Virus récalcitrant...
Vince65
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
J'ai depuios deux jours un virus actif sur mon PC. Après avoir fait tourner différents anti-virus (dans un ordre un peu aléatoire...) ça va un peu mieux mais le virus se réactive dès que j'essaye d'accéder à une page web spécifique (Forum VeloVert).
J'aurai donc bien besoin d'un avis d'expert pour m'aider à m'en sortir.
D'avance Merci.
Pour commencer j'ai fait tourner ZHPDiag, voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijJ5Z9Ua1.txt
Je continue la procédure et poste les rapports suivants MalwareBytes Anti-Malware et Kaspersky.
A Bientôt.
Vincent
J'ai depuios deux jours un virus actif sur mon PC. Après avoir fait tourner différents anti-virus (dans un ordre un peu aléatoire...) ça va un peu mieux mais le virus se réactive dès que j'essaye d'accéder à une page web spécifique (Forum VeloVert).
J'aurai donc bien besoin d'un avis d'expert pour m'aider à m'en sortir.
D'avance Merci.
Pour commencer j'ai fait tourner ZHPDiag, voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201110/cijJ5Z9Ua1.txt
Je continue la procédure et poste les rapports suivants MalwareBytes Anti-Malware et Kaspersky.
A Bientôt.
Vincent
A voir également:
- Virus récalcitrant...
- Supprimer fichier récalcitrant - Guide
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
37 réponses
Voici le rapport de rogue killer "option 2":
RogueKiller V6.1.4 [22/10/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Suppression -- Date : 31/10/2011 18:27:09
Processus malicieux: 1
[HJ NAME] ctfmon.exe -- c:\windows\syswow64\ctfmon.exe -> KILLED [TermProc]
Entrees de registre: 1
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED ()
Fichiers / Dossiers particuliers:
Driver: [NOT LOADED]
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V6.1.4 [22/10/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Suppression -- Date : 31/10/2011 18:27:09
Processus malicieux: 1
[HJ NAME] ctfmon.exe -- c:\windows\syswow64\ctfmon.exe -> KILLED [TermProc]
Entrees de registre: 1
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED ()
Fichiers / Dossiers particuliers:
Driver: [NOT LOADED]
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Et pour finir le rapport de OTM:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk :commands not found.
File/Folder [purity] not found.
File/Folder [emptytemp] not found.
File/Folder [start explorer] not found.
OTM by OldTimer - Version 3.1.19.0 log created on 10312011_182956
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk :commands not found.
File/Folder [purity] not found.
File/Folder [emptytemp] not found.
File/Folder [start explorer] not found.
OTM by OldTimer - Version 3.1.19.0 log created on 10312011_182956
Et le rapport de OTM:
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk :commands not found.
File/Folder [purity] not found.
File/Folder [emptytemp] not found.
File/Folder [start explorer] not found.
OTM by OldTimer - Version 3.1.19.0 log created on 10312011_182956
All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== FILES ==========
File/Folder C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk :commands not found.
File/Folder [purity] not found.
File/Folder [emptytemp] not found.
File/Folder [start explorer] not found.
OTM by OldTimer - Version 3.1.19.0 log created on 10312011_182956
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Mais.... trojan killer n'est toujours pas content :
GridinSoft Trojan Killer v.2.1.1.0
Report file date: 31/10/2011 18:45:31
Scanning for 431061 virus strains and unwanted programs.
Licensed: UNREGISTERED
Windows version: Windows 7 Home Premium (version 6.1)
Username: Vincent
Starting the file scan:
Startup collected
BHO plugins collected
Service collected
ActiveX collected
Files collected
Scanning process...
----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
Rogue.FakeAV.Win32h.SystemRestore
MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
EP: 00
SEC:
Scan completed!
Scan result: 1 detected items
Scan completed in: Scan completed in 7 minute(s) 44 sec.
Files were scanned: 12150
GridinSoft Trojan Killer v.2.1.1.0
Report file date: 31/10/2011 18:45:31
Scanning for 431061 virus strains and unwanted programs.
Licensed: UNREGISTERED
Windows version: Windows 7 Home Premium (version 6.1)
Username: Vincent
Starting the file scan:
Startup collected
BHO plugins collected
Service collected
ActiveX collected
Files collected
Scanning process...
