Virus, notepad.exeFermé

Question

Bonjour, ^^ j'ai posté un message aujourd'hui qui est : "Bonjour à tous, c'est la première fois que je poste sur Commentçamarche.net, je suis néophyte en informatique ( utilisateur lambda ). Je vais vous faire part de mon problème en espérant recevoir un peu d'aide. Je me lance : Il y a d'ici une semaine, j'ai ouvert un fichier naïvement ( qui s'est révélé être un virus, ou autre chose, la seule chose dont je suis certain, ce que cela ne fait pas du bien à mon pc ). Depuis ce temps là dès que j'allume mon pc, celui-ci est très lent, mais fonctionne, au bout de 5 minutes par contre, je ne peux pas ouvrir aucuns fichiers ( renommé ou déplacé d'après le message d'erreur, et mon pc fait également un bruit d'erreur ). J'ai donc regardé le gestionnaire de taches et il y a environ 1000 processus activé simultanément dont environ 99% de "notepad.exe". Mon pc charge constamment, et un bouton clignote ( je ne saurai dire à quoi il correspond. ) Merci d'avance pour votre aide, j'essayerai de répondre à toutes les questions nécessaires, même si, pour être honnête, mes connaissances en informatique sont assez limitées. En vous remerciant, Zeedor :)" Une personne m'a répondu en me conseillant de télécharger RogueKiller et de lui envoyer mon rapport, cela fait, cette personne ne m'a plus recontacté, je vous envois donc mon rapport : Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : GIGI [Droits d'admin] Mode : Recherche -- Date : 03/04/2014 18:01:41 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\RunOnce : sidebar (C:\Users\GIGI\AppData\Roaming\Sample.lnk [-]) -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-670607724-1166477291-2928126733-1000\[...]\RunOnce : sidebar (C:\Users\GIGI\AppData\Roaming\Sample.lnk [-]) -> TROUVÉ [HJ SMENU][PUM] HKCU\[...]\Advanced : Start_TrackProgs (0) -> TROUVÉ [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Tâches planifiées : 1 ¤¤¤ [V2][ROGUE ST] 4469 : wscript.exe - C:\Users\GIGI\AppData\Local\Temp\launchie.vbs //B -> TROUVÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Addons navigateur : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Inline] EAT @explorer.exe (NtCreateProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E450) [Inline] EAT @explorer.exe (NtCreateProcessEx) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E380) [Inline] EAT @explorer.exe (NtCreateUserProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E3E0) [Inline] EAT @explorer.exe (ZwCreateProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E450) [Inline] EAT @explorer.exe (ZwCreateProcessEx) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E380) [Inline] EAT @explorer.exe (ZwCreateUserProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E3E0) [Inline] EAT @firefox.exe (LdrLoadDll) : ntdll.dll -> HOOKED (C:\Program Files\Mozilla Firefox\mozglue.dll @ 0x73D81FFD) [Inline] EAT @firefox.exe (NtCreateProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E450) [Inline] EAT @firefox.exe (NtCreateProcessEx) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E380) [Inline] EAT @firefox.exe (NtCreateUserProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E3E0) [Inline] EAT @firefox.exe (ZwCreateProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E450) [Inline] EAT @firefox.exe (ZwCreateProcessEx) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E380) [Inline] EAT @firefox.exe (ZwCreateUserProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E3E0) [Inline] EAT @firefox.exe (TerminateThread) : KERNELBASE.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F1C9C) [Inline] EAT @firefox.exe (CloseServiceHandle) : sechost.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F2110) [Inline] EAT @firefox.exe (ControlService) : sechost.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F1FC2) [Inline] EAT @firefox.exe (OpenServiceA) : sechost.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F1F94) [Inline] EAT @firefox.exe (OpenServiceW) : sechost.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F1FAB) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) ATA WDC WD5000BEVT-2 SCSI Disk Device +++++ --- User --- [MBR] df8d6295de8b3b780c5f3245c141b6f0 [BSP] 73096835e4f5113f7ebb2c20aa3d4013 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 259811 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 560769024 | Size: 203125 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_03042014_180141.txt >> Pouvez vous m'éclairer ? Je vous remercie :)

lilidurhone · Answer

Coucou :)

* Quitte tous tes programmes en cours

* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur

* Sinon lance simplement RogueKiller.exe

* Patiente pendant le pre-scan, clique sur Scan

* Vérifie que tous les éléments sont cochés puis clique sur Suppression

* Poste le rapport RKreport.txt présent sur le bureau.

