Virus !!! Résolu

Question

Bonjour, 

Alors voila, 

Quand je lance des jeux pour les installer par le biais de leurs ISO grâce à Daemon Tools Lite, a la place du programme d'installation normal se lance un programme d'installation nommé Searchqu Toolbar Setup et qui n'installe rien du tout. Sur internet j'ai lu que cela était une sorte de virus mais je n'arrive pas à m'en débarrasser. Aider moi à m'en débarrasser s'il vous plait. 
Merci 

PS: Je vous joint une copie d'écran pour que vous voyez bien ce que c'est : 
https://www.cjoint.com/?BDxsq5KAhsI 




Configuration: Windows XP
Processeur AMD Athlon X3
Carte graphique NVidia GeForce GT 240

Smart91 · Answer

Bonjour,

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Choisis "Suppression" et poste le rapport 

Smart

Smart91 · Answer

Pourquoi ne pas avoir dit que tu avais déjà passé AdwCleaner plusieurs fois.
Si tu es en charge sur un autre forum, cela ne sert rien de se faire désinfecter sur un autre. Sinon de provoquer des incompréhensions à ceux qu t'aident

Peux-tu poster ce rapport: 
C:\AdwCleaner[S4].txt

Smart

Smart91 · Answer

OK.
Normalement tu devrat plus avoir searchqu.
Si cela ne vient seulement  à l'installation depuis l'ISO c'est que ton image disque est vérolée.

On va quand m^me faire un diagnostic du PC

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe en haut à gauche pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse.

Smart

Smart91 · Answer

J'ai vu que tuas MBAM (Malwarebytes)

* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser 
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart

Smart91 · Answer

OK. Mais la bas virale n'est pas à jour.
Relance MBAM, accepte la mise à jour et refais un scan complet

Smart

Smart91 · Answer

OK.. MBAM ne détecte plus rien mais le rapport ZHPDiag avait montré quelques restes, on va les supprimer manuellement

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur") 
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Intl: Modified
O51 - MPSK:{18f07040-95d8-11e0-b594-806d6172696f}\AutoRun\command. (...) -- J:\dvdcheck.exe (.not file.)
O52 - TDSD: \drivers.desc\"ir41_32.ax"="Indeo® video interactive R4.5 by Intel" . (...) -- (.not file.)
EmptyTemp
EmptyFlash
FirewallRAZ

---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Redémarre le PC.

Smart

Smart91 · Answer

Refais un dernier Scan ZHPDiag et poste le rapport vipjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

Smart91 · Answer

Bon le rapport ne montre plus rien.
J'avais oublié de te demander si tu as toujours le même pb ?

Smart

Smart91 · Answer

Cela vient de tes images ISO car ton PC est clean

Smart

Smart91 · Answer

A vrai dire je n'en sais rien. Tes ISO sont sur un CD ou un disque dur externe ?

Smart

Smart91 · Answer

On peut essayer ceci, mais je ne garantis rien

- Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore la et désactive l'antivirus temporairement.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
-Clique sur "Recherche"
- Laisse travailler l'outil
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Smart

Smart91 · Answer

OK USBFix a trouvé des infections

On va faire le nettoyage et la vaccination:
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
-  Double clique sur le raccourci UsbFix sur ton Bureau
- Clique sur "Suppression"
- Laisse travailler l'outil
- Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

Smart

Smart91 · Answer

As-tu toujours le pb avec l'ISO ?

Smart

Smart91 · Answer

Je m'en doutais. Je ne sais quoi te dire
Peut-être refaire tes ISO ?

En tout cas ton PC est clean.

Smart

g3n-h@ckm@n · Answer

c'est quel logiciel de gravure que tu utilises ?

g3n-h@ckm@n · Answer

le gestionnaire des taches est accessible ?

g3n-h@ckm@n · Answer

laisse-le ouvert , et regarde quel processus se lance quand tu lances ton iso

g3n-h@ckm@n · Answer

colonne de gauche

g3n-h@ckm@n · Answer

local tout seul ?

g3n-h@ckm@n · Answer

tu peux me faire une capture ???????????????

g3n-h@ckm@n · Answer

clique droit dessus "ouvrir l emplacement du fichier

g3n-h@ckm@n · Answer

on va le tenter comme ca : 

Télécharge SEAF.exe de C_XX 


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) . 

*Une fenêtre va s'ouvrir . 

*Tape \Local" (un seul guillemet c'est exprès ) 

 dans cette fenêtre  

confirme la recherche "aussi" dans le registre et [Entrée]. 

*Patiente pendant la recherche. 

*Une fenêtre avec un log.txt va s'afficher. 

