impossible de nettoyer virus Résolu/Fermé

Question

Bonjour,

Après analyse avec malwarebytes et nettoyage, les mêmes virus sont revenus. Je ne sais quoi faire, merci pour votre aide.

Voici le dernier rapport :

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1355
Windows 5.1.2600 Service Pack 2

02/11/2008 14:53:06
mbam-log-2008-11-02 (14-53-06).txt

Type de recherche: Examen complet (C:\|E:\|F:\|I:\|)
Eléments examinés: 149565
Temps écoulé: 1 hour(s), 45 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{5A24A238-F6F3-4B6C-A63F-9B9DD31EBC5A}\RP949\A0161052.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo (Rogue.Eorezo) -> Delete on reboot.

hooligan63780 · Answer

SDfix:
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum


et ceci : 

COMBOFIX :
salut , télécharge combofix (par sUBs)à partir d'un de ces liens : 
En premier 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/ 

A lire 
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix 


et enregistre le sur le Bureau. 


désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware) 
ferme internet =====>panneau de configuration======>connection reseau======> clique gauche sur les deux  et desactive

dust-of-return · Answer

Bonjour,

Formate ton disque dur,plujs de prob apres!!!

A+

Dustin,Bruxelles

Utilisateur anonyme · Answer

bah c bon y marker (dans ton rapport) deleted successfully

ghost4489 · Answer

salu moi kan j'ai un problem comme sa je fai a l'enver je cherche commen envoyer des virus et aprés je cherche  des logiciel du nom du virus essai déja comme sa sinon essai system mechanic tu poura le télécharger sur clubic

Oddfan321 · Answer

achète bitdefender Antivirus 2009     40€

dust-of-return · Answer

Bonjour,

Si tu veux un programme demande le moi a moi!!!

Gratuit...

A+ 

Dustin,Bruxelles

Utilisateur anonyme · Answer

et y a mieux Kaspersky 2009 40 €

mymylagalère · Answer

Bonjour hooligan

Je n'arrive pas à installer sdfix. J'ai un dossier de 9 fichiers nommé SDFix sur mon bureau mais après je lance quoi ?
Désolée, je ne suis pas très douée !
Entre tps j'ai relancer malwareb en mode sans echec mais le résultat est idem, tjs les mêmes fichiers infectés
Merci pour ton aide

hooligan63780 · Answer

re, sert toi de se tuto 

https://www.malekal.com/slenfbot-still-an-other-irc-bot/

hooligan63780 · Answer

double cliques sur RunThis.bat pour lancer le script.

mymylagalère · Answer

Ouf !

Voici le rapport, que dit-il ?


[b]SDFix: Version 1.238 [/b]
Run by MYRIAM on 02/11/2008 at 20:25

Microsoft Windows XP [version 5.1.2600]
Running From: C:\Documents and Settings\MYRIAM\Bureau\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files [/b]: 

