Possible virus

Fermé
Rainchipa - 12 mars 2012 à 08:03
 Utilisateur anonyme - 12 mars 2012 à 13:43
Bonjour,

Je suis déja venu sur ce forum y a quelques temps, et je sais que les helpers sont très compétents donc, depuis quelques jours j'ai eu plusieurs fois F-Secure qui me dit qu'il a supprimer un virus etc, bon ça peux arriver une fois de temps en temps mais c'est assez recurent depuis avant hier et je pense que F-secure n'arrive pas vraiment a le supprimer.

Donc ce serai pour faire un petit check up du pc, même si a part les messages de F-Secure le pc se comporte normalement, merci à vous :)
A voir également:

17 réponses

Utilisateur anonyme
12 mars 2012 à 09:21
salut precise
0
Ben j'ai eu environ une dizaines de trojan durant ces dernières 24h, et malgré que F-secure me dit les avoir supprimés j'aimerais être certains que le pc est pas encore infecté.
Les trojans s'appellaient Gen.variant.kazy, Gn.variant Zusy.elzob ou encore Trojan.Generic
0
Utilisateur anonyme
12 mars 2012 à 10:00
sûr que F-Secure , t'as pas fait le meilleur choix.....bien qu'un antivirus à l'heure actuelle ne sert à rien.....

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
0
Voici le rapport

http://pjjoint.malekal.com/files.php?id=20120312_n13n8w12x12i13
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
12 mars 2012 à 11:08
ok pre_scan a bien bossé il a retabli pas mal de clés manquantes et modifié d'autres...

apparemment tu es en belgique , confirme stp

===

Everest Poker si tu t'en sers pas tu peux le virer c'est un ramasse merd$$$$$$$

===

desinstalle adobe reader 9 on mettra le 10
desinstalle tout Java

=====

tu as plusieurs systemes installés sur le disque ?

=====

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}]
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
[-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}]
[-HKCU\Software\Grand Virtual]

list::
C:\ProgramData\Menu Start

file::
C:\Users\julie\AppData\Roaming\GhostObjGAFix.xml
C:\Users\julie\AppData\Local\Temp\Low\06DDIFJC.htm
C:\Users\julie\AppData\Local\Temp\Low\06OLT9N8.htm
C:\Users\julie\AppData\Local\Temp\Low\0JTDU1TB.htm
C:\Users\julie\AppData\Local\Temp\Low\0N3HO0DT.htm
C:\Users\julie\AppData\Local\Temp\Low\0UCD4PR5.htm
C:\Users\julie\AppData\Local\Temp\Low\0UQ0WQE5.htm
C:\Users\julie\AppData\Local\Temp\Low\0VACJIJY.htm
C:\Users\julie\AppData\Local\Temp\Low\72OJD8PI.htm
C:\Users\julie\AppData\Local\Temp\Low\BBUNPP6T.htm
C:\Users\julie\AppData\Local\Temp\Low\BQ0AUH5F.htm
C:\Users\julie\AppData\Local\Temp\Low\C341NNKK.htm
C:\Users\julie\AppData\Local\Temp\Low\EC4PJDG4.emf
C:\Users\julie\AppData\Local\Temp\Low\FY229V9D.htm
C:\Users\julie\AppData\Local\Temp\Low\GFHF8E2J.htm
C:\Users\julie\AppData\Local\Temp\Low\GO3EJDNU.htm
C:\Users\julie\AppData\Local\Temp\Low\HDDEZ73R.emf
C:\Users\julie\AppData\Local\Temp\Low\HVWEZ9OI.htm
C:\Users\julie\AppData\Local\Temp\Low\IE43RQC0.htm
C:\Users\julie\AppData\Local\Temp\Low\L56YL4AS.htm
C:\Users\julie\AppData\Local\Temp\Low\MDB9V0SK.htm
C:\Users\julie\AppData\Local\Temp\Low\MT5E9HYP.htm
C:\Users\julie\AppData\Local\Temp\Low\NQJ1Q9YN.htm
C:\Users\julie\AppData\Local\Temp\Low\OOWCG9CE.htm
C:\Users\julie\AppData\Local\Temp\Low\OYYSKNS8.htm
C:\Users\julie\AppData\Local\Temp\Low\P91CGI1T.htm
C:\Users\julie\AppData\Local\Temp\Low\PCDVPV8X.htm
C:\Users\julie\AppData\Local\Temp\Low\QI2QQZPU.htm
C:\Users\julie\AppData\Local\Temp\Low\R362ZRCE.htm
C:\Users\julie\AppData\Local\Temp\Low\R97TN4AO.htm
C:\Users\julie\AppData\Local\Temp\Low\S1Y1WYOQ.htm
C:\Users\julie\AppData\Local\Temp\Low\S2FHCS5M.htm
C:\Users\julie\AppData\Local\Temp\Low\U9TJ3NH8.htm
C:\Users\julie\AppData\Local\Temp\Low\W57PI2HB.htm
C:\Users\julie\AppData\Local\Temp\Low\W5DXMPXQ.htm
C:\Users\julie\AppData\Local\Temp\Low\WJQ0INHP.htm
C:\Users\julie\AppData\Local\Temp\Low\XLXYBE38.htm
C:\Users\julie\AppData\Local\Temp\Low\XVTITB0Y.htm
C:\Users\julie\AppData\Local\Temp\Low\Y6CDCXCE.htm
C:\Users\julie\AppData\Local\Temp\Low\Z8IZRGAG.htm

Mbr::

clean::

Reboot::

___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
Oui je suis de Belgique

J'ai désinstallé Everest Poker, Adobe reader, pour java j'avais trois Java Update dans gestion des programmes, j'ai désinstallé les trois, cela dit je sais pas si c'était bien ça?

