PC Infecté par le virus SURABAYA avant l'ouverture de windows ! [Résolu/Fermé]

Signaler
Messages postés
22
Date d'inscription
mardi 12 mai 2015
Statut
Membre
Dernière intervention
16 mai 2015
-
 Utilisateur anonyme -
Bonjour à toutes et à tous,

Je fais appel ici à vos lumières pour m'aider à me dépatouiller de mon PC qui est infecté par le virus SURABAYA.
PC DELL 8400 Dimension, avec un Pentium4 et Windows XP Home Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation.

sans le savoir, j'ai utilisé une clef USB infectée. Depuis lorsque j'allume mon PC avec d'accéder à l'ouverture de Windows (l'écran bleu "Bonjour") une fenêtre s'ouvre avec un message écrit dedans: "Surabaya in my birthday, don't kill me..."

J'ai lu ici quelque topic pour me rendre compte de quoi il s'agissait.

J'ai particulièrement lu ici, celui de: [résolu]
"jerelo - 19 juil. 2013 à 12:40 - Dernière réponse le 10 déc. 2013 à 16:25 Ellen "
https://forums.commentcamarche.net/forum/affich-28289042-pc-infecte-du-virus-surabaya

J'ai suivi et appliqué dans le même ordre, le même processus:
Adwcleaner (j'ai le rapport rapport) puis,
Malwarebyte (j'ai le rapport également)
puis j'ai fait un scan d'OTL
(Sur OTL, sous "personnalisation", j'ai copier-coller le même script que vous aviez mis dans le topic de "jerelo")

Puis pour terminer,
un dernier scan de Malwarebyte, comme indiqué dans le processus que j'ai suivi. Ce dernier scan indiquait, aucunes infections détectées.

Seulement voila, au dernier redémarrage, avant l'ouverture de Windows la même fenêtre s'ouvrait à nouveau, avec le même message: "Surabaya in my birthday, don't kill me..."

Cela n'a pas marché, j'ai toujours apparemment ce virus Surabaya dans mon PC et je ne sais pas comment m'en débarrasser.
Si quelqu'un peut m'aider ici svp, à résoudre ce problème pour supprimer ce virus de mon PC, je vous remercie par avance.

44 réponses


bonjour,

* Télécharge et enregistre ZHPDiag sur ton bureau :

https://nicolascoolman.eu

ou :

https://www.commentcamarche.net/download/telecharger-34066799-zhpdiag
  • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.


/!\Utilisateur de Vista, Seven et W8 :
  • Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »


=> L'icône est sous forme de parchemin.
  • Clique sur « complet »
  • Laisse travailler l'outil, même s'il semble bloqué !


* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
  • Héberge le rapport ZHPDiag.txt sur :

https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum



tuto zhpdiag :

https://nicolascoolman.eu

Note : Zhpdiag est détecté à tors par certains antivirus et SmartScreen de Windows, désactive les pour passer l'outil s'il y a une détection !


Messages postés
22
Date d'inscription
mardi 12 mai 2015
Statut
Membre
Dernière intervention
16 mai 2015

Merci à toi pour cette réponse rapide.
J'ai fait ce que tu m'as demandé voila le rapport de ZHPDiag:
https://www.cjoint.com/c/EEmsTA2nRUf
https://www.cjoint.com/c/EEmsUwos5Pr
https://www.cjoint.com/c/EEmsU499epW
http://cjoint.com/?EEmsVKfIDdB
voilà

je vois que tu as déjà passé pas mal d'outils sur ce pc !!!!



► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :

► ferme les fenêtres de tous les programmes en cours.

► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.


- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



Messages postés
22
Date d'inscription
mardi 12 mai 2015
Statut
Membre
Dernière intervention
16 mai 2015

Désolé c'était un peu long.
j'ai installé combofix, je l'ai lancé à 2 reprises,
il s'est exécuté sans problème,
il s'est connecté à internet pour faire des mises à jour puis il a entamé sa recherche jusqu'à:
l'Etape 50-terminée
puis ensuite
écran-noir,
puis plantage,
écran-bleu, "Bad-Pool-Header"
et
redémarrage de l'ordi.
surabaya toujours présent,
mais pas de rapport de combofix!

j'ai une deuxième fois exécuté combofix mais il a replanté à nouveau à l'etape 50: écran-bleu "Bad-Pool-Header"
et sans rapport non plus..Que faire?

ok, si tu vois que le pc plante, lance une restauration système,


si le pc est stable, laisse tel qu'il est !

puis dis moi aussi sur quel navigateur vois tu Surabaya !!!



Bonjour, merci pour tes réponses.

Le pc est stable, il a planté écran-bleu, seulement lorsque combofix opérait et seulement à l'étape 50 du processus combofix.
Ce qui ne m'a pas permis d'avoir de rapport de combofix puisque redemarrage aprés et sans le rapport de combofix à suivre..

Sinon le PC s'allume correctement et reste stable une fois allumé.

Surabaya je ne saurais pas te dire sur quel navigateur je le vois. Pour info je navigue sur le net avec Mozilla-Firefox.

