Problème virus, mon processeur tourne à 100% [Résolu/Fermé]

Signaler
Messages postés
6
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
26 juillet 2012
-
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
-
Bonjour,

Voilà tout est dans le titre mon pc tourne a fond et la moindre tache prend bcp de temps.
Je pense que c'est un virus mais impossbile de le supprimer : je fait plusieurs scan avec malwarebytes anti-malware et il me trouve à chaque fois les mems fichiers mais il ne les enlève pas, voici mon dernière scan rapide :

lwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.09.03

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Simon :: SIMON-PC [administrateur]

09/03/2012 13:59:32
mbam-log-2012-03-09 (14-04-03).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 204143
Temps écoulé: 3 minute(s), 53 seconde(s)

Processus mémoire détecté(s): 2
C:\Users\Simon\AppData\Roaming\System\UFA\windll32.exe (PUP.BitMiner) -> 4512 -> Aucune action effectuée.
C:\Users\Simon\AppData\Roaming\System\Info\SystemProcess.exe (Trojan.Agent) -> 4604 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Aucune action effectuée.
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Users\Simon\AppData\Roaming\System\UFA\windll32.exe (PUP.BitMiner) -> Aucune action effectuée.
C:\Users\Simon\AppData\Roaming\System\Info\SystemProcess.exe (Trojan.Agent) -> Aucune action effectuée.
C:\Users\Simon\AppData\Roaming\winsys.exe (Trojan.Agent) -> Aucune action effectuée.
C:\Users\Simon\AppData\Roaming\System\Info\Info (Stolen.Data) -> Aucune action effectuée.

(fin)

Pour infos j'ai déjà fait des scan avec Ccleaner et comme antivirus j'ai avira gratuit

22 réponses

Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
Salut,


Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

Voilà

OTL : http://pjjoint.malekal.com/files.php?id=20120309_t15x8n10p14g7

Extras : http://pjjoint.malekal.com/files.php?id=20120309_6e5u12y13n7
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
T'es bon pour changer tes mots de passe de sites, ils ont été récups.

Si tu pouvais envoyer ces fichiers sur http://upload.malekal.com à partir du bouton parcourir :
C:\Users\Simon\AppData\Roaming\System\Info\SystemProcess.exe
C:\Users\Simon\AppData\Roaming\System\UFA\windll32.exe
C:\Users\Simon\AppData\Local\Temp\4959.exe

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
PRC - [2012/03/09 13:54:17 | 000,016,896 | ---- | M] (Microsoft©) -- C:\Users\Simon\AppData\Roaming\System\Info\SystemProcess.exe
PRC - [2012/03/09 13:54:16 | 000,283,555 | ---- | M] (Ufasoft) -- C:\Users\Simon\AppData\Roaming\System\UFA\windll32.exe
PRC - [2012/03/09 12:50:28 | 000,038,400 | ---- | M] (Windows Security) -- C:\Users\Simon\AppData\Local\Temp\4959.exe
O4 - HKCU..\Run: [cmd.exe] C:\Users\Simon\AppData\Local\Temp\tool.exe (1B21023D260523)
[2011/12/10 23:15:24 | 001,169,224 | ---- | C] (Microsoft Corporation) -- C:\Users\Simon\AppData\Roaming\winsys.exe
O4 - HKCU..\Run: [Windows Security] C:\Users\Simon\AppData\Local\Temp\4959.exe (Windows Security)
:files
[2012/02/29 19:41:11 | 000,000,000 | ---D | C] -- C:\Users\Simon\AppData\Roaming\InstallDir
[2012/02/29 18:32:35 | 000,000,000 | ---D | C] -- C:\Users\Simon\AppData\Roaming\System
[2012/02/24 03:21:46 | 000,000,000 | ---D | C] -- C:\Users\Simon\AppData\Local\dxhr
[2012/02/24 03:20:35 | 000,000,000 | ---D | C] -- C:\Users\Simon\AppData\Local\28050


* redemarre le pc sous windows et poste le rapport ici

refais un scan Malwarebyte et poste le rapprot ici.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Voici le rapport je redemarre et lance le scan :

