Infection virulente, gros capharnaum

Résolu/Fermé
Ploi - 8 oct. 2011 à 23:19
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 26 mars 2012 à 06:07
Bonjour,

Aucun doute, c'est un virus. Je me souviens que ça a commencé par un message d'erreur sur internet qui disait qu'un fichier dont j'ai oublié le nom n'a pu être ouvert par le navigateur firefox. Immédiatement la fenêtre se ferme et pleins de messages d'erreurs sont apparus : Faild to save all the components for the file \System32\0000xxxx (x étant des chiffres ou des lettres). The file is corrupted or unreadable. This error may be caused by a PC hardware problem. S'en est suivi par la disparition de certains icones.

J'ai redémarré et là c'est le carnage. Plus d'icones ni de fond d'écran ni d'applications dans le menu démarrer, plus rien. Il me reste juste la barre des tâches avec les programmes se lançant au démarrage : steam et avast. MBAM a un message d'erreur : Echec de l'exécution de l'action demandée. Code d'erreur : 2. A cela les pop-up précédentes s'ouvrent à foison.

En plus j'ai des messages de windows me disant "Hard Drive clusters are partly damaged, Segment load failure" ou "mémoire ram insuffisante".

Aussi, un System Restore s'est lancé, que j'ai pu mettre en pause, mais je ne le connais pas.

Je demande donc de l'aide, si possible sans avoir à formater :/


A voir également:

33 réponses

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 oct. 2011 à 09:41
Bonjour,

@Anthonny30001 : pourquoi adwcleaner ? de plus celui-ci va supprimer les fichiers temporaires et donc la sauvegarde des raccourcis !

@Ploi
Pour récupérer tes icônes :

▶ Télécharge sur le bureau RogueKiller (par tigzy)

▶ ▶ Sous Windows XP, double clic gauche

▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu'administrateur

▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
♦ 1. Recherche (écrit en vert)
♦ 2. Suppression(écrit en rouge)
♦ 3. Hosts RAZ (écrit en rouge)
♦ 4. Proxy RAZ (écrit en rouge)
♦ 5. DNS RAZ (écrit en rouge)
♦ 6. Raccourcis RAZ (écrit en rouge)
♦ 0. Quitter (écrit en vert)
A ce moment tape 6 et valide

▶ Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
4
Bonjour,
Déjà je m'excuse de faire remonter ce sujet, mais je pense que ça sera utile pour les suivants à qui ça arrivera =)
Il m'est en effet arrivé la même chose, et RogueKiller n'est pas nécessaire pour remettre les icônes à leur place : en fait elles ont juste été mises en caché dans mon cas (c'est comme ça que j'ai pu me douter que c'était un rogue, car j'avoue avoir pas mal flippé au départ). Donc il suffit d'aller dans les options de dossiers dans ordinateur, d'aller dans affichage et d'afficher les dossiers cachés. Ensuite faut remettre tous les dossiers en visible (pas très difficile à trouver normalement faut juste chercher un peu ^^)
Voilà en espérant avoir pu aider ! bonne journée !
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
26 mars 2012 à 06:07
bah roguekiller fait exactement ça en 2 secondes, toi il te faut 1h.
0
On va voir si a une infection


Utilisation d'un logiciel de diagnostic
HijackThis est devenu insuffisant. ZHPDiag donne un rapport plus complet et plus détaillé.

Utilisation :

Télécharger ZHPDiag (de Nicolas Coolman)
Se laisser guider lors de l'installation, le programme se lancera automatiquement à la fin.
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette
Héberger le rapport ZHPDiag.txt sur un site tel que http://www.cijoint.fr/
pose ton rapport sur le forum
3
Analyse avec un Anti-Malware

Télécharger Malwarebytes' Anti-Malware (MBAM) sur le Bureau.
Double-cliquer sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepter.
Une fois la mise à jour terminée, se rendre dans l'onglet Recherche.
Sélectionner Exécuter un examen rapide.
Cliquer sur Rechercher. L'analyse dure généralement entre 5 et 20 minutes.


A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur "Afficher les résultats" pour afficher tous les objets trouvés.

Cliquer sur OK pour poursuivre. Si MBAM n'a rien trouvé, il le dira aussi.
Fermer les navigateurs (Internet Explorer, Mozilla Firefox, etc.).


Si des Malwares ont été détectés, cliquer sur Afficher les résultats.

Sélectionner tout (ou laisser coché) et cliquer sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
2
Utilisateur anonyme
9 oct. 2011 à 23:37
1
J'essayerai demain, j'vous tiens au courant. Bonne nuit.
0
Utilisateur anonyme
10 oct. 2011 à 00:13
pas de soucis :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Je tiens à préciser que je ne suis pas sur le pc infecté. A part les programmes lancés automatiquement au démarrage (steam et avast) je n'ai accès à absolument aucune application ! J'ai toutefois accès au Panneau de Configuration.

ZHPDiag : http://cjoint.com/data3/3Jix0rJx8lX.htm
0
Bonsoir,

Il semblerait que votre disque dur rend l'âme. Je dis bien il semblerait.

La priorité est sans aucun doute la sauvegarde de vos fichiers personnels. Veillez avant toute chose à les récupérer.

