Virus insupprimable de type application .exe [Résolu/Fermé]

Signaler
Messages postés
8
Date d'inscription
mercredi 18 septembre 2013
Statut
Membre
Dernière intervention
16 avril 2014
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
bonjour , hier soir j'ai obtenu un virus de type application .exe . je crois que c'est un virus que j'ai obtenu dans un cyber café . il ne peut être supprimé .il se trouve directement dans mes disques durs .j'ai tout essayé (hijackthis ,avast ,avg ,adwcleaner) mais aucun antivirus ne semble le détecter en tant que virus . il se nomme Message Pour Le Monde.exe.quand j'essaie de le supprimer il disparait et se met dans la corbeille et si je ferme le poste de travail et il apparait de nouveau dans mes disques durs . quand je l'exécute, une fenêtre de commande ms dos apparait en deux secondes et se ferme et une autre copie de l'application se met dans mes disques durs. Il a une taille de 26ko et parfois de 28ko.
Désolé pour le long post mais il faut que je le supprime définitivement car ma corbeille se remplie .
je croit que l'application est inoffensive .c'est juste pour rendre les gens a bout de nerfs

8 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 739
Salut,


Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


Messages postés
8
Date d'inscription
mercredi 18 septembre 2013
Statut
Membre
Dernière intervention
16 avril 2014

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 739
Ta version d'AdwCleaner est dépassée.
Mais c'est pas grave dans ton cas.


N'insère pas de clefs USB ou autres.

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:


:OTL
[2013/09/18 00:30:01 | 000,026,652 | ---- | C] () -- C:\Message_pour_le_Monde.exe
[2013/09/17 11:26:17 | 000,000,558 | ---- | M] () -- C:\Documents and Settings\Administrateur\Application Data\initroot


* poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

Messages postés
8
Date d'inscription
mercredi 18 septembre 2013
Statut
Membre
Dernière intervention
16 avril 2014

voila c'est fait .j'ai envoyé le fichier movedfiles.zip sur http://upload.malekal.com/
le rapport:C:\Message_pour_le_Monde.exe moved successfully
C:\Documents and Settings\Administrateur\Application Data\initroot moved successfully.

OTL by OldTimer - Version3.2.69.0 log created on 09182013_202522
juste par curiosité , est ce un nouveau virus?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 739
truc de Kevin, en plus il s'est chié dessus sur les "

Parent process:
Path: C:\Documents and Settings\Mak\Local Settings\Temp\scp58472\tmp\mal\Message_pour_le_Monde.exe
PID: 4024
Child process:
Path: C:\WINDOWS\system32\cmd.exe
Information: Interpréteur de commandes Windows (Microsoft Corporation)
Command line:C:\WINDOWS\system32\cmd.exe /c date /t > c:"\windows\system32\MSE\date.rix"


~~


Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:


:files
C:\windows\Default\run.hta
c:\windows\system32\MSE\
C:\Message_pour_le_Monde.exe


* poste le rapport ici
Messages postés
8
Date d'inscription
mercredi 18 septembre 2013
Statut
Membre
Dernière intervention
16 avril 2014

d'accord je le fait mais pour l'instant je dois aller au taf
merci cet après midi
Messages postés
8
Date d'inscription
mercredi 18 septembre 2013
Statut
Membre
Dernière intervention
16 avril 2014

voila le rapport:
========== FILES ==========
C:\windows\Default\run.hta moved successfully.
Folder move failed. c:\windows\system32\MSE scheduled to be moved on reboot.
C:\Message_pour_le_Monde.exe moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 09192013_185523

Files\Folders moved on Reboot...
c:\windows\system32\MSE folder moved successfully.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
Messages postés
8
Date d'inscription
mercredi 18 septembre 2013
Statut
Membre
Dernière intervention
16 avril 2014

voila je crois qu'il ne se remet plus dans mes disques durs.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 739
Possible oui,

Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.

Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :

https://forum.malekal.com/viewtopic.php?t=5544&start=

Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.

L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/
Messages postés
8
Date d'inscription
mercredi 18 septembre 2013
Statut
Membre
Dernière intervention
16 avril 2014

merci malekal mais je n'ai branché aucune clefs USB/disques dur externes depuis bien longtemps .j'ai verifié mais plus aucune trace de ce put*** de virus dans tous mes peripheriques .
merci a toi,malekal, de m'avoir aidé , je suis clean grace a toi.
merci beaucoup .
je marque ce probleme en tant que resolu .
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 739
ok.
Messages postés
1522
Date d'inscription
mardi 4 octobre 2011
Statut
Membre
Dernière intervention
23 octobre 2015
190
il est kikou lol le code ^^
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 739
ouaip mais 2 sur VT.
Comme les .vbs, c'est peut-être pas du grand art.
Mais ça fait le job.