exe") -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
127.0.0.1 www.facebook.com
127.0.0.1 facebook.com
127.0.0.1 fr-fr.facebook.com
127.0.0.1 www.facebook.com/login.php
127.0.0.1 hxxp://www.facebook.com/login.php
127.0.0.1 facebook.com/login.php
127.0.0.1 m.facebook.com/home.php
Termine : << RKreport[1].txt >>
RKreport[1].txt
ps: facebook, c'est moi qui l'ai ajouté au fichier host
j'ai une entrée qui me parait louche après avoir passer hijackthis, qu'en pensez vous?
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,C:\Program Files\wxyjljmx\feqyvmso.exe
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,,C:\Program Files\wxyjljmx\feqyvmso.exe
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok, je ne suprime rien
voici le rapport (option6):
RogueKiller V5.2.6 [27/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Cindy [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 29/06/2011 17:37:52
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 8 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 34 / Fail 0
Mes documents: Success 82 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 10900 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[A:] \Device\Floppy0 -- 0x2 --> Skipped
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[E:] \Device\Harddisk1\DP(1)0-0+8 -- 0x2 --> Restored
[F:] \Device\Harddisk2\DP(1)0-0+9 -- 0x2 --> Restored
[G:] \Device\Harddisk3\DP(1)0-0+a -- 0x2 --> Restored
[H:] \Device\Harddisk4\DP(1)0-0+b -- 0x2 --> Restored
[I:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[J:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[K:] \Device\Harddisk6\DP(1)0-0+e -- 0x2 --> Restored
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
voici le rapport (option6):
RogueKiller V5.2.6 [27/06/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Cindy [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 29/06/2011 17:37:52
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 8 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 34 / Fail 0
Mes documents: Success 82 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 10900 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[A:] \Device\Floppy0 -- 0x2 --> Skipped
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\CdRom0 -- 0x5 --> Skipped
[E:] \Device\Harddisk1\DP(1)0-0+8 -- 0x2 --> Restored
[F:] \Device\Harddisk2\DP(1)0-0+9 -- 0x2 --> Restored
[G:] \Device\Harddisk3\DP(1)0-0+a -- 0x2 --> Restored
[H:] \Device\Harddisk4\DP(1)0-0+b -- 0x2 --> Restored
[I:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[J:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[K:] \Device\Harddisk6\DP(1)0-0+e -- 0x2 --> Restored
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
29 juin 2011 à 17:40
29 juin 2011 à 17:40
Maintenant on va regarder de plus pres ce pc :
Télécharge ZhpDiag de Nicolas Coolman .
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).
Une fois installé le programme s'ouvre automatiquement .
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .
Rend toi sur ce site : http://www.cijoint.fr/index.php ou celui-ci : http://pjjoint.malekal.com/
Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])
Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
Télécharge ZhpDiag de Nicolas Coolman .
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).
Une fois installé le programme s'ouvre automatiquement .
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .
Rend toi sur ce site : http://www.cijoint.fr/index.php ou celui-ci : http://pjjoint.malekal.com/
Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])
Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
Modifié par jfkpresident le 29/06/2011 à 21:17
Modifié par jfkpresident le 29/06/2011 à 21:17
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
C:\Program Files\wxyjljmx\feqyvmso.exe
C:\WINDOWS\system32\epmntdrv.sys
C:\WINDOWS\system32\EuGdiDrv.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
***Membre Contributeur Sécurité***
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
C:\Program Files\wxyjljmx\feqyvmso.exe
C:\WINDOWS\system32\epmntdrv.sys
C:\WINDOWS\system32\EuGdiDrv.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
***Membre Contributeur Sécurité***
Mart70
Messages postés
28
Date d'inscription
mercredi 29 juin 2011
Statut
Membre
Dernière intervention
2 juillet 2011
29 juin 2011 à 21:25
29 juin 2011 à 21:25
je ne parviens pas a acceder a cette page, le virus m'empeche l'acces a la plupart des sites antivirus.
question, il faut que je cherche les trois fichiers ci-dessus, un par un?
question, il faut que je cherche les trois fichiers ci-dessus, un par un?