Cdt
0
Anthony30001 : Je lance MBAM depuis ma clé, je vous ferai part du résultat. Mais je peux déjà vous dire qu'il y a effectivement infection.

Personne : Ça ne m'étonnerai pas, la garantie expire... aujourd'hui. Il y a 2 mois je l'ai envoyé au SAV à cause du disque dur qui a rendu l'âme, suite à un choc de clapet, et ils me l'ont changé.

Autres infos :
- J'ai accès à mes documents (mais pas au disque dur puisque je n'ai pas les autorisations) en passant par le réseau (c'est déjà ça), donc c'est que sur le pc infecté ils sont seulement masqués ?
- J'ai pu installer ZHPDiag, mais pas MBAM puisque il l'est normalement déjà. Les icones de ZHPDiag sont apparus et restent sur le bureau.
0
MBAM : http://cjoint.com/data3/3JjbhbHmV1p.htm

Je n'ai plus les messages d'erreur et tout le bordel associé.

J'ai redémarrer le pc. Seulement, je n'ai toujours plus les icones ni les raccourcis dans le menu démarrer. De plus, je ne peux toujours pas accéder à mon disque dur. Ça affiche "le dossier est vide".
0
RKreport : http://cjoint.com/data3/3JjkvVm43iD.htm

Ça m'a l'air d'avoir fonctionné. Juste 2-3 raccourcis manquants mais rien de gênant, merci beaucoup. Edit : J'ai de nouveau accès à C:.

Par contre, j'ai un System Restore sous C:\ProgramData\6DSS92c31Apgik.exe (Entreprise : RapidEE.com) qui s'est invité. Il a même ramené un copain cHDPtBpfUKr.exe. Le supprimer seul suffira ?
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 oct. 2011 à 10:44
On va voir ça :

Nous allons effectuer un diagnostic de ton PC:
Télécharge ZHPDiag

▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"

▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)

▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

Voici comment procéder

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

A bientôt.
0
ZHPDiag :http://cjoint.com/data3/3Jjlfky6awB.htm

Et voici un screen des deux programmes : http://nsa27.casimages.com/img/2011/10/09/111009111230185826.jpg
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 oct. 2011 à 11:11
En regard de ton rapport Malwarebytes'

c:\programdata\chdptbpfukr.exe (Trojan.FakeAlert) -> 3900 -> No action taken.

Donc c'est parce que tu n'as pas cliqué sur "Supprimer la sélection".

Tu peux donc recommencer Malwarebytes' ^^
0
MBAM : http://cjoint.com/data3/3JjmdWqL1oh.htm

C'était bien des virus. Pourtant j'avais bien fait "supprimer la sélection". M'enfin un deuxième scan n'était pas de trop.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 oct. 2011 à 16:05
Re,

▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O2 - BHO: TBSB06155 [64Bits] - {2DA14D1D-AE74-4A74-A0FE-C79504755DB8} . (...) -- D:\seeearch.dll (.not file.)    => Toolbar.Agent
O4 - Global Startup: C:\Users\Spoon\Desktop\System Restore.lnk . (.RapidEE.com.)  -- C:\ProgramData\6DSS92c31Apgjk.exe    => 
O4 - Global Startup: C:\Users\Spoon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Restore.lnk . (.RapidEE.com.)  -- C:\ProgramData\6DSS92c31Apgjk.exe    => 
EMPTYTEMP
EMPTYFLASH


▶ Puis Lance ZHPFix depuis le raccourci du bureau .

▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).

▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.

▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

▶ Clique sur le bouton « GO » pour lancer le nettoyage

▶ Copie/Colle le rapport à l''écran dans ton prochain message

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
0
ZHPFix : http://cjoint.com/data3/3JjqTFK3MJB.htm

Entre temps j'ai désinstallé Avast! pour Avira. Celui-ci me détecte BOO/TDss qu'il n'arrive pas à supprimer. TDssKiller ne le détecte pas.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 oct. 2011 à 16:58
0
J'ai suivi la procédure et Avira ne se manifeste plus.

Par contre petit souci niveau icônes de la zone de notification. Les paramètres conservent l'affichage les programmes supprimés : http://nsa28.casimages.com/img/2011/10/09/111009052410353659.jpg (ici Avast et les deux virus). C'est normal ? D'autres comme Synaptics et MBAM ne se lancent plus au démarrage.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 oct. 2011 à 17:20
Mouais ....

On va y aller autrement.

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\

▶ /!\ IMPORTANT /!\

Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
Protections résidentes : https://forum.pcastuces.com/default.asp
et https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
~~
Pare feu Windows XP : http://support.microsoft.com/kb/283673/fr
Pare feu Windows Vista/7 : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
~~
Windows Defender : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
_______________________________________________________________

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\

Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
0
ComboFix : http://cjoint.com/data3/3JjrQcALN39.htm

Synaptics et MBAM se relancent mais ce qui était affiché au screen reste. C'est pas gênant si les fichiers ont bien été supprimés.
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
9 oct. 2011 à 18:04
Dans Panneau de configuration\Tous les Panneaux de configuration\Icônes de la zone de notification\Icônes système

Clique sur Restaurer les comportements par défaut

0