Virus dans secteur de démarrage
Résolu
Gerard25
-
gerard25 -
gerard25 -
Bonjour,
Depuis 4 jours mon PC est infecté par un virus sur le secteur de démarrage
Il a traversé AVAST à jour qui ne le détecte pas
Il infecte les drivers de la carte Video
J'avais un CD Ubuntu que j'ai lancé , tout fonctionnait normalement
J'ai fait une réinstallation complete avec formatage mais il est réapparut
Puis j'ai refait une réinstallation sans charger les drivers Video.J'ai un ecran à definition réduite mais je peux utiliser mon micro.
On voit clairement que quelque chose se charge avant le lancement de XP
Que me conseiller vous
Merci d'avance pour tout conseil
Depuis 4 jours mon PC est infecté par un virus sur le secteur de démarrage
Il a traversé AVAST à jour qui ne le détecte pas
Il infecte les drivers de la carte Video
J'avais un CD Ubuntu que j'ai lancé , tout fonctionnait normalement
J'ai fait une réinstallation complete avec formatage mais il est réapparut
Puis j'ai refait une réinstallation sans charger les drivers Video.J'ai un ecran à definition réduite mais je peux utiliser mon micro.
On voit clairement que quelque chose se charge avant le lancement de XP
Que me conseiller vous
Merci d'avance pour tout conseil
A voir également:
- Virus dans secteur de démarrage
- Forcer demarrage pc - Guide
- Ordinateur lent au démarrage - Guide
- Reinitialiser pc au demarrage - Guide
- Problème démarrage windows 10 - Guide
- Qu'est ce qui se lance au démarrage de l'ordinateur - Guide
27 réponses
" Il infecte les drivers de la carte Video " de quel manière ?!
Un virus ne survit pas à un formatage ! A moins qu'il soit stocké ailleurs ..
Un virus ne survit pas à un formatage ! A moins qu'il soit stocké ailleurs ..
salut il aurait deja fallu qu il soit à jour ca aurait moins facilité les choses pour les infections . :)
un bon paquet d'infections survivent au formatage
===========
▶ Télécharge Reload_TDSSKiller
l'outil va telecharger la derniere version
L'écran de TDSSKiller s'affiche:
Illustration
- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".
Illustration
▶ Et coche les 2 options supplémentaires:
Illustration
▶ Clique sur Start scan pour lancer l'analyse.
- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:
En général, laisse les options proposées par défaut par l'outil
l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
▶ puis clique sur Continue.
- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.
Illustration
En fin d'analyse il peut être demandé de relancer la machine:
▶ clique sur Reboot Now.
▶ Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
▶ Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
====================
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
un bon paquet d'infections survivent au formatage
===========
▶ Télécharge Reload_TDSSKiller
l'outil va telecharger la derniere version
L'écran de TDSSKiller s'affiche:
Illustration
- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".
Illustration
▶ Et coche les 2 options supplémentaires:
Illustration
▶ Clique sur Start scan pour lancer l'analyse.
- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:
En général, laisse les options proposées par défaut par l'outil
l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
▶ puis clique sur Continue.
- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.
Illustration
En fin d'analyse il peut être demandé de relancer la machine:
▶ clique sur Reboot Now.
▶ Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
▶ Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
====================
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Merci pour cette indication
Je vais réaliser l'ensemble du processus dès que je serai de retour chez moi
le 11/02
Je vous informerai de son déroulement
Il me reste un Pb comment a t'il put traverser AVAST alors que les mises à jour automatique sont actives en permanence
A+
Je vais réaliser l'ensemble du processus dès que je serai de retour chez moi
le 11/02
Je vous informerai de son déroulement
Il me reste un Pb comment a t'il put traverser AVAST alors que les mises à jour automatique sont actives en permanence
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Quoi mettre en place pour arreter ce genre d'infection
J'avais Zone alarme en fonction ainsi que spybot cherche and destroy
Mon PC infecté a 6ans d'age
Suite à ce Pb j'en ai acheté un nouveau que mettre en place sur celui ci pour que cela n'arrive pas
D'autre part j'ai fait une sauvegarde de mon user sur disque dur externe 10jours avant mon Pb Quelle chance a t il d'etre infecté
Merci
Gerard25
J'avais Zone alarme en fonction ainsi que spybot cherche and destroy
Mon PC infecté a 6ans d'age
Suite à ce Pb j'en ai acheté un nouveau que mettre en place sur celui ci pour que cela n'arrive pas
D'autre part j'ai fait une sauvegarde de mon user sur disque dur externe 10jours avant mon Pb Quelle chance a t il d'etre infecté
Merci
Gerard25
faire attention à ou on va sur le net et avoir java et adobe reader à jour ainsi que les navigateurs et windows
si ces conditions ne sont pas respectées , toute défense est inutile
si ces conditions ne sont pas respectées , toute défense est inutile
Existe t'il des anti virus qui sont plus performant que AVAST et qui scannent les secteurs de démarrage?
A+
A+
oui mais ce ne sont pas des antivirus ^^
=========
Thumbs.db sont des fichiers utilisé par windows ce ne sont pas des virus
le rapport il est où ?
=========
Thumbs.db sont des fichiers utilisé par windows ce ne sont pas des virus
le rapport il est où ?
Je suis en vacance chez des amis et je n'ai pas mon ordi avec moi
Je suis le forum avec l'ordi de mes amis
Dès que je serai de retour je lancerai le processus que tu as décrit
et je joindrai le rapport soirt après le 11Fevrier
A+
Gerard
Je suis le forum avec l'ordi de mes amis
Dès que je serai de retour je lancerai le processus que tu as décrit
et je joindrai le rapport soirt après le 11Fevrier
A+
Gerard
salut il manque le rapport tdsskiller
==========
desinstalle ASk.com
dezsinstalle tout Java
desinstalle adobe reader 6
==========
relance pre_scan , choisis l option script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"Cpqset"=-
"iTunesHelper"=-
"QuickTime Task"=-
"HP Software Update"=-
[HKEY_USERS\S-1-5-21-1644491937-1123561945-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKCU\Software\Ask.com]
[-HKCU\Software\AskToolbar]
[-HKLM\Software\AskToolbar]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-
file::
C:\WINDOWS\SET3.tmp
C:\WINDOWS\SET4.tmp
C:\WINDOWS\SET8.tmp
folder::
C:\Program Files\Ask.com
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\3as2aegj.default\extensions\toolbar@ask.com
C:\Documents and Settings\Propriétaire\Application Data\pdfforge
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\AskToolbar
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
==========
desinstalle ASk.com
dezsinstalle tout Java
desinstalle adobe reader 6
==========
relance pre_scan , choisis l option script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"Cpqset"=-
"iTunesHelper"=-
"QuickTime Task"=-
"HP Software Update"=-
[HKEY_USERS\S-1-5-21-1644491937-1123561945-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"=-
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}]
[-HKCU\Software\Ask.com]
[-HKCU\Software\AskToolbar]
[-HKLM\Software\AskToolbar]
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-
file::
C:\WINDOWS\SET3.tmp
C:\WINDOWS\SET4.tmp
C:\WINDOWS\SET8.tmp
folder::
C:\Program Files\Ask.com
C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\3as2aegj.default\extensions\toolbar@ask.com
C:\Documents and Settings\Propriétaire\Application Data\pdfforge
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\AskToolbar
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
lien du fichier manquant :rapport tdsskiller
http://pjjoint.malekal.com/files.php?id=20120215_d13v13l10u8k12
gerard25
http://pjjoint.malekal.com/files.php?id=20120215_d13v13l10u8k12
gerard25
