Suite à une infection par file restore virus
cttristan
Messages postés
3
Statut
Membre
-
g3n-h@ckm@n -
g3n-h@ckm@n -
Bonjour,
J'ai été infecté par un virus nommé File restore. J'ai procédé rapidemment à une restauration système (deux jours avant l'infection). Depuis mon pc est lent, mais cela concerne principalement la navigation internet, que ce soit IE ou Chrome. Lorsque que j'ai vu sur des forums que la restauration sytème ne servait à rien avec ce type de virus, j'ai commencé à suivre les instructions d'un site web : j'ai installé Rkiller qui n'a pas trouvé de malware, mais a modifié certains paramètres. J'ai ensuite installé malwarebytes anti-malware (gratuit), il a trouvé 3 fichiers infectés que j'ai supprimé. Cependant, ma navigation sur internet reste très lente. Et j'ai de temps en temps des redirections que je ne comprends pas...
d'autre part si cela peut vous être utile,
-le catalyst control center indique qu'il a cessé de fonctionné dès l'affichage du bureau ou après avoir cliqué sur le lancement du navigateur web
-java me demande des mises à jours...cependant je n'ose pas cliquer sur l'application qui se nomme jucheck.exe car l'editeur reste inconnu.
Pourriez-vous m'aider à résoudre ces problèmes de lenteur? Merci
J'ai été infecté par un virus nommé File restore. J'ai procédé rapidemment à une restauration système (deux jours avant l'infection). Depuis mon pc est lent, mais cela concerne principalement la navigation internet, que ce soit IE ou Chrome. Lorsque que j'ai vu sur des forums que la restauration sytème ne servait à rien avec ce type de virus, j'ai commencé à suivre les instructions d'un site web : j'ai installé Rkiller qui n'a pas trouvé de malware, mais a modifié certains paramètres. J'ai ensuite installé malwarebytes anti-malware (gratuit), il a trouvé 3 fichiers infectés que j'ai supprimé. Cependant, ma navigation sur internet reste très lente. Et j'ai de temps en temps des redirections que je ne comprends pas...
d'autre part si cela peut vous être utile,
-le catalyst control center indique qu'il a cessé de fonctionné dès l'affichage du bureau ou après avoir cliqué sur le lancement du navigateur web
-java me demande des mises à jours...cependant je n'ose pas cliquer sur l'application qui se nomme jucheck.exe car l'editeur reste inconnu.
Pourriez-vous m'aider à résoudre ces problèmes de lenteur? Merci
26 réponses
- 1
- 2
Suivant
Résumé de la discussion
Le problème porte sur une infection nommée File Restore et une lenteur de navigation Internet après une restauration système, avec des redirections suspectes et des doutes sur des outils et mises à jour. Le recours à Malwarebytes Anti-Malware a détecté et supprimé trois fichiers infectés, tandis que des conseils controversés proposaient un outil suspect et des étapes risquées comme la désactivation de protections et des scans prolongés. Des réponses évoquent l’analyse d’un rapport de scan et la gestion des rapports externes, tout en signalant des problèmes persistants comme des ralentissements et des redirections. En cas de suite, certains évoquent la vérification de l’état logiciel et une éventuelle réinstallation du navigateur.
-
salut
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider
Ne transmets pas le lien de suppression !!!
-
-
d'accord je vais donc refaire la procédure. Il semble en effet que j'ai oublié de désactiver un des pare feux . Cela dit en passant, il semble que le "prescan" ait supprimé certains fichiers. Est ce normal? Auriez-vous une technique rapide pour désactiver les protections?
Autre question: Les sauvegardes de mes données sont sur un disque dur. Est-il sûr de le connecter à un autre ordinateur? Ce virus peut-il contaminé un disque dur? Si oui, comment le savoir?
En tout cas je vous remercie du temps que vous m'accordez... -
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Bonjour, j'ai réussi à faire un scan sans problèmes particuliers : voici le lien du rapport: https://forums-fec.be/upload/www/?a=d&i=8670419719 .
-
-
Bonjour, voici le nouveau rapport : https://forums-fec.be/upload/www/?a=d&i=4290314296 Merci!
