catastrophe-méchant virus

Question

Bonjour,

Je viens de chopper un méchant virus,j'ai le pg antivirus bidon windows av je sait pas trop quoi qui me fait des alertes dans tout les sens,mes programmes dans le menu démarrer ont disparut,je n'est plus que le bouton pour eteindre mon pc.Des programmes se sont installé sur mon bureau et m'ont effacé certains de mes raccourci.sur le poste de travail mon disque dur a disparu.

Mechant ce virus,il a pas fait les choses a moitier.
 
En mode sans echec j'ai les memes problemes.

J'ai quand meme réussi a acceder a mon disque dur par un autre windows et j'ai effacé les programmes qui n'avaient rien a faire ici,mais ca n'a pas changé grand chose.ca a juste calmé un peu les alertes et je peut naviguer a peut pres

Si possible j'aimerais pouvoir sauver le coup car j'ai toute ma config mes mots de passe et tout le tralala que je voudrais pas perdre.

Un coup de main please

mandrke · Answer

le rapport higjsi ca peut vous aider

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:20: VIRUS ALERT!, on 08/10/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
C:\Windows\system32\YUR2.exe
C:\Windows\system32\YUR1.exe
C:\Windows\system32\YUR3.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Windows Live\Messenger\msnmsgr.exe
D:\Program Files\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\rundll32.exe
D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\WINDOWS\explorer.exe
D:\Program Files\Fichiers communs\ACD Systems\IDBSvr.exe
D:\Documents and Settings\admin\Mes documents\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;PhantomEZForm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: olnmraew - {306B1FE0-FE45-4A42-B2DE-C8229CA12CCC} - D:\WINDOWS\olnmraew.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [\YURFC.exe] C:\Windows\system32\YURFC.exe
O4 - HKLM\..\Run: [\YURFD.exe] C:\Windows\system32\YURFD.exe
O4 - HKLM\..\Run: [\YURFE.exe] C:\Windows\system32\YURFE.exe
O4 - HKLM\..\Run: [\YURFF.exe] C:\Windows\system32\YURFF.exe
O4 - HKLM\..\Run: [ANTIVIRUS] D:\Program Files\MicroAV\MicroAV.exe
O4 - HKLM\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKLM\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKLM\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKLM\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe
O4 - HKLM\..\Run: [90f3ba68] rundll32.exe "D:\WINDOWS\system32\losnrxrn.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [\YURFC.exe] C:\Windows\system32\YURFC.exe
O4 - HKCU\..\Run: [\YURFD.exe] C:\Windows\system32\YURFD.exe
O4 - HKCU\..\Run: [\YURFE.exe] C:\Windows\system32\YURFE.exe
O4 - HKCU\..\Run: [\YURFF.exe] C:\Windows\system32\YURFF.exe
O4 - HKCU\..\Run: [ANTIVIRUS] D:\Program Files\MicroAV\MicroAV.exe
O4 - HKCU\..\Run: [\YUR2.exe] C:\Windows\system32\YUR2.exe
O4 - HKCU\..\Run: [\YUR1.exe] C:\Windows\system32\YUR1.exe
O4 - HKCU\..\Run: [\YUR3.exe] C:\Windows\system32\YUR3.exe
O4 - HKCU\..\Run: [\YUR4.exe] C:\Windows\system32\YUR4.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O20 - AppInit_DLLs: tgdgdk.dll
O21 - SSODL: lfstbwvd - {DD3FF4B4-2102-4102-B3C4-5898F53D5EEB} - D:\WINDOWS\lfstbwvd.dll
O21 - SSODL: qmafxprs - {2F711A1F-4EB7-4E42-A947-F419680FFC32} - D:\WINDOWS\qmafxprs.dll

Pedrotax · Answer

J'tavoue que mes connaissances en windows sont loin d'être exactes... cependant:
 - Déja, est ce que tu sais comment ta chper le virus ? es tu sur que c'est un virus et non pas quelq'un qui te pirate? (parceque le truc des programmes qui s'installent sur ton bureau c'est pas banal...) 
 - Tu pourrais peut être enregistrer tout tes mots de passe, etc... sur un autre ordinateur, (atttention, risque d'emmener le virus) et ensuite cleaner ton système avec ton CD d'installation, et remettre tout le bazard dessus.
- Si c'est quelqun qui te pirate, coupe toute les connexions (internet; blutooth, avec ta femme, TOUT!!!!!) pendant que tu fais des manip, sinon sa changera rien.
- Si c'est un virus, la solution back up, reinstall sera suffisante, je pense... 

Mes solutions, étant loin d'être exactes, tu devrait attendre la réponse de quelqu'un d'autre.

Cordialement.

mandrke · Answer

Salut

en fait je l'est choppé en cliquant sur un executable qui finalement était un sacré piège.Et la ca m'a tout fracassé rien de temp.je croit bien vu la gravité du truc que je vais devoir formater,car je suis pas assez callé pour réparer ca.j'ai au moins 3 antivirus bidon qui me font des allertes toutes les 30 secondes,alertes sur la boite mail spam.etc

Utilisateur anonyme · Answer

Salut,


# Télécharge ceci: (merci a S!RI pour ce petit programme). 

http://siri.urz.free.fr/Fix/SmitfraudFix.exe 

Exécute le, Double click sur Smitfraudfix.exe choisit l’option 1, 
voila a quoi cela ressemble : http://siri.urz.free.fr/Fix/SmitfraudFix.php 
il va générer un rapport : copie/colle le sur le poste stp. 

