PC infecté suite installation Skype
rupellito
-
LEM -
LEM -
Bonjour à tous,
Je pense avoir un sérieux problème de virus sur mon ordi portable, je suis à cours d'idée pour le résoudre et j'espère trouver de l'aide auprès de votre communauté.
Il y a trois jours, j'ai essayé d'installer Skype depuis une source que je pensais sécurisée, et tout est allé de travers depuis :
1- Sur mes exploreurs internet (IE et Firefox) les liens trouvés par les moteurs de recherche google & yahoo sont redirigés vers des sites n'ayant rien à voir (type gomeo...) ; dans la barre d'état, lors de la redirection, je peux lire "6dayoftheweek.com" ou "1dayoftheweek.com", le chiffre initial changeant chaque jour (aujourd'hui c'est 2).
De plus, sous IE une barre d'outil "ask" a été installée sans que je le demande (je l'ai désinstallée depuis)
2- Mon anti-virus (TrendMicro) a été désactivé (il fonctionnait correctement et était à jour), et je n'ai pas réussi à le relancer. Je l'ai désinstallé, remplacé par un autre antivirus (Avira AntiVir) qui, lui aussi, a été désactivé (il affiche Guard:stopped, impossible de le relancer). Avant d'être désavtivé, AntiVir a décelé 2 intrus :
- Win32/Kryptic.SCF trojan
- Win32/Patched.HN
Maintenant il est désactivé et je n'ai donc plus de protection.
3- Au démarrage, XP m'affiche un message qui ressemble à ça : "échec de l'initialisation de l'application 0x800106ba. problème provoqué par l'arrêt du service de ce programme" 3bis- Pendant un moment il m'a affiché également un message (que je n'ai malheureusement pas noté) disant en gros que "svchost nombre maximum de clés secrètes atteint". Ce message ne s'affiche plus.
4- Certains programmes ne veulent plus se lancer (exemple au lancement d'Internet Explorer, j'obtiens le message "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément" ; idem pour Malwarebytes' Anti-Malware MBAM ; même Notepad ne s'ouvre plus) ; je précise que je suis loggué en administrateur
5- J'ai tenté de lancer plusieurs antivirus/antimalwares en ligne (secuser, bitdefender, panda, emsisoft) : aucun n'a accompli son scan jusqu'au bout.
J'ai passé également TDSSkiller de chez Kaspersky, qui m'a trouvé ça :
- Rootkit.win32.Zaccess.C
- Rootkit.win32.TDSS.tdl4
J'ai eu beau chercher une solution sur le net, tout ce que j'ai essayé pour l'instant a échoué.
Et plutôt que de continuer à partir dans tous les sens, objectivement il vaut mieux que je reparte en étant conseillé par un expert.
Je vous remercie d'avoir lu mon message, et serais heureux de toute aide que je pourrai recevoir de votre part.
Cordialement
Je pense avoir un sérieux problème de virus sur mon ordi portable, je suis à cours d'idée pour le résoudre et j'espère trouver de l'aide auprès de votre communauté.
Il y a trois jours, j'ai essayé d'installer Skype depuis une source que je pensais sécurisée, et tout est allé de travers depuis :
1- Sur mes exploreurs internet (IE et Firefox) les liens trouvés par les moteurs de recherche google & yahoo sont redirigés vers des sites n'ayant rien à voir (type gomeo...) ; dans la barre d'état, lors de la redirection, je peux lire "6dayoftheweek.com" ou "1dayoftheweek.com", le chiffre initial changeant chaque jour (aujourd'hui c'est 2).
De plus, sous IE une barre d'outil "ask" a été installée sans que je le demande (je l'ai désinstallée depuis)
2- Mon anti-virus (TrendMicro) a été désactivé (il fonctionnait correctement et était à jour), et je n'ai pas réussi à le relancer. Je l'ai désinstallé, remplacé par un autre antivirus (Avira AntiVir) qui, lui aussi, a été désactivé (il affiche Guard:stopped, impossible de le relancer). Avant d'être désavtivé, AntiVir a décelé 2 intrus :
- Win32/Kryptic.SCF trojan
- Win32/Patched.HN
Maintenant il est désactivé et je n'ai donc plus de protection.
