Virus qui m'empêche de télécharger

the_odd -  
The_odd Messages postés 32 Statut Membre -
Bonjour, un virus m'empêche de télécharger quoi que ce soit et comme j'ai pu le lire sur les autres forums, j'ai télécharger Rkill, mais maintenant je ne sais plus quoi faire. Voici l'analyse de Rkill (merci de me répondre le plus vite possible):

Rkill 2.6.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2013 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 08/20/2013 09:52:48 PM in x64 mode.
Windows Version: Windows 7 Home Premium Service Pack 1

Checking for Windows services to stop:

* No malware services found to stop.

Checking for processes to terminate:

* No malware processes found to kill.

Checking Registry for malware related settings:

* No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

* ALERT: ZEROACCESS rootkit symptoms found!

* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ [ZA Dir]
* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ \ [ZA Dir]
* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ \...\ [ZA Dir]
* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ \...\??\ [ZA Dir]
* C:\Program Files (x86)\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ \...\??\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\???\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\???\???\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\???\???\??\ [ZA Dir]
* C:\Users\usager\AppData\Local\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\???\???\??\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ [ZA Dir]
* C:\Windows\assembly\GAC_32\Desktop.ini [ZA File]
* C:\Windows\assembly\GAC_64\Desktop.ini [ZA File]

* ALERT: ZEROACCESS Reparse Point/Junction found!

* C:\Program Files\Microsoft Security Client\Antimalware => c:\windows\system32\config\ [Dir]
* C:\Program Files\Microsoft Security Client\Backup => c:\windows\system32\config\ [Dir]
* C:\Program Files\Microsoft Security Client\CleanUpPolicy.xml => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy.exe => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\en-us => c:\windows\system32\config\ [Dir]
* C:\Program Files\Microsoft Security Client\eppmanifest.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\fr-fr => c:\windows\system32\config\ [Dir]
* C:\Program Files\Microsoft Security Client\MSESysprep.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\MsMpRes.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\msseces.exe => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\msseoobe.exe => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\msseooberes.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\MsseWat.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\setup.exe => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\setupres.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\shellext.dll => c:\windows\system32\config [File]
* C:\Program Files\Microsoft Security Client\sqmapi.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\fr-FR => c:\windows\system32\config\ [Dir]
* C:\Program Files\Windows Defender\MpAsDesc.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpClient.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpCmdRun.exe => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpCommu.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpEvMsg.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpOAV.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpRTP.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MpSvc.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MSASCui.exe => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MsMpCom.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MsMpLics.dll => c:\windows\system32\config [File]
* C:\Program Files\Windows Defender\MsMpRes.dll => c:\windows\system32\config [File]

Checking Windows Service Integrity:

* Pilote d'autorisation du Pare-feu Windows (mpsdrv) is not Running.
Startup Type set to: Manual

* BFE [Missing Service]
* BITS [Missing Service]
* MpsSvc [Missing Service]
* PcaSvc [Missing Service]
* WinDefend [Missing Service]
* wscsvc [Missing Service]
* wuauserv [Missing Service]

* iphlpsvc [Missing ImagePath]
* SharedAccess [Missing ImagePath]

Searching for Missing Digital Signatures:

* No issues found.

Checking HOSTS File:

* HOSTS file entries found:

127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100sexlinks.com

20 out of 15269 HOSTS entries shown.
Please review HOSTS file for further entries.

Program finished at: 08/20/2013 09:53:03 PM
Execution time: 0 hours(s), 0 minute(s), and 14 seconds(s)

20 réponses

Résumé de la discussion

Un rootkit ZeroAccess est signalé après l’exécution de RKill, même si aucun service ni processus malveillant n’est détecté et que le système présente des symptômes et des entrées HOSTS suspectes. Pour désinfecter, plusieurs outils sont proposés, notamment RogueKiller et Malwarebytes Anti-Malware, et la procédure insiste sur l’exécution sur bureau, pré-scan puis scan, puis vérification des rapports sans suppression immédiate. Des précautions seront demandées, comme éviter la désinfection si l’on ne maîtrise pas l’outil, utiliser un autre PC pour télécharger les outils et récupérer des rapports via des services d’hébergement de liens. En parallèle, les échanges évoquent des rapports détaillés et leur nécessité de vérification avant toute suppression, afin d’éviter les dégâts et de valider les résultats obtenus par les outils.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Bonjour The_odd,

    Ne t'inquiète pas, je m'occupe de toi. Juste un petit conseil avant de commencer: Ne pas utiliser des outils de désinfection si on ne les connait pas car ils sont puissants et peuvent occasionner des dégats sur le pc :)

    As-tu un autre pc à disposition pour télécharger ?

    Cordialement Bridget.
    3
  2. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    1) Télécharge Roguekiller ici :
    https://www.luanagames.com/index.fr.html

    Descends vers le milieu de la page au niveau des petits boutons striés bleu et noir. Ce sont les liens de téléchargement. Choisis la version adaptée à ton pc : 64 bits.
    ---> Enregistre-le directement sur le Bureau
    [NB : Les outils de désinfection doivent obligatoirement être placés sur le bureau]

    --> Exceptée cette page web, ferme tout.

    2) Pour l'examen :

    - Lance RogueKiller.exe par clic-droit sur l'icône et choisis "Exécuter en tant qu'administrateur"
    - Attends la fin du Prescan ...
    - Une fois le pré scan terminé, clique sur "Scan".
    Durant le scan, l'outil peut s'attarder longuement sur une ligne puis repartir, c'est normal. Ne le relance pas.
    - A la fin du scan, clique sur "Rapport".
    ---> Attention : L'outil va te demander de supprimer ce qui a été trouvé, ne supprime surtout pas. Le contenu doit être vérifié. Ferme le logiciel par le X (et non pas en cliquant sur ok).

    3) Pour le rapport :

    Rends-toi sur https://www.cjoint.com/
    Clique sur "Parcourir"
    Le rapport se trouve sur ton bureau.
    Puis clique sur "Créér le lien cjoint".
    Copie et colle le lien dans ta réponse.

    Si tu as des questions, n'hésite pas à demander :)
    2
  3. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Bonjour The_odd,

    Tu as une infection sévère par un rootkit. La désinfection devra être suivie jusqu'à ce que je te dise que c'est ok. D'ici là, ne te sers du pc malade que pour la désinfection.

    Relance Roguekiller par clic droit et choisis "Exécuter en tant qu'administrateur".
    Comme la 1ère fois : pré-scan, puis scan
    En fin de scan, clique sur "Suppression".
    Héberge le rapport sur http://pjjoint.malekal.com et colle le lien dans ta réponse.
    En cas de souci, je ne suis pas loin. Hier après-midi, je n'étais pas disponible mais aujourd'hui, je vais repasser à plusieurs reprises sur le site vu le temps pluvieux :)
    1
  4. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Bonsoir The_odd,

    Suis exactement les instructions car c'est une infection sérieuse.
    Pourquoi as-tu repassé deux fois en suppression ? parce qu'il en restait ?
    C'était justement une indication précieuse. J'aimerais le rapport en gras,stp.

    RKreport[0]_D_08242013_153530.txt
    RKreport[0]_D_08242013_152201.txt
    RKreport[0]_S_08232013_082744.txt
    RKreport[0]_S_08242013_152137.txt
    RKreport[0]_S_08242013_153434.txt
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Pour vérification : Relance-le comme la 1ère fois : pré-scan puis scan sans supprimer.
    1
  7. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Tout d'abord, tu ne dois pas avoir redémarré entre les deux scans (RKill et MBAM)
    car le premier a endormi la bête, le second va l'achever.

    1) Télécharge Malwarebytes Anti malware (MBAM)
    Attention : Si tu as la version payante ou une version Trial installée sur le pc, ne l'utilise pas, désinstalle-la ou désactive-la et télécharge la version gratuite ici :
    http://fr.malwarebytes.org/products/malwarebytes_free.

    2) La mise à jour de MBAM :
    [NB : Avant chaque examen, il faut mettre les bases virales à jour]
    Là, c'est spécial, tu vas devoir installer le logiciel d'abord sur l'autre pc, mettre les bases virales à jour en cliquant sur l'onglet "mise à jour", puis "rechercher une mise à jour" avant de le transporter avec ses bases à jour sur ta clé jusqu'au pc malade.

    3) L'examen : --> A faire en mode normal.
    - Tout doit être fermé et antivirus désactivé.
    - Clique sur "Recherche" et choisis "Examen rapide".
    - Laisse MBAM travailler sans toucher à rien.
    - En fin de scan, clique sur "Afficher les résultats".

    4) La suppression des menaces :
    --> Attention : Si MBAM a trouvé des menaces, vérifie que toutes les lignes sont bien cochées car l'infection peut décocher certaines lignes.
    - Puis supprime-les en cliquant sur "Supprimer la sélection".
    - Redémarre le pc car certains éléments sont supprimés au redémarrage.

    5) Le rapport :
    - Pour le récupérer : Ouvre MBAM et clique sur l'onglet "Rapports et logs".
    - Clique droit sur la ligne du rapport, il s'ouvrira dans le bloc-note.
    - Héberge-le et transmets-moi le lien.
    1
    1. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      Tu as vu tout ce qui a dégagé mais il est toujours là. Il reste cinq fichiers et si tu redémarres le pc, c'est fichu.
      0
    2. The_odd Messages postés 32 Statut Membre
       
      que dois-je faire?
      0
    3. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      Va voir ici dans C:\Program Filesx86\Google\Desktop\Install\{6758bb45-7a0e-4997-862e-f2bfa75c3343}\ [ZA Dir]

      fais-moi des copies d'ecran que ce que tu trouves dans Google en descendant dans les fichiers. Il est là planqué avec plusieurs fichiers.
      0
  8. MURIPAT62 Messages postés 16 Statut Membre 3
     
    bonjour, je pense que le mieux à faire pour toi, c'est de faire une restauration de ton système à partir d'un date où tu penses que tout fonctionné correctement, puis si tu as un anti virus, un seul et non plusieurs, je te recommande * microsoft sécurity essentiels * de windows, d'effectuer un nettoyage minutieux de ton ordinateur, et le problème sera du moins régler. A plus..
    0
  9. The_odd Messages postés 32 Statut Membre
     
    Comment faire une restauration??? Et puis le virus (si c'est le même) bloque aussi mon antivirus microsfot security essentials! Je suis désespéré -_-... Je ne peut même plus accéder a mon hotmail et le virus me redirige toujours vers d'autres pages. Je ne m'y connais vraiment pas en ordinateur X)
    0
  10. The_odd Messages postés 32 Statut Membre
     
    Oui j'ai un autre ordinateur a ma disposition qui peut telecharger!

    Merci beaucoup de ton aide!
    0
  11. The_odd
     
    Voici le rapport que cela m'a donné. http://cjoint.com/?CHxoE0quUx5
    Merci beaucoup de m'aider!
    0
  12. the_odd
     
    ensuite je t'envoie le rapport?
    0
    1. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      Oui,stp
      0
  13. the_odd
     
    http://pjjoint.malekal.com/files.php?id=20130825_w11o13s15l7g13
    0
  14. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Relance le : Prescan, scan et clique sur HostRaz puis donne-moi le rapport.
    0
    1. The_odd Messages postés 32 Statut Membre
       
      je ne suis pas capable de cliquer dessus
      0
    2. The_odd Messages postés 32 Statut Membre
       
      oups jai oublier de scanner désolé :p
      0
    3. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      Oui, il faut à chaque fois, recommencer prescan et scan :)
      0
  15. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    As-tu toujours RKill ?
    0
    1. The_odd Messages postés 32 Statut Membre
       
      oui
      0
  16. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Relance Rkill, fais le scan et transmets-moi le lien.
    Ne redémarre surtout pas. J'aimerais être sûre avant que l'infection est bien éradiquée car elle peut se régénérer au rédémarrage.
    Réponds-moi rapidement car je voudrais aller dormir. On doit être en horaire décalé, tu es au Canada ? Chez moi, il est 3h30 du matin.
    0
    1. The_odd Messages postés 32 Statut Membre
       
      ohh chez moi il est 9h30 :p je ne sais plus comment faire un rapport avec rkill!
      0
    2. The_odd Messages postés 32 Statut Membre
       
      ah ok sa a lair correct :p
      0
    3. The_odd Messages postés 32 Statut Membre
       
      comment faiton pour faire une version txt a partir de rkill?
      0
    4. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      Quand le rapport s'ouvre, clique droit dessus et choisis copier
      Rends-toi sur http://pjjoint.malekal.com et là clique droit dans le cadre de dépôt et choisis coller
      Puis clique sur "Envoyer"

