Tout le temps le meme virus

dJjuli1 Messages postés 425 Statut Membre -  
dJjuli1 Messages postés 425 Statut Membre -
Bonjour, depuis quelque temps, j'ai le même virus qui revient (celui qui interdit l'accès au gestionnaire des taches) alors que mon ordi sur lequel revient le virus n'a aucune connexion internet ni avec un autre ordi. De plus mon avast! (qui est à jour puisque je télécharge les mises à jours) ne le détecte jamais et je suis obligé d'installer Malwarebytes pour l'éliminer. Que faire pour que ce virus ne revienne plus ?

Merci.

23 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    ok

    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes periphériques sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    1
    1. dJjuli1 Messages postés 425 Statut Membre 25
       
      d'accord j'essayes, merci. Mais ma clé usb est cryptée avec truecrypt. Si je ne l'ouvre pas je avec le mdp windows la formate... Je dois faire comme tu m'as dit ou il faut faire autre chose ?
      0
    2. g3n-h@ckm@n
       
      à te lire :)
      0
  2. ottohj Messages postés 311 Statut Membre
     
    bonjour
    ta un nom du virus et c koi ton antivirus ??
    =)
    0
  3. dJjuli1 Messages postés 425 Statut Membre 25
     
    Non je n'ai pas le nom du virus (je devrais bientot l'avoir parce que je suis en train de faire une analyse) et mon antivirus c'est avast.
    0
  4. ottohj Messages postés 311 Statut Membre
     
    okk en attente de ta reponse =)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. dany311 Messages postés 13344 Date d'inscription   Statut Contributeur Dernière intervention   2 131
     
    bonjour
    il est possible que tu infectes ton pc
    -soit par clé USB infectée
    -soit par un DD externe infecté
    je ne vois pas d'autres explications
    0
    1. ottohj Messages postés 311 Statut Membre
       
      moi aussi je pense mais c'est pour sa que je suis est demande de analyser son ordinateur apres on verra ;)
      0
    2. dJjuli1 Messages postés 425 Statut Membre 25
       
      Alors je pense que ce soit par clé. PS : Je pense que l'analyse va durer assez longtemps.
      0
  7. dJjuli1 Messages postés 425 Statut Membre 25
     
    L'analyse Malwarebytes est terminée. Voici le rapport :

    Internet Explorer 7.0.5730.11

    02/10/2011 12:41:31
    mbam-log-2011-10-02 (12-41-13).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|)
    Elément(s) analysé(s): 347082
    Temps écoulé: 1 heure(s), 55 minute(s), 21 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\UHARC for Windows (Trojan.Agent) -> No action taken.
    HKEY_CURRENT_USER\Software\DC3_FEXEC (Malware.Trace) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundl32.exe (Trojan.Agent) -> Value: rundl32.exe -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (PUM.Hijack.Regedit) -> Bad: (1) Good: (0) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\DisableCMD (PUM.Hijack.CMDPrompt) -> Bad: (1) Good: (0) -> No action taken.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\system volume information\_restore{f2d90ee3-3d27-4bae-9293-a52854bfc625}\RP31\A0014663.exe (Trojan.Downloader) -> No action taken.
    c:\uninstall.exe (Trojan.Agent) -> No action taken.
    c:\documents and settings\DJjuli1\local settings\Temp\dclogs.sys (Stolen.Data) -> No action taken.
    c:\documents and settings\DJjuli1\local settings\Temp\rundl32.exe (Trojan.Agent) -> No action taken.
    0
  8. ottohj Messages postés 311 Statut Membre
     
    okk si tu fait supprimer tous ce supprime ??
    0
  9. g3n-h@ckm@n
     
    bonjour je pense qu'il faudrait lui faire passer UsbFix avec tous les peripheriques usb branchés :)
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  10. ottohj Messages postés 311 Statut Membre
     
    tkt pas c programme ;)
    0
  11. ottohj Messages postés 311 Statut Membre
     
    tu veut le faire sa me derange pas comme tu veux =) ??
    0
  12. dJjuli1 Messages postés 425 Statut Membre 25
     
