De l'aide SVP ! Un virus hante mon PC...

Airborne_Canada -  
 kens59 -
Bonjour,

J'ai attrappé un sérieux virus... Et quand je dit "sérieux" c'est pas un petit mot... En effet, ce virus c'est un costaud !

Voici, le problème:

Premièrement, ce virus a complètement boussilé mon anti-virus (NOD 32)... Juste en cliquant sur l'icône servant à faire une analyse avec mon anti-virus, celui-ci se ferme aussitôt... Impossible d'ouvrir l'anti-virus qui se désactive tout seul au démarrage... J'ai désinstallé l'anti-virus dans l'intention de le réinstaller, et le comble, impossible de le réinstaller... Dès que je clique sur le "setup" ("install"), le programme d'installation se ferme immédiatement... Suite à celà, j'ai tenté d'installer d'autres anti-virus (AVG, Avast) dans l'espoir de détecter et détruire la saloperie qui hante mon PC (et aussi pour avoir un minimum de protection), mais rien à faire... Impossible d'installer AVG, ni encore Avast... En fait, je dirais qu'il n'est plus possible d'installer un anti-virus sur mon PC !

Deuxièmement, j'ai essayé de faire un "scan" avec "Hijack This" pour peut-être trouver le problème, et surprise: "Hijack This" ne fonctionne plus lui aussi ! Tout comme pour l'anti-virus, dès que je clique sur "Hijack This", le programme s'ouvre et se referme aussitôt... J'ai tenté de réinstaller "Hijack This" (j'ai une copie du logiciel sur un CD), mais ça ne fonctionne pas non plus... Même en tentant de renommer le fichier (exemple: HJT.exe) ça ne fonctionne pas... Il est maintenant impossible d'utiliser "Hijack This" sur mon PC...

Suite à celà, j'ai essayé de faire une recherche sur le net pour trouver la cause du problème... Toutefois, je ne peu en aucun cas taper dans la recherche (j'ai essayé avec Google, Yahoo, etc...) le nom d'un anti-virus (AVG, Avast, Nod 32, Norton, etc...), d'un "firewall" ou encore celui de "Hijack This" car la page de recherche se referme aussitôt si j'ai le malheur de taper le nom d'un de ces logiciels de sécurité (anti-virus, firewall, Hijack This)...

De plus, pour votre information, je tiens soligner que rencontre les mêmes problèmes en mode sans échec...

Par ailleurs, j'ai finalement réusi à installer un "anti-virus", soit la version gratuite "Windows Live One Care" et dont je doute de l'efficacité... D'ailleurs cet anti-virus (One Care) m'as détecté une saloperie qu'il n'est même pas capable de supprimer ni encore de la mettre en quarantaine. En fait, selon ce logiciel, il s'agit d'un trojan appelé: "VirTool:WinNT/Boaxxe.E" et le message que je reçois de "One Care" est: "Impossible de mettre en quarantaine"...

Finalement, j'ai essayé le logiciel "Malwarebytes", lequel me détecte 3 clés de régistre infectés qu'il n'est pas capable supprimer (même au "reboot") de la base de registre. D'ailleurs, moi-même je ne peu supprimer manuellement (par le biais de "regedit") ces 3 clés infectées, et ce même si j'ai tenté de modifier les autorisations relatives à ces 3 clés dans la base de registre (afin de pouvoir les supprimer)... Rien à faire, les 3 clés infectés détecté par "Malwarebytes" sont toujours présentes après plusieurs tentatives y incluant en "mode sans échec"... À titre d'information, le rapport de "Malwarebytes" concernants ces 3 clés est le suivante:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.

Bref, je ne sais absolument plus quoi faire et je solicite votre aide en espérant de tout coeur ne pas avoir à reformater le PC.

A+ et Merci à l'avance pour vos réponses.

