Virus win32
bordelik
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Ayant un virus depuis hier dans win32 mais ne pouvant le désinstaller avec l'antivirus que j'avais, on m'a conseillé de prendre microsoft security essentials. Jusque la tout va bien il détecte le virus, peut le supprimer, mais au moment de supprimer celui ci, à peu pres au milieu de la mise au quarantaine l'ordi crach... En sachant que ca allait vite, quelques seconde ça dégoute un peu que ca crach avant de la suppression totale du virus.
Si quelqu'un peut m'aider je lui en serait reconnaissant.
Ayant un virus depuis hier dans win32 mais ne pouvant le désinstaller avec l'antivirus que j'avais, on m'a conseillé de prendre microsoft security essentials. Jusque la tout va bien il détecte le virus, peut le supprimer, mais au moment de supprimer celui ci, à peu pres au milieu de la mise au quarantaine l'ordi crach... En sachant que ca allait vite, quelques seconde ça dégoute un peu que ca crach avant de la suppression totale du virus.
Si quelqu'un peut m'aider je lui en serait reconnaissant.
A voir également:
- Virus win32
- Virus mcafee - Accueil - Piratage
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Ordinateur bloqué virus - Accueil - Arnaque
29 réponses
peux-tu envoyer ce fichier sur https://www.virustotal.com/gui/ ?
C:\Windows\SysWow64\IntelCpHeciSvc.exe
et me coller le lien vers l'analyse.
=============================================
copie ces lignes :
M2 - MFEP: prefs.js [Thibault - 80xekhpd.default\ffxtlbr@babylon.com] [] Babylon v1.2.0 (.Babylon.) => Infection BT (Toolbar.Babylon)
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [HKCU] C:\Windows\system32\windir\svcshot.exe (.not file.) => Infection Diverse
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [WindowsUpdates.exe] C:\Users\UpdatusUser\AppData\Roaming\Microsoft Windows Updates.exe (.not file.) => Infection FakeAlert (Possible)
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [explorer.exe] C:\Users\UpdatusUser\AppData\Roaming\system\explorer.exe (.not file.) => Infection Diverse (.)
O47 - AAKE:Key Export SP - "C:\Users\Thibault\AppData\Roaming\blackshades.exe" [Enabled] .(...) -- C:\Users\Thibault\AppData\Roaming\blackshades.exe (.not file.) => Infection FakeAlert (Possible)
O47 - AAKE:Key Export SP - "C:\Users\Thibault\AppData\Roaming\system\explorer.exe" [Enabled] .(...) -- C:\Users\Thibault\AppData\Roaming\system\explorer.exe (.not file.) => Infection FakeAlert (Possible)
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.tlbrSrchUrl","http://start.facemoods.com/?a=ironto&f=3"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.hmpgUrl", "http://start.facemoods.com/?a=ironto"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.id", "da14c64900000000000078929c15c935"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.sid", "561ac6916bf64d4388cd978c72ade694"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.instlDay", "15336"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.vrsn", "1.4.17.11"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.prtnrId", "facemoods.com"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.aflt", "ironto"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.DNSErrUrl","http://start.facemoods.com/?a=ironto&f=5"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.mntz",""); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.hmpg", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dfltSrch", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.searchProviderAdded", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dfltSrchPrvdr", "Facemoods Search"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dnsErr", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.newTab", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.newTabUrl", "http://start.facemoods.com/?a=ironto&f=2"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.firstRun", true); => Adware.Facemoods