    ############################## | UsbFix 7.060 | [Suppression]

    Utilisateur: Djuli1 (Administrateur) # JULIEN-268DEAF0
    Mis à jour le 22/09/2011 par El Desaparecido
    Lancé à 13:38:10 | 02/10/2011

    Site Web: https://www.sosvirus.net/
    Fichier suspect ? : http://eldesaparecido.com/support.php
    Contact: contact@eldesaparecido.com

    PC: ASUSTeK Computer INC. (1001PX) (X86-based PC) # Notebook
    CPU: Intel(R) Atom(TM) CPU N450 @ 1.66GHz (1666)
    RAM -> [ Total : 1014 | Free : 649 ]
    BIOS: BIOS Date: 08/12/10 11:48:20 Ver: 08.00.12
    BOOT: Normal boot

    OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    WB: Windows Internet Explorer 8.0.6001.18702

    SC: Security Center Service [ Enabled ]
    WU: Windows Update Service [ Enabled ]
    FW: Windows FireWall Service [ Enabled ]

    C:\ (%systemdrive%) -> Disque fixe # 75 Go (41 Go libre(s) - 55%) [] # NTFS
    D:\ -> Disque fixe # 74 Go (46 Go libre(s) - 61%) [Disque 2] # NTFS
    F:\ -> Disque amovible # 15 Go (15 Go libre(s) - 99%) [16GB] # NTFS
    L:\ -> Disque fixe # 4 Go (4 Go libre(s) - 94%) [] # NTFS

    ################## | Éléments infectieux |

    Supprimé! C:\Recycler\S-1-5-21-448539723-1482476501-527237240-1003
    Supprimé! D:\Recycler\S-1-5-21-448539723-1482476501-527237240-1003
    Supprimé! L:\Recycler\S-1-5-21-448539723-1482476501-527237240-1003

    (!) Fichiers temporaires supprimés.

    ################## | Registre |

    ################## | Mountpoints2 |

    ################## | Listing |

    [19/06/2011 - 15:26:54 | D ] C:\64b306be47c0a4500f3a9bb3d9
    [13/06/2011 - 14:23:20 | D ] C:\AHCache
    [03/06/2011 - 13:45:06 | N | 0] C:\AUTOEXEC.BAT
    [02/10/2011 - 13:33:17 | RASHD ] C:\Autorun.inf
    [18/07/2011 - 12:59:30 | N | 197] C:\boot.ini
    [03/10/2001 - 05:20:06 | N | 4952] C:\Bootfont.bin
    [27/09/2011 - 21:04:31 | D ] C:\Config.Msi
    [03/06/2011 - 13:45:06 | N | 0] C:\CONFIG.SYS
    [22/06/2011 - 18:05:46 | D ] C:\dfa6a781a31b558880ba87722ce149b6
    [26/06/2011 - 10:09:20 | D ] C:\Documents and Settings
    [25/09/2011 - 12:21:46 | D ] C:\Download
    [14/08/2011 - 17:10:44 | N | 116] C:\Error.log
    [27/06/2011 - 18:22:32 | D ] C:\Intel
    [03/06/2011 - 13:45:06 | N | 0] C:\IO.SYS
    [24/07/2011 - 12:41:21 | D ] C:\Logs
    [27/09/2011 - 20:54:22 | D ] C:\Mes Sites Web
    [03/06/2011 - 13:45:06 | N | 0] C:\MSDOS.SYS
    [31/07/2011 - 19:39:31 | RHD ] C:\MSOCache
    [03/10/2001 - 05:20:04 | N | 24448] C:\NTBOOTDD.SYS
    [13/04/2008 - 13:43:04 | N | 47564] C:\NTDETECT.COM
    [13/04/2008 - 15:31:52 | N | 252240] C:\ntldr
    [02/10/2011 - 10:16:09 | ASH | 1598029824] C:\pagefile.sys
    [01/10/2011 - 13:43:55 | D ] C:\Program Files
    [02/10/2011 - 13:38:56 | SHD ] C:\RECYCLER
    [18/09/2011 - 15:09:21 | N | 5749] C:\resetlog.txt
    [27/06/2011 - 20:48:03 | SHD ] C:\System Volume Information
    [25/09/2011 - 12:30:25 | D ] C:\tmpDownload
    [02/10/2011 - 13:38:56 | D ] C:\UsbFix
    [02/10/2011 - 13:39:00 | A | 1417] C:\UsbFix.txt
    [13/08/2011 - 11:46:03 | D ] C:\VTPFiles
    [01/10/2011 - 11:42:45 | D ] C:\WINDOWS