----- C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk ---- General
Rogue.FakeAV.Win32h.SystemRestore
MD5: B1DE2E77EB7214B3C301BEE0F34BC623:688
EP: 00
SEC:
Scan completed!
Scan result: 1 detected items
Scan completed in: Scan completed in 7 minute(s) 44 sec.
Files were scanned: 12150
supprime manuellement ce fichier
C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk
si cela persiste initialise internet explorer
https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur
C:\Users\Vincent\AppData\Roaming\microsoft\internet explorer\quick launch\system restore.lnk
si cela persiste initialise internet explorer
https://forums.commentcamarche.net/forum/affich-37585758-reinitialiser-son-navigateur
Je viens de poster à deux reprises les autres rapport mais je ne les vois pas sur le forum.... je ne comprends pas
Bon je ne comprends toujours pas pourquoi je n'arrive pas à visualiser mes posts sur le forum, mais j'ai lu tes réponses dans mes mails...
J'ai donc supprimer le fichier que tu m'as indiqué manuellement et refais tourner trojan killer et.... tout est clean maintenant: MERCI!
Cependant j'ai encore quelques questions, suite à l'infection et à tout les manip':
- je n'ai plus rien dans les barres de lancement rapides, et dans le menu démarrer j'ai un menu "blanc".
- ensuite dans "Mes documents", j'ai des dossiers sécurisés qui se sont créés type MyMusic, MaMusique, la même pour les images etc...
Est ce grave docteur?
J'ai donc supprimer le fichier que tu m'as indiqué manuellement et refais tourner trojan killer et.... tout est clean maintenant: MERCI!
Cependant j'ai encore quelques questions, suite à l'infection et à tout les manip':
- je n'ai plus rien dans les barres de lancement rapides, et dans le menu démarrer j'ai un menu "blanc".
- ensuite dans "Mes documents", j'ai des dossiers sécurisés qui se sont créés type MyMusic, MaMusique, la même pour les images etc...
Est ce grave docteur?
Téléchargez sur le bureau RogueKiller
Quittez tous les programmes en cours
Sous Vista/Seven , clic droit -> lancez en tant qu'administrateur
Sinon lancez simplement RogueKiller.exe
Lorsque cela est demandé, tapez 6 et validez
Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donnez son contenu à la personne qui vous aide sur le forum
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
ensuite dis nous comment va ton pc
Quittez tous les programmes en cours
Sous Vista/Seven , clic droit -> lancez en tant qu'administrateur
Sinon lancez simplement RogueKiller.exe
Lorsque cela est demandé, tapez 6 et validez
Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donnez son contenu à la personne qui vous aide sur le forum
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
ensuite dis nous comment va ton pc
J'ai essayé de relancer rogue killer mais celà n'a pas d'effet sur les pb que j'ai cité.
voici le rapport:
RogueKiller V6.1.4 [22/10/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 01/11/2011 07:26:10
Processus malicieux: 0
Driver: [NOT LOADED]
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 39 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 12 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
a+
voici le rapport:
RogueKiller V6.1.4 [22/10/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 01/11/2011 07:26:10
Processus malicieux: 0
Driver: [NOT LOADED]
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 39 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 12 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
a+
Désactivez vos protections puis enregistrez ceci sur votre bureau
Téléchargez Pre_Scan ici: http://dl.dropbox.com/u/21363431/Pre_scan.exe
ou mirroir :
http://www.archive-host.com
Transférez le logiciel sur le bureau si il n'a pas été enregistré sur votre bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois téléchargé sur le bureau, lancez-le , laissez faire l'analyse jusqu'à l'apparition de "Pre_scan.txt" sur le bureau. Faîtes passer le rapport sur le forum si vous vous faîtes aider.
rq: Il se peut que l'outil soit un peu long sur l'attribution des fichiers (tout dépend du nombre que vous avez) , laissez-le travailler jusqu'au bout.
Faites glisser une icône du bureau sur l'icône Pre_Scan : Pre_Script va apparaître.
