Comment me débarrasser de ces virus?

Résolu
kokyass -  
Fish66 Messages postés 18337 Statut Contributeur sécurité -
Bonsoir,
Je viens d'effectuer un scan avec MalwareByte et il me signale que je suis infecté, étant donné que je ne suis pas certain de l'action à effectuer, j'aimerais bien avoir quelques conseils.
Voici le rapport de MalwareByte:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8047

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

30/10/2011 19:04:08
mbam-log-2011-10-30 (19-03-54).txt

Type d'examen: Examen complet (C:\|D:\|Q:\|)
Elément(s) analysé(s): 291448
Temps écoulé: 26 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\DC3_FEXEC (Malware.Trace) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Korachi\AppData\Local\Temp\dclogs.sys (Stolen.Data) -> No action taken.

Merci d'avance.
kokyass.

11 réponses

  1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,
    1/
    Relance malwarebytes et à la fin de l'analyse clique sur "afficher le résultat" puis sur "supprimer la sélection"

    2/
    Nous allons effectuer un diagnostic de ton PC:
    *Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    * Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
    Si indisponible, tu peux essayer avec l'un de ces liens:
    http://dl.free.fr
    http://ww38.toofiles.com/fr/documents-upload.html
    https://www.terafiles.net/
    https://www.casimages.com/
    http://pjjoint.malekal.com/

    * Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur cijoint.fr/

    Rend toi sur ce site : http://www.cijoint.fr/
    Clique sur Choisissez un fichier
    Clique sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj44123/cijSKAP5fU.txt
    est ajouté dans la page. Copie ce lien dans ta réponse.
    ============================================
    Aide : >>> hébergement ICI <<<

    @+

    _ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
    1. kokyass
       
      Merci beaucoup de m'avoir répondu Fish66.
      Voici le rapport de ZHPDiag:
      http://www.cijoint.fr/cjlink.php?file=cj201110/cijJFosP2L.txt

      Est ce que c'est grave?
      Merci d'avance pour ta réponse.
      kokyass
      0
  2. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,

    Ton PC est un peu infecté ...

    ==================

    Avant d'utiliser ComboFix :

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

    . Télécharge Defogger (de jpshortstuff) sur ton Bureau

    . Lance le

    Une fenêtre apparait : clique sur "Disable"

    . Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    Attention, avant de commencer, lit attentivement la procédure

    /!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

    ? Fais un clic droit sur ce lien, enregistre le dans ton bureau

    Voici Aide combofix

    * /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


    *Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

    Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

    ** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
    (si il te propose de l'installer remets internet)

    ? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

    *En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    * Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    ** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    *Note : Le rapport se trouve également là : C:\ComboFix.txt
    0
    1. kokyass
       
      Merci une fois de plus pour ta réponse Fish66,
      Voici le rapport que tu m'as demandé:
      http://www.cijoint.fr/cjlink.php?file=cj201110/cijS4oPt6N.txt

      kokyass
      0
  3. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu


    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ??? NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Le rapport à l'héberger (comme tu as fait pour le rapport ZHPDiag)

    0
    1. kokyass
       
      Bonsoir Fish 66
      Voila le rapport demandé:
      http://www.cijoint.fr/cjlink.php?file=cj201110/cijk3P4IdC.txt

      Est ce que mon pc va mieux?
      Merci pour ton aide.
      kokyass
      0
  4. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=

    ----------------------------------------------------------------------------

    Toujours avec toutes les protections désactivées, fais ceci :

    ? Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ? Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    File::
    C:\Users\Korachi\AppData\Local\Temp\*.sys
    C:\Users\Korachi\AppData\Local\Temp\*.bat
    C:\Users\Korachi\AppData\Local\Temp\¨.exe
    c:\windows\SysWow64\shoF5D7.tmp

    Quit::


    ------------------------------------------------------------------

    ? Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ? Quitte le Bloc Notes

    ? Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ? Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ? Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ? Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    @+
    0
    1. kokyass
       
      Re Fish66,
      Voila le rapport que tu m'as demandé:
      http://www.cijoint.fr/cjlink.php?file=cj201111/cijQPwjRhC.txt

      Est ce enfin terminé?
      Merci pour ton aide.
      kokyass
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Pour vérification, lance ZHPDiag depuis le bureau de ton PC, clique sur l'onglet vert (flèche bas) pour faire la mise à jour et prépare stp un nouveau
    rapport ZHPDiag
    0
    1. kokyass
       
      Bonsoir Fish 66,
      voila le rapport que tu m'as demandé:
      http://www.cijoint.fr/cjlink.php?file=cj201111/cijKChXy4s.txt

      Merci pour ton aide.
      kokyass
      0
  7. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    1/
    Désinstalle ce logiciel stp : Babylon

    2/
    * Télécharge OTM (OldTimer) sur ton Bureau

    ICI >> OTM (OldTimer)
    * Double clic "OTMoveIt3.exe"
    * Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.

    - Copie (Ctrl+C) le texte suivant en gras ci-dessous :

    :files
    C:\Program Files\Babylon

    :commands
    [emptytemp]


    - Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
    - Clique maintenant sur le bouton MoveIt!
    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.
    - Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log

    3/
    Lance Malwarebytes pour une analyse complète puis poste le rapport stp

    @+

    0
    1. kokyass
       
      Bonjour Fish66,
      Voila les rapports que tu m'as demandé:
      http://dl.free.fr/emEmtYXFd
      http://dl.free.fr/fZLtzXhHm

      MalwareByte ne me signale plus rien, est ce que c'est bon signe?

