Nombreux virus détectés Résolu

Question

Bonjour, 
Pour tenter d'étudier la cause du blocage d'un ordinateur d'un collègue afin de le remettre en service (l'ordinateur), j'ai branché, en externe, son disque dur sur mon ordinateur.
Après démarrage, je me suis trouvé confronté à l'installation de plusieurs virus sur mon micro.
Microsoft Internet Security a détecté et mis en quarantaine les virus suivants :
Program:Win32/SpywareSecure
TrojanDownloader:Asx:Wimad.DE
TrojanDownloader:Asx:Wimad.AT
TrojanDownloader:Asx:Wimad.AT (deuxième ligne identique à la première)
Trojan:Asx:Wimtrim.gen!J
Exploit:Java/Blacole.GD
Trojan:Win32/Wintrim.F
Hacktool:Win32/Patched.Y

Malgrè les actions de l'antivirus MSE, ma souris ne répond que très tardivement.

Faut-il reformater mon ordi pour supprimer toutes les éventuelles connexions externes ou peut-on tenter des opérations de nettoyage de mon micro ?
Merci d'avance pour votre réponse.
Cordialement.




Configuration: Windows XP / Internet Explorer 8.0

g3n-h@ckm@n · Answer

salut

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

ccmvigean · Answer

Bonjour,
Merci pour votre assistance.
Voici le lien pour le rapport du Scan :

https://pjjoint.malekal.com/files.php?id=20120924_y10l11v6g5k12

A bientôt de vous lire.
Cordialement.

g3n-h@ckm@n · Answer

re

relance l'outil , clique sur Diag et heberge le rapport

ccmvigean · Answer

Voici le nouveau résultat DIAG.
Bonne réception.

https://pjjoint.malekal.com/files.php?id=20120924_k6h10x12y11s14

Merci de votre suivi.

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

ccmvigean · Answer

Bonjour,
Malwarebytes bloque sur mon second disque dur (qui est un disque de données), sur le fichier : F:\7164794b34cf3f7a97af\update\update.ver
En rouge, apparait l'info d'un fichier infecté mais je ne peux accéder au rapport.
Que faut-il faire ?
A vous lire.

g3n-h@ckm@n · Answer

lance-le scan en mode sans echec

ccmvigean · Answer

Bonjour,
Après plusieurs tentatives, j'ai obtenu les résultats suivants :
Malwarebytes lancé sur :
C:\ Seul en mode normal :
https://pjjoint.malekal.com/files.php?id=20120926_q15t11b6i11f8
2 Virus détectés et supprimés

F:\ Seul en mode SANS ECHEC :
https://pjjoint.malekal.com/files.php?id=20120926_w11n6i1413l11
1 Virus détecté et supprimé.

F:\ Seul en mode NORMAL :
Malwarebytes bloque à toutes mes tentatives sur le répertoire suivant :
F:\7164794b34cf3f7a97af

Que faire maintenant ?
Merci d'avance.
Cordialement.

g3n-h@ckm@n · Answer

salectionne ce texte :

Folder::
F:\7164794b34cf3f7a97af

relance l'option script de Pre_scan et poste le rapport

ccmvigean · Answer

Bonsoir,
Rien ne se passe et le Scan reste bloqué au démarrage.
J'ai sélectionné 
Folder:: 
F:\7164794b34cf3f7a97af 
Le bloc note ouvre un fichier et puis, plus rien.
A vous lire.

g3n-h@ckm@n · Answer

et y'a rien dans le bloc notes ?

ben faut coller ce que tu as selectionné dans ce bloc notes et fermer en acceptant la modif

ccmvigean · Answer

OK,
Voici le résultat obtenu, rapidement, dans un fichier Pre_Script.txt :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0925 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Maurice : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 22:38:51

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Fin : 22:38:51

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

desolé defaut de frappe ^^ 

File|Fold:: 
F:\7164794b34cf3f7a97af  
   
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

ccmvigean · Answer

Bonsoir,
Voici le résultat :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0925 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Maurice : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 23:29:36