Tuto:http://pagesperso-orange.fr/rginformatique/section%20virus/smitfraudfix.htm

raptor789 · Answer

firefox n'est pas à jour ! faille de sécurité, nous en sommes à la version 3.0.3

si tu as le temps et si tu peux, télécharge la dernière version : http://www.mozilla-europe.org/fr/firefox/

sinon bonne suite à vous !

mandrke · Answer

Salut

Il est long a s'executer normalementb car il reste sur recherche hosts,je sais pas si c'est normal mais ca a pas l'air d'avancer

raptor789 · Answer

bon déjà fais ce que te dis chiquitine29, télécharge smitfraudfix, installe le, ouvre le (en mode normal), choisi l'option 1 et poste le rapport sur ta prochaine réponse, ensuite tu attendras la suite.

après on verra.

fais nous confiance, ton ordinateur ira beaucoup mieux ensuite (c'est le but de notre travail ici)

mandrke · Answer

c'est pas a toi que je m'adressais,firefox c'est le dernier de mes soucis,je suis en train de parler justement de son programme qui reste bloqué sur recherche hosts et n'avance pas,ca fait deja plus de 20 minutes

raptor789 · Answer

-.-" oulala ne sois pas si agressif, je veux juste t'aider, je te laisse si tu veux avec chiquitine29 ohlala...

(nan mais vraiment!)

mandrke · Answer

Bon ben c'est clair ca marche pas.

je lance sur 1 comme demandé il marque:

recherche process...
recherche hosts...

et il reste planté la

Utilisateur anonyme · Answer

# Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 
---------------------------------------------------------------------------- 
# Relance le programme Smitfraud : 
Cette fois choisit l’option 2, répond oui a tous ; 
Sauvegarde le rapport, Redémarre en mode normal, copie/colle le rapport sauvegardé sur le forum

Utilisateur anonyme · Answer

Télécharge cet outil de SiRi: 

http://siri.urz.free.fr/Softs/RHosts.exe
http://siri.urz.free.fr/RHosts.php 

Double cliquer dessus pour l'exécuter 

et cliquer sur " Restore original Hosts " 

ps : c est normal que rien ne se passe 


ensuite ,


Telecharge malwarebytes 

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 
Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log

Utilisateur anonyme · Answer

refais un scan hijackthis
et psot el arpport stp

Utilisateur anonyme · Answer

POURQUOI pas d antivirus ???


Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe 




-> Double clique sur combofix.exe. 
-> Tape sur la touche 1 (Yes) pour démarrer le scan. 
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt 

Avant d'utiliser ComboFix : 

-> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours. 

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil. 

Une fois fait, sur ton bureau double-clic sur Combofix.exe. 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 

- En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

mandrke · Answer

ben si j'en ai un et justement je comprend pas il n'a pas redémarré depuis le crash.
C'est AV antivir pe classic

Utilisateur anonyme · Answer

ok passe a la suite

Utilisateur anonyme · Answer

Télécharge ToolsCleaner sur ton bureau. 
--> 
http://pc-system.fr/ 
http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner

# Clique sur Recherche et laisse le scan agir ... 
# Clique sur Suppression pour finaliser. 
# Tu peux, si tu le souhaites, te servir des Options facultatives. 
# Clique sur Quitter pour obtenir le rapport. 
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

Utilisateur anonyme · Answer

Affiche tous les fichiers et dossiers : 
Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cacher 

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK 


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier :vD:\wubildr.mbr 



Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Utilisateur anonyme · Answer

Télécharge HijackThis (outils de dignostic) ici : 

->  Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau
->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
->  ftp://ftp.commentcamarche.com/download/HJTInstall.exe

-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation 

-> Clique sur Install ensuite sur I Accept 

-> Clique sur Do a scan system and save log file 

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

Utilisateur anonyme · Answer

Fix.reg 

Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) : 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] 
"AppInit_DLLs"="" 

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX 
Note :Windows Registry Editor Version 5.00  est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin. 
Puis click sur "fichier"/"enregistrer sous" : 
dans : sur le bureau 
Nom du fichier : fix.reg 
Type de fichier : "tous les fichiers" 
clique sur "enregistrer" 

ca doit ressembler a ca une fois enrregistré : 

http://img520.imageshack.us/img520/4251/screenshot005ps2.png 

double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?" 
Si c'est bien le cas, clique sur "oui" 

ensuite refais un scan hijackthis et post le rapport stp

Utilisateur anonyme · Answer

instal un antivirus d urgence ...


je te conseil antivir ....


->Antivir le telecharger

dis moi quoi

Utilisateur anonyme · Answer

VOUI réinstal stp ...

ET NEW HIJACKTHIS APRES STP

Utilisateur anonyme · Answer

COOL

t as des questions ? pour améliorer la secu de ton pc ?

Catastrophe-méchant virus

23 réponses

Votre réponse

Discussions similaires

Newsletters