Virus : WORM/Rays et W32/Hidrag.a Résolu/Fermé

Question

Bonjour,

Comodo mon antivirus m'a trouvé un virus. Suite à son conseil j'ai fait supprimé, mais il semble qu'il revienne.
Pourriez vous m'aider à faire un scan de mon ordinateur et me débarasser des virus svp ? 
Merci d'avance,

Malekal_morte- · Answer

Salut,

Comodo détecte quoi dans quoi ?

lafoug · Answer

oups déjà pardon je me suis trompée, il s'agit d'antivir mon antivirus (j'ai comodo seulement en firewall). J'ai eu à plusieurs reprises un pop up d'antivir qui me disait qu'un élément néfaste avait été trouvé... mais cela semble revenir... Par contre je ne sais plus le nom... ni ou :/

lafoug · Answer

déjà voilà ce que j'ai trouvé dans l'historique des rapports d'antivir :
résultat positif : WORM/Rays

Et sur le précédent :

W32/Hidrag.a

Chacune de ces alerte est revenue plusieurs fois...

Malekal_morte- · Answer

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Suppression].
Le scan peux durer plusieurs minutes, patienter.

Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

lafoug · Answer

voilà déjà le premier rapport :

# AdwCleaner v2.306 - Rapport créé le 17/08/2013 à 17:08:34
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Emmanuel DUHAMELET - PC757821523111
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Emmanuel DUHAMELET\Mes documents\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\APN
Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Speedbit

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{603C4CC9-5DC6-4C44-873F-8281509DF953}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{389943B0-C3A2-4E69-82CB-8596A84CB3DC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FF7C3CF0-4B15-11D1-ABED-709549C10000}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{389943B0-C3A2-4E69-82CB-8596A84CB3DC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FF7C3CF0-4B15-11D1-ABED-709549C10000}
Clé Supprimée : HKCU\Software\SBConvert
Clé Supprimée : HKCU\Software\SpeedBit
Clé Supprimée : HKCU\Software\YahooPartnerToolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{3BCF582D-CA87-4C6F-AF3D-B3548A976AB3}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{603C4CC9-5DC6-4C44-873F-8281509DF953}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
Clé Supprimée : HKLM\Software\SpeedBit
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{31CF9EBE-5755-4A1D-AC25-2834D952D9B4}]
Valeur Supprimée : HKLM\SOFTWARE\Mozilla\Firefox\Extensions [{0329E7D6-6F54-462D-93F6-F5C3118BADF2}]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v22.0 (fr)

Fichier : C:\Documents and Settings\Emmanuel DUHAMELET\Application Data\Mozilla\Firefox\Profiles\y8u37z2b.default\prefs.js

Supprimée : user_pref("speedbit.dap_installed", true);
Supprimée : user_pref("speedbitvdownloader.auto_search", false);
Supprimée : user_pref("speedbitvdownloader.buttons.highlighter", false);
Supprimée : user_pref("speedbitvdownloader.buttons.showlabels", false);
Supprimée : user_pref("speedbitvdownloader.click_selects_all", true);
Supprimée : user_pref("speedbitvdownloader.ctrl_search", false);
Supprimée : user_pref("speedbitvdownloader.enable_auto_complete", false);
Supprimée : user_pref("speedbitvdownloader.focus_key", false);
Supprimée : user_pref("speedbitvdownloader.search_in_tab", false);
Supprimée : user_pref("speedbitvdownloader.search_on_drag_drop", false);
Supprimée : user_pref("speedbitvdownloader.shift_ctrl_search", false);
Supprimée : user_pref("speedbitvdownloader.shift_search", false);
Supprimée : user_pref("speedbitvdownloader.use_inline_complete", false);
Supprimée : user_pref("speedbitvdownloader.warn_on_form_history", false);
Supprimée : user_pref("speedbitvideodownloader.Var1", "0");
Supprimée : user_pref("speedbitvideodownloader.Var10", "0");
Supprimée : user_pref("speedbitvideodownloader.Var2", "0");
Supprimée : user_pref("speedbitvideodownloader.Var3", "0");
Supprimée : user_pref("speedbitvideodownloader.Var4", "0");
Supprimée : user_pref("speedbitvideodownloader.Var5", "0");
Supprimée : user_pref("speedbitvideodownloader.Var6", "0");
Supprimée : user_pref("speedbitvideodownloader.Var7", "0");
Supprimée : user_pref("speedbitvideodownloader.Var8", "0");
Supprimée : user_pref("speedbitvideodownloader.Var9", "0");
Supprimée : user_pref("speedbitvideodownloader.cache.tbs_include_xml_spd", "2/22/15/10/110");
Supprimée : user_pref("speedbitvideodownloader.firstlaunch", "0");
Supprimée : user_pref("speedbitvideodownloader.guid", "%7B16CDD9B3-C748-C8ED-50F1-561B588140C1%7D");
Supprimée : user_pref("speedbitvideodownloader.popupblockedcnt", "56");
Supprimée : user_pref("speedbitvideodownloader.userId", "%12");
Supprimée : user_pref("speedbitvideodownloader_installed_version", "2.2.7");

*************************

AdwCleaner[S2].txt - [2068 octets] - [25/10/2012 14:21:23]
AdwCleaner[S3].txt - [5497 octets] - [17/08/2013 17:08:34]

########## EOF - C:\AdwCleaner[S3].txt - [5557 octets] ##########

lafoug · Answer

je ne parviens pas à lancer OTL, dès que je clique sur exécuter, un message d'erreur me dit qu'OTL a rencontré un problème et doit fermer... ? ! Pourtant il est bien sur mon bureau comme indiqué...

Malekal_morte- · Answer

et en mode sans échec ?

Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

lafoug · Answer

ca marche pas non plus :(

Malekal_morte- · Answer

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
!!! Malwarebyte doit être à jour avant de faire le scan !!! 
Supprime bien ce qui est détecté : bouton supprimer sélection.


Retente OTL derrière.


Je vais bouger, je reviens dans la soirée :)

Malekal_morte- · Answer

Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site pjjoint et donne les deux liens pjjoint de ces rapports afin qu'ils puissent être consultés.

lafoug · Answer

Bonjour,

voilà les rapports :

https://pjjoint.malekal.com/files.php?id=20130818_o15j10v10l11k8

et

https://pjjoint.malekal.com/files.php?id=20130818_b14m15o9u12g5

Malekal_morte- · Answer

Rien d'anormal sur le rapport.
Malwarebytes détecte rien.

Donc ça peux être des faux positif d'Antivir.
Faut que tu nous dises dans quel fichier c'est détecté.

et/ou tu fais un scan Antivir et donne le rapport.

lafoug · Answer

Ben j'avais demandé à antivir de les supprimer, peut etre que ca a fini par marcher... Je n'ai effectivement plus eu d'alertes. Je tente un scan antivir et je te tiens au courant.
MErci de ton aide !

Malekal_morte- · Answer

pas de prb :)

Pour sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Virus : WORM/Rays et W32/Hidrag.a

14 réponses

Discussions similaires