Virus indétectable au démarrage Windows 7 Résolu/Fermé

Question

Bonjour à tous,

J'ai contracté un virus hier soir qui se manifeste au démarrage de mon ordinateur : ouvertures de petites fenêtres blanches, une mélodie qui commence (La BO de Star Wars faite avec les sons windows), les raccourcis du bureau qui s'effacent et enfin mon lecteur de disque qui s'ouvre tout seul. 

Oui oui, je crois bien avoir choppé un gros virus !

Actuellement en mode sans échec avec prise en charge du réseau, j'ai effectué des scans multiples avec MalwareBytes, Spybot et Ccleaner mais rien. Je pense que le virus s'est logé dans une des composantes du démarrage mais impossible de la trouver.

Ma configuration : Windows 7, Ordinateur portable Hp Pavillion Dv7
Je demande votre aide, humble communauté :)
Merci d'avance !

Malekal_morte- · Answer

Salut,     

Spybot est inefficace.
Désinstalle le.

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  

puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

MartinJez · Answer

Bonjour Malekal_morte,

Tout d'abord, merci de ta réponse.

Ensuite, voici les liens des résultats :

Analyse AdwCleaner : https://pjjoint.malekal.com/files.php?read=20130611_n159r15w8m9

Analyse OTL Ficher OTL.txt : https://pjjoint.malekal.com/files.php?read=OTL_20130611_w14c10m5m15f10

Analyse OTL fichier Extras.txt : https://pjjoint.malekal.com/files.php?read=OTL_Extras_20130611_v13u9h8z9m6

Merci d'avance ;)

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKU\S-1-5-21-3007954097-163685091-3613621111-1000..\Run: [mfserver] C:\Users\Martin\AppData\Local\Temp\mfserver.exe File not found 
O4 - HKU\S-1-5-21-3007954097-163685091-3613621111-1000..\Run: [updater] C:\Users\Martin\AppData\Roaming\samsung.exe (Samsung)
O4 - HKU\S-1-5-21-3007954097-163685091-3613621111-1000..\Run: [Basic] C:\Users\Martin\AppData\Roaming\TheBasics\Basic.exe File not found
[2013/06/10 19:33:58 | 000,015,872 | ---- | C] (Samsung) -- C:\samsung.exe 
[2013/06/10 19:33:56 | 000,015,872 | ---- | C] (Samsung) -- C:\Users\Martin\AppData\Roaming\samsung.exe
[2013/05/30 18:42:28 | 000,351,232 | ---- | M] () -- C:\Users\Martin\AppData\Roaming\qvhost\qvhost.exe
[2013/04/24 00:51:23 | 001,532,040 | ---- | M] () -- C:\Users\Martin\AppData\Roaming\g5jml.exe 
[2013/06/10 19:33:57 | 000,015,872 | ---- | M] (Samsung) -- C:\Users\Martin\AppData\Roaming\samsung.exe
:Commands
[reboot]

* redemarre le pc sous windows et poste le rapport ici  
 

~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Clic droit / Envoyer vers dossier compressé. 
Cela va créer un fichier C:\_OTL.zip 
Envoie ce fichier _OTL.zip sur http://upload.malekal.com

Niko32974 · Answer

Effectivement c'est un bon gros virus..... ou application de merde bien caché et vicieuse bref...... 

Je pense que t'as du télécharger un logiciel qui devait pas être très légal ou voir télécharger un logiciel piraté?

Dans tous les cas si tu utilises un bon antivirus pour enlever se virus ou que tu reformate utilise "AdwCleaner" ça t'éviteras d'avoir delta shearch, babylon et compagnie......

Si tu veux un conseil pour aller plus vite sauvegarde t'es fichiers et reformate ton disque dur local.

MartinJez · Answer

Alors, il y a du nouveau !

Après la relance OTL et la correction, l'ordinateur à reboot et à réussi à démarrer normalement, c'est à dire que je ne suis plus en mode sans échec mais bien en mode normal ! :)

Ensuite, je viens de t'envoyer le fichier _OTL.zip 

Que dois-je faire maintenant ?

Merci en tout cas !

Malekal_morte- · Answer

https://www.virustotal.com/gui/file/63c31cd33dabae21cafc0b653d64dd63142105b559eb9e697bdfe67155784c6a

SHA256: 63c31cd33dabae21cafc0b653d64dd63142105b559eb9e697bdfe67155784c6a
Nom du fichier : malekal_g5jml.exe
Ratio de détection :  6 / 47 
Date d'analyse :  2013-06-11 12:21:44 UTC (il y a 1 minute) 
 
CRATEFROMLF.NO-IP.ORG
173.52.22.220:1604

~~

Refais un scan OTL et donne le rapport de scan via pjjoint.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

MartinJez · Answer

https://pjjoint.malekal.com/files.php?read=OTL_20130611_x12r8l12y12o10

Voilà la nouvelle analyse ! :)

Malekal_morte- · Answer

ok y a plus rien d'actif.



Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

Faire attention à ce que vous téléchargez - change tous tes mots de passe

MartinJez · Answer

Je pensais bien !
Je vais faire doublement attention maintenant.

En tout cas, merci beaucoup pour ton aide et pour ces éclaircissements ! 

Bonne continuation, merci encore.