Matthieu

*P.S.: J'ai également utilisé sans suscès les utilitaires de désinfection "Combo Fix", "SD Fix" et "ELIBAGLA"... Pour "Vundo Fix", impossible de l'utiliser puisque comme pour "Hijack This" il s'ouvre et se referme aussitôt...
Configuration: Windows XP - Édition Familiale / Service Pack 3
Internet Explorer 6.0

8 réponses

  1. Utilisateur anonyme
     
    Salut,

    télécharge [url=http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe hijackthis]
    -> enregistre la cible sous .... le bureau

    ->renommer hijackthis en faisant comme suit:Fais un clic droit sur hijackthis, choisis "renommer" marque : ABCD.exe

    -> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

    -> Clique sur Install ensuite sur I Accept

    -> Clique sur Do a scan system and save log file

    -> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

    Note : Avant tout emploi de logiciel, s’assurer que les protections de registres tel que le Tea Timer de spybot sont désactivées (notamment lors de l’emploi d’HijackThis)
    Spybot >mode avancé> outils > résident
    Décocher la case résident "tea timer"
    Refermer Spybot.
    0
    1. Airborne_Canada
       
      Bonjour goldorak59,

      J'ai suivi tes instructions à la lettre et même renommé en "ABCD.exe", dès que je clique sur "l'icone", la fenêtre d'installation du programme ("Hijack This") s'ouvre une fraction de seconde pour se refermer aussitôt...

      Merci à toi. ;-)


      -----------------------------------------------------------------------------------------------------------------------------------------------------
      goldorack59 à écrit:

      télécharge [url=http://www.trendsecure.com/portal/en-US/_download/HJTIn­stall.exe hijackthis]
      -> enregistre la cible sous .... le bureau

      ->renommer hijackthis en faisant comme suit:Fais un clic droit sur hijackthis, choisis "renommer" marque : ABCD.exe

      -> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation

      -> Clique sur Install ensuite sur I Accept

      -> Clique sur Do a scan system and save log file

      -> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse


      Note : Avant tout emploi de logiciel, s’assurer que les protections de registres tel que le Tea Timer de spybot sont désactivées (notamment lors de l’emploi d’HijackThis)
      Spybot >mode avancé> outils > résident
      Décocher la case résident "tea timer"
      Refermer Spybot.

      -----------------------------------------------------------------------------------------------------------------------------------------------------
      0
    2. kens59
       
      bonjour j ai acheté un pc d occase ila fonctionné quelques jours puis quand je l ai rallumé un message est apparu celui ci me disait d inserer cd boot je n ai ppas ce cd que puis je faire je vous remercie d avance
      0
  2. Airborne_Canada Messages postés 4 Statut Membre
     
    Bonjour MickyBytes,

    J'ai bien essayé, toutefois comme mentionné dans mon message d'origine où je dit qu'il m'est impossible de taper dans la recherche (sur "Google, Yahoo et compagnie...) le nom d'un logociel relatif à la sécurité, c'est exactement le même problème avec les URL de ces sites (Avast, McAfee, AVG, Symantec, etc) ... En effet, pour mon plus grand malheur, il m'est totalement impossible d'aller sur le site de McAfee afin d'y effectuer le scan en ligne tel que tu me le propose... Ainsi, dès que je clique sur l'URL que tu m'as donnée dans ton message, la page s'ouvre et se referme aussitôt... D'ailleurs, j'ai essayé de deux façons, soit en cliquant sur l'URL et en copiant la dite URL dans la barre d'adresse: Dans les deux cas, pas de changement... La page se referme automatiquement en une fraction de secondes...

    Un gros merci à toi pour ton aide !

    A+ ;-)

    Matthieu
    0
  3. Utilisateur anonyme
     
    Re,

    installe [- Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) :
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe smitfraudfix]

    #1) Recherche:

    * Double cliquer sur SmitfraudFix.exe

    * Sélectionner 1 et pressez Entrée dans le menu pour créer un rapport des fichiers responsables de l'infection. Le rapport se trouve à la racine du disque système

    C:\rapport.txt

    ==>et colle le rapport génèrer sur le forum.

    *=>ne pas faire l'option 2 sans un avis d'une personne compétente*<=
    0
    1. Airborne_Canada Messages postés 4 Statut Membre
       
      Re Goldorack59,

      DSL pour le délais de réponse, mais j'étais au boulot... La vie quoi...

