Infection de mon ordinateur

Résolu
ELAZ5777 Messages postés 68 Statut Membre -  
ELAZ5777 Messages postés 68 Statut Membre -
Bonjour,

J'ai reçu ce matin un mail d'"UPS" et comme je travaille parfois avec cette société je n'ai pas fait attention et j'ai ouvert la pièce jointe, un fichier .rar dans lequel il devait y avoir un virus.
Depuis, mon antivirus Avira n'arrête pas de me signaler que des virus sont présents sur l'ordi (plusieurs fenêtres Avira s'ouvrent à la suite). Je viens de lancer Malwarebytes et il a déjà détecté 2 éléments infectés.
Quelqu'un peut-il m'aider à supprimer ce ou ces virus ?
Merci d'avance.

37 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur a reçu un courriel prétendu d'UPS, ouvert une pièce jointe .rar et son ordinateur est désormais infecté; l'antivirus Avira signale des virus et Malwarebytes en détecte. Plusieurs interventions recommandent des outils de désinfection comme ZHPDiag, AdwCleaner et Malwarebytes, puis de partager les rapports obtenus afin d’identifier et supprimer les éléments indésirables. Des rapports ZHPDiag et des tutoriels d’outils comme AdwCleaner ou ComboFix apparaissent, avec des consignes pour exécuter les scans, mettre à jour les bases et partager les résultats, parfois en désactivant l’antivirus. En dernier recours, après avoir épuisé les outils mentionnés, il peut être nécessaire d'effectuer une sauvegarde complète et une réinstallation propre du système ou une intervention spécialisée si les infections subsistent.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Bonjour ELAZ5777

    Poste le rapport Malwarebytes, stp.
    0
  2. ELAZ5777 Messages postés 68 Statut Membre
     
    Bonjour,

    On a déjà "collaboré" il me semble !!
    Malawerbytes est en train de faire son analyse, je te l'envoie dès que c'est fini.
    Merci de ton aide.
    0
  3. ELAZ5777 Messages postés 68 Statut Membre
     
    Bonjour,

    Ci-dessous le rapport

    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.05.14.02

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 8.0.6001.19222
    Emmanuelle Lazko :: PC-ELAZKO [administrateur]

    14/05/2012 10:47:37
    mbam-log-2012-05-14 (14-14-33).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 370160
    Temps écoulé: 3 heure(s), 26 minute(s), 5 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|urlmon (Trojan.Downloader) -> Données: "C:\Users\Emmanuelle Lazko\AppData\Local\urlmon.exe" -> Aucune action effectuée.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 4
    C:\Users\Emmanuelle Lazko\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DHBZLMJG\mmm[1].exe (Spyware.Agent) -> Aucune action effectuée.
    C:\Users\Emmanuelle Lazko\AppData\Local\temp\2893ghd14h.tmp (Spyware.Agent) -> Aucune action effectuée.
    C:\Users\Emmanuelle Lazko\AppData\Local\urlmon.exe (Trojan.Downloader) -> Aucune action effectuée.
    C:\Users\Emmanuelle Lazko\Local Settings\Application Data\urlmon.exe (Trojan.Downloader) -> Aucune action effectuée.

    (fin)
    0
  4. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    -Relance Malwarebytes, à la fin de l'analyse clique clique sur Afficher les résultats et ensuite sur supprimer la sélection
    -Fais redémarrer l'ordinateur
    -Poste le rapport dans ta prochaine réponse

    A suivre :
    Peux-tu utiliser ce logiciel de diagnostic, ça me permettra de t'aider :

    * Télécharge ZHPDiag (de Nicolas Coolman)
    * Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    * Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. ELAZ5777 Messages postés 68 Statut Membre
     
    J'avais déjà fait "supprimer la sélection" dans Malwarebytes lors du 1er scan, du coup j'ai fait un scan rapide dont tu trouveras le rapport ci-dessous.