      Merci pour ton aide
      kokyass
      0
  8. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Pour finir :

    Mise à jour Adobe reader

    * Télécharge Adobe reader à partir :>>>>Ce lien<<<< en décochant la case : installer McAfee Security Scan Plus (facultatif)
    * Désinstalle ta version d'adobe par : ajout/suppression de programme
    * Exécute le fichier téléchargé pour installation en suivant les instructions.

     Mise à jour de Java:

    * Tu peux vérifier ta Console Java en cliquant sur ce lien :https://www.java.com/fr/download/uninstalltool.jsp
    * Installe la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version).

    voici pour desinstaller JavaRa:  

    * Télécharge ce fichier à partir ce lien : http://raproducts.org/click/click.php?id=1
    * Décompresse JavaRa sur le Bureau (Clic droit > Extraire tout).
    * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
    * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
    * Choisis Français puis clique sur Select.
    * Clique sur Recherche de mises à jour.
    * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
    * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
    * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
    * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis
    une deuxième fois sur OK.
    * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
    * Ferme l'application.

    Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

    ===========================================

    Updatechecker :

    Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour
    ===========================================
    PurRa (éditeur de JavaRa) :

    Telecharge ici : PureRa (par l'editeur de JavaRa)

    Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7)

    => Configuration

    clique sur "Clean"

    L'outil va faire son scan puis son nettoyage

    à la fin du rapport tu auras une ligne comme ca :

    Total space cleaned: xxxxxxxx bytes

    transmets juste cette ligne .

    ===========================================
    **Nettoyage
    
    Suppression des outils de désinfections:
    * Télécharge  Delfix   sur ton bureau.          
    * Lance le, tape suppression puis valide          
    * Patiente pendant le scan jusqu'à l'ouverture du rapport.          
    * Copie/Colle le contenu du rapport dans ta prochaine réponse.          
    Note : Le rapport se trouve également sous C:\DelFix.txt          
    * Tu peux le desinstaller          
    
    ===========================================         
    
    <code>Nettoyage des fichiers et des clés de registre :

    * Télécharge et installe CCleaner version Slim
    * Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis
    * Avancé et décoche la case Effacer uniquement les fichiers etc....
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .
    ** Aide ici : https://www.malekal.com/tutoriel-ccleaner/
    Tu peux utiliser Ccleaner une fois par semaine

    ===========================================

    Purger les points de restauration système:


    * Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :

    Windows XP

    Windows Vista

    Windows 7

    * Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...

    ===========================================
    Conseils :
    1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules
    complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...

    2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.

    3/ Un peu de lecture :
    * Les dangers du Peer-To-Peer, Emule etc..
    * Comment Sécuriser son ordinateur...
    *Pourquoi et comment je me fais infecter

    4/ Défragmente tes disques dur par defraggler
    0
  9. kokyass
     
    Bonjour Fish66,
    Je n'ai pas réussi a effectué l'étape avec JavaRa sinon voici la suite des étapes que tu m'as demandé dans l'ordre:

    # DelFix v8.6 - Rapport créé le 02/11/2011 à 14:37:49
    # Mis à jour le 13/10/11 à 18h par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Korachi - KORACHI-HP (Administrateur)
    # Exécuté depuis : C:\Users\Korachi\Downloads\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\Qoobox
    Supprimé : C:\_OTM
    Supprimé : C:\Kill'em
    Supprimé : C:\ZHP
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    Supprimé : C:\Program Files (x86)\ZHPDiag

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\PhysicalDisk0_MBR.bin
    Supprimé : C:\Users\Korachi\Desktop\ComboFix.exe
    Supprimé : C:\Users\Korachi\Desktop\OTM.exe
    Supprimé : C:\Users\Korachi\Desktop\Pre_scan.exe
    Supprimé : C:\Users\Korachi\Downloads\JavaRa.zip
    Supprimé : C:\Windows\grep.exe
    Supprimé : C:\Windows\PEV.exe
    Supprimé : C:\Windows\NIRCMD.exe
    Supprimé : C:\Windows\MBR.exe
    Supprimé : C:\Windows\SED.exe
    Supprimé : C:\Windows\SWREG.exe
    Supprimé : C:\Windows\SWSC.exe
    Supprimé : C:\Windows\SWXCACLS.exe
    Supprimé : C:\Windows\Zip.exe

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\Software\g3n-h@ckm@n
    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Clé Supprimée : HKLM\SOFTWARE\Swearware
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [1505 octets] - [02/11/2011 14:37:49]

    ########## EOF - C:\DelFix[S1].txt - [1629 octets] ##########

    PurRa:
    Total space cleaned: 103152767 bytes

    Voila
    Merci pour ton aide.
    kokyass
    0
  10. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Quelle est ta version de Java, si elle est : Java6 update 29 donc c'est la dernière, si non tu peux la désinstaller.

    Ensuite tu télécharges et tu enregistre Java6 update 29 puis tu l'exécutes

    ======================

    Si tu n'as pas d'autres souci, pense à mettre ton sujet comme résolu

    @+

    0
  11. kokyass
     
    Merci pour ton aide Fish66 grâce à toi je n'ai plus de problème.
    kokyass

    PS: Je n'arrives pas à mettre mon sujet comme résolu car je n'ai pas posté en temps que membre...
    0
  12. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    De rien :-)

    Bon surf..

    0