      Bon, tel que suggéré dant ton dernier "post" j'ai téléchargé et installé "SmitfraudFix" et voici les résultats (le rapport):



      SmitFraudFix v2.368

      Rapport fait à 21:28:53,50, 2008-10-29
      Executé à partir de C:\Documents and Settings\PMC.MP\Bureau\SmitfraudFix
      OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
      Le type du système de fichiers est NTFS
      Fix executé en mode normal

      »»»»»»»»»»»»»»»»»»»»»»»» Process

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\SYSTEM32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Microsoft Windows OneCare Live\winssnotify.exe
      C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
      C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      C:\Program Files\Ray Adams\ATI Tray Tools\atitray.exe
      D:\Program Files\MétéoMédia\MétéoÉclair\WeatherEye.exe
      C:\Program Files\Microsoft Windows OneCare Live\OcHealthMon.exe
      C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
      C:\Program Files\Microsoft Windows OneCare Live\winss.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Documents and Settings\PMC.MP\Bureau\SmitfraudFix\Policies.exe
      C:\WINDOWS\system32\cmd.exe

      »»»»»»»»»»»»»»»»»»»»»»»» hosts


      »»»»»»»»»»»»»»»»»»»»»»»» C:\


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


      »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PMC.MP


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\PMC.MP\Application Data


      »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


      »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\PMC.MP\Favoris


      »»»»»»»»»»»»»»»»»»»»»»»» Bureau


      »»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


      »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


      »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



      »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      o4Patch
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      IEDFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» VACFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      VACFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      404Fix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri


      »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      AntiXPVSTFix
      Credits: Malware Analysis & Diagnostic
      Code: S!Ri



      »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      SrchSTS.exe by S!Ri
      Search SharedTaskScheduler's .dll


      »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



      »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
      !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
      "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
      "System"=""


      »»»»»»»»»»»»»»»»»»»»»»»» RK



      »»»»»»»»»»»»»»»»»»»»»»»» DNS

      Description: Carte Fast Ethernet compatible VIA - Miniport d'ordonnancement de paquets
      DNS Server Search Order: 192.168.1.1

      HKLM\SYSTEM\CCS\Services\Tcpip\..\{D789A78C-B619-4E7F-B007-751CFBA7AEC1}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\..\{D789A78C-B619-4E7F-B007-751CFBA7AEC1}: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
      HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


      »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


      »»»»»»»»»»»»»»»»»»»»»»»» Fin


      Sur ce, cordiales salutations et merci encore pour ton aide !

      A+

      Matthieu
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. MickyBytes Messages postés 320 Statut Membre 37
     
    Ton virus est probablement dans tes processus sur ta RAM. Donc si tu vas dans tes processus et que tu peux l'identifier et ensuite le fermer, tu pourras probablement être en mesure de faire un scan par la suite car il ne sera plus actif.
    0
    1. Airborne_Canada Messages postés 4 Statut Membre
       
      MickyBytes, à écrit:
      Ton virus est probablement dans tes processus sur ta RAM. Donc si tu vas dans tes processus et que tu peux l'identifier et ensuite le fermer, tu pourras probablement être en mesure de faire un scan par la suite car il ne sera plus actif.
      -----------------------------------------------------------------------------------------------------------------------------------------------
      Re MickyBytes,

      Comme j'ai mentionné à Goldorak59, DSL pour ma réponse tardive, mais j'étais au travail...

      Pour revenir à mon problème, j'ai regardé mes processus via le "Gestionnaires de tâches de Windows" et à première vieu, je ne vois rien qui ressemble à un virus où encore quelques chose qui ne correspond pas à une application que j'ai installé sur mon PC...

      Certe, il y a bien quelque processus "svchost.exe", mais comment savoir quelle application se cache derrière ce "svchost.exe" ? En fait, si je fais le compte, il y actuellement "8" "svchost.exe" actifs dans mes processus.

      Sur ce, meilleures salutations !

      Merci pour l'aide et A+

      Matthieu
      0
  6. MickyBytes Messages postés 320 Statut Membre 37
     
    Tiu peux essayer un par un de les enlever de tes processus et d'installer un anti-virus. Si tu las désactiver il devrait te laisser faire l'antivirus. Au pir cas si tu enleve un processus système et qu'il fait planter ton ordi tu as juste à redémarrer et il reviendra.

    Bonne chance
    0
  7. anthony5151 Messages postés 10927 Statut Contributeur sécurité 790
     
    Bonjour,

    On a la liste de ses processus avec SmitFraudFix, aucun n'est anormal...
    Essaye de faire une restauration du système à une date antérieure à tes problèmes (menu démarrer --> programmes --> accessoires --> outils système)
    0
  8. Airborne_Canada Messages postés 4 Statut Membre
     
    Comme il ne semble pas y avoir de solutions... Je vais tout simplement reformaté... :S
    0