Avast me détecte 54 fichiers virus winsxs ...
mgardet
-
g3n-h@ckm@n Messages postés 14350 Statut Membre -
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,
Venant de faire un scan avec avast anti virus pro, il me trouve 54 fichiers de haute sévérité avec comme nom C:/windows/winsxs/.../ ......, ainsi que que d'autre tel que user/ toshiba etc
Il m'est impossible de les mettre en quarantaine, de les supprimer ou alors de le réparer...
j'ai peur pour mon ordinateur ..
Savez vous si c'est vraiment un virus ? que dois je faire?
Merci d'avance pour votre aide,
Cordialement.
Venant de faire un scan avec avast anti virus pro, il me trouve 54 fichiers de haute sévérité avec comme nom C:/windows/winsxs/.../ ......, ainsi que que d'autre tel que user/ toshiba etc
Il m'est impossible de les mettre en quarantaine, de les supprimer ou alors de le réparer...
j'ai peur pour mon ordinateur ..
Savez vous si c'est vraiment un virus ? que dois je faire?
Merci d'avance pour votre aide,
Cordialement.
A voir également:
- Avast me détecte 54 fichiers virus winsxs ...
- Clé usb non detecté - Guide
- Désinstaller avast - Télécharger - Antivirus & Antimalwares
- Virus mcafee - Accueil - Piratage
- Softonic virus - Forum Virus
- Mail avast 499 euros ✓ - Forum Virus
18 réponses
salut le chemin complet du fichier arrangerait bien parce que là ....!
mgardet
y'en a 54 de fichier... ca va etre dur de tout vous mettre ...
Branche tout ce qui peut se brancher sur tes ports usb (clé , disque externe , sdcard aussi , mp3 , 4 etc ... )
telecharge ici :
http://www.security-helpzone.com/Tools/g3n/Load_SalityKiller.exe
ou :
http://www.archive-host.com
Desactive tes protections
lance-le , clique sur lancer le nettoyage
à la fin un log se mettra sur ton bureau
NE LE POSTE PAS SUR LE FORUM (il est trop long)
clic droit dessus , envoyer vers , dossiers compressés
ensuite :
heberge l'archive sur http://pjjoint.malekal.com et donne le lien obtenu
telecharge ici :
http://www.security-helpzone.com/Tools/g3n/Load_SalityKiller.exe
ou :
http://www.archive-host.com
Desactive tes protections
lance-le , clique sur lancer le nettoyage
à la fin un log se mettra sur ton bureau
NE LE POSTE PAS SUR LE FORUM (il est trop long)
clic droit dessus , envoyer vers , dossiers compressés
ensuite :
heberge l'archive sur http://pjjoint.malekal.com et donne le lien obtenu
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
quelques infos
http://translate.google.fr/translate?sl=en&tl=fr&js=n&prev=_t&hl=fr&ie=UTF-8&eotf=1&u=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FSality&act=url
enfin la traduction est pourrie mais on comprend
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
http://translate.google.fr/translate?sl=en&tl=fr&js=n&prev=_t&hl=fr&ie=UTF-8&eotf=1&u=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FSality&act=url
enfin la traduction est pourrie mais on comprend
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10
Merci beaucoup de m'aider, vraiment ...
c'est tres gentil !
désolée de m'etre méfier au début, mais une amie s'est vu refoulée un virus par un forum qui etait censé l'aider...
votre logiciel est toujours en train de chercher..
(je pense enmener mon ordinateur chez un informatitien la semaine prochaine, du fait que ce virus est l'un des plus "malicieux" pensez vous que cela va me revenir cher? parce que sur les sites des informaticiens, ils ne mettent pas les tarifs précis...)
c'est tres gentil !
désolée de m'etre méfier au début, mais une amie s'est vu refoulée un virus par un forum qui etait censé l'aider...
votre logiciel est toujours en train de chercher..