No Trojan Files Found






Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-02 22:28:37
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\Nouveau dossier\VLC\vlc.exe"="F:\Nouveau dossier\VLC\vlc.exe:*:Enabled:VLC media player"
"C:\WINDOWXP\System32\muzapp.exe"="C:\WINDOWXP\System32\muzapp.exe:*:Enabled:MUZ AOD APP player"
"F:\Nouveau dossier\emule\emule.exe"="F:\Nouveau dossier\emule\emule.exe:*:Enabled:eMule"
"H:\Program Files\LimeWire\LimeWire.exe"="H:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"F:\Program Files\Ares.exe"="F:\Program Files\Ares.exe:*:Enabled:Ares p2p for windows"
"F:\Program Files\LimeWire\LimeWire.exe"="F:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\Winamp Remote\bin\Orb.exe"="C:\Program Files\Winamp Remote\bin\Orb.exe:*:Enabled:Orb"
"C:\Program Files\Winamp Remote\bin\OrbTray.exe"="C:\Program Files\Winamp Remote\bin\OrbTray.exe:*:Enabled:OrbTray"
"C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe"="C:\Program Files\Winamp Remote\bin\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"I:\Program Files\Sony Ericsson\Update Service\Update Service.exe"="I:\Program Files\Sony Ericsson\Update Service\Update Service.exe:*:Enabled:Update Service"
"I:\Program Files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe"="I:\Program Files\Sony Ericsson\Sony Ericsson Media Manager\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.1"
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"="C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"="C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\Program Files\Windows Live\Messenger\MSNMSGR.EXE"="C:\Program Files\Windows Live\Messenger\MSNMSGR.EXE:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Sprite Software\Sprite Backup\SpriteService.exe"="C:\Program Files\Sprite Software\Sprite Backup\SpriteService.exe:*:Enabled:Sprite Backup PC Service"
"F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe"="F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe:*:Enabled:hpqtra08.exe"
"F:\Program Files\HP\Digital Imaging\bin\hpqste08.exe"="F:\Program Files\HP\Digital Imaging\bin\hpqste08.exe:*:Enabled:hpqste08.exe"
"F:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe"="F:\Program Files\HP\Digital Imaging\bin\hpofxm08.exe:*:Enabled:hpofxm08.exe"
"F:\Program Files\HP\Digital Imaging\bin\hposfx08.exe"="F:\Program Files\HP\Digital Imaging\bin\hposfx08.exe:*:Enabled:hposfx08.exe"
"F:\Program Files\HP\Digital Imaging\bin\hposid01.exe"="F:\Program Files\HP\Digital Imaging\bin\hposid01.exe:*:Enabled:hposid01.exe"
"F:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe"="F:\Program Files\HP\Digital Imaging\bin\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"
"F:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe"="F:\Program Files\HP\Digital Imaging\bin\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"
"F:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe"="F:\Program Files\HP\Digital Imaging\bin\hpqCopy.exe:*:Enabled:hpqcopy.exe"
"F:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe"="F:\Program Files\HP\Digital Imaging\bin\hpfccopy.exe:*:Enabled:hpfccopy.exe"
"F:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe"="F:\Program Files\HP\Digital Imaging\bin\hpzwiz01.exe:*:Enabled:hpzwiz01.exe"
"F:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe"="F:\Program Files\HP\Digital Imaging\Unload\HpqPhUnl.exe:*:Enabled:hpqphunl.exe"
"F:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe"="F:\Program Files\HP\Digital Imaging\Unload\HpqDIA.exe:*:Enabled:hpqdia.exe"
"F:\Program Files\HP\Digital Imaging\bin\hpoews01.exe"="F:\Program Files\HP\Digital Imaging\bin\hpoews01.exe:*:Enabled:hpoews01.exe"
"F:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe"="F:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"
"I:\Program Files\Skype\Phone\Skype.exe"="I:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Microsoft ActiveSync\rapimgr.exe"="C:\Program Files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\Program Files\Microsoft ActiveSync\wcescomm.exe"="C:\Program Files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\Program Files\Microsoft ActiveSync\WCESMgr.exe"="C:\Program Files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"
"C:\Program Files\Windows Live\Messenger\MSNMSGR.EXE"="C:\Program Files\Windows Live\Messenger\MSNMSGR.EXE:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:



[b]Files with Hidden Attributes [/b]:

Wed  5 May 1999        95,874 ..SH. --- "C:\COMMAND.COM"
Wed  5 May 1999        53,248 ...H. --- "C:\Program Files\Accessoires\mspcx32.dll"
Fri 20 Aug 2004        60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Sat 19 Jan 2008         4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Tue 29 May 2007             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

[b]Finished![/b]

mymylagalère · Answer

J'utilise aussi a-squared qui trouve d'autres infections que celles de malwarebytes, qu'est-ce qu'il faut en penser ?

hooligan63780 · Answer

bizard cela n'as rien donné

Télécharges MSNFix.zip (de !aur3n7) : 
http://sosvirus.changelog.fr/MSNFix.zip 
--> décompresses-le sur le Bureau ( = extraire tout ). 

Déplaces ensuite le dossier que tu viens d'extraire directement sous ton disque dure , 
c'est à dire ici -> C:\MSNFix . 
( c'est très important pour le bon fonctionnement de l'outil ! ). 

Impératif : Démarrer en mode sans echec . 

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec : 
1) Redémarres ton ordi . 
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" . 
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] . 
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ... 

Lances le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau. 
- Exécute l'option R (recherche). 
- Si l'infection est détectée, exécute l'option N (nettoyage) . 

-> Une fois finit, sauvegardes le rapport généré sur ton bureau . 
Redémarres ton PC ( = retour au mode normal ). 