Non je ne pense pas qu'il y ai plusieurs systèmes, juste windows 7 64bits.

Je m'occupe de faire la procédure.
0
voici le rapport pre_script

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.306 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Windows 7 Home Premium (64 bits) Service Pack 1

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
search:: | Tray::

Script : 11:25:05

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\Users\julie\AppData\Roaming\GhostObjGAFix.xml
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\06DDIFJC.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\06OLT9N8.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\0JTDU1TB.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\0N3HO0DT.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\0UCD4PR5.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\0UQ0WQE5.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\0VACJIJY.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\72OJD8PI.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\BBUNPP6T.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\BQ0AUH5F.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\C341NNKK.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\EC4PJDG4.emf
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\FY229V9D.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\GFHF8E2J.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\GO3EJDNU.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\HDDEZ73R.emf
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\HVWEZ9OI.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\IE43RQC0.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\L56YL4AS.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\MDB9V0SK.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\MT5E9HYP.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\NQJ1Q9YN.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\OOWCG9CE.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\OYYSKNS8.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\P91CGI1T.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\PCDVPV8X.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\QI2QQZPU.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\R362ZRCE.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\R97TN4AO.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\S1Y1WYOQ.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\S2FHCS5M.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\U9TJ3NH8.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\W57PI2HB.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\W5DXMPXQ.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\WJQ0INHP.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\XLXYBE38.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\XVTITB0Y.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\Y6CDCXCE.htm
Supprimé : C:\Users\julie\AppData\Local\Temp\Low\Z8IZRGAG.htm

¤

¤¤¤¤¤¤¤¤¤¤ | Listing de : C:\ProgramData\Menu Start


¤¤¤¤¤¤¤¤¤¤ | Listing de :

\$Recycle.Bin
\boot
\bootmgr
\Config.Msi
\Documents and Settings
\eula.1028.txt
\eula.1031.txt
\eula.1033.txt
\eula.1036.txt
\eula.1040.txt
\eula.1041.txt
\eula.1042.txt
\eula.2052.txt
\eula.3082.txt
\globdata.ini
\hiberfil.sys
\HP
\install.ini
\install.res.1028.dll
\install.res.1031.dll
\install.res.1033.dll
\install.res.1036.dll
\install.res.1040.dll
\install.res.1041.dll
\install.res.1042.dll
\install.res.2052.dll
\install.res.3082.dll
\Intel
\log.txt
\pagefile.sys
\PerfLogs
\Pre_Scan
\Pre_script.txt
\Program Files
\Program Files (x86)
\ProgramData
\Recovery
\SwSetup
\System Volume Information
\SYSTEM.SAV
\Users
\vcredist.bmp
\VC_RED.cab
\VC_RED.MSI
\Windows


¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows 7 Home Premium Edition
Windows Information: Service Pack 1 (build 7601), 64-bit
Base Board Manufacturer: Hewlett-Packard
BIOS Manufacturer: Hewlett-Packard
System Manufacturer: Hewlett-Packard
System Product Name: HP G62 Notebook PC
Logical Drives Mask: 0x0001001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 11:27:33

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
0
Utilisateur anonyme
12 mars 2012 à 12:07
on a un souci...

y'a quoi la dedans ?

C:\ProgramData\Menu Start
0
Aucune idée, je ne peux pas le voir en allant dans le dossier, et quand j'ai essayé de tapper l'url du dossier j'ai eu accès refusé.
0
Utilisateur anonyme
12 mars 2012 à 12:28
touche windows + R

tape :

%ProgramData%

rentre dans le dossier sus-nommé
0
Ce dossier n'est pas visible dans ProgramData, il est caché apparemment
0
touche windows +R

tape cmd puis

attrib -h "C:\ProgramData\Menu Start"

les guillemets sont importants sinon tu auras un message d'erreur qui va te dire :

windows ne trouve pas 'c:\programData\Menu'
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Alors j'ouvre cmd, puis quand je suis sur la fenêtre noire je met ta phrase et la y fais un saut de ligne et c'est tout?


Ce dossier est si important que ça? lol
0
Pas de changements
0
Utilisateur anonyme
12 mars 2012 à 13:27
c-à-d ?
0
Euh tu m'as bien demandé de refaire Executer > %ProgramData% ?

Mais je n'ai toujours pas le dossier Menu start visible.


edit : je dois m'absenter pour le moment, je vais télécharger les dernières versions de Java et de Adobe reader car je pense que le pc sera utilisé en mon absence et apparemment si ces programmes ne sont pas à jour on est vite en danger :)
0
Utilisateur anonyme
12 mars 2012 à 13:43
c'est clair !
0