Virus windows newdev.exe ??? [Résolu/Fermé]

Signaler
Messages postés
10
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
2 mars 2013
-
Messages postés
10
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
2 mars 2013
-
Bonjour,
Je vous explique.
J'ai un pc avec un double boot ubuntu , windows 7.

Depuis quelques heures, quand je lance mon pc sur windows, il rame énormément, tellement que je ne peux rien faire !!! (il met plus de 20min à charger les icones du bureau ...°

Il a mit plus de 45min pour s'éteindre ...

Bref, je ne peux plus me servir de Windows en ce moment.

J'ai donc booté sur Ubuntu où je ne semble pas avoir de problème.

J'ai téléchargé ClamTK et ai scanné mon dossier System32.

Voici le résultat :
/Windows/System32/newdev.exe
statut : Win.Trojan.Agent-213258

Ma question est, est-ce un faux négatif ?? si non, que dois-je faire ? mettre en quarantaine le fichier ??

Avez-vous une idée pour résoudre ce problème de ralentissement ...???? (sachant que je ne peux pas booter sur windows pour l'instant ....)

Merci d'avance !





9 réponses

Messages postés
179687
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
14 août 2020
21 751
Salut,

Ca ressemble à un malware oui.

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 58215 internautes nous ont dit merci ce mois-ci

Messages postés
10
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
2 mars 2013

Merci pour la réponse . Le problème est que ça rame tellement que je ne peux absolument rien faire en passant par Windows ....
Comment faire ?
Messages postés
179687
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
14 août 2020
21 751
Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.


et tente les manips.
Messages postés
10
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
2 mars 2013

Rebonjour,

Voici le lien pour le fichier OTL.txt :
https://pjjoint.malekal.com/files.php?id=20130301_d115y6f9d14

Celui pour Extras.txt:
https://pjjoint.malekal.com/files.php?id=20130301_o14o15m11j5i7


Voici le contenu de AdwCleaner[s1].txt:
# AdwCleaner v2.113 - Rapport créé le 01/03/2013 à 10:31:44
# Mis à jour le 23/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (32 bits)
# Nom d'utilisateur : Emilie - EMILIE-VAIO
# Mode de démarrage : Mode sans échec avec prise en charge réseau
# Exécuté depuis : C:\Users\Emilie\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\Users\Emilie\AppData\Roaming\Babylon
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\Users\Emilie\AppData\Roaming\Mozilla\Firefox\Profiles\h31315gu.default\searchplugins\delta.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\f55ddd1e034eb46
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\bProtectSettings
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\Babylon
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{97F2FF5B-260C-4CCF-834A-2DDA4E29E39E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16464

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntrId=dc38d877000000000000b2004eb7b1dc --> hxxp://www.google.com

-\\ Mozilla Firefox v19.0 (fr)

Fichier : C:\Users\Emilie\AppData\Roaming\Mozilla\Firefox\Profiles\h31315gu.default\prefs.js

C:\Users\Emilie\AppData\Roaming\Mozilla\Firefox\Profiles\h31315gu.default\user.js ... Supprimé !

Supprimée : user_pref("avg.install.userHPSettings", "hxxp://www.delta-search.com/?affID=119816&babsrc=HP_ss&mntr[...]
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://www.delta-search.com/?affID=119816&babsrc[...]
Supprimée : user_pref("extensions.delta.admin", false);
Supprimée : user_pref("extensions.delta.aflt", "babsst");
Supprimée : user_pref("extensions.delta.appId", "{C26644C4-2A12-4CA6-8F2E-0EDE6CF018F3}");
Supprimée : user_pref("extensions.delta.autoRvrt", "false");
Supprimée : user_pref("extensions.delta.dfltLng", "en");
Supprimée : user_pref("extensions.delta.excTlbr", false);
Supprimée : user_pref("extensions.delta.id", "dc38d877000000000000b2004eb7b1dc");
Supprimée : user_pref("extensions.delta.instlDay", "15752");
Supprimée : user_pref("extensions.delta.instlRef", "sst");
Supprimée : user_pref("extensions.delta.newTab", false);
Supprimée : user_pref("extensions.delta.prdct", "delta");
Supprimée : user_pref("extensions.delta.prtnrId", "delta");
Supprimée : user_pref("extensions.delta.rvrt", "false");
Supprimée : user_pref("extensions.delta.smplGrp", "none");
Supprimée : user_pref("extensions.delta.tlbrId", "base");
Supprimée : user_pref("extensions.delta.tlbrSrchUrl", "");
Supprimée : user_pref("extensions.delta.vrsn", "1.8.10.0");
Supprimée : user_pref("extensions.delta.vrsnTs", "1.8.10.011:02:30");
Supprimée : user_pref("extensions.delta.vrsni", "1.8.10.0");

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Emilie\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [4536 octets] - [01/03/2013 10:31:44]

########## EOF - C:\AdwCleaner[S1].txt - [4596 octets] ##########



Merci d'avance.
J'espère que j'ai posté les bons fichiers ..
Messages postés
179687
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
14 août 2020
21 751
Rien d'anormal au niveau virus.

Essaye de faire une restauration du système => https://www.malekal.com/restauration-systeme-windows/
Messages postés
10
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
2 mars 2013

Je peux faire une restauration à partir du mode sans échec ?



J espére que des points de restauration sont créés automatiquement..
Messages postés
179687
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
14 août 2020
21 751
oui ça doit marcher.
Messages postés
10
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
2 mars 2013

J'ai fait une restauration en mode sans échec.
Le pc reboot. J'ai voulu le relancer en mode sans échec pour être sûre que la restauration était ok ... mais la il reste bloqué au chargement des fichiers Windows ......

Je l éteints au bouton et je tente de booter normalement ....?
Messages postés
10
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
2 mars 2013

À, il à reboot de lui même, j attends de voir en mode normal ...
Messages postés
10
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
2 mars 2013

Ça me met une erreur de restauration de système ....
Il n à pas pu remplacer le fichier C:\program files\avast\software\avast\setup\components.ini par sa copie d origine à partir du point de restauration.
Une erreur indéterminée s est produite durant la restauration (0x80070570)

Il me demande si je veux restaurer à nouveau ...

Je fais comment ?

Cela signifie que je n ai plus d avast ?
Toujours pareil en mode normal ...

Je vais tenter un point de restauration plus loin ...

Je ne peux pas .... je ne peux même plus accéder au mode sans échec
Messages postés
179687
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
14 août 2020
21 751
Je pense que ton Windows a pris un coup.

C'est pas normal qu'ils mettent 20 min à démarrer.
Messages postés
10
Date d'inscription
vendredi 1 mars 2013
Statut
Membre
Dernière intervention
2 mars 2013

Je vous remercie de votre gentillesse et de votre aide.
Après examen, il s'avère que mon disque dur est endommagé et commence à rendre l'âme !