(je pense enmener mon ordinateur chez un informatitien la semaine prochaine, du fait que ce virus est l'un des plus "malicieux" pensez vous que cela va me revenir cher? parce que sur les sites des informaticiens, ils ne mettent pas les tarifs précis...)
bah ici c'est gratuit et on se débrouille pas mal.... si on peut le soigner jusqu'au bout y a plus de raison d'aller l'aporter ou que ce soit :)
plein de truc défile, sur la premiere ligne c'est marqué winrar 32 virus
et ca c'est passé où ?
et ca c'est passé où ?
lol
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
et allez les adwares , lol
=====
Télécharge et enregistre ADWCleaner sur ton bureau :
Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")
clique sur suppression et poste C:\Adwcleaner[Sx].txt
=====
Télécharge et enregistre ADWCleaner sur ton bureau :
Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")
clique sur suppression et poste C:\Adwcleaner[Sx].txt
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
Bonjour, juste pour info le lien "virussé" comme vous dite se trouve en fait etre l outil developpé par g3n. Le probleme, c est qu il est codé en AutoIt et le mode de compression s appelle UPX et les antivirus n aime pas cet "encodage" du coup ça entraine des faux positifs (pour vous donner une idee j ai developpé un petit outil en autoIT qui se contente d afficher du texte dans un bloc note eh bien a cause de l UPX je suis obligé de l ajouté aux exceptions d avast sinon il me le met direct en quarantaine)
++
++
desinstalle java 6 update 30
desinstalle Google Toolbar for Internet Explorer
==================
selectionne ce texte , puis CTRL + C
Kill::
Key::
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[SearchProtect]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D77CCC66-820A-4770-8256-F04F95470AB6}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D77CCC66-820A-4770-8256-F04F95470AB6}]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4f12-8568-69135F087DB0},]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\Software\SweetIM]
[HKLM\Software\SweetIM]
[HKLM\Software\Wow6432Node\SweetIM]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{4447734F-FFBB-4CA4-BE91-A1BC31380C33}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{4BE9D78B-009C-446B-9078-317EC2B90148}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{65CEA970-4DED-4977-8CA4-A98EBB3E7C46}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{0D01E4C9-B6DD-4FD2-AF38-EF8B610C6AF4}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{D35D3CC6-36D2-4674-832C-1C7D874FA400}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{22DCAF0A-753E-49F0-91AF-B588DCED1318}]
File|Fold::
C:\Program Files (x86)\Mozilla Firefox\extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433}
C:\windows\DeleteOnReboot.bat
C:\eula.*.txt
C:\windows\PùÁ
C:\windows\'õ¦
C:\Users\Toshiba\AppData\Local\{*}
C:\windows\System32\Tasks\CreateChoiceProcessTask
C:\windows\System32\Tasks\{1B8A2F0F-2499-45C7-BDB7-73FA1AD66D03}
Driver::
MFEAPFK
MFEAVFK
MFEAVFK01
MFEAVFK02
MFEFIREK
MFEHIDK
MFEHIDK01
MFERKDET
MFEWFPK
Clean::
MBR::
Reboot::
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
desinstalle Google Toolbar for Internet Explorer
==================
selectionne ce texte , puis CTRL + C
Kill::
Key::
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[SearchProtect]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D77CCC66-820A-4770-8256-F04F95470AB6}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D77CCC66-820A-4770-8256-F04F95470AB6}]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4f12-8568-69135F087DB0},]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
[HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9D717F81-9148-4F12-8568-69135F087DB0}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKU\S-1-5-21-1626982761-965783630-4159640345-1000\Software\SweetIM]
[HKLM\Software\SweetIM]
[HKLM\Software\Wow6432Node\SweetIM]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{4447734F-FFBB-4CA4-BE91-A1BC31380C33}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{4BE9D78B-009C-446B-9078-317EC2B90148}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{65CEA970-4DED-4977-8CA4-A98EBB3E7C46}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{0D01E4C9-B6DD-4FD2-AF38-EF8B610C6AF4}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{D35D3CC6-36D2-4674-832C-1C7D874FA400}]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{22DCAF0A-753E-49F0-91AF-B588DCED1318}]
File|Fold::
C:\Program Files (x86)\Mozilla Firefox\extensions\{1FD91A9C-410C-4090-BBCC-55D3450EF433}
C:\windows\DeleteOnReboot.bat
C:\eula.*.txt
C:\windows\PùÁ
C:\windows\'õ¦
C:\Users\Toshiba\AppData\Local\{*}
C:\windows\System32\Tasks\CreateChoiceProcessTask
C:\windows\System32\Tasks\{1B8A2F0F-2499-45C7-BDB7-73FA1AD66D03}
Driver::
MFEAPFK
MFEAVFK
MFEAVFK01
MFEAVFK02
MFEFIREK
MFEHIDK
MFEHIDK01
MFERKDET
MFEWFPK
Clean::
MBR::
Reboot::
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
ok utilise cet outil pour virer les restes de McAfee
http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe
http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe
