Tres gros virus! help

Résolu
sarahlinaso -  
 Utilisateur anonyme -
Bonjour,
voila, je viens sur ce site car mon ordi a prit un virus je pense!!!! mais je ne connais pas trop .....
lorsque j ai allumé mon ordi ce matin deja je n avais plus mon fond d ecran,, ordi noir, puis quand j ai voulu allé dans la barre demarrer, elle est compétement vide, je ne trouve plus mes photos ni tout mes dossiers, il n y a rien! j arrive malgrés tout a me connecter sur le net en rentrant dans demarrer, click droit sur programe et ouvrir tout les utilisateurs!!!
en permanence un message avec une grosse croix rouge sort "windows. delayed write failed" en une vingtaine exemplaires.... j ai aussi une page systeme check qui refuse de ce fermer!!!
j ai voulu restauré mon systeme a 3 jour en arriere mais quand je click sur suivant rien de ce passe......
qua faire????
je vous remercie d avance pour votre aide!!!

109 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Résumé de la discussion

Le problème central est une suspicion d'infection virale sur Windows XP qui provoque un écran noir, une barre de démarrage vide et l'impossibilité d'accéder photos et dossiers, avec des messages 'windows delayed write failed'.
Plusieurs solutions de nettoyage et de récupération sont proposées, notamment des outils anti-malware et anti-rootkit (AdwCleaner, RogueKiller, ComboFix, Malwarebytes) ainsi que des étapes de suppression des infections et de restauration des composants système Windows.
D'autres interventions évoquent des contrôles plus approfondis via des outils de diagnostic et des options de réinstallation/formatage, mais celles-ci ne doivent être entreprises qu'en cas d'échec des nettoyages et avec sauvegardes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,

    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide
    *Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

    Tu relances RoguesKiller puis tu tapes 6.

    Poste les 2 rapports correspondant ces 2 options stp

    @+

    _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  2. sarahlinaso
     
    RogueKiller V6.2.2 [31/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Admin [Droits d'admin]
    Mode: Suppression -- Date : 06/01/2012 17:04:51

    ¤¤¤ Processus malicieux: 2 ¤¤¤
    [SUSP PATH] gocBcScmNJwBeCF.exe -- C:\Documents and Settings\All Users\Application Data\gocBcScmNJwBeCF.exe -> KILLED [TermProc]
    [SUSP PATH] zOpG7HhCteBfdN.exe -- C:\Documents and Settings\All Users\Application Data\zOpG7HhCteBfdN.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 8 ¤¤¤
    [SUSP PATH] HKLM\[...]\Run : gocBcScmNJwBeCF.exe (C:\Documents and Settings\All Users\Application Data\gocBcScmNJwBeCF.exe) -> DELETED
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] cb4c6495deda9cba6b65285bf44aabb8
    [BSP] a5ad68ae1b0911dda884b68e27c9aa18 : Whistler MBR Code!
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 157283 Mo
    1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 307194930 | Size: 162786 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
       
      Il reste deux rapports de RogueKiller pour les options 6 et aussi 3
      0
  3. sarahlinaso
     
    RogueKiller V6.2.2 [31/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Admin [Droits d'admin]
    Mode: Suppression -- Date : 06/01/2012 17:04:51

    ¤¤¤ Processus malicieux: 2 ¤¤¤
    [SUSP PATH] gocBcScmNJwBeCF.exe -- C:\Documents and Settings\All Users\Application Data\gocBcScmNJwBeCF.exe -> KILLED [TermProc]
    [SUSP PATH] zOpG7HhCteBfdN.exe -- C:\Documents and Settings\All Users\Application Data\zOpG7HhCteBfdN.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 8 ¤¤¤
    [SUSP PATH] HKLM\[...]\Run : gocBcScmNJwBeCF.exe (C:\Documents and Settings\All Users\Application Data\gocBcScmNJwBeCF.exe) -> DELETED
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Documents and Settings\Admin\Local Settings\Application Data\Microsoft\Wallpaper1.bmp)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    127.0.0.1 www.007guard.com
    127.0.0.1 007guard.com
    127.0.0.1 008i.com
    127.0.0.1 www.008k.com
    127.0.0.1 008k.com
    127.0.0.1 www.00hq.com
    127.0.0.1 00hq.com
    127.0.0.1 010402.com
    127.0.0.1 www.032439.com
    127.0.0.1 032439.com
    127.0.0.1 www.0scan.com
    127.0.0.1 0scan.com
    127.0.0.1 1000gratisproben.com
    127.0.0.1 www.1000gratisproben.com
    127.0.0.1 1001namen.com
    127.0.0.1 www.1001namen.com
    127.0.0.1 100888290cs.com
    127.0.0.1 www.100888290cs.com
    127.0.0.1 www.100sexlinks.com
    [...]