Dans le fichier bloc note qui s'ouvre coller la ligne suivante:
attrib::
Fichier>Enregistrer le fichier
Fermer le bloc note
Téléchargez Pre_Scan ici: http://dl.dropbox.com/u/21363431/Pre_scan.exe
ou mirroir :
http://www.archive-host.com
Transférez le logiciel sur le bureau si il n'a pas été enregistré sur votre bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois téléchargé sur le bureau, lancez-le , laissez faire l'analyse jusqu'à l'apparition de "Pre_scan.txt" sur le bureau. Faîtes passer le rapport sur le forum si vous vous faîtes aider.
rq: Il se peut que l'outil soit un peu long sur l'attribution des fichiers (tout dépend du nombre que vous avez) , laissez-le travailler jusqu'au bout.
Faites glisser une icône du bureau sur l'icône Pre_Scan : Pre_Script va apparaître.
Dans le fichier bloc note qui s'ouvre coller la ligne suivante:
attrib::
Fichier>Enregistrer le fichier
Fermer le bloc note
Salut,
J'ai fait tourner tout ce que tu m'as dit et ça semble aller beaucoup mieux, encore une fois: MERCI!!
As tu besoin du rapport de pre_scan? car il est super long.
Voici le rapport de pre_script:
a+
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.96 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Mise à jour : 17/10/2011 | 00.40 Par g3n-h@ckm@n
Utilisateur : Vincent (Administrateurs)
Système d'exploitation : Windows 7 Home Premium (64 bits)
Internet Explorer : 8.0.7600.16385
Mozilla Firefox :
Switchs possibles :
processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::
Script : 20:06:31
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disques externes : 4 Objets réattribués
Disque Local : 5 Objets réattribués
Utilisateurs : 1 Objets réattribués
ProgramFiles : 12 Objets réattribués
Music : 151 Objets réattribués
Pictures : 0 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 2 Objets réattribués
Links : 0 Objets réattribués
Searches : 0 Objets réattribués
Contacts : 0 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 15 Objets réattribués
Windows : 100 Objets réattribués
StartMenu : 2 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 5 Objets réattribués
¤
Fin : 20:07:21
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
J'ai fait tourner tout ce que tu m'as dit et ça semble aller beaucoup mieux, encore une fois: MERCI!!
As tu besoin du rapport de pre_scan? car il est super long.
Voici le rapport de pre_script:
a+
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.96 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤
Mise à jour : 17/10/2011 | 00.40 Par g3n-h@ckm@n
Utilisateur : Vincent (Administrateurs)
Système d'exploitation : Windows 7 Home Premium (64 bits)
Internet Explorer : 8.0.7600.16385
Mozilla Firefox :
Switchs possibles :
processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
attrib:: | txt:: | Host:: | NsLook::
list:: | IP:: | ADS:: | Kill:: | clean::
Script : 20:06:31
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disques externes : 4 Objets réattribués
Disque Local : 5 Objets réattribués
Utilisateurs : 1 Objets réattribués
ProgramFiles : 12 Objets réattribués
Music : 151 Objets réattribués
Pictures : 0 Objets réattribués
Videos : 0 Objets réattribués
Downloads : 0 Objets réattribués
Desktop : 2 Objets réattribués
Links : 0 Objets réattribués
Searches : 0 Objets réattribués
Contacts : 0 Objets réattribués
Saved Games : 0 Objets réattribués
Favorites : 0 Objets réattribués
Documents : 15 Objets réattribués
Windows : 100 Objets réattribués
StartMenu : 2 Objets réattribués
Librairies : 0 Objets réattribués
Quick Launch : 0 Objets réattribués
%AppData% : 5 Objets réattribués
¤
Fin : 20:07:21
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
je veux bien le rapport préscan (faire passer par le site cijoint)
sinon comment va le pc ? quels problèmes actuellement?)
sinon comment va le pc ? quels problèmes actuellement?)
Salut,
Voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201111/cijv9TIbnN.txt
Le PC semble aller correctement. Mon pb de fichiers et raccourci était en faite des paramétres que j'avais changer pour tenter de résoudre le pb de virus.
Il faut maintenant que je fasse un peu le ménage de tous les utilitaires que j'ai téléchargé!
a+ et merci encore une fois!
Vincent
Voici le rapport: http://www.cijoint.fr/cjlink.php?file=cj201111/cijv9TIbnN.txt
Le PC semble aller correctement. Mon pb de fichiers et raccourci était en faite des paramétres que j'avais changer pour tenter de résoudre le pb de virus.
Il faut maintenant que je fasse un peu le ménage de tous les utilitaires que j'ai téléchargé!
a+ et merci encore une fois!
Vincent
