Virus Repair Pc

Résolu
Amelie -  
 Amelie -
Bonjour,

Depuis ce matin l'ordinateur de mes parents est infecté par le virus Repair PC il me semble. Je n'ai plus aucun fichier sur le bureau ni dans le menu démarrer. J'ai énormément de message d'erreur qui s'affiche et un logiciel Antivirus qui s'est installé tout seul.
Je viens d'installer le logiciel Malwarebytes, j'ai fais une analyse rapide et voici le rapport :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8180

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

17/11/2011 11:20:59
mbam-log-2011-11-17 (11-20-53).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 183327
Temps écoulé: 10 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
c:\programdata\iowwdnqsypu.exe (Trojan.FakeAlert) -> 2412 -> No action taken.
c:\programdata\iglgzu0rvfexg9.exe (Trojan.FakeAlert) -> 2968 -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\IoWwDnqsYPU.exe (Trojan.FakeAlert) -> Value: IoWwDnqsYPU.exe -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\iowwdnqsypu.exe (Trojan.FakeAlert) -> No action taken.
c:\programdata\iglgzu0rvfexg9.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\user\AppData\Local\Temp\~!#DC11.tmp (Trojan.Downloader.adb) -> No action taken.
c:\Users\user\AppData\Local\Temp\UAC.exe (Trojan.FakeAlert) -> No action taken.
c:\Users\user\AppData\Local\Temp\0.5729327861111513gtye.exe (Trojan.Downloader.adb) -> No action taken.
c:\Users\user\AppData\Local\Temp\48D1.tmp (Trojan.FakeAlert) -> No action taken.
c:\Users\user\AppData\Local\Temp\adskbiv039tkls.exe.tmp (Trojan.FakeAlert) -> No action taken.
c:\Users\user\downloads\setup.exe (Trojan.FakeVLC) -> No action taken.
c:\Users\user\local settings\temporary internet files\Content.IE5\A4E0YQLS\setup.exe (Trojan.FakeVLC) -> No action taken.

Quelqu'un aurait il la gentillesse de m'aider pour la marche à suivre pour supprimer ce virus.

Merci beaucoup.
Amelie

Config>Windows Vista / Internet Explorer 9.0</config>

10 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge RogueKiller : https://www.luanagames.com/index.fr.html
    Lances en option 2 (Suppression).
    Poste le rapport ici.

    Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
    Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
    Renomme RogueKiller.exe en RogueKiller.com

    PUIS relance RogueKiller avec l'option 6 et poste le rapport ici.
    1
  2. Amelie
     
    Bonjour Malekal_morte et merci pour ta réponse.

    Je viens de supprimer la sélection, l'ordinateur a redémarrer. Je n'ai plus de messages d'erreur ni le faux antivirus. Par contre je n'ai pas récupérer mes fichiers ni mon bureau.
    0
  3. Amelie
     
    Voici le rapport en option 2 :

    RogueKiller V6.1.9 [16/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: user [Droits d'admin]
    Mode: Suppression -- Date : 17/11/2011 12:03:40

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 5 ¤¤¤
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Et le rapport en option 6 :

    RogueKiller V6.1.9 [16/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: user [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 17/11/2011 12:09:54

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    Attributs de fichiers restaures:
    Bureau: Success 10 / Fail 0
    Lancement rapide: Success 6 / Fail 0
    Programmes: Success 954 / Fail 0
    Menu demarrer: Success 41 / Fail 0
    Dossier utilisateur: Success 11756 / Fail 0
    Mes documents: Success 1646 / Fail 0
    Mes favoris: Success 127 / Fail 0
    Mes images: Success 1026 / Fail 0
    Ma musique: Success 115 / Fail 0
    Mes videos: Success 3 / Fail 0
    Disques locaux: Success 1668 / Fail 0
    Sauvegarde: [FOUND] Success 14 / Fail 2

    Lecteurs:
    [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
    [E:] \Device\HarddiskVolume4 -- 0x2 --> Restored
    [F:] \Device\CdRom0 -- 0x5 --> Skipped

    ¤¤¤ Infection : Fake HDD ¤¤¤

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    consrv.dll
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    0
  6. Amelie
     
    Le lien OTL.txt : http://pjjoint.malekal.com/files.php?id=OTL_g13m7k12c14c14v13t5p7g7m14y11h14x13s14x8l12u13r14s11m8

    Le lien Extra.txt : http://pjjoint.malekal.com/files.php?id=OTL_Extras_h6q6j13y10x10p7k15d11q12k6v8q10t13c155y1215b15t10t8
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2011/11/16 19:15:36 | 000,000,456 | ---- | M] () -- C:\ProgramData\IGLgzU0rvFeXG9
    [2011/11/16 19:13:57 | 000,000,296 | -H-- | M] () -- C:\ProgramData\~IGLgzU0rvFeXG9
    [2011/11/16 19:13:57 | 000,000,216 | -H-- | M] () -- C:\ProgramData\~IGLgzU0rvFeXG9r
    [2011/11/16 19:13:54 | 000,000,608 | ---- | M] () -- C:\Users\user\Desktop\System Fix.lnk
    [2011/06/15 07:39:55 | 000,000,000 | ---D | M] -- C:\Users\user\AppData\Roaming\OfferBox


    * redemarre le pc sous windows et poste le rapport ici

    0
  8. Amelie
     
    Voici le rapport :

    ========== OTL ==========
    C:\ProgramData\IGLgzU0rvFeXG9 moved successfully.
    C:\ProgramData\~IGLgzU0rvFeXG9 moved successfully.
    C:\ProgramData\~IGLgzU0rvFeXG9r moved successfully.
    C:\Users\user\Desktop\System Fix.lnk moved successfully.
    C:\Users\user\AppData\Roaming\OfferBox folder moved successfully.

    OTL by OldTimer - Version 3.2.31.0 log created on 11172011_154237
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    c'est ok :)

    à faire lire à tes parents.

    Fais plus attention à l'avenir....

    Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
    - Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
    Exemple de ce qu'il ne faut pas faire :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.

    0
  10. Amelie
     
    Merci pour ton aide et les différents conseils.
    Le bureau est revenu à la normal, par contre lorsque je clique sur Démarrer il me manque pas mal de choses. J'ai "Tous les programmes" et "Ordinateur". Où sont passés les fichiers, le panneau de configuration etc. ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ça je ne peux pas le récup :/
      faut refaire les raccourcis.
      0
    2. Amelie
       
      Ah d'accord.
      Merci beaucoup à toi !
      0