Virus system 32 ( du mal avec Hijack etc :) )

hypermusics -  
 hypermusics -
Bonjour,

J'ai un très gros soucis depuis ce matin. J'ai voulu télécharger un programme et comme d'habitude je l'ai passé au scan Avira et rien ne semblait suspect mais depuis j'ai des alertes toutes les 5 minutes de mon antivirus !

Par exemple : C:/Windows/system32/PGPwded.dll , virus TR/Sirefef.BV.2 0 2T2 Trouvé etc...

J'ai des soucis avec certaines pages internet que je ne peux plus ouvrir ( alerte de google chrome ect ! )

Je suis un peu perdue avec Hijack Malwarebytes etc !
Quelqu'un pourrait m'aider ?

Merci d'avance ! :)

11 réponses

  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour et Bienvenue sur CCM

    Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes, si les alertes de ton antivirus sont confirmés, c'est une infection assez coriace.

    Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● L'interface principale s'ouvre :
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case également Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    msconfig 
    safebootminimal 
    safebootnetwork 
    /md5start
    volsnap.*
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    consrv.dll
    /md5stop
    %temp%\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %APPDATA%\*.
    %SYSTEMDRIVE%\*.exe 
    %systemroot%\*. /mp /s 
    %systemroot%\assembly\tmp\*.* /s 
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    A +
    0
    1. hypermusics
       
      Bonsoir !

      Merci infiniment pour cette réponse super rapide !!
      Voici les deux liens de mes blocs notes :

      http://cjoint.com/12av/BDmv71rvRXo.htm

      http://cjoint.com/12av/BDmwbuByQSv.htm

      Merci d'avance !
      0
    2. kadri96 Messages postés 4 Statut Membre
       
      Bonjours Sur Mon Forum On Ne Ma Pas Répondu Alors Je Vais Posé Ma Question ici cara ce que je vois Kalimusic est un proffesionel !
      voila je voulais installé un logiciel ( Direct X ) mais quand je vais pour l'installer une fenêtre apparaît et me dit : " Impossible de démarrer le programme car il manque MSVCR80.dll sur votre ordinateur. Essayez de réinstaller le programme pour corriger ce problème. "J'ai Installé le programme MSVCR80.dll ( Ici https://www.fichier-dll.fr/msvcr80.dll,2744 ), j'ai lut dans d'autres forums qu'il fallait le mettre dans le dossier System32 ou encore SysWOW64 et utiliser CMD qui se trouve dans " Exécuter " Mais je n'y arrive pas ! Sa fait 1 semaine que j'essaye de résoudre ce problème Alors Svp Si Quelqu'un pourrait m'aidé je lui serait reconnaissant !

      HELP !! Merci d'avance :'(
      0
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    hypermusics,

    == == == == == == == == == == == == == == == == == == == == == ==

    Sauvegarde tes documents les plus importants.

    == == == == == == == == == == == == == == == == == == == == == ==

    Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )

    !! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!

    Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

    ● Lance ComboFix
    ● Accepte la licence d'utilisation et laisse toi guider par le programme.
    ● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
    ● Il est possible que l'outil est besoin de redémarrer l'ordinateur.

    !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
    (risque de plantage complet de l'ordinateur)

    ● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
    ● Héberge le rapport et donne moi le lien.

    !! Réactive les protections résidentes de ton PC !!

    Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

    A +
    0
    1. hypermusics
       
      bon j'ai tout lancé je croise les doigts :p
      0
    2. hypermusics
       
      combofix a relancé mon pc mais ne s'est pas relancé au redémarrage ( j'écris d'un autre ordinateur ) :)
      0
  3. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Force le redémarrage, A +
    0
  4. hypermusics
     
    rien n'y fait combofix ne se relance pas je n'ose plus rien toucher ^^
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Désolé je n'avais pas compris ton pc avait redémarré et que tu parlais de ComboFix
    Regarde si tu as son rapport ici => C:\ComboFix.txt

    A +
    0
  7. hypermusics
     
    non je n'ai rien trouvé à part le programme combofix
    0
  8. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    1. Télécharge FixZeroAccess (de Symantec) sur ton Bureau.