Zeedor · Answer

¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 5 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\RunOnce : sidebar (C:\Users\GIGI\AppData\Roaming\Sample.lnk [-]) -> SUPPRIMÉ [RUN][SUSP PATH] HKUS\S-1-5-21-670607724-1166477291-2928126733-1000\[...]\RunOnce : sidebar (C:\Users\GIGI\AppData\Roaming\Sample.lnk [-]) -> [0x2] Le fichier spécifié est introuvable. [HJ SMENU][PUM] HKCU\[...]\Advanced : Start_TrackProgs (0) -> REMPLACÉ (1) [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Tâches planifiées : 1 ¤¤¤ [V2][ROGUE ST] 4469 : wscript.exe - C:\Users\GIGI\AppData\Local\Temp\launchie.vbs //B -> SUPPRIMÉ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Addons navigateur : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ [Inline] EAT @explorer.exe (NtCreateProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E450) [Inline] EAT @explorer.exe (NtCreateProcessEx) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E380) [Inline] EAT @explorer.exe (NtCreateUserProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E3E0) [Inline] EAT @explorer.exe (ZwCreateProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E450) [Inline] EAT @explorer.exe (ZwCreateProcessEx) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E380) [Inline] EAT @explorer.exe (ZwCreateUserProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E3E0) [Inline] EAT @firefox.exe (LdrLoadDll) : ntdll.dll -> HOOKED (C:\Program Files\Mozilla Firefox\mozglue.dll @ 0x73D81FFD) [Inline] EAT @firefox.exe (NtCreateProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E450) [Inline] EAT @firefox.exe (NtCreateProcessEx) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E380) [Inline] EAT @firefox.exe (NtCreateUserProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E3E0) [Inline] EAT @firefox.exe (ZwCreateProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E450) [Inline] EAT @firefox.exe (ZwCreateProcessEx) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E380) [Inline] EAT @firefox.exe (ZwCreateUserProcess) : ntdll.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x6931E3E0) [Inline] EAT @firefox.exe (TerminateThread) : KERNELBASE.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F1C9C) [Inline] EAT @firefox.exe (CloseServiceHandle) : sechost.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F2110) [Inline] EAT @firefox.exe (ControlService) : sechost.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F1FC2) [Inline] EAT @firefox.exe (OpenServiceA) : sechost.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F1F94) [Inline] EAT @firefox.exe (OpenServiceW) : sechost.dll -> HOOKED (c:\program files\sfr\pack sécurité\apps\computersecurity\hips\fshook32.dll @ 0x692F1FAB) ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) ATA WDC WD5000BEVT-2 SCSI Disk Device +++++ --- User --- [MBR] df8d6295de8b3b780c5f3245c141b6f0 [BSP] 73096835e4f5113f7ebb2c20aa3d4013 : Windows 7/8 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14000 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 28674048 | Size: 259811 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 560769024 | Size: 203125 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_D_03042014_193913.txt >> RKreport[0]_S_03042014_180141.txt

lilidurhone · Answer

* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ou https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

* Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

* Surtout, n'oublie pas d'installer son icône sur le bureau l'icône est en forme de parchemin 
https://www.cjoint.com/13sp/CIvuQfap3YY_zhpdiag.png

* A l'ouverture du logiciel il te sera proposé deux options "rechercher" et "configurer"

* Cliques sur configurer 

* Tournevis puis tous 

* Clique sur l'icône représentant une loupe + (« Lancer le diagnostic »)

* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

* Pour héberger le rapport, rends toi sur cjoint.com
* Clique sur choisissez un fichier va chercher le rapport dans ton PC.

* Le rapport est hébergé:
- Pour XP : C:\Documents and Settings\username\Local Settings\Application Data\ZHP
- Depuis Vista : C:\Users\username\AppData\Roaming\ZHP 

* Une fois le rapport trouvé, sélectionne le, et clique sur Ouvrir

* Choisis le type de diffusion(je te conseille privée 4 jours il sera détruit)

* Puis cliques sur créer le lien cjoint

* Une fois que tu auras obtenu le lien copies colle dans ta prochaine réponse

* Pour t'aider  https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

Virus, notepad.exe

3 réponses

Discussions similaires

Newsletters