      Autrement pour fransformer le rapport en fichier.txt, tu le colles dans le bloc-note et tu l'enregistres comme tout fichier.
      0
    5. The_odd Messages postés 32 Statut Membre
       
      sauf que le probleme, c'est que je ne peut rien copier
      0
  17. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Retélécharge RKill ici et de cette façon :
    Rends-toi sur cette page :https://www.bleepingcomputer.com/download/rkill/
    Descends vers le milieu. Il ya toute une série de liens.
    Télécharge une version "masquée" : Essaie par ex avec WiNlOgOn.exe

    *iExplore.exe Download Link
    *uSeRiNiT.exe Download Link
    *WiNlOgOn.exe Download Link

    Pour le scan, désactive ton antivirus. De toutes façons , il est dans les vaps.
    Clique juste sur "Exécuter"
    Ensuite, tu ne touches plus à rien durant le scan qui peut s'arrêter longuement.
    Le rapport doit s'ouvrir de lui-même.
    0
    1. The_odd Messages postés 32 Statut Membre
       
      en passant tu peut continuer de maider plus tard!
      0
    2. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      Tu dois partir ?
      Car là, on est en train de l'avoir,
      Il faudrait de suite faire le scan que je vais te donner.
      Je te mets ci-dessous comment faire le scan.
      0
    3. The_odd Messages postés 32 Statut Membre
       
      non je ne doit pas partir, je disait cela plutot pour toi :p
      0
    4. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      Merci, c'est vrai je suis fatiguée mais je voudrais bien l'avoir avant d'aller coucher. Ce ne sera pas pour autant terminé et Il restera encore du boulot pour demain, enfin aujourd'hui :)
      0
  18. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Ton problème a débuté à quelle date exactement ? Là, on voit qu'ils ont été modifiés le 14 Août. A cette date ?
    0
    1. The_odd Messages postés 32 Statut Membre
       
      cela se peut fort bien, cela fait environ 2 semaines
      0
    2. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      Et tu aurais (je n'y crois pas tellement), des points de restauration situés il y a plus de 2 semaines pour passer par dessus l'infection et restaurer le pc à une date située avant le problème ?
      0
    3. The_odd Messages postés 32 Statut Membre
       
      je sais pas, jai eu bcp de probleme avec mon ordinateur ces temps ci, p-e que cetait un autre virus ou logiciel malveillant que jai essayer denlever, je sais que sa fait plus de deux semaines que jai des problemes, mais pas autant que sa
      0
    4. The_odd Messages postés 32 Statut Membre
       
      je comprend pas grand chose, comme je lai deja dit,je suis nul en informatique
      0
    5. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      As-tu CCleaner ? Sinon, tu peux le télécharger ici :
      https://www.ccleaner.com/ccleaner/download/standard

      Ensuite, pour savoir la liste de tes points de restauration, ouvre-le, une fois installé.
      Clique sur "Options", puis sur "Restauration du système"
      Et là, tu devrais voir s'afficher toute la liste de tes points de restauration avec la date.
      Comme ceci : https://www.cjoint.com/c/CHzg6OZqwBR
      N'y touche pas bien entendu.
      0
  19. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
     
    Je suis vraiment fatiguée, je vais arrêter un peu. Avant de te quitter, fais ces deux choses :

    1) Repasse Roguekiller en mode sans échec : Comment faire ?
    Eteins-le pc et rallume-le.
    Dès le démarrage et avant l'apparition du logo windows, mets-toi à tapoter la touche F8, située sur la 1ère ligne en haut du clavier.
    Continue à tapoter jusqu'à l'apparition de la fenêtre noire des "Options de démarrage avancées"
    A l'aide des flêches situées en bas du clavier à droite, sélectionne "Mode sans échec".
    Puis clique sur "Entrée".
    Tu arriveras sur ton bureau changé car les fonctions sont économisées.
    Confirme que tu veux rester en mode sans échec.

    Relance alors Roguekiller par clic droit et choisis "Exécuter en tant qu'administrateur"
    Laisse faire le prescan, puis clique sur scan.
    En fin de scan. si des éléments ont été trouvés, clique sur "Suppression", bien que je ne pourrai pas vérifier. Héberge le rapport et transmets-moi le lien.
    0
    1. Bridget. Messages postés 3816 Date d'inscription   Statut Contributeur Dernière intervention   404
       
      Salut,
      Peux-tu me communiquer aussi celui-là ?
      RKreport[0]_S_08252013_095829.txt
      0