C:\Users\Thibault\AppData\Roaming\Mozilla\Firefox\Profiles\80xekhpd.default\Extensions\ffxtlbr@babylon.com => Infection BT (Toolbar.Babylon)
G0 - GCSP: Preference [User Data\Default][HomePage] https://www.google.com/#u_ip=91.209.35.218
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.google.com/#u_ip=91.209.35.218
[MD5.00000000000000000000000000000000] [APT] [{110D55EB-4516-424F-BC76-FE046D3FEE17}] (...) -- C:\Users\Thibault\Downloads\Skin Installer Ultimate\Skin Installer Ultimate\Skin Installer Ultimate.exe (.not file.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{4C5043B1-6FFC-466F-8E48-B2A00D96912F}] (...) -- F:\Crack\Maj\6.2.4\Sims3_6.2.4.010001_from_6.1.11.009001.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware
[MD5.00000000000000000000000000000000] [APT] [{C3476F3C-8CB8-4995-9A4C-5BE8D41092DB}] (...) -- F:\Crack\Maj\6.1.1\Sims3_6.1.11.009001_from_6.0.81.009001.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware
[MD5.00000000000000000000000000000000] [APT] [{ED2D70F1-3EEF-4FBF-A84F-5FDFD7CB036C}] (...) -- C:\Program Files (x86)\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\setup.exe (.not file.) => Fichier absent
O41 - Driver: (dtsoftbus01) . (. - .) - C:\Windows\System32\DRIVERS\dtsoftbus01.sys (.not file.) => Fichier absent
O44 - LFC:[MD5.6E89E9B2B4B2F63988FACA5F1AD69904] - 11/06/2012 - 15:11:25 ---A- . (...) -- C:\user.js [237]
O87 - FAEL: "TCP Query User{7A540499-B0BA-40A0-9C9D-6747B0F2B073}C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{A0C5FB3C-495D-432A-B94D-783E3207F56C}C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{9D4F3423-D5A5-44EE-A010-A583DDA82E5B}C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{28AF65E9-F21F-4E08-9423-2363909589D9}C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{328D9053-AE7D-470F-B512-AAB87A6043A6}C:\users\thibault\desktop\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\desktop\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{F91FDABA-79E9-4380-9E7E-D2B63D2E9E63}C:\users\thibault\desktop\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\desktop\kw.exe (.not file.) => Fichier absent
EMPTYTEMP
EMPTYFLASH
EMPTYCLSID
Ouvre ZHPFIX
Clique sur le H puis sur GO et poste le rapport.
C:\Windows\SysWow64\IntelCpHeciSvc.exe
et me coller le lien vers l'analyse.
=============================================
copie ces lignes :
M2 - MFEP: prefs.js [Thibault - 80xekhpd.default\ffxtlbr@babylon.com] [] Babylon v1.2.0 (.Babylon.) => Infection BT (Toolbar.Babylon)
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [HKCU] C:\Windows\system32\windir\svcshot.exe (.not file.) => Infection Diverse
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [WindowsUpdates.exe] C:\Users\UpdatusUser\AppData\Roaming\Microsoft Windows Updates.exe (.not file.) => Infection FakeAlert (Possible)
O4 - HKUS\S-1-5-21-4228051853-4042188132-206577013-1001-4228051853-4042188132-206577013-1000\..\Run: [explorer.exe] C:\Users\UpdatusUser\AppData\Roaming\system\explorer.exe (.not file.) => Infection Diverse (.)