-
Télécharge et enregistre ADWcleaner sur ton bureau :
ADWCleaner (Merci à Xplode)
Lance le,
(Pour vista et seven => clic droit "executer en tant qu'administrateur")
clique sur suppression et poste son rapport.
il sera aussi : C:\Adwcleaner[Sx].txt
-
Re : voici le lien pour le rapport Adw https://forums-fec.be/upload/www/?a=d&i=2786917587 cependant après avoir redemarrer l'ordinateur, je constate qu'il existe toujours un beugue sur IE, il ya une redirection (qui arrive de tps en tps) vers Ebay que ne comprends pas
-
-
je ne crois pas qu'il y ait eu beaucoup de bug sur chrome (je ne m'en souviens pas) mais je ne l'utilise que rarement. Je trouve quand même que la navigation est plutot lente sur IE et sur chrome
-
on va voir une autre approche
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
-
voici le lien pour le fichier otl.txt : https://forums-fec.be/upload/www/?a=d&i=2195151524 et celui pour extra.txt : https://forums-fec.be/upload/www/?a=d&i=0880413991
Merci -
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
IE - HKLM\..\SearchScopes,DefaultScope =
IE - HKLM\..\SearchScopes\{08412486-EA6E-4862-A541-37499E2D3BC5}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcnnbie7-fr-fr
IE - HKLM\..\SearchScopes\{73D3DCB3-9C46-4525-8771-771C01DA490C}: "URL" = https://fr.search.yahoo.com/web{searchTerms}&ei={inputEncoding}&fr=cb-hp06&type=ie2008
IE - HKLM\..\SearchScopes\{AB45D6FF-EC9A-4E39-A7A6-BA7A39BA769C}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope =
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope =
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope =
IE - HKU\S-1-5-21-869315669-2953040175-383343274-1000\..\SearchScopes\{08412486-EA6E-4862-A541-37499E2D3BC5}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcnnbie7-fr-fr
IE - HKU\S-1-5-21-869315669-2953040175-383343274-1000\..\SearchScopes\{73D3DCB3-9C46-4525-8771-771C01DA490C}: "URL" = https://fr.search.yahoo.com/web{searchTerms}&ei={inputEncoding}&fr=cb-hp06&type=ie2008
IE - HKU\S-1-5-21-869315669-2953040175-383343274-1000\..\SearchScopes\{AB45D6FF-EC9A-4E39-A7A6-BA7A39BA769C}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
IE - HKU\S-1-5-21-869315669-2953040175-383343274-1000\..\SearchScopes\{FFF58BBA-EFA7-4CC0-BA83-2B49075FC2F6}: "URL" = https://www.bing.com/?scope=web&mkt=fr-FR&FORM=IEFM1{searchTerms}&src={referrer:source?}
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} https://www.webangelis.fr/page-404.php (Reg Error: Key error.)
O16 - DPF: {62D90588-609E-4208-A260-A6CEC45BB92C} http://www.liberticam.com/download/CFWebU.exe (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)
O33 - MountPoints2\{15352b1c-b934-11df-9c97-e32f334a7ea3}\Shell - "" = AutoRun
O33 - MountPoints2\{b5d6ce60-9cd4-11e0-b4c5-ae970783b8bd}\Shell - "" = AutoRun
O33 - MountPoints2\F\Shell - "" = AutoRun
O33 - MountPoints2\H\Shell - "" = AutoRun
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
:Files
C:\2a4abf3279c98ea59fa014
C:\Users\Tristan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\File Restore
C:\Program Files (x86)\toolbar2.exe
C:\ProgramData\uzgjrtcmgkxibri
C:\Users\Tristan\tmp1.24
C:\Users\Tristan\AppData\Roaming\GhostObjGAFix.xml
C:\Users\Tristan\AppData\Roaming\questdb.v12
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
-
-
par contre pour ce dernier scan, j'avais laissé les paramètres d'OTL par default en plus du script que vous m'aviez fourni, jespère que j'ai bien fait...
-
-
bonjour,
eh bien je trouve que internet est tjrs un peu lent à charger que ce soit sur IE comme sur chrome. Je me base sur les performance d'un autre ordinateur qui est plus ancien et qui a un moins bon processeur, mais qui n'a pas été infecté par ce virus.
De plus quand j'ouvre mon gestionnaire des taches, est ce normal que je vois apparaître svchost.exe de nombreuses fois? (15 fois!)
ps : je viens encore d'avoir une redirection sur ziinga en utilisant IE....
je ne suis pas sûr d'être débarassé -
Je viens de faire un scan personalisé avec Avast sur les programmes se mettant en route au demarrage, il a trouvé 7 infections!
les programmes concernnés sont les suivants : avastsvc.exe; svchost.exe; explorer.exe; iexplorer.exe
je n'arrive pas à cliquer sur le bouton mise en quarantaine dans avast, et il s'agit selon avast de menaces de types malware-gen; alureon ANP et MBR:SST
que faire? -
je comprends mieux
telecharge ceci :
https://forums-fec.be/gen-hackman/HDDFix.exe
lance-le puis clique sur Listing et heberge le rappport
- 1
- 2
Suivant