3- Au démarrage, XP m'affiche un message qui ressemble à ça : "échec de l'initialisation de l'application 0x800106ba. problème provoqué par l'arrêt du service de ce programme" 3bis- Pendant un moment il m'a affiché également un message (que je n'ai malheureusement pas noté) disant en gros que "svchost nombre maximum de clés secrètes atteint". Ce message ne s'affiche plus.
4- Certains programmes ne veulent plus se lancer (exemple au lancement d'Internet Explorer, j'obtiens le message "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément" ; idem pour Malwarebytes' Anti-Malware MBAM ; même Notepad ne s'ouvre plus) ; je précise que je suis loggué en administrateur
5- J'ai tenté de lancer plusieurs antivirus/antimalwares en ligne (secuser, bitdefender, panda, emsisoft) : aucun n'a accompli son scan jusqu'au bout.
J'ai passé également TDSSkiller de chez Kaspersky, qui m'a trouvé ça :
- Rootkit.win32.Zaccess.C
- Rootkit.win32.TDSS.tdl4
J'ai eu beau chercher une solution sur le net, tout ce que j'ai essayé pour l'instant a échoué.
Et plutôt que de continuer à partir dans tous les sens, objectivement il vaut mieux que je reparte en étant conseillé par un expert.
Je vous remercie d'avoir lu mon message, et serais heureux de toute aide que je pourrai recevoir de votre part.
Cordialement
A voir également:
- PC infecté suite installation Skype
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
30 réponses
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
Voici le rapport :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7617
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
31/08/2011 10:00:52
mbam-log-2011-08-31 (10-00-52).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 319211
Temps écoulé: 1 heure(s), 4 minute(s), 1 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\OV\application data\opencandy\opencandy_c531d7cb0bea4793aa65d8af039ea4c5\offerboxsetup_fr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\ov.portov2\application data\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7617
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
31/08/2011 10:00:52
mbam-log-2011-08-31 (10-00-52).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 319211
Temps écoulé: 1 heure(s), 4 minute(s), 1 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\OV\application data\opencandy\opencandy_c531d7cb0bea4793aa65d8af039ea4c5\offerboxsetup_fr.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\ov.portov2\application data\Adobe\shed\thr1.chm (Malware.Trace) -> Quarantined and deleted successfully.
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
selectionne tous les disques
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
tu m'envoies l'archive comme ceci :
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
Voici le lien pour le rapport DrWeb zippé :
http://www.cijoint.fr/cjlink.php?file=cj201109/cijl3bqH1Z.zip
http://www.cijoint.fr/cjlink.php?file=cj201109/cijl3bqH1Z.zip
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
L'unique "souci" qui reste sur mon ordinateur est le programme Internet Explorer que je n'arrive pas à lancer... ce qui n'est pas une grosse perte en soi, je me débrouille de la même façon avec Mozilla
Par conséquent, on peut dire que tous mes problèmes initiaux, excepté celui de IE, ont été résolus.
1- problème de redirection résolu
2- problème d'anti-virus désactivé résolu (j'utilise maintenant AntiVir)
3- plus de message bizarre au démarrage d'XP
5- pour la première fois depuis vendredi dernier, mon antivirus a sorti un rapport vierge pour son dernier scan complet.
.
Il me reste donc 2 questions :
- Dois-je m'inquiéter pour le fichier C:\WINDOWS\system32\drivers\SafeBoot.sys que VirusTotal ne peut toujours pas vérifier (j'ai encore essayé aujourd'hui : rien à faire, ni sur le site, ni par email)
- Puis-je considérer mon système comme réparé et à nouveau sain ?
L'unique "souci" qui reste sur mon ordinateur est le programme Internet Explorer que je n'arrive pas à lancer... ce qui n'est pas une grosse perte en soi, je me débrouille de la même façon avec Mozilla
Par conséquent, on peut dire que tous mes problèmes initiaux, excepté celui de IE, ont été résolus.
1- problème de redirection résolu
2- problème d'anti-virus désactivé résolu (j'utilise maintenant AntiVir)
3- plus de message bizarre au démarrage d'XP
5- pour la première fois depuis vendredi dernier, mon antivirus a sorti un rapport vierge pour son dernier scan complet.
.