Mart70
Messages postés
28
Date d'inscription
mercredi 29 juin 2011
Statut
Membre
Dernière intervention
2 juillet 2011
Modifié par Mart70 le 29/06/2011 à 21:36
Modifié par Mart70 le 29/06/2011 à 21:36
j'ai finalement réussi a y acceder via un proxy, mais le dossier "C:\Program Files\wxyjljmx\" est vide, j'ai pourtant choisi l'affichage des fichiers cachés
edit: ça ne fonctionne pas avec le proxy impossible de charger les fichiers C:\WINDOWS\system32\epmntdrv.sys et C:\WINDOWS\system32\EuGdiDrv.sys
edit: ça ne fonctionne pas avec le proxy impossible de charger les fichiers C:\WINDOWS\system32\epmntdrv.sys et C:\WINDOWS\system32\EuGdiDrv.sys
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
29 juin 2011 à 21:33
29 juin 2011 à 21:33
Oubli ce dossier et passe les deux autres drivers .
Mart70
Messages postés
28
Date d'inscription
mercredi 29 juin 2011
Statut
Membre
Dernière intervention
2 juillet 2011
Modifié par Mart70 le 29/06/2011 à 21:42
Modifié par Mart70 le 29/06/2011 à 21:42
je viens de le faire mais impossible, voir mon précédent commentaire.
mais le dossier C:\Program Files\wxyjljmx\ contient pourtant feqyvmso.exe d'après les différents rapport, je ne comprend pas trop là
mais le dossier C:\Program Files\wxyjljmx\ contient pourtant feqyvmso.exe d'après les différents rapport, je ne comprend pas trop là
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
29 juin 2011 à 21:51
29 juin 2011 à 21:51
ne t'affoles pas ..IL doit s'agir d'un rootkit et on va le dénicher .
Télécharges ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Et important, enregistre le sur le bureau.
Avant d'utiliser ComboFix :
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Télécharges ComboFix à partir d'un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/
Et important, enregistre le sur le bureau.
Avant d'utiliser ComboFix :
? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Mart70
Messages postés
28
Date d'inscription
mercredi 29 juin 2011
Statut
Membre
Dernière intervention
2 juillet 2011
Modifié par Mart70 le 29/06/2011 à 22:06
Modifié par Mart70 le 29/06/2011 à 22:06
les 3 liens ci-dessus son impossible a atteindre depuis mon pc infecter, ça va peut etre prendre un peu de temps pour que je trouve un lien fonctionnel
Mart70
Messages postés
28
Date d'inscription
mercredi 29 juin 2011
Statut
Membre
Dernière intervention
2 juillet 2011
Modifié par Mart70 le 29/06/2011 à 22:20
Modifié par Mart70 le 29/06/2011 à 22:20
j'ai trouver mais j'ai un message d'erreur quand je lance combofix: windows ne trouve pas nircmd, et parfois aussi windows ne trouve pas HIDEC
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
29 juin 2011 à 23:09
29 juin 2011 à 23:09
Ok,télécharge Combofix ici
Je l'ai renommé en Winlogon.exe donc pas d'inquiétudes .
Je l'ai renommé en Winlogon.exe donc pas d'inquiétudes .
Mart70
Messages postés
28
Date d'inscription
mercredi 29 juin 2011
Statut
Membre
Dernière intervention
2 juillet 2011
Modifié par Mart70 le 30/06/2011 à 11:30
Modifié par Mart70 le 30/06/2011 à 11:30
tjs pareil avec celui-ci, imposible de trouver nircmd et hidec
édit: c'est quand je lance l'exécutable qu'il y a ce problème
édit: c'est quand je lance l'exécutable qu'il y a ce problème
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
30 juin 2011 à 12:35
30 juin 2011 à 12:35
Essaie de le lancer avec clic droit puis "éxécuter en tant qu'admin.."
Mart70
Messages postés
28
Date d'inscription
mercredi 29 juin 2011
Statut
Membre
Dernière intervention
2 juillet 2011
30 juin 2011 à 12:59
30 juin 2011 à 12:59
je suis déjà connecter en tant qu'administrateur, ça ne fonctionne pas
jfkpresident
Messages postés
13408
Date d'inscription
lundi 3 septembre 2007
Statut
Contributeur sécurité
Dernière intervention
5 janvier 2015
1 175
30 juin 2011 à 20:28
30 juin 2011 à 20:28
On va essayer autre chose :
Télécharge gmer
http://www2.gmer.net/gmer.zip
dézippe-le (clic droit et extraire sur le bureau )
Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
vérifie que l'outil est sur l'onglet RootKit/Malware
A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Edite ce rapport dans ta prochaine réponse.
Télécharge gmer
http://www2.gmer.net/gmer.zip
dézippe-le (clic droit et extraire sur le bureau )
Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
vérifie que l'outil est sur l'onglet RootKit/Malware
A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Edite ce rapport dans ta prochaine réponse.