Ce que je sais c'est que la fenêtre:""Surabaya in my birthday, don't kill me..." est toujours présente à l'allumage ou redémarrage du PC, juste avant l'ouverture de la fenêtre bleue "Bonjour" du lancement de Windows.

ok, on va voir ou il se cache !



Télécharge et enregistre Zhpcleaner sur ton bureau :

https://nicolascoolman.eu

[*] Fais un clique droit dessus, lance le en tant qu'administrateur !
[*] Accepte le contrat de licence d'utilisation finale (CLUF),
[*] Clique sur "Nettoyer"
[*] Clique sur rapport (normalement le rapport s'affiche)
[*] Enregistre le rapport sur ton bureau
[*] Héberge son rapport de modification qui se trouve sur le Bureau :

https://www.cjoint.com/ à lire => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum </gras>


Note :
- Cet outil ne nécessite pas d'installation !
- Le rapport se trouve également dans ce répertoire "%AppData%".



Bonsoir, il est un peu tard, j'ai bossé tard.
j'ai téléchargé ZHpcleaner voici les liens du rapport:
http://cjoint.com/?EEoacTbXPnG
http://cjoint.com/?EEoagkGSfHU

ok,

? Télécharger et enregistre ADWcleaner sur ton bureau (de Xplode) ici :

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

ou ici

http://www.bleepingcomputer.com/download/adwcleaner/dl/125/

Note : si tu as déjà une version d'ADWC sur ton pc, pour avoir la dernière version de l'outil, il faudrait désinstaller celle-ci et le rétélécharger.

Lance le
Accepte le contrat de licence d'utilisation
clique sur scanner
Patiente jusqu'à la fin,
Une fois le scan terminé, clique sur le rapport
Copie et colle la totalité du rapport sur ton prochain message

Messages postés
22
Date d'inscription
mardi 12 mai 2015
Statut
Membre
Dernière intervention
16 mai 2015

Bonjour , ok je vais executer Adwcleaner et je te poste le rapport ici.

Pour info,
depuis que j'ai utilisé Combofix, l'autre soir,
dans poste de travail sur mon disque dur local (C:),
je ne trouve plus: "programme file"?
(je voulais voir si dans "programme file " je trouverais Adwcleaner pour le désinstaller et le retélécharger comme demandé)

Ce que je trouve dans disque local (C:)
une icone Combofix (logo de l'icone/une tour et ecran d'ordi) et un dossier intitulé Qoobox.
(il n'y été pas avant, je me demande pourquoi ce sont-ils fourrés à cet endroit?)
A ce meme endroit, je clique sur l'icone Combofix, je retrouve les mêmes infos et icones que dans poste de travail" (la même page que dans poste de travail, ? Cad, disque local (c:) disque (d:) disquette 3 demi (A) etc ..
est-ce normal ou pas?

bon je le lance Adwcleaner à suivre...
voici le rapport d'Adwcleaner, j'ai l'impression qu'il est vide:

# AdwCleaner v4.204 - Logfile created 14/05/2015 at 13:55:00
# Updated 12/05/2015 by Xplode
# Database : 2015-05-12.2 [Local]
# Operating system : Microsoft Windows XP Service Pack 3 (x86)
# Username : Push - PUSH
# Running from : C:\Documents and Settings\Push\Bureau\adwcleaner_4.204.exe
# Option : Cleaning
          • [ Services ] *****
          • [ Files / Folders ] *****
          • [ Scheduled tasks ] *****
          • [ Shortcuts ] *****
          • [ Registry ] *****
          • [ Web browsers ] *****


-\\ Internet Explorer v8.0.6001.18702


-\\ Mozilla Firefox v37.0.2 (x86 fr)


AdwCleaner[R3].txt - [762 bytes] - [14/05/2015 13:44:39]
AdwCleaner[S1].txt - [688 bytes] - [14/05/2015 13:55:00]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [746 bytes] ##########

je confirme, il est vide!
redémarre le pc pour voir si tu vois encore Surabaya !

si oui et si c'est au moment du démarrage, on verra dans Msconfig !




Messages postés
22
Date d'inscription
mardi 12 mai 2015
Statut
Membre
Dernière intervention
16 mai 2015

j'ai redemarré le PC et il est toujours présent au demarrage de windows, juste avant la fenêtre bleue "Bonjour", il s'affiche

ok, passe ceci, si pas de résultat, on le trouvera d'une manière à une autre !

à lire avant de lancer l'installation de MBAM :

Attention, à l'installation décoche la case « activer l'essai gratuit de Malawarybyte anti malware »

ceci correspond à une version d'essai qui ne dure que 15 jours en fonctionnant comme un antivirus, donc risque de conflit avec ton antivirus existant sur le pc !




Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

ou :

https://fr.malwarebytes.com/mwb-download/
ou :

https://fr.malwarebytes.com/mwb-download/?gclid=CPqbs6_Trb0CFcfKtAodJFoANw

ou ici :
https://www.commentcamarche.net/download/telecharger-34055379-malwarebytes-anti-malware

. Si tu l'as déjà sur ton pc, il est inutile de le retélécharger !