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] cb4c6495deda9cba6b65285bf44aabb8
    [BSP] a5ad68ae1b0911dda884b68e27c9aa18 : Whistler MBR Code!
    Partition table:
    0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 157283 Mo
    1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 307194930 | Size: 162786 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    voila le 6 deja j ai des trucs qui sont revuenu dans le menu demarrer!!!! je vais faire le 3
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. sarahlinaso
     
    RogueKiller V6.2.2 [31/12/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Admin [Droits d'admin]
    Mode: HOSTS RAZ -- Date : 06/01/2012 17:14:07

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ Nouveau fichier HOSTS: ¤¤¤
    127.0.0.1 localhost

    Termine : << RKreport[4].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
    0
  6. sarahlinaso
     
    ce que je ne comprends pas c est que mon petit etait sur l ordi et la tout c est bloqué et dans coup des images de film x son sorti,,, comment faire pour ne plus que ca ce reproduise????
    0
  7. sarahlinaso
     
    en tout cas mon ordi remarche,,, je vous remercie enormement
    0
  8. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Tu as un rogue!

    On n'a pas terminé, ton PC est encore infecté :-)

    /!\ ATTENTION : cette analyse peut durer quelques heures /!\

    * Télécharge MBAM et installe le selon l'emplacement par défaut
    https://www.malwarebytes.com/mwb-download/
    * Lance Malwarebytes' Anti-Malware
    * Fais la mise à jour
    * Clique dans l'onglet "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    *Vérifie que toutes les lignes sont cochées
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"

    * Copie/colle le rapport dans le prochain message

    @+

    0
  9. sarahlinaso
     
    ha bon et c est quoi un rogue??? ok je vais faire ça desuite, merci encore!!!
    0
  10. sarahlinaso
     
    alors effectivement, j ai recuperé tous les icones sur mon ecrans.... le rapport et dans le message du dessus,,,, alors ce logiciel est un antivirus??? car moi sur mon ordi j ai avira.... dois je m en servir pour faire des scans comme l autre ou je le supprime???
    0
  11. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Après on va refaire un analyse complet :-)

    =====================
    Nous allons effectuer un diagnostic de ton PC:
    *Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    * Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
    Si indisponible, tu peux essayer avec l'un de ces liens:
    http://ww38.toofiles.com/fr/documents-upload.html
    https://www.terafiles.net/
    https://www.casimages.com/
    http://pjjoint.malekal.com/

    * Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur pjjoint.malekal.com

    Rends toi sur pjjoint.malekal.com
    * Clique sur le bouton Parcourir
    * Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
    * Clique sur le bouton Envoyer
    * Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

    * Copie le lien dans ta prochaine réponse.

    @+
    0
  12. sarahlinaso
     
    quand je click sur la loupe, ca va jusqu a 100% et puis ca ne sort rien!!! c est normal je clisk kd mm sur la disquette?
    0
  13. sarahlinaso
     
    ha je suis desolée mais je n arrive pas, je ne comprends plus!!!!
    0
  14. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Est ce que tu trouves le rapport : ZHPDiag.txt sur ton bureau ?
    0
  15. sarahlinaso
     
    http://www.toofiles.com/fr/oip/documents/ZHPDiag33/7905_zhpdiag3.html
    c est ca le lien???je le met ou?
    0
  16. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Ton rapport est introuvable, héberge ici stp : pjjoint.malekal.com comme expliqué ci-dessus

    _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  17. sarahlinaso
     
    je suis vraiment dsl mais je ne comprends pas la demarche a suivre,,, poourtant c est pas faute d avoir essayé.... par contre j ai reussi a faire un can complet et voici le resultats:

    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.06.03

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 7.0.5730.13
    Admin :: ADMIN-7AA5AAF10 [administrateur]

    06/01/2012 20:48:36
    mbam-log-2012-01-06 (20-48-36).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 293974
    Temps écoulé: 54 minute(s), 35 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Documents and Settings\Admin\Bureau\RK_Quarantine\gocBcScmNJwBeCF.exe.vir (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.
    C:\Documents and Settings\Admin\Bureau\RK_Quarantine\zOpG7HhCteBfdN.exe.vir (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  18. sarahlinaso
     
    http://pjjoint.malekal.com/files.php?id=20120106_9h15b14z15r10

    c est ça?
    0
  19. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,

    Non, refais ce qui demandé : >>> ICI <<< stp.

    @+

    _ _ _ Fish66_ _ _ I''"""""I_ _ membre contributeur sécurité_ _I''"""""I_ _ _
    ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6