pc infecté par virus Fermé

Question

Bonjour, 
je recherche une personne qui pourrais m'aider a désinfecter mon pc, celui ci est tres virulé,  anti malware a detecté une cinquantaine de fichier malveillant

Merci d'avance
ridick13


Configuration: Windows 7 / Safari 534.54.16 / Avira Free Antivirus

juju666 · Answer

Salut,

Poste le rapport anti malware STP

ridick13 · Answer

où Anti Malware sauvegarde les rapports ?

juju666 · Answer

Re,

Ouvre Malwarebytes, dans l'onglet Rapports/Logs.

ridick13 · Answer

Re,
voila les deux recherche avec suppression des fichier malveillant que j'ai fait.
http://cjoint.com/?BEurOiI4pcn 
http://cjoint.com/?BEurOB5dLDS

juju666 · Answer

OK.

C'est pas joli tout ça et y'en a encore derrière.

T'as pas coché tous les éléments donc certaines infections sont toujours présentes.

&#9654 Télécharge sur cette page : AdwCleaner (de Xplode) 

&#9654 Clique sur Télécharger et enregistre le fichier sur ton Bureau

&#9654 Exécute AdwCleaner.

Sur le menu principal :
    
&#9654 Clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

ridick13 · Answer

salut,
voici le rapport de ADW:
http://cjoint.com/?BEvnuxIvCG4
Merci de vous ocuppez de mon cas

juju666 · Answer

salut,

j'peux voir celui-là : AdwCleaner[S1].txt - [660 octets] - [20/05/2012 22:51:45] stp ?

merci :)

ridick13 · Answer

salut,
c'est les premier rapport, seven apprecie pas ce genre de logiciel et a chaque fois j'ai le pc qui crashé :s savez vous ou je pourrais le récuperer ? sinon pour le rapport que je vous ai fourni, j'ai du le faire en mode sans échec

juju666 · Answer

a chaque fois j'ai le pc qui crashé :s

C'est à dire ? Écran bleu ? 

Récupérer quoi ? Je ne comprends pas ta question !

Tu es donc en mode sans échec là ? Le PC ne démarre pas normalement ? Un message d'erreur ? Si oui, lequel ? 

Donne le plus de précisions possible car :

-> ça nous permettra d'aller plus vite
-> je ne suis pas dans ni devant ton PC
-> madame Irma est en vacances

A+

ridick13 · Answer

Salut,

"Récupérer quoi ? Je ne comprends pas ta question !
Je parlais du compte rendu de ADW:  AdwCleanerS1, je ne sais pas où il se trouve et s'il s'est bien enregistré sur mon pc.

Madame Irma, suffit de l'appeler et elle viendra :P


PS: c'est bon j'ai trouvé le fichier, voici le lien:
http://cjoint.com/?BEvr579MktS

Merci à vous

ridick13 · Answer

je n'ai pas eu d'écran bleu, le logiciel "ne répond pas", et windows 7 met un voile blanc sur l'écran et je ne peux plus rien faire, j'ai laissé mon pc tourner toute la nuit mais ça n'a rien changer, ce matin j'ai eu un écran noir, avec une obligation de redémarrer le pc. 
j'ai donc lancé le logiciel en mode sans échec

PS: désolé du double poste, CCM se mettais en défaut sur le message que j'écrivais concernant langage sms etc ...

juju666 · Answer

Ok.

Télécharge AD-Remover : https://www.commentcamarche.net/telecharger/securite/2547-ad-remover/
Lance-le et clique sur Scanner

Poste le rapport.

ridick13 · Answer

voila le rapport: http://cjoint.com/?BEvssTncn0m
merci pour vos réponse rapide

PS: lorsque je navigue un peu sur internet j'ai Anti Malware qui m'affiche des message de détection presque a chaque ouverture de page. Est ce a cause des virus de mon pc ?

Merci

juju666 · Answer

C'est bien possible. On va regarder plus en profondeur :)

Étape 1 :

Relance AD-Remover, clique sur Désinstaller.

Étape 2 :

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 Installe et lance ZHPDiag.exe 

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com 

&#9654 Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Envoyer le fichier".

Un lien de cette forme :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

A+

ridick13 · Answer

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120521_l7y9x5t11t14

voici le rapport

juju666 · Answer

C'est toi qui a installé Blackshades ?

ridick13 · Answer

Black Shades c'est quoi ? c'est peut etre un sous programme d'un des programme que j'utilise

EDIT: je viens de voir sur google ce que c'est, je n'ai pas installer ce jeu

juju666 · Answer

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)