    Le lien du rapport de ZHPdiag est
    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120514_g13c79d10c14

    Rapport Malwarbytes :
    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.05.14.02

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 8.0.6001.19222
    Emmanuelle Lazko :: PC-ELAZKO [administrateur]

    14/05/2012 14:37
    mbam-log-2012-05-14 (14-37-03).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 191291
    Temps écoulé: 5 minute(s), 11 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    Pour info, Malwerbytes ne trouve plus rien et pourtant les fenêtres Avira n'arrêtent pas de s'ouvrir.
    0
  7. ELAZ5777 Messages postés 68 Statut Membre
     
    Le virus détecté par Avira est EXP/CVE-2010-4452"

    !!
    0
  8. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Ne panique pas, fais ZHPDiag et poste le lien du rapport ;)
    0
  9. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Ok, fais ceci :
    1) Utilise cet outil de désinfection spécifique aux logiciels publicitaires :

    ¶ Télécharge AdwCleaner (de Xplode) sur ton Bureau.
    ¶ Lance le, clique sur Suppression puis patiente le temps du scan (voir).
    ¶ Une fois le scan terminé, un rapport s'ouvrira : poste le dans ta prochaine réponse.
    Pour t'aider

    A suivre :

    . 2) Lance Malwarebytes,
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . A la fin de l'analyse, clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc redémarre ton pc.
    . Poste le rapport dans ta prochaine réponse

    0
  10. ELAZ5777 Messages postés 68 Statut Membre
     
    Bonjour,

    Ci-dessous les rapports. Malwarebytes n'a rien détecté et pourtant les fenêtres Avira continuent de s'ouvrir.

    # AdwCleaner v1.606 - Rapport créé le 14/05/2012 à 18:54:23
    # Mis à jour le 10/05/2012 par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
    # Nom d'utilisateur : Emmanuelle Lazko - PC-ELAZKO
    # Exécuté depuis : C:\Users\Emmanuelle Lazko\Desktop\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Emmanuelle Lazko\AppData\Local\Babylon
    Dossier Supprimé : C:\Users\Emmanuelle Lazko\AppData\Roaming\Babylon
    Dossier Supprimé : C:\ProgramData\Babylon
    Fichier Supprimé : C:\Windows\Uninstall.exe

    ***** [Registre] *****

    Clé Supprimée : HKLM\SOFTWARE\Babylon

    ***** [Registre - GUID] *****

    ***** [Navigateurs] *****

    #NOM?

    [OK] Le registre ne contient aucune entrée illégitime.

    #NOM?

    Nom du profil : default
    Fichier : C:\Users\Emmanuelle Lazko\AppData\Roaming\Mozilla\Firefox\Profiles\k123yybe.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [1111 octets] - [14/05/2012 18:54:23]

    ########## EOF - C:\AdwCleaner[S1].txt - [1239 octets] ##########

    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.05.14.05

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 8.0.6001.19222
    Emmanuelle Lazko :: PC-ELAZKO [administrateur]

    14/05/2012 18:59
    mbam-log-2012-05-14 (18-59-16).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 369752
    Temps écoulé: 3 heure(s), 27 minute(s), 18 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  11. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Bonjour

    Refais une analyse ZHPDiag stp (héberge le rapport sur pjjoint)
    0
  12. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Ce script va cibler certains éléments à supprimer :
    -------------------------------------------------------------------------------------------
    [MD5.00000000000000000000000000000000] [APT] [{2D0875F9-C7F2-4D07-92A6-DE9A9C384C83}] (...) -- C:\Users\Emmanuelle Lazko\Desktop\Envois colissimo\install_compagnon_1416.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{C3DF6DD5-60CB-4B02-97D2-A271AB852ED7}] (...) -- C:\Users\Emmanuelle Lazko\Desktop\Envois colissimo\install_inet_2.700.exe (.not file.)
    [MD5.132E1C3A27E824EB6B120226AC368593] [SPRF][20/04/2012] (.Conduit - Pas de description.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\conduitinstaller.exe [211032]
    [MD5.0BF369C8765A03092F0337D80BA519C6] [SPRF][29/03/2012] (.Babylon Ltd. - Babylon Client Setup.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\MyBabylonTB.exe [862832]
    [MD5.48B667CCAE6FFCF407BB3CD8A90B37E2] [SPRF][20/02/2012] (.SweetIM Technologies Ltd. - SweetIM Installer by SweetPacks.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\Shortcut_SweetImSetup[1].exe [375600]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}]
    [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
    [MD5.885E9EB42889CA547F4E3515DCDE5D3D] [SPRF][14/05/2006] (...) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\7za.exe [476672]
    [MD5.8A4AF3B0695F29186AD02E2FD766FA3B] [SPRF][20/02/2012] (.SweetIM Technologies Ltd. - SQLite DLL.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\mgsqlite3.dll [393016]
    [MD5.514B4609AD18D73CC06AF6F00E08E9C8] [SPRF][10/05/2012] (.Adobe Systems, Inc. - Adobe Flash Player 10.1 r52.) -- C:\Users\Emmanuelle Lazko\AppData\Local\Temp\push.exe [5203150]
    FirewallRAZ
    EmptyFlash
    EmptyTemp
    SysRestore