/!\Utilisateur de Vista, Windows 7 et W8 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet paramètres, choisis la langue souhaitée

. Dans l'onglet « tableau de bord, vérifie bien que ta version soit à jour

. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminée

Dans l'onglet "examen", coche la case "Examen personnalisé" et sélectionne ton disque sur le quel est installé Windows, puis examiner maintenant,

Sélectionne "recherche de rootkit", puis la partition ou le disque sur le quel est installé Windows (C: par exemple)

puis sur "lancer l'examen"

. Le scan démarre.

il va durer un certain temps, donc laisse le faire.
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen terminé avec succès.

Normalement, les infections trouvées sont déplacées automatiquement dans la quarantaine.

Clique sur voir le journal détaillé,
Puis exporter, enregistre son rapport en format .txt sur ton bureau,

Héberge-le sur Cjoint et copie et colle son lien sur ton prochain message.


Messages postés
22
Date d'inscription
mardi 12 mai 2015
Statut
Membre
Dernière intervention
16 mai 2015

voila j'ai fait un scan malwarebyte voici le rapport

https://www.cjoint.com/c/EEouKDiz98T
Messages postés
22
Date d'inscription
mardi 12 mai 2015
Statut
Membre
Dernière intervention
16 mai 2015

au redemarrage de windows, la fenetre "Surabaya in my birthday, don't kill me..." apparait encore

Télécharge SEAF.exe (de C_XX) sur ton bureau.

https://www.security-helpzone.com/download/global/SEAF.exe


? Double clique sur SEAF.exe (Exécuter en tant qu'administrateur pour Vista) .

? Coche les cases:
- Chercher également dans le registre
- Informations supplémentaires


? Tape exactement ce texte dans cette fenêtre puis valide par [Entrée] :

Surabaya


? Patiente pendant la recherche, et ne touche a rien ...

? Une fenêtre avec un log .txt va s'afficher.

? Copie/colle ce rapport dans ta prochaine réponse.

Messages postés
22
Date d'inscription
mardi 12 mai 2015
Statut
Membre
Dernière intervention
16 mai 2015

ERREUR 403 FORBIDEN ! lorsque je clique sur le lien security helpzone SEAF.exe
Messages postés
22
Date d'inscription
mardi 12 mai 2015
Statut
Membre
Dernière intervention
16 mai 2015

VOICI LE RAPPORT SEAF.EXE? il l'a trouvé !
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 21:26:16 le 14/05/2015
4.
5. Valeur(s) recherchée(s):
6. Surabaya
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Informations supplémentaires
11. (!) --- Recherche registre
12.
13. ====== Fichier(s) ======
14.
15. Aucun fichier trouvé
16.
17.
18. ====== Entrée(s) du registre ======
19.
20.
21. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
22. "LegalNoticeCaption"="81u3f4nt45y - 24.01.2007 - Surabaya" (REG_SZ)
23.
24. [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
25. "LegalNoticeText"="Surabaya in my birthday
26. Don't kill me, i'm just send message from your computer
27. Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
28. Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
29. Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal
30. Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0" (REG_SZ)
31.
32. =========================
33.
34. Fin à: 21:33:30 le 14/05/2015
35. 288361 Éléments analysés
36.
37. =========================
38. E.O.F

d'après ce que je vois, tu traine ce truc depuis pas mal de temps, donc ça ne date pas de peu !

bref, on peut le virer de 2 manières :

mode automatique (si le truc est détecté) avec roguekiller,

* [*] Télécharger et enregistre RogueKiller (by tigzy) sur le bureau
Pour la version 32 bit, ici ?
https://www.adlice.com/fr/?smd_process_download=1&download_id=2180

Pour la version 64 bit, ici ?
https://www.adlice.com/fr/?smd_process_download=1&download_id=2181


[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Utilisateur de W7 et W8, clique droit sur l'outil, puis le lancer en tant qu'administrateur.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan.
Attends la fin de scan
Clique sur le bouton rapport et copie et colle la totalité de son contenu sur ton prochain message

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

Son site officiel :
https://www.adlice.com/fr/download/roguekiller/


Note 1 :

dans l'onglet registre, tu doit retrouver les clés, si l'outil les détecte, si c'est le cas, sélectionne les et lance la suppression !

normalement, tu ne devrais plus avoir le truc au démarrage !


si après le redémarrage, le truc est toujours là :

Suppression en mode manuelle :

vas dans le menu démarrer, puis exécuter,

dans la barre, tape regedit!

ouvre les branches en suivant ce chemin :

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]


tu trouveras 2 sous clé avec ces noms :

"LegalNoticeCaption"

"LegalNoticeText"="


ouvre les une par une en faisant un clique droit dessus, puis modifier ou modifier la valeur actuelles :

="81u3f4nt45y - 24.01.2007 - Surabaya" (REG_SZ)

et

Surabaya in my birthday
Don't kill me, i'm just send message from your computer
Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti
Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku
Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal
Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0" (REG_SZ)



efface leur contenu, si tu vois que tu n'y arrives pas, modifie tout simplement la valeur en les remplaçant par un trait du 6 : "-"

ferme le tout et redémarre le pc pour voir !


tiens moi au courant pour voir la quelle des deux va fonctionner !