Il me reste donc 2 questions :
- Dois-je m'inquiéter pour le fichier C:\WINDOWS\system32\drivers\SafeBoot.sys que VirusTotal ne peut toujours pas vérifier (j'ai encore essayé aujourd'hui : rien à faire, ni sur le site, ni par email)
- Puis-je considérer mon système comme réparé et à nouveau sain ?
J'ai aussi ce malware. Malgrès l'absence d'infos des antivirus et antimalware, je me suis rendu compte que mes uploads vers FTP (que ce soit via filezilla ou vers mediafire) ne fonctionnent plus. De plus, j'ai remarqué que mon upload est vraiment "bouffé" intégralement.
Après avoir installé ZoneAlarm, j'ai remarqué que le logiciel m'a bloqué plus de 850 accès en 15 minutes, ça s'est calmé a 80 accès par heure même si apparemment ça reste énorme, d'autant plus que tous visent exactement le même port, j'ai fait des recherches sur les IP d'ou viennent ces requêtes et j'ai remarqué que certaines d'entre elles ont le profil d'un centre de spams http://www.projecthoneypot.org/ip_95.134.234.192
Je crois que cette infection apparemment "benigne" (ptit malware de faux anti virus) cache en fait un virus pour zombifier l'ordinateur comme centre de transfert de spam, ce qui expliquerait mon upload très reduit (et le transfert constant de paquets en up) qui est soudain redevenu normal après l'installation de Zone Alarm.
Après avoir installé ZoneAlarm, j'ai remarqué que le logiciel m'a bloqué plus de 850 accès en 15 minutes, ça s'est calmé a 80 accès par heure même si apparemment ça reste énorme, d'autant plus que tous visent exactement le même port, j'ai fait des recherches sur les IP d'ou viennent ces requêtes et j'ai remarqué que certaines d'entre elles ont le profil d'un centre de spams http://www.projecthoneypot.org/ip_95.134.234.192
Je crois que cette infection apparemment "benigne" (ptit malware de faux anti virus) cache en fait un virus pour zombifier l'ordinateur comme centre de transfert de spam, ce qui expliquerait mon upload très reduit (et le transfert constant de paquets en up) qui est soudain redevenu normal après l'installation de Zone Alarm.
Je rencontre exactement le même problème. Je suis entrain de scanner mon pc avec emsisof, en mode sans échec. Mon ordinateur ne démarrait plus en mode normal (écran bleu), mozzilla est inopérationnel, bon nombre de pages internet explorer sont redirigées vers les mêmes sites, mon antivirus est hors service ainsi que la plupart des outils de désinfection en ligne.
J'ai essayé Dr Web mais je ne parviens pas à atteindre les options, et faire un scan plus poussé...
J'avais déjà tenté malwarebyte dans sa version 'en ligne' sans succès (il dvient hs aussi), je vais essayer après le scan en cours la procédure citée plus haut, nous verrons!
Pour l'instant je suis déjà infectée par:
Trojan.Krypt!ik
Exploit.java.cve-2010-8040.ik!
virus.win32.elkern!ik
rootkit.win352.zaccess.ik
trojan-spy.win32.zbot!ik
trojan.win32.patcher!ik
Merci d'avance!!
J'ai essayé Dr Web mais je ne parviens pas à atteindre les options, et faire un scan plus poussé...
J'avais déjà tenté malwarebyte dans sa version 'en ligne' sans succès (il dvient hs aussi), je vais essayer après le scan en cours la procédure citée plus haut, nous verrons!
Pour l'instant je suis déjà infectée par:
Trojan.Krypt!ik
Exploit.java.cve-2010-8040.ik!
virus.win32.elkern!ik
rootkit.win352.zaccess.ik
trojan-spy.win32.zbot!ik
trojan.win32.patcher!ik
Merci d'avance!!
salut ouvre-toi un nouveau sujet merci
=============================
@Matt'
telecharge ici : ZBK
Desactive tes protections
lance-le , clique sur lancer le nettoyage
l'outil va télécharger automatiquement la derniere version puis
le scan se lancera ensuite
à la fin le rapport se mettra sur ton bureau
▶ Copie son contenu dans ta réponse.
=============================
@Matt'
telecharge ici : ZBK
Desactive tes protections
lance-le , clique sur lancer le nettoyage
l'outil va télécharger automatiquement la derniere version puis
le scan se lancera ensuite
à la fin le rapport se mettra sur ton bureau
▶ Copie son contenu dans ta réponse.