Infection Cidox.B

Résolu
Ben10101977 Messages postés 25 Statut Membre -  
Fish66 Messages postés 18337 Statut Contributeur sécurité -
Bonjour,
Je viens d'être infecté par le virus Cidox.B. Il semble avoir été supprimé grâce à TDSSkiller. Seulement, j'ai refait un scan Avira après et il me trouve 5 nouvelles menaces. Aussi je sollicite votre aide pour réaliser un diagnostique de mon PC afin d'être sûr que plus aucun logiciel malveillant ou virus n'est présent.
Merci d'avance.

22 réponses

  • 1
  • 2
  1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Salut,
    Est ce que tu peux poster les rapports de TDSSKiller et Avira ?
    0
  2. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    1/
    - Télécharge SFTGC.exe : http://www.archive-host.com
    - Enregistre le fichier sur le bureau.
    - Ouvre SFTGC.exe et patiente durant l'initialisation du logiciel.
    - Pour lancer le nettoyage, il suffit de cliquer sur Go.
    - À la fin du nettoyage, un rapport (présent sur le bureau) va s'ouvrir. Pour le poster, héberge-le sur : malekal.com ou ci-joint.com
    ------------------
    en cas de problème de téléchargement, désactivez temporairement ton antivirus ou utilisez le navigateur Internet explorer

    2/
    Redémarre ton PC puis relance Avira et poste le nouveau rapport stp

    @+
    0
  3. Ben10101977 Messages postés 25 Statut Membre
     
    Je ne peux pas télécharger SFTGC.exe car il semble contenir un logiciel malveillant ou virus.
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Ben10101977 Messages postés 25 Statut Membre
     
    Le fichier est-il sûr ? Je peux désactiver mon antivirus le temps du téléchargement ?
    0
    1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
       
      Oui, tu peux c'est un fichier sure et testé! :-)
      0
  6. Ben10101977 Messages postés 25 Statut Membre
     
    Ok, j'y vais.
    0
  7. Ben10101977 Messages postés 25 Statut Membre
     
    J'ai stoppé l'antivirus et le pare-feu, mais je n'arrive toujours pas à le télécharger.
    Je fais quoi ?
    0
    1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
       
      Essais avec le navigateur : Internet explorer...
      0
  8. Ben10101977 Messages postés 25 Statut Membre
     
    Super, ça marche.
    0
  9. Ben10101977 Messages postés 25 Statut Membre
     
    Au démarrage, le PC me met un message d'erreur :

    RegSvr32
    Pour inscrire un module, vous devez indiquer un nom binaire.
    Utilisation: regsvr32 /s/n/i
    Nom_de_DLL
    /u - Désinscrit le serveur
    /s - Mode silencieux (n'affiche aucun message)
    /i - Appelle DllInstall et transmet une [commande] facultative. Utilisé avec
    /u, appelle dll uninstall
    /n - Ne pas appeler DllRegisterServer. Utiliser cette option avec /i
    0
  10. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonsoir,
    1/
    Au démarrage, le PC me met un message d'erreur : 

    RegSvr32
    Pour inscrire un module, vous devez indiquer un nom binaire.

    ----------
    Pour résoudre ce problème :
    Tu vas désactiver le lancement automatique de certains programmes en utilisant MsConfig :
    Clique sur Démarrer/exécuter puis tape Msconfig, clique sur l'onglet démarrage et enfin tu décoches les processus non vitaux (tu ne touches pas celui de ton antivirus et pare-feu)
    Aide : comment desactiver-l-execution-de-certains-programmes-au-demarrage

    2/
    Il manque le rapport Avira

    Bonne soirée
    0
  11. Ben10101977 Messages postés 25 Statut Membre
     
    Comment je sais quels sont les processus non vitaux ?
    0
  12. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    1/
     Comment je sais quels sont les processus non vitaux ?

    Pour t'aider tu peux me faire une capture d'écran des processus qui se lancent au démarrage

    2/

    [*] Télécharge :Farbar Recovery Scan Tool (FRST) à partir
    ce lien : https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/
    [*] Enregistre le sur votre bureau ( Vous devez exécuter la version compatible avec votre système 32 bits ou 64 bits)
    ==> Comment savoir quelle version 32 bits ou 64 bits est exécutée sur mon système ?
    [*] Lance FRST, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
    [*] Sur le menu principal, vérifie que la case "Additio<n.txt" soit cochée puis clique sur "Scan" et patiente le temps de l'analyse

    [*] Une fois le scan terminé rends toi sur le bureau, deux rapports FRST.txt et Addition.txt ont été créés.
    [*] Héberge les rapports FRST.txt et Addition.txt présent sur ton bureau sur : malekal.com
    [*] Fais copier/coller les liens fournis dans ta prochaine réponse.