-> il se peut aussi que l'infection doit être nettoyer au redémarrage du PC : avant l'arrivée du bureau , une fenêtre demandant l'exécution de "MSNfix" s'ouvre . 
-> cliques sur ok pour que l'outil puisse finir de travailler (patiente jusqu'à l'apparition du bureau ... ceci peut s'avérer relativement long). 
le rapport s'ouvrira à l'arrivée du bureau ... 

( PS : le rapport est en outre sauvegardé ici C:\MSNFix\"date_heure".txt ou ici C:\WINDOWS\msnfix.txt ) 

---> postes moi ce rapport dans ta prochaine réponse pour analyse ...

mymylagalère · Answer

Ok je vais relancer la manip.Entre temps j'ai relancé a squared qui tourne encore et celui ci détecte "hoax.win32.Agent.fu!A2 ...

mymylagalère · Answer

Je pense que je n'avais pas décompressé le fichier mais mon AVG me signale "threat detected" !
While opening file : C:\sdfix ... virus identified Worm/ autoit. CQT
Désolée mais je ne comprend pas grand chose !

hooligan63780 · Answer

Salut fait ceci : 

Télécharges GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) : 
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

!!Déconnectes toi et fermes tes application en cours !! 

Dézippes (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau . 

Ouvres le dossier Genproc : 
double-cliques sur GenProc.bat et laisses faire ... 

Une fois terminé, postes le contenu du rapport qui s'ouvre ... 

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html 

IMPORTANT : postes le rapport et ne fait rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

mymylagalère · Answer

Salut,

Ok pour la manip, je te recontacte en fin de journée
Pour la manip avec MNSFIx pas de rapport proposé
Après j'ai fait une nouvelle analyse avec malwarebytes' et il restait encore le fichier "rogue.Eorezo"
Merci pour ton aide

mymylagalère · Answer

Voila mais RAS ! 
Et Malwarebytes détecte tjrs 2 fichiers infectés !

Mon rapport GenProc, 

 Rapport GenProc 2.168 [1] -03/11/2008- Windows XP 

GenProc n'a détecté aucune infection caractéristique et suggère en conséquence de suivre la procédure suivante: 

 Poste un rapport Nod32 
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport : 
- C:\Program Files\EsetOnlineScanner\log.txt

Destrio5 · Answer

Salut,

Je m'étais déjà occupé de toi mi-septembre.

---> Télécharge OTMoveIt3 (OldTimer) sur ton Bureau :
http://oldtimer.geekstogo.com/OTMoveIt3.exe

---> Double-clique sur OTMoveIt3.exe afin de le lancer.

---> Copie (Ctrl+C) le texte suivant ci-dessous : 





:processes
explorer.exe 

:files 
C:\Program Files\eoRezo 

:commands
[emptytemp]
[start explorer]
[reboot]





---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

---> Clique maintenant sur le bouton MoveIt! puis ferme OTMoveIt3.

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log

Destrio5 · Answer

"Qu'est-ce que tout ça veux dire ?"
---> J'ai déplacé EoRezo, tu peux maintenant supprimer OTMoveIt3 et le dossier _OTMoveIt situé dans C:\

"Est-ce que je peux continuer à utiliser : a-squared, malwarebytes, avg ? Est-ce qu'ils détectent les mêmes infections ? Les résultats des analyses parlent de fichiers différents .. "
---> Quand ton PC est désinfecté, il reste toujours quelque chose. Avec les infections de maintenant, il faut surtout beaucoup de vigilance et ça, aucun logiciel ne peut le faire.

Destrio5 · Answer

"Est-ce que je dois suprimer ce dossier et logiciel ?"
---> Tu parles de quoi ?

Destrio5 · Answer

"tu peux maintenant supprimer OTMoveIt3 et le dossier _OTMoveIt situé dans C:\"
---> Je pense que c'est clair.

"Et le fichier Riitkit c'est quoi ?"
---> Où tu vois ça ?

Destrio5 · Answer

Ok, poste-moi le rapport une fois le scan fini.

Destrio5 · Answer

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger :
http://www.infos-du-net.com/forum/272480-11-desactiver-activer-restauration-systeme

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème :
https://www.vulgarisation-informatique.com/creer-point-restauration.php

Destrio5 · Answer

Oui.

Destrio5 · Answer

Tu as tout compris, il faut être vigilant, les logiciels, ça ne suffit plus.

Impossible de nettoyer virus

26 réponses

Discussions similaires