O4 - HKCU\..\Run: [internet defender] . (.4P - internet defender.) -- C:\Users\Romain\AppData\Local\Temp\WinDefender\defender.exe    => Infection Rogue (Trojan.FakeAlert)
O4 - HKUS\S-1-5-21-3479084130-2417827375-758468277-1001\..\Run: [internet defender] . (.4P - internet defender.) -- C:\Users\Romain\AppData\Local\Temp\WinDefender\defender.exe    => Infection Rogue (Trojan.FakeAlert)
O47 - AAKE:Key Export SP - "C:\Users\Romain\AppData\Roaming\zzbrenkzx.exe" [Enabled] .(...) -- C:\Users\Romain\AppData\Roaming\zzbrenkzx.exe (.not file.)    => Infection FakeAlert (Possible)
O47 - AAKE:Key Export SP - "C:\Users\Romain\AppData\Roaming\Blackshade\sys32.exe" [Enabled] .(...) -- C:\Users\Romain\AppData\Roaming\Blackshade\sys32.exe (.not file.)    => Infection FakeAlert (Possible)
O53 - SMSR:HKLM\...\startupreg\Media Finder  [Key] . (...) -- C:\Program Files\Media Finder\MF.exe (.not file.)    => Infection PUP (PUP.MediaFinder)
[MD5.B51B840B4728924220A67893F9E85837] [SPRF][18/05/2012] (...) -- C:\Users\Romain\AppData\Local\Temp\0031f4ba.exe   [572967]    => Infection Rogue (Trojan.Dropper)
[MD5.9FF92E9DE59ABA2003C045E4F50C10CC] [SPRF][20/05/2012] (.4P - internet defender.) -- C:\Users\Romain\AppData\Local\Temp\05171e82.exe   [151040]    => Infection Rogue (Trojan.Dropper)
[MD5.7867A5EAC8BE4E5AADBD006B67555052] [SPRF][21/05/2012] (.sK - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\49AD.exe   [88064]    => Infection FakeAlert (Possible)
[MD5.A67AE677F0945CB3F61E30601C9D02D9] [SPRF][20/05/2012] (.wQ - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\63F2.exe   [402944]    => Infection FakeAlert (Possible)
[MD5.A67AE677F0945CB3F61E30601C9D02D9] [SPRF][20/05/2012] (.wQ - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\6474.exe   [402944]    => Infection FakeAlert (Possible)
[MD5.A67AE677F0945CB3F61E30601C9D02D9] [SPRF][20/05/2012] (.wQ - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\658C.exe   [402944]    => Infection FakeAlert (Possible)
[MD5.A67AE677F0945CB3F61E30601C9D02D9] [SPRF][21/05/2012] (.wQ - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\6B5.exe   [402944]    => Infection FakeAlert (Possible)
[MD5.7867A5EAC8BE4E5AADBD006B67555052] [SPRF][21/05/2012] (.sK - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\71A5.exe   [88064]    => Infection FakeAlert (Possible)
[MD5.A67AE677F0945CB3F61E30601C9D02D9] [SPRF][20/05/2012] (.wQ - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\7FAE.exe   [402944]    => Infection FakeAlert (Possible)
[MD5.9FF92E9DE59ABA2003C045E4F50C10CC] [SPRF][20/05/2012] (.4P - internet defender.) -- C:\Users\Romain\AppData\Roaming\bikxge.exe   [151040]    => Infection FakeAlert (Possible)
[MD5.A67AE677F0945CB3F61E30601C9D02D9] [SPRF][20/05/2012] (.wQ - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\C082.exe   [402944]    => Infection FakeAlert (Possible)
[MD5.3B2D46AB38D8304DBFE76F465CCD39C0] [SPRF][20/05/2012] (.GE - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\C66A.exe   [84992]    => Infection FakeAlert (Possible)
[MD5.A67AE677F0945CB3F61E30601C9D02D9] [SPRF][20/05/2012] (.wQ - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\CA7F.exe   [402944]    => Infection FakeAlert (Possible)
[MD5.A67AE677F0945CB3F61E30601C9D02D9] [SPRF][20/05/2012] (.wQ - Windows Defender.) -- C:\Users\Romain\AppData\Roaming\EB14.exe   [402944]    => Infection FakeAlert (Possible)
[MD5.9FF92E9DE59ABA2003C045E4F50C10CC] [SPRF][20/05/2012] (.4P - internet defender.) -- C:\Users\Romain\AppData\Roaming\ideglg.exe   [151040]    => Infection FakeAlert (Possible)
[MD5.9FF92E9DE59ABA2003C045E4F50C10CC] [SPRF][20/05/2012] (.4P - internet defender.) -- C:\Users\Romain\AppData\Roaming\vkaiki.exe   [151040]    => Infection FakeAlert (Possible)
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM]    => Toolbar.SweetIM
[MD5.00000000000000000000000000000000] [APT] [{1A5ED3F5-3890-4ECD-A8E6-B8CE03BAFBAD}] (...) -- C:\Users\Romain\Desktop\adobe-reader-acrobat_adobe_reader_acrobat_x_10.1.1_francais_13628.exe (.not file.)    => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{EAD22BC3-A8BA-40B0-859D-1890CA5A8DF9}] (...) -- C:\Users\Romain\Desktop\WDM_R258.exe (.not file.)    => Fichier absent
O43 - CFD: 21/04/2012 - 18:55:02 - [0] ----D C:\Users\Romain\AppData\Local\{3AE35F45-C288-42B9-9204-2B06635D8558}    => Empty Folder not necessary
O43 - CFD: 21/04/2012 - 18:55:35 - [0] ----D C:\Users\Romain\AppData\Local\{DC10630D-7A4E-457B-9CD1-10CDD36D15F6}    => Empty Folder not necessary
O53 - SMSR:HKLM\...\startupreg\SweetIM  [Key] . (...) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe (.not file.)    => Macrogaming%SweetIM
EMPTYTEMP
EMPTYFLASH
EMPTYCLSID