    -------------------------------------------------------------------------------------------
    ¶ Sélectionne le script en entier (lignes en gras) et copie le (Edition --> Copier)
    ¶ Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
    ¶ Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
    ¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    ¶ Clique sur le bouton « GO » pour lancer le nettoyage,
    ¶ Copie/colle la totalité du rapport dans ta prochaine réponse
    Pour t'aider

    Poste le rapport et dis moi comment va le PC.
    "Celui qui aime à apprendre est bien près du savoir" (Confucius)
    0
  13. ELAZ5777 Messages postés 68 Statut Membre
     
    Voilà le rapport :

    Rapport de ZHPFix 1.2.05 par Nicolas Coolman, Update du 30/04/2012
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-15-05-2012-17-27-23.txt
    Run by Emmanuelle Lazko at 15/05/2012 17:27:23
    Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Processus mémoire ==========
    SUPPRIME Memory Process: C:\Users\Emmanuelle Lazko\AppData\Local\Temp\conduitinstaller.exe
    SUPPRIME Memory Process: C:\Users\Emmanuelle Lazko\AppData\Local\Temp\MyBabylonTB.exe

    ========== Clé(s) du Registre ==========
    SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}

    ========== Valeur(s) du Registre ==========
    ABSENT [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :

    ========== Dossier(s) ==========
    SUPPRIME Flash Cookies:
    SUPPRIME Temporaires Windows:

    ========== Fichier(s) ==========
    SUPPRIME File***: c:\users\emmanuelle lazko\appdata\local\temp\conduitinstaller.exe
    SUPPRIME File***: c:\users\emmanuelle lazko\appdata\local\temp\mybabylontb.exe
    ABSENT Folder/File: c:\users\emmanuelle lazko\appdata\local\temp\shortcut_sweetimsetup
    SUPPRIME Flash Cookies:
    SUPPRIME Temporaires Windows:

    ========== Tache planifiée ==========
    SUPPRIME Task: {2D0875F9-C7F2-4D07-92A6-DE9A9C384C83}
    SUPPRIME Task: {C3DF6DD5-60CB-4B02-97D2-A271AB852ED7}

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    2 : Processus mémoire
    1 : Clé(s) du Registre
    3 : Valeur(s) du Registre
    2 : Dossier(s)
    5 : Fichier(s)
    2 : Tache planifiée
    1 : Restauration Système

    End of clean in 00mn 24s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 15/05/2012 17:27:23 [1938]
    0
  14. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    Pour le PC, comment va t-il surf etc... ?
    0
  15. ELAZ5777 Messages postés 68 Statut Membre
     
    Il va bien si ce n'est ces fenêtres Avira qui s'ouvrent à chaque fois que je lance un truc (pages internet, word, excel...)
    Toujours pour me dire qu'un virus a été détecté...
    0
  16. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
     
    -Fais une capture d'une alerte d'Avira

    -Fais une analyse Avira et poste le rapport sur pjjoint
    0
  17. ELAZ5777 Messages postés 68 Statut Membre
     
    Comment j'envoie la capture d'écran ?
    0
    1. loumax91 Messages postés 14 Date d'inscription   Statut Contributeur sécurité Dernière intervention   483
       
      Sur pjjoint ou cjoint
      0
  • 1
  • 2