Virus tenace
Aemaethe
-
juju666 Messages postés 38404 Statut Contributeur sécurité -
juju666 Messages postés 38404 Statut Contributeur sécurité -
Bonjour,
Je vous explique mon soucis, je suis un gros joueur de jeux vidéos, après avoir été sur un site coréen pour avoir accès a une bêta d'un prochain mmo, j'ai chopé un "virus" et il est très tenace!
J'ai formaté plusieurs fois mes DD, passé des antivirus et antimalware/spyware et malgré tout, le virus reste présent!
Il provoque des coupures internet, obliger de reboot le pc pour récupérer ma connexion, et parfois quand j'ouvre un dossier quelconque, il me propose de le supprimer et cela en boucle, je ne sais plus du tout quoi faire, un virus pourrait il se placer ailleurs que sur un DD? ou bien rester présent sur un DD formaté plusieurs fois?
S'il vous plait, aidez moi :P
Je vous explique mon soucis, je suis un gros joueur de jeux vidéos, après avoir été sur un site coréen pour avoir accès a une bêta d'un prochain mmo, j'ai chopé un "virus" et il est très tenace!
J'ai formaté plusieurs fois mes DD, passé des antivirus et antimalware/spyware et malgré tout, le virus reste présent!
Il provoque des coupures internet, obliger de reboot le pc pour récupérer ma connexion, et parfois quand j'ouvre un dossier quelconque, il me propose de le supprimer et cela en boucle, je ne sais plus du tout quoi faire, un virus pourrait il se placer ailleurs que sur un DD? ou bien rester présent sur un DD formaté plusieurs fois?
S'il vous plait, aidez moi :P
A voir également:
- Virus tenace
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
10 réponses
Salut,
Certaines réponses font peur .. :)
Soit, il se trouve dans le MBR, soit il se propage via USB ou une autre partition de ton disque que tu n'as pas formaté ;)
Dans tous les cas on le saura avec ceci :
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
Certaines réponses font peur .. :)
Soit, il se trouve dans le MBR, soit il se propage via USB ou une autre partition de ton disque que tu n'as pas formaté ;)
Dans tous les cas on le saura avec ceci :
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
Oui, malheureusement, rien a faire, il est la encore et toujours... je vais pas devoir ré acheter un pc pour m'en débarrasser quand même!
C'est très intriguant !
Surtout si tu le reboot depuis un CD, qui n'est pas éditable, il est censé restaurer tout comme à l'origine. A moins qu'il se place sur un disque pendant que tu reformate l'autre, et inversement..
Tu as déjà fait un reformatage de tout les DD en même temps (c'est-à-dire qu'à un moment ils sont tous intégralement vierges), puis réinstaller windows après ?
Si tu prépare une clé bootable, il est possible que le virus s'y insert. Donc il faut un CD-ROM.
Sinon pour être sur et certain que, après un reformatage, le virus a bien disparu, change de disque dur XD ! Ou approche un gros aiment !
Plus sérieusement, le problème de réseau peut aussi être dût à la carte réseau, comme à la carte mère.. Pour les fichiers, je ne sais pas..
Quelle version de Windows as-tu, au fait ?
Surtout si tu le reboot depuis un CD, qui n'est pas éditable, il est censé restaurer tout comme à l'origine. A moins qu'il se place sur un disque pendant que tu reformate l'autre, et inversement..
Tu as déjà fait un reformatage de tout les DD en même temps (c'est-à-dire qu'à un moment ils sont tous intégralement vierges), puis réinstaller windows après ?
Si tu prépare une clé bootable, il est possible que le virus s'y insert. Donc il faut un CD-ROM.
Sinon pour être sur et certain que, après un reformatage, le virus a bien disparu, change de disque dur XD ! Ou approche un gros aiment !
Plus sérieusement, le problème de réseau peut aussi être dût à la carte réseau, comme à la carte mère.. Pour les fichiers, je ne sais pas..
Quelle version de Windows as-tu, au fait ?
Oui j'ai par deux fois totalement formaté mes DD et pourtant le "virus" était encore la et a chaque fois, apres l'installation window, paf, coupure du net, demande de suppression des dossiers etc etc, j'avais des SSD donc le truc des aimants ne fonctionne pas, non?
Je me suis résigné a acheté un nouveau DD en attendant de trouver une solution...
Sinon, je suis sous window seven 64bits
Je me suis résigné a acheté un nouveau DD en attendant de trouver une solution...
Sinon, je suis sous window seven 64bits
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Coucou
Envoie C:\PhysicalMBR.bin sur https://www.virustotal.com/gui/ et clique sur Réanalyse. Poste le lien vers l'analyse.
====================
▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
▶ Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe.
▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.
▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
▶ Tutoriel vidéo
Envoie C:\PhysicalMBR.bin sur https://www.virustotal.com/gui/ et clique sur Réanalyse. Poste le lien vers l'analyse.
====================
▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
▶ Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe.
▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.
▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
▶ Tutoriel vidéo
Hop!
https://forums-fec.be/upload/www/?a=d&i=1767168773
Par contre pour virustotal, j'ai du raté un truc, ca me propose aucun lien :(
https://forums-fec.be/upload/www/?a=d&i=1767168773
Par contre pour virustotal, j'ai du raté un truc, ca me propose aucun lien :(
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
Tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
Télécharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
Miroir :
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
Une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
Si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
Si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
Si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur FEC Upload puis donne le lien obtenu en echange
Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan
@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/
==========================
Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Key::
[HKU\S-1-5-21-766423036-2805546770-1807542436-1000\Software\Microsoft\Internet Explorer\Toolbar]|[Locked]
[HKU64\S-1-5-21-766423036-2805546770-1807542436-1000\Software\Microsoft\Internet Explorer\Toolbar]|[Locked]
File|Fold::
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
MBR::
Clean::
Reboot::
___________________________________________________
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
===============
Encore des soucis ?
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/
==========================
Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Key::
[HKU\S-1-5-21-766423036-2805546770-1807542436-1000\Software\Microsoft\Internet Explorer\Toolbar]|[Locked]
[HKU64\S-1-5-21-766423036-2805546770-1807542436-1000\Software\Microsoft\Internet Explorer\Toolbar]|[Locked]
File|Fold::
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
MBR::
Clean::
Reboot::
___________________________________________________
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
===============
Encore des soucis ?
salut sais-tu que ta version de windows n'est pas officielle ?
sinon pour avancer Julien :
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BKgjYnwcfeb
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
sinon pour avancer Julien :
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BKgjYnwcfeb
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
cela m'as donner deux fichiers texte
https://forums-fec.be/upload/www/?a=d&i=7685799615
https://forums-fec.be/upload/www/?a=d&i=5169613993
voila!