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Impossible to move Folder : |D| - F:\7164794b34cf3f7a97af 


Fin : 23:29:38

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

detruis-le avec "FileAssassin" dans malwarebytes

ccmvigean · Answer

Il s'agit d'un répertoire.
Est-ce que je pourrais ouvrir, ensuite, mes documents présents dans le même volume ?
J'attends votre réponse avant de lancer la suppression.
Merci.

g3n-h@ckm@n · Answer

comment ca tu peux pas ouvrir tes documents ?

ccmvigean · Answer

Je peux ouvrir mes documents en l'état actuel du volume Mais, après la suppression du répertoire, est-ce que tu penses que je pourrais toujours ouvrir mes documents présents dans le volume ?

g3n-h@ckm@n · Answer

haaannnn !!! j'avais pas compris

oui c'est un dossier temporaire de mises à jour windows , donc rien à voir
il arrive parfois qu'ils soient capricieux à degager...

ccmvigean · Answer

C'est fait, la suppression du répertoire est terminée.
J'ai procédé à la suppression des fichiers de ce répertoire un par un avant de passer à la suppression du répertoire lui-même.
J'arrive, toujours, à ouvrir mes documents présents sur le volume.
A Plus.

g3n-h@ckm@n · Answer

voila maintenant tu peux faire le menage :)

 https://gen-hackman.kanak.fr/#1037

ccmvigean · Answer

Merci pour ton suivi.
Je passerai au "ménage" à partir de demain.
Bonne nuit et toute ma gratitude pour ton travail.
Je te passerai le résultat du nettoyage.
Cordialement.

g3n-h@ckm@n · Answer

:)

ccmvigean · Answer

Bonjour,
Dans la procédure de nettoyage du micro, voici le rapport de DELFIX.
La suite au prochain message.
Cordialement.
# DelFix v9.0 - Rapport créé le 27/09/2012 à 15:30:26
# Mis à jour le 23/09/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Maurice - MAURICE-0317D78 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Maurice\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\pre_scan
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\Trend Micro\Hijackthis

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\List'em.txt
Supprimé : C:\Documents and Settings\Maurice\Bureau\JavaRa.zip
Supprimé : C:\Documents and Settings\Maurice\Bureau\Pre_Scan_24_09_2012_16_58_28.txt
Supprimé : C:\Documents and Settings\Maurice\Bureau\Pre_script.txt
Supprimé : C:\Documents and Settings\Maurice\Mes documents\Téléchargements\adwcleaner.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Ad-Remover
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1211 octets] - [27/09/2012 15:30:26]

########## EOF - C:\DelFix[S1].txt - [1335 octets] ##########

ccmvigean · Answer

Suite après  PureRa 1.7 :
Total space cleaned: 398.22 MB
A Plus

g3n-h@ckm@n · Answer

magnifique

ccmvigean · Answer

Bonjour,
En supprimant les fichiers en quarantaine présents dans Malwarebytes, un fichier détecté comme virus provenait de PureRa.exe
J'ai supprimé trop vite pour pouvoir te donner le nom de ce fichier (peut-être avec le mot Bot présent).
A plus.
Cordialement.

g3n-h@ckm@n · Answer

c'est rien c'est un faux positif , les outils sont souvent pris pour infections car ils contiennent des bouts de code de suppression que nous utilisons aussi pour supprimer les malwares

ccmvigean · Answer

OK pour l'info.
Merci encore pour ton suivi.
Je vais me mettre, de nouveau, sur le traitement du disque dur du micro qui comportait des virus. Je pense préparer une UC qui correspond à un ancien micro pour tenter d'y purger ce disque dur en externe.
Si je me trouve coincé, je ferais, de nouveau, appel aux personnes compétentes de CommenCaMarche.
Bonne continuation g3n-h@ckm@n.
Cordialement.

g3n-h@ckm@n · Answer

pas de soucis :D au plaisir :)

Nombreux virus détectés - Page 2

Discussions similaires

Newsletters