    ################## | Vaccin |
    0
  13. g3n-h@ckm@n
     
    re

    ta clé usb etait ouverte là ?
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
    1. dJjuli1 Messages postés 425 Statut Membre 25
       
      re- oui
      0
  14. g3n-h@ckm@n
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    %systemroot%\system32\*.dll
    %systemroot%\system32\*.exe
    %systemroot%\system32\Drivers\*.sys


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  15. dJjuli1 Messages postés 425 Statut Membre 25
     
    RE (désolé pour le temps que j'ai pris) :

    OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201110/cijUFfCx3k.txt
    Extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201110/cij2HVzxQh.txt
    0
  16. g3n-h@ckm@n
     
    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
    1. dJjuli1 Messages postés 425 Statut Membre 25
       
      Le lien : http://www.cijoint.fr/cjlink.php?file=cj201110/cijceUUcBX.txt
      0
  17. g3n-h@ckm@n
     
    re

    une semaine après....

    desactive la sandbox d'avast

    supprime pre_scan , retelecharge-le et refais un scan
    0
  18. dJjuli1 Messages postés 425 Statut Membre 25
     
    RE: (désolé pour le retard à nouveau ^^)le lien : http://www.cijoint.fr/cjlink.php?file=cj201110/cijwlYOmpf.txt
    0
  19. g3n-h@ckm@n
     
    c'est quoi ce truc-là ?

    C:\Program Files\SA Camera Hack

    ===============================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "WinampAgent"=-
    "nwiz"=-
    "ISUSPM"=-
    [-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
    [-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
    [-HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\WINDOWS\KMSEmulator.exe"=-
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1723:TCP"=-
    "1701:UDP"=-
    "500:UDP"=-
    [HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]
    "1723:TCP"=-
    "1701:UDP"=-
    "500:UDP"=-

    file::
    C:\WINDOWS\AutoKMS.exe
    C:\WINDOWS\KMSAct.exe
    C:\WINDOWS\KMSEmulator.exe
    C:\WINDOWS\SET3.tmp
    C:\WINDOWS\SET4.tmp
    C:\WINDOWS\SET69.tmp
    C:\WINDOWS\SET6C.tmp
    C:\WINDOWS\SET78.tmp
    C:\WINDOWS\SET8.tmp
    C:\Documents and Settings\All Users.WINDOWS\Application Data\.zreglib

    folder::
    C:\WINDOWS\A589DA2651BD475D8C32E19E34145842.TMP
    C:\WINDOWS\AutoKMS
    C:\Documents and Settings\All Users.WINDOWS\Application Data\D3620690B7.sys

    Host::

    attrib::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  20. dJjuli1 Messages postés 425 Statut Membre 25
     
    Le lien : http://www.cijoint.fr/cjlink.php?file=cj201110/cijjYsxo36.txt

    SA Camera Hack est un mod pour San Andreas (pour avoirs d'autres vues et un compteur de vitesse dans le jeu)
    0
  21. g3n-h@ckm@n
     
    pourquoi t'as enlevé des lignes au script ?
    0
  • 1
  • 2