========== OTL ==========
Process SystemProcess.exe killed successfully!
Process windll32.exe killed successfully!
Process 4959.exe killed successfully!
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\cmd.exe deleted successfully.
C:\Users\Simon\AppData\Local\Temp\tool.exe moved successfully.
C:\Users\Simon\AppData\Roaming\winsys.exe moved successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Security deleted successfully.
C:\Users\Simon\AppData\Local\Temp\4959.exe moved successfully.
C:\Users\Simon\AppData\Roaming\InstallDir folder moved successfully.
C:\Users\Simon\AppData\Roaming\System\UFA folder moved successfully.
C:\Users\Simon\AppData\Roaming\System\Info folder moved successfully.
C:\Users\Simon\AppData\Roaming\System folder moved successfully.
C:\Users\Simon\AppData\Local\dxhr\cache\data\players folder moved successfully.
C:\Users\Simon\AppData\Local\dxhr\cache\data folder moved successfully.
C:\Users\Simon\AppData\Local\dxhr\cache folder moved successfully.
C:\Users\Simon\AppData\Local\dxhr folder moved successfully.
C:\Users\Simon\AppData\Local\28050\eidos\5a26fa7\cache\temp folder moved successfully.
C:\Users\Simon\AppData\Local\28050\eidos\5a26fa7\cache\persistent folder moved successfully.
C:\Users\Simon\AppData\Local\28050\eidos\5a26fa7\cache folder moved successfully.
C:\Users\Simon\AppData\Local\28050\eidos\5a26fa7 folder moved successfully.
C:\Users\Simon\AppData\Local\28050\eidos folder moved successfully.
C:\Users\Simon\AppData\Local\28050 folder moved successfully.

OTL by OldTimer - Version 3.2.36.2 log created on 03092012_170310
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.09.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Simon :: SIMON-PC [administrateur]

09/03/2012 17:06:51
mbam-log-2012-03-09 (17-06-51).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 203739
Temps écoulé: 3 minute(s), 36 seconde(s)

Processus mémoire détecté(s): 2
C:\Users\Simon\AppData\Roaming\System\UFA\windll32.exe (PUP.BitMiner) -> 3292 -> Suppression au redémarrage.
C:\Users\Simon\AppData\Roaming\System\Info\SystemProcess.exe (Trojan.Agent) -> 3336 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Users\Simon\AppData\Roaming\System\UFA\windll32.exe (PUP.BitMiner) -> Suppression au redémarrage.
C:\Users\Simon\AppData\Roaming\System\Info\SystemProcess.exe (Trojan.Agent) -> Suppression au redémarrage.
C:\Users\Simon\AppData\Roaming\winsys.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Simon\AppData\Roaming\System\Info\Info (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

(fin)

J'ai mis les 3 fichiers sur upload malekal
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
si tu refais un scan Malwarebyte, ça revient ?
Je viens de la refaire :

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.09.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Simon :: SIMON-PC [administrateur]

09/03/2012 17:17:20
mbam-log-2012-03-09 (17-17-20).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 204254
Temps écoulé: 50 seconde(s)

Processus mémoire détecté(s): 2
C:\Users\Simon\AppData\Roaming\System\UFA\windll32.exe (PUP.BitMiner) -> 3292 -> Suppression au redémarrage.
C:\Users\Simon\AppData\Roaming\System\Info\SystemProcess.exe (Trojan.Agent) -> 3336 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\Simon\AppData\Roaming\System\UFA\windll32.exe (PUP.BitMiner) -> Suppression au redémarrage.
C:\Users\Simon\AppData\Roaming\System\Info\SystemProcess.exe (Trojan.Agent) -> Suppression au redémarrage.

(fin)
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

Supprime :
C:\Users\Simon\AppData\Roaming\System\Info\

Fichier supprimer mais je l'ai pas trouvé dans C:Users, je l'ai trouvé dans le fichier C:/ _OTL je pense que c'était celui là car dans C:/Users il n'y avait même pas AppData
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
dans la barre d'adresse tape %APPDATA%
tu devrais voir Romaing puis System.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Je ne le trouve pas le seul que j'ai c'est C:/_OTL ... et je l'ai supr toute à l'heure
Messages postés
6
Date d'inscription
vendredi 9 mars 2012
Statut
Membre
Dernière intervention
26 juillet 2012

Même en reppasant en mode normal le AppData n'est plus dans C:/Users
En faite je l'ai trouvé en faissant un scan avec malware et supprimer en sans échec
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
ça ne revient pas donc ?
Aucun changement et en faisant un autre scan malware le fichier est revenu
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.
Voila le résultat de combofix :

http://pjjoint.malekal.com/files.php?id=20120310_v12r5x8r13g12

Pour info j'ai aussi effectuer une analyse avec panda antivirus qui m'a enlevé pas mal de fichiers et depuis le processeur tourne bcp moins vite, je dirais même normalement autour de 1/3% et malware ne detecte plus de virus.
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

folder:: 
c:\users\Simon\AppData\Roaming\System


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Voilà : http://pjjoint.malekal.com/files.php?id=20120310_r5p13u8c7e6

En tout cas merci du boulot je peux enfin me recervir de mon ordi comme avant :)
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
ça revient ?
Les virus? Non pas du tout justement le processeur tourne nikel
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
Change tes mots de passe de tes comptes WEB (mail, facebook etc).

T'avais téléchargé un crack ?
Ok

Un crack pour ?
Messages postés
180120
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
21 octobre 2020
22 387
bon bha tu sais pas ce que c'est alors laisse :)

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Passe le mot à tes amis !


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html