O47 - AAKE:Key Export SP - "C:\Users\Thibault\AppData\Roaming\blackshades.exe" [Enabled] .(...) -- C:\Users\Thibault\AppData\Roaming\blackshades.exe (.not file.) => Infection FakeAlert (Possible)
O47 - AAKE:Key Export SP - "C:\Users\Thibault\AppData\Roaming\system\explorer.exe" [Enabled] .(...) -- C:\Users\Thibault\AppData\Roaming\system\explorer.exe (.not file.) => Infection FakeAlert (Possible)
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.tlbrSrchUrl","http://start.facemoods.com/?a=ironto&f=3"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.hmpgUrl", "http://start.facemoods.com/?a=ironto"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.id", "da14c64900000000000078929c15c935"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.sid", "561ac6916bf64d4388cd978c72ade694"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.instlDay", "15336"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.vrsn", "1.4.17.11"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.prtnrId", "facemoods.com"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.aflt", "ironto"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.DNSErrUrl","http://start.facemoods.com/?a=ironto&f=5"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.mntz",""); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.hmpg", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dfltSrch", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.searchProviderAdded", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dfltSrchPrvdr", "Facemoods Search"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.dnsErr", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.newTab", true); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.newTabUrl", "http://start.facemoods.com/?a=ironto&f=2"); => Adware.Facemoods
O69 - SBI: prefs.js [Thibault - 80xekhpd.default] user_pref("extensions.facemoods.firstRun", true); => Adware.Facemoods
C:\Users\Thibault\AppData\Roaming\Mozilla\Firefox\Profiles\80xekhpd.default\Extensions\ffxtlbr@babylon.com => Infection BT (Toolbar.Babylon)
G0 - GCSP: Preference [User Data\Default][HomePage] https://www.google.com/#u_ip=91.209.35.218
R1 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://www.google.com/#u_ip=91.209.35.218
[MD5.00000000000000000000000000000000] [APT] [{110D55EB-4516-424F-BC76-FE046D3FEE17}] (...) -- C:\Users\Thibault\Downloads\Skin Installer Ultimate\Skin Installer Ultimate\Skin Installer Ultimate.exe (.not file.) => Fichier absent
[MD5.00000000000000000000000000000000] [APT] [{4C5043B1-6FFC-466F-8E48-B2A00D96912F}] (...) -- F:\Crack\Maj\6.2.4\Sims3_6.2.4.010001_from_6.1.11.009001.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware
[MD5.00000000000000000000000000000000] [APT] [{C3476F3C-8CB8-4995-9A4C-5BE8D41092DB}] (...) -- F:\Crack\Maj\6.1.1\Sims3_6.1.11.009001_from_6.0.81.009001.exe (.not file.) => Crack, KeyGen, Keymaker - Possible Malware
[MD5.00000000000000000000000000000000] [APT] [{ED2D70F1-3EEF-4FBF-A84F-5FDFD7CB036C}] (...) -- C:\Program Files (x86)\InstallShield Installation Information\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8}\setup.exe (.not file.) => Fichier absent
O41 - Driver: (dtsoftbus01) . (. - .) - C:\Windows\System32\DRIVERS\dtsoftbus01.sys (.not file.) => Fichier absent
O44 - LFC:[MD5.6E89E9B2B4B2F63988FACA5F1AD69904] - 11/06/2012 - 15:11:25 ---A- . (...) -- C:\user.js [237]
O87 - FAEL: "TCP Query User{7A540499-B0BA-40A0-9C9D-6747B0F2B073}C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{A0C5FB3C-495D-432A-B94D-783E3207F56C}C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex21.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{9D4F3423-D5A5-44EE-A010-A583DDA82E5B}C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{28AF65E9-F21F-4E08-9423-2363909589D9}C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\appdata\local\temp\rar$ex25.360\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{328D9053-AE7D-470F-B512-AAB87A6043A6}C:\users\thibault\desktop\kw.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\thibault\desktop\kw.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{F91FDABA-79E9-4380-9E7E-D2B63D2E9E63}C:\users\thibault\desktop\kw.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\thibault\desktop\kw.exe (.not file.) => Fichier absent
EMPTYTEMP
EMPTYFLASH
EMPTYCLSID
Ouvre ZHPFIX
Clique sur le H puis sur GO et poste le rapport.
voici l analyse :
https://www.virustotal.com/file/288ea64a57057ead135685f2c46ca53ba0319ea28b7b7a2ecbe29e50ed807fca/analysis/1339439108/
https://www.virustotal.com/file/288ea64a57057ead135685f2c46ca53ba0319ea28b7b7a2ecbe29e50ed807fca/analysis/1339439108/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bah en fait t'as copié/collé ton premier rapport ZHPFix dans ZHPFix et t'as refais un nettoyage :o)
Mais y'a pas eu de conséquences ;)
Fais le grand nettoyage de printemps maintenant :p
Mais y'a pas eu de conséquences ;)
Fais le grand nettoyage de printemps maintenant :p
le virus la bloqué donc ne l'utilise plus mais utilise malwarabite et msnfix https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/43103.html sa marche sur windows 7.
