virus dans mémoire vive?Fermé

Question

Bonjour,  

j'ai un virus dans mon ordinateur pc avec windows xp et mon antivirus eset smart security n'est pas capable de le suprimer. Voici l'analyse de la mémoire vive:  

Journal de l'analyse 
Version de la base de données des signatures de virus : 7232 (20120619) 
Date : 2012-06-19  Heure : 13:28:07 
Disques, dossiers et fichiers analysés : Mémoire vive 
Mémoire vive = \GLOBAL??\469f1e3b\WINDOWS\$NtUninstallKB22692$\1184833083\Desktop.ini - une variante de Win32/Sirefef.EZ cheval de Troie - sélection d'action reportée à la fin de l'analyse 
Mémoire vive = services.exe(1080) - une variante de Win32/Sirefef.EV cheval de Troie - impossible de nettoyer 
Mémoire vive = \.\globalroot\systemroot\system32\mswsock.dll - erreur à l'ouverture [4] 
\GLOBAL??\469f1e3b\WINDOWS\$NtUninstallKB22692$\1184833083\Desktop.ini - erreur à l'ouverture [4] 
Nombre d'objets analysés : 568 
Nombre de menaces détectées : 2 
Nombre d'objets nettoyés : 0 
Heure d'achèvement : 13:30:22  Temps d'analyse total : 135 s (00:02:15) 

Remarques : 
[4] L'objet ne peut pas être ouvert. Il est peut-être utilisé par une autre application ou le système d'exploitation. 

Mon antivirus détecte un cheval de troie plusieurs fois dans une journée. Et depuis que j'ai ça, il y a comme juste le son d'annonce publicitaire qui joue même quand je n'ai aucune fenêtre d'ouverte. Il y a aussi google chrome qui me dit que le serveur a été modifié et quand je navigue sur internet, ça m'ouvre souvent plein d'autre onglet ou page, souvent le site dislike.cm  Merci de votre aide :) 

Configuration: Windows XP / Safari 536.5

Utilisateur anonyme · Answer

Ah ben la , oui, ça peut être un cheval de troie !

Démarre ton PC un mode sans échec, clique sur le lien du mot, on t'explique comment faire !

Fait la technique au démarrage de l'ordi et surtout pas en configuration , sinon, le virus passera à l'action !!

Donc on reprend : tu démarre ton ordi en mode sans échec puis tu lance ton 
antivirus et la normalement il devrai le supprimer.

Pourquoi ?? Car en mode sans échec , on lance que ce qu'il faut pour allumer l'ordi et aucun autre programme, certes l'affichage est modeste mais c'est comme ça.

Le virus (donc) ne sera pas exécuter et ne pourra pas bloquer la suppression !

kalimusic · Answer

Bonsoir tijer007,

Tu es infecté par le rootkit Zaccess

 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

1. Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.

&#9656; &#9656; Accepte d'installer la console de récupération si tu es sous XP &#9666; &#9666;

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; Il est possible que l'outil est besoin de redémarrer l'ordinateur.
&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 

!! Réactive les protections résidentes de ton PC !!   

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

kalimusic · Answer

Tu as une infection assez coriace, par précaution sauvegarde tes document importants.

A +

kalimusic · Answer

Bonjour,

Un proxy est visible sur IE, c'est toi qui l'a installé ?

L'infection principale a été supprimé ainsi que des adwares, pour supprimer les résidus des derniers :

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.   
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

Poste le rapport, A + 


A +

kalimusic · Answer

Le proxy soit c'est toi qui l'installe (ou l'entreprise pour les pc à usage professionnel), soit une infection. Au besoin, je t'indiquerai comment le supprimer. 


1. Désinstalle si encore présents et si possible :

Babylon
Babylon Toolbar
Conduit
OpenCandy
Aide : Comment désinstaller un programme

2. Relance AdwCleaner 

- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

Poste le rapport, A +

kalimusic · Answer

Bonjour,

Oui, c'est plutôt curieux l'apparition de cette barre d'outil.

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
netsvcs 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

Virus dans mémoire vive?

6 réponses

Discussions similaires

Newsletters