  
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

ridick13 · Answer

merci,
voici le rapport:
http://cjoint.com/?BEwdgKakjJX

juju666 · Answer

Bien, redémarre le PC et refais moi un ZHPDiag voir ?

ridick13 · Answer

Salut,
je crois que le probleme n'as pas était réglé, j'ai antivir qui m'affiche encore des alerte

voici le rapport que vous m'avez demendé:
http://cjoint.com/?BEwm2pA46y9

juju666 · Answer

Ouais, c'est toujours présent. C'est tout nouveau ce truc. Peux-tu envoyer ces fichier sur http://upload.malekal.com stp ? C:\Users\Romain\AppData\Roaming\Zngagz.exe C:\Users\Romain\AppData\Roaming\C370.exe Merci. Tu peux ensuite faire ça : /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur A+

ridick13 · Answer

salut,
voici le rapport combofix, les deux fichier que tu m'as demendé sont introuvable

http://cjoint.com/?BEwreFyH6ZB

juju666 · Answer

Combofix a viré les fichiers que je voulais avoir pour analyse.

Normalement tu dois plus avoir d'alertes.

Tu peux zipper C:\Qoobox et me l'envoyer stp ? Héberge le zip sur cjoint.com et file moi le lien.

Tu fais de l'irc ? Je vois que tu as mIRC sur ton pc :)

ridick13 · Answer

Oui je fais de l'irc je suis un grand fan de mangas, je passe souvent par les reseau irc des team de fansub pour récuperer leur fichier.

juju666 · Answer

Ah ok :)

Ben passe chez moi même si je propose pas de mangas :p

irc.serv-service.fr port 11138 

:)

J'attends toujours le dossier qoobox ;)

ridick13 · Answer

oui le dossier arrive cependant je n'arrive pas a zippé le sous dossier de qoobox "backenv", il me dit que je n'ai pas les droit

juju666 · Answer

Télécharge et exécute MalwaresUploader (merci à Batch_Man)

Dans la liste de gauche coche Malekal
Coche le bouton "Ouvrir le rapport lorsque tous les upload sont terminés"
Clique sur Quarantaines
Coche "ComboFix" et clique sur Valider
Clique ensuite sur "Upload!"
Poste le rapport voir si ça c'est bien déroulé :)

ridick13 · Answer

http://cjoint.com/?3EwsiSA0v8g
voila le qoobox que malwaresuploader m'a fait :)

PS j'ai entré ton irc dans mirc

juju666 · Answer

Je t'ai vu passer oui :p

Antivir t'affiche encore des alertes ?

ridick13 · Answer

a premiere vue je n'ai plus d'alerte, je regarde d'ici la fin de la soirée je te tiens au courant

Merci pour ton aide :D

juju666 · Answer

Ok. Je serais là (sûrement vers 0h).
On finalisera si tu n'as plus de soucis.

A+

ridick13 · Answer

Re,
je n'ai eu aucune autre alerte depuis tout a l'heure, je pense que c'est bon :) nous pouvons finaliser

juju666 · Answer

fais ce grand menage et dis moi quoi :

https://gen-hackman.kanak.fr/

ridick13 · Answer

quoi (blague a part) 

salut, 

j'ai fait presque tous ce qui est demendé, là j'installe un firewall et je lancerai une défragmentation de mon disque ce soir avant d'aller me coucher, pour la recherche d'erreur, j'ai un message: mon disque est déjà utilisé, j'ai donc lancé une planification de recherche d'erreur. 
Voici les 3 rapports demendé dans le poste genhackman: 
http://cjoint.com/?BExvaf6gs0J 

Pour Ccleaner, je l'utilisais déjà, mais je l'ai reconfiguré comme genhackman l'a expliqué.

PS: pour le firewall j'ai pris zone alarm que j'utilisais il y a quelques années avant que je n'achete une license pour panda antivirus (qui a expiré maintenant depuis environ 1ans)

ridick13 · Answer

Re,
aurais tu un autre pare feu a me conseiller, Zone Alarm est beaucoup plus embetant qu'avant, il me bloque mes jeux en ligne, meme en les mettant dans les exceptions il les laisse pas passé (s4league, cabalonline)

juju666 · Answer

Je n'arrive pas à télécharger ton archive winrar :/

Garde le firewall de windows c'est suffisant .... car de toute manière on installe un pare-feu puis au final on clique sur "autoriser" sans lire les alertes donc ... inutile.

Pc infecté par virus

37 réponses