Virus indétectable au démarrage Windows 7

Résolu
MartinJez Messages postés 12 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour à tous,

J'ai contracté un virus hier soir qui se manifeste au démarrage de mon ordinateur : ouvertures de petites fenêtres blanches, une mélodie qui commence (La BO de Star Wars faite avec les sons windows), les raccourcis du bureau qui s'effacent et enfin mon lecteur de disque qui s'ouvre tout seul.

Oui oui, je crois bien avoir choppé un gros virus !

Actuellement en mode sans échec avec prise en charge du réseau, j'ai effectué des scans multiples avec MalwareBytes, Spybot et Ccleaner mais rien. Je pense que le virus s'est logé dans une des composantes du démarrage mais impossible de la trouver.

Ma configuration : Windows 7, Ordinateur portable Hp Pavillion Dv7
Je demande votre aide, humble communauté :)
Merci d'avance !

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Spybot est inefficace.
    Désinstalle le.

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - HKU\S-1-5-21-3007954097-163685091-3613621111-1000..\Run: [mfserver] C:\Users\Martin\AppData\Local\Temp\mfserver.exe File not found
    O4 - HKU\S-1-5-21-3007954097-163685091-3613621111-1000..\Run: [updater] C:\Users\Martin\AppData\Roaming\samsung.exe (Samsung)
    O4 - HKU\S-1-5-21-3007954097-163685091-3613621111-1000..\Run: [Basic] C:\Users\Martin\AppData\Roaming\TheBasics\Basic.exe File not found
    [2013/06/10 19:33:58 | 000,015,872 | ---- | C] (Samsung) -- C:\samsung.exe
    [2013/06/10 19:33:56 | 000,015,872 | ---- | C] (Samsung) -- C:\Users\Martin\AppData\Roaming\samsung.exe
    [2013/05/30 18:42:28 | 000,351,232 | ---- | M] () -- C:\Users\Martin\AppData\Roaming\qvhost\qvhost.exe
    [2013/04/24 00:51:23 | 001,532,040 | ---- | M] () -- C:\Users\Martin\AppData\Roaming\g5jml.exe
    [2013/06/10 19:33:57 | 000,015,872 | ---- | M] (Samsung) -- C:\Users\Martin\AppData\Roaming\samsung.exe
    :Commands
    [reboot]


    * redemarre le pc sous windows et poste le rapport ici

    ~~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier C:\_OTL.zip
    Envoie ce fichier _OTL.zip sur http://upload.malekal.com

    0
  3. MartinJez Messages postés 12 Statut Membre
     
    Alors, il y a du nouveau !

    Après la relance OTL et la correction, l'ordinateur à reboot et à réussi à démarrer normalement, c'est à dire que je ne suis plus en mode sans échec mais bien en mode normal ! :)

    Ensuite, je viens de t'envoyer le fichier _OTL.zip

    Que dois-je faire maintenant ?

    Merci en tout cas !
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    https://www.virustotal.com/gui/file/63c31cd33dabae21cafc0b653d64dd63142105b559eb9e697bdfe67155784c6a

    SHA256: 63c31cd33dabae21cafc0b653d64dd63142105b559eb9e697bdfe67155784c6a
    Nom du fichier : malekal_g5jml.exe
    Ratio de détection : 6 / 47
    Date d'analyse : 2013-06-11 12:21:44 UTC (il y a 1 minute)

    CRATEFROMLF.NO-IP.ORG
    173.52.22.220:1604

    ~~

    Refais un scan OTL et donne le rapport de scan via pjjoint.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    0
    1. MartinJez Messages postés 12 Statut Membre
       
      ça marche, je vais en refaire un mais je ne comprend pas ce que je dois faire avec l'analyse sur virustotal..
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      rien sur virustotal, c'est juste à titre informatif :)
      0
    3. MartinJez Messages postés 12 Statut Membre
       
      Ha oui d'accord, merci bien !
      Le scan est en cours !
      0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ok y a plus rien d'actif.

    Tu as été infecté par un Rat (Remote Administration Tools).
    => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

    Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
    Vous cliquez, téléchargez et executer.
    Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

    Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

    Faire attention à ce que vous téléchargez - change tous tes mots de passe

    0
  7. MartinJez Messages postés 12 Statut Membre
     
    Je pensais bien !
    Je vais faire doublement attention maintenant.

    En tout cas, merci beaucoup pour ton aide et pour ces éclaircissements !

    Bonne continuation, merci encore.
    0
  8. Niko32974
     
    Effectivement c'est un bon gros virus..... ou application de merde bien caché et vicieuse bref......

    Je pense que t'as du télécharger un logiciel qui devait pas être très légal ou voir télécharger un logiciel piraté?

    Dans tous les cas si tu utilises un bon antivirus pour enlever se virus ou que tu reformate utilise "AdwCleaner" ça t'éviteras d'avoir delta shearch, babylon et compagnie......

    Si tu veux un conseil pour aller plus vite sauvegarde t'es fichiers et reformate ton disque dur local.
    -3
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Il a déjà utilisé AdwCleaner et pas besoin de formater.
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      et puis adwcleaner dans ce genre de situation ça sert à rien, autant tourner autour du pc avec un grigri dans la main gauche que ça aura le même effet :)
      0
    3. Niko32974
       
      C'est sur Juju666 ça va pas résoudre le problème Adwcleaner.

      Merci pour t'as remarque pertinente! mdr!!!!
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Mais elle est très pertinente ma remarque :)
      0