*Copie/colle ce rapport dans ta prochaine réponse. 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

re

desinstalle IMBooster
desinstalle Messenger_Plus_LiveToolbar

=================

relance pre_scan , choisis RegEdit

deplie :

HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Control
\Session Manager

clic gauche sur session manager

double clic à droite sur "Boot Execute"

supprime ces caractères : bddel.exe

il ne doit rester plus que ca :

autocheck autochk *

ferme , confirme

==========

c'est quoi LFS .?

==========

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
Fp28604cFcHp28604]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=- 
[HKU\S-1-5-21-839522115-1343024091-1177238915-1012\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-   
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\0f8a2488-566b-4e9c-b7fd-f725c83fe8cb]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\aad266fe-77a3-4463-8df5-60ab5971ea10]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\f01897d9-3e10-4e19-87df-8e5cdd369507]
[-HKLM\Software\BrowserChoice]     

File::
C:\WINDOWS\jestertb.dll     
C:\WINDOWS\SOUNDMAN(10).EXE 
C:\WINDOWS\SOUNDMAN(11).EXE 
C:\WINDOWS\SOUNDMAN(2).EXE 
C:\WINDOWS\SOUNDMAN(3).EXE 
C:\WINDOWS\SOUNDMAN(4).EXE 
C:\WINDOWS\SOUNDMAN(5).EXE 
C:\WINDOWS\SOUNDMAN(6).EXE 
C:\WINDOWS\SOUNDMAN(7).EXE 
C:\WINDOWS\SOUNDMAN(8).EXE 
C:\WINDOWS\SOUNDMAN(9).EXE 
C:\Documents and Settings\All Users\Application Data\.zreglib 
C:\Documents and Settings\All Users\Application Data\18865972 

Folder::
C:\Program Files\IMBooster4web-en
C:\WINDOWS\assembly	mp\ZUKC2SI9    
C:\4a5e58c65ba37ffa878b49
C:\ad3dda3da93270839b65e2b24ec7
C:\WINDOWS\1C4551A64743409391E41477CD655043.TMP 
C:\WINDOWS\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP 
C:\WINDOWS\B9DB4C7601A446D58910F7AA6376DBAF.TMP 
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy     
C:\Documents and Settings\All Users\Application Data\Trymedia     
 C:\Program Files\9ddc7aeabe9f6163c98b6b9e9245 

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Guigui3011 · Answer

Par contre je sais pas si j'est bien fait mais j'ai comme même fait le reste de la démarche :



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.426 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

CHEVALIER1 : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 18:38:06

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\WINDOWS\jestertb.dll
Supprimé : C:\WINDOWS\SOUNDMAN(10).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(11).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(2).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(3).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(4).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(5).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(6).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(7).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(8).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(9).EXE
Supprimé : C:\Documents and Settings\All Users\Application Data\.zreglib
Supprimé : C:\Documents and Settings\All Users\Application Data\18865972

¤

Absent : C:\Program Files\IMBooster4web-en 
Supprimé : C:\WINDOWS\assembly	mp\ZUKC2SI9 
Supprimé : C:\4a5e58c65ba37ffa878b49 
non Supprimé : C:\ad3dda3da93270839b65e2b24ec7 
Supprimé : C:\WINDOWS\1C4551A64743409391E41477CD655043.TMP 
Supprimé : C:\WINDOWS\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP 
Supprimé : C:\WINDOWS\B9DB4C7601A446D58910F7AA6376DBAF.TMP 
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 
Supprimé : C:\Documents and Settings\All Users\Application Data\Trymedia 
Supprimé : C:\Program Files\9ddc7aeabe9f6163c98b6b9e9245 

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x000001fd

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 18:39:07

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

vérifions un truc : 

refais SEAF.exe de C_XX mais avec ca dedans : 

bddel.exe  

n'oublie pas de confirmer la recherche aussi dans le registre 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

tu as bien fait la modification que je t'ai demandé ?

g3n-h@ckm@n · Answer

recommence , redemarre le pc puis refais Seaf derriere

g3n-h@ckm@n · Answer

ok modifie dans ces deux clés :

[HKLM\System\ControlSet001\Control\Session Manager] 
[HKLM\System\CurrentControlSet\Control\Session Manager]

g3n-h@ckm@n · Answer

ok t'as redemarré le pc ? refais Seaf  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

c'est bon :)

g3n-h@ckm@n · Answer

telecharge ici : CLRAV

lance-le , clic sur lancer le nettoyage 

A la fin du scan, CLRAV.txt sera sur ton bureau

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

heberge l'archive et donne le lien

g3n-h@ckm@n · Answer

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel

g3n-h@ckm@n · Answer

ben si tu n'as plus ton souci tu peux te dire que c'est bon ;)

g3n-h@ckm@n · Answer

fais le menage quand meme

https://gen-hackman.kanak.fr/

Virus !!!

35 réponses

Discussions similaires

Newsletters