Virus !! Fermé

Question

Bonjour, Mon Pc a attrapé un virus. Comme ça m'était déjà arrivé il y a un peu plus d'un an, j'ai utilisé RogueKiller, et choisi l'option suppression (2). Un rapport m'est parvenu, mais je ne sais plus ce qu'il faut faire après. J'ai essayé de lancer un scan Malwarebytes, mais impossible de le faire jusqu'au bout. Aidez-moi, s'il vous plaît je suis perdu ! Merci. Voici le rapport de Rogue Killer : RogueKiller V4.3.6 par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Maxime [Droits d'admin] Mode: Suppression -- Date : 28/03/2012 13:24:11 Processus malicieux: 3 [APPDT/TMP/DESKTOP] IjtjvlPnQVXOTsL.exe -- c:\programdata\ijtjvlpnqvxotsl.exe -> KILLED [APPDT/TMP/DESKTOP] lsnfier.exe -- c:\users\maxime\appdata\roaming\microsoft\notification de cadeaux msn\lsnfier.exe -> KILLED [APPDT/TMP/DESKTOP] AtKjXj23Xe1HAA.exe -- c:\programdata\atkjxj23xe1haa.exe -> KILLED Entrees de registre: 2 [APPDT/TMP/DESKTOP] HKCU\[...]\Run : IjtjvlPnQVXOTsL.exe (C:\ProgramData\IjtjvlPnQVXOTsL.exe) -> DELETED [APPDT/TMP/DESKTOP] Notification de cadeaux MSN.lnk : C:\Users\Maxime\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> DELETED Fichier HOSTS: 127.0.0.1 localhost ::1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt Configuration: Windows Vista / Internet Explorer 9.0

Smart91 · Answer

Bonjour,

Ta version de RogueKiller n'est pas à jour.

* Télécharge sur le bureau RogueKiller (par tigzy) 
* Quitte tous les programmes en cours 
* Lance RogueKiller.exe. 
* Attendre la fin du Prescan ... 
* Clique sur Scan. 
* A la fin du scan 
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse

Smart

Maxime Hermet · Answer

Merci baucoup de m'aider. J'ai fait ce que tu m'as dit, voici le rapport : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Maxime [Droits d'admin] Mode: Suppression -- Date: 28/03/2012 23:00:56 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 19 ¤¤¤ [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: Hitachi HTS541612J9SA00 ATA Device +++++ --- User --- [MBR] 935bcf7b8be53f0f30354a84d43d62f3 [BSP] d987c561c1f2f6b7ccd1435ca783c5a1 : Acer tatooed MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 11993 Mo 1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 24563712 | Size: 51347 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 129722368 | Size: 51131 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

Smart91 · Answer

OK. On va faire un diagnostique de ton PC.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe et non pas sur le personnage avec la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse.

Smart

Maxime Hermet · Answer

J'ai fais tout ce que tu m'as dit, mais le scan s'interrompt à 43% systématiquement (j'ai essayé deux fois)...

Avez-vous une autre solution.

Petite amélioration sur mon bureau, j'ai accès à quelques icônes de plus (ordinateur, mes documents...)

Que dois-je faire ?

Smart91 · Answer

Bon on va faire autrement

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si TDSS.tdl2 : l'option Delete sera cochée. 
* Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
* Si "Suspicious object" laisse l'option cochée sur Skip 
* Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas 
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

Smart

Maxime Hermet · Answer

Bon en redémarrant mon ordinateur, il semble qu'il ait récupéré ses fonctions. Tout marche à nouveau.
Apparemment il fallait que je passe par une par une version actualisé de Roguekiller.

J'ai fait un scan complet avec Avast, qui en a refait un ensuite au démarrage.

Merci beaucoup en tout cas !

Smart91 · Answer

En tout cas ce n'est pas normal que ZHPDiag et MBAM  se bloquent.
Je te conseille de refaire un scan ZHPDiag et de poster le rapport.

On pourra vérifier s'il n'y a plus rien.

Smart

Virus !!

7 réponses

Discussions similaires