    ● Lance FixZeroAccess
    ● Clique sur Start et laisse travailler l'outil.
    ● Redémarre le système quand l'outil le demande
    ● Suite au redémarrage, l'outil informe sur l'état de l'infection.

    2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.

    ● Lance TDSSKiller.exe
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Clique sur Start scan.
    ● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
    Conserve l'action proposée par défaut par l'outil
    ▸ Pour TDSS.tdl2 : l'option Delete sera cochée.
    ▸ Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
    ▸ Pour "Suspicious object" laisse sur "Skip"
    ▸ Pour Rootkit.Win32.ZAccess : Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
    ● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
    ● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt

    3. Héberge le rapport sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    0
    1. hypermuics
       
      Voila mon rapport !

      http://cjoint.com/12av/BDmx1fmELaN.htm

      merci pour le temps que tu m'accordes
      0
    2. hypermuics
       
      Done ^^

      http://cjoint.com/12av/BDnaeQcNaZe.htm
      0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    Relance OTL
    - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Coche Rapport minimal
    Laisse tous les autres paramètres par défaut
    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
    ● Héberge le rapport et donne moi le lien.

    A +
    0
    1. hypermusics
       
      Done ^^

      http://cjoint.com/12av/BDnaeQcNaZe.htm
      0
  10. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    hypermuics,

    Désinstalle Anti Trojan Elite

    Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

    Relance OTL
    - Sous XP double-clic sur l'icône pour lancer l'outil.
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans la partie "Personnalisation", copie/colle les instructions suivantes :

    :OTL  
    DRV - (catchme) -- C:\Users\COURTH~1\AppData\Local\Temp\catchme.sys File not found
    [2012/04/12 18:10:28 | 000,000,000 | -HS- | C] () -- C:\windows\System32\dds_trash_log.cmd 
    @Alternate Data Stream - 136 bytes -> C:\ProgramData\Temp:4CF61E54 
    @Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:ABE89FFE 
    @Alternate Data Stream - 116 bytes -> C:\ProgramData\Temp:E1F04E8D 
    [1 C:\windows\*.tmp files -> C:\windows\*.tmp -> ] 
    :Files
    ipconfig /flushdns /c
    :Commands 
    [emptytemp]

    ● Clique sur le bouton Correction.
    ● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
    ● Accepte en cliquant sur OK.
    ● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

    Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

    Poste le rapport, dis moi comment se comporte le pc.

    A demain
    0
    1. hypermusics
       
      Voila mon dernier rapport : http://cjoint.com/12av/BDnaLCwrZr5.htm

      Concernant l'ordinateur il n'y a plus de problèmes apparents et Avira ne détecte plus de virus ( trojan où je ne sais quoi ^^) !

      Je viendrai faire un tour sur le forum demain soir après le travail pour voir si il y a quelques modifications à faire si tu as eu le temps de regarder !

      En tout cas je te remercie d'avoir pris tout ce temps pour m'aider !

      Bonne nuit :)
      0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    Plus d'autres alertes de ton antivirus ?
    Si tout est ok, je te donne la fin de la procédure.
    (désinstallation des outils et mises à jour)

    A +
    0
    1. hypermusics
       
      Re :)

      Non plus rien et tout va bien !
      0
  12. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    1. Ouvre la commande Exécuter en pressant Windows + R
    ● Dans la boite de dialogue, tape ComboFix /Uninstall
    ● Valide par Ok puis suivre les invites à l'écran.
    ● Un message confirme que ComboFix a été désinstallé.

    2. Lance OTL
    - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
    ● Dans la partie "Personnalisation", copie/colle:

    :commands
    [clearallrestorepoints]

    ● Clique sur le bouton Correction.

    3. Relance OTL en tant qu'administrateur
    ● Clique sur le bouton Purge outils
    ● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
    ● Supprime les outils et les rapports restants éventuellement sur ton Bureau

    4. Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour :

    Tutoriel SX Check&Update

    == == == == == == == == == == == == == == == == == == == == == ==

    La sécurité de son PC, c'est quoi ? (par Malekal)

    == == == == == == == == == == == == == == == == == == == == == ==

    Bonne continuation
    0
    1. hypermusics
       
      C'est tout bon !!
      Merci beaucoup en tout cas pour tout ce temps que tu m'as accordé , bonne continuation à toi aussi :D
      Bonne journée !!!
      0