    ==> Aide: <<<ICI>>>
    0
  13. Ben10101977 Messages postés 25 Statut Membre
     
    J'ai réussi à faire les captures. Elles sont au format PNG, mais quand j'essaie de les insérer dans le message, c'est une série de caractère qui s'affiche, pas l'image.
    0
  14. Ben10101977 Messages postés 25 Statut Membre
     
    J'essaie quand même.



    0
  15. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Bonjour,
    1/
    A partir de MsConfig, tu peux désactiver :
    Blue tooth, Steam client, Daemon..., RGSC, Software..., ATKO SD2,
    ATK Media et ATK hotkey

    2/
    Tu as Malwarebytes et Avira, c'est préférable de désactiver windows defender!

    3/
    Voici la correction à effectuer avec FRST.
    [*] Appuies simultanément sur les touches Windows et R
    [*] Une fenêtre va s'ouvrir, tape ceci : notepad
    [*] Clic sur OK (Le bloc note va s'ouvrir)

    [*] Coller le script en gras ci-dessous dans votre bloc-notes

    start
    CloseProcesses:
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [0WinSecurityProvider] -> {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} => No File
    S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X]
    S3 btath_avdt; system32\drivers\btath_avdt.sys [X]
    S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X]
    S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X]
    S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X]
    S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X]
    S3 BtFilter; system32\DRIVERS\btfilter.sys [X]

    EmptyTemp:
    end


    [*] Une fois, le texte coller dans le bloc-note.
    [*] Cliquez sur "Fichier" puis dans le menu déroulant sur "Enregistrer sous"
    [*] A cette fenêtre cliquez sur "Bureau"
    [*] Dans la zone de "Nom de fichier" tapez : fixlist puis validez en cliquant sur Enregistrer
    [*] Sur votre bureau vous avec le fichier texte (fixlist.txt & FRST.exe)

    [*] Lancez FRST, "exécuter en tant qu'administrateur" sous Windows Vista, Windows Seven et Windows 8/8.1
    [*] Cliquez sur "Fix"

    [*] Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
    [*] Redémarre l'ordinateur.

    [*] ===> Aide : <<<ICI>>>


    Bonne journée
    0
  16. Ben10101977
     
    Merci beaucoup. Je vais essayer tout ça.
    0
    1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
       
      D'accord!..
      0
  17. Ben10101977
     
    Voilà, tout est fait. Voici le fichier obtenu :

    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 22-04-2015 01
    Ran by Asus at 2015-04-24 22:48:47 Run:1
    Running from C:\Users\Asus\Desktop
    Loaded Profiles: Asus & UpdatusUser & (Available profiles: Asus & UpdatusUser)
    Boot Mode: Normal
    ==============================================

    Content of fixlist:
    start
    CloseProcesses:
    CreateRestorePoint:
    ShellIconOverlayIdentifiers: [0WinSecurityProvider] -> {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} => No File
    S3 BTATH_A2DP; system32\drivers\btath_a2dp.sys [X]
    S3 btath_avdt; system32\drivers\btath_avdt.sys [X]
    S3 BTATH_BUS; system32\DRIVERS\btath_bus.sys [X]
    S3 BTATH_HCRP; system32\DRIVERS\btath_hcrp.sys [X]
    S3 BTATH_LWFLT; system32\DRIVERS\btath_lwflt.sys [X]
    S3 BTATH_RCP; system32\DRIVERS\btath_rcp.sys [X]
    S3 BtFilter; system32\DRIVERS\btfilter.sys [X]

    EmptyTemp:
    end

    Processes closed successfully.
    Restore point was successfully created.
    "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0WinSecurityProvider" => Key deleted successfully.
    HKCR\CLSID\{F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} => Key not found.
    BTATH_A2DP => Service deleted successfully.
    btath_avdt => Service deleted successfully.
    BTATH_BUS => Service deleted successfully.
    BTATH_HCRP => Service deleted successfully.
    BTATH_LWFLT => Service deleted successfully.
    BTATH_RCP => Service deleted successfully.
    BtFilter => Service deleted successfully.
    EmptyTemp: => Removed 25.2 GB temporary data.

    The system needed a reboot.

    End of Fixlog 22:51:07

    0
  • 1
  • 2