bonjour, infection virus je suis bloqué dans la résolution - Virus/Spywares - Windows & Software
Marsh Posté le 01-03-2010 à 19:04:39
Bonjour,
Peux-tu préciser le nom et la localisation du fichier qui était détecté par ton antivirus stp ?
Ensuite, peux-tu utiliser ces deux logiciels pour me permettre de faire un diagnostic complet stp :
1) Télécharge ZHPDiag (de Nicolas Coolman)
• Laisse toi guider lors de l'installation
• Il se lancera automatiquement à la fin de l'installation
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
2) /!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
Marsh Posté le 01-03-2010 à 19:27:19
Bonjour Anthony5151;
Voila la localisation des quatre virus :
Fichier(s) infecté(s):
C:\Documents and Settings\HelpAssistant\Local Settings\Temp\Urxv.dll (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\HelpAssistant\Local Settings\Temporary Internet Files\Content.IE5\0EN9R23W\eHd6e2d801V03f01430002R8cc0b1a8102T9d9414a1Q0000004c901801F002a000aJ0b000601l000cK4676693430dP000301080[1] (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\julien\Local Settings\Temp\Urxv.dll (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\julien\Local Settings\Temporary Internet Files\Content.IE5\0EN9R23W\eHd6e2d801V03f01430002R8cc0b1a8102T9d9414a1Q0000004c901801F002a000aJ0b000601l000cK4676693430dP000301080[1] (Trojan.Dropper) -> No action taken.
:-)
Marsh Posté le 01-03-2010 à 19:58:39
Oui ça je l'ai vu, c'est dans le rapport de MalwareBytes que tu as posté
Mais tu parles d'un "TR/Rootkit.Gen", quel logiciel te l'a détecté et à quel endroit ?
Marsh Posté le 01-03-2010 à 20:55:04
Avant, j'avais comme anti-virus avira_antivir_personal, c'est lui qui a détecté TR/Rootkit.Gen et qui la supprimé; je ne sais retrouver à quel endroit était le virus.
J'ai suivie ce que tu as proposé ( au fait c'est très bien expliqué; merci); la partir 1) et voila le rapport ZHPDiag.Txt : http://www.cijoint.fr/cj201003/cijKmkXTdF.txt
Marsh Posté le 02-03-2010 à 07:04:25
C'est dommage d'avoir changé d'antivirus en pleine désinfection (surtout pour mettre Panda), ça nous aurait permis d'avoir plus d'informations...
Le rapport ZHPDiag ne semble pas montrer d'infections, j'attends donc le rapport de Gmer
Marsh Posté le 06-03-2010 à 10:12:26
Je n'arrive pas a finir le scan de Gmer, mon PC plante avant la fin; galère...
Je vais encore essayer; mais bon faudrait un miracle, lol.
Marsh Posté le 06-03-2010 à 12:06:55
Essaye en mode sans échec (ne passe pas par msconfig !)
Si ça échoue encore, ne coche que system, services, registry et files (uniquement la partition C)
Marsh Posté le 13-03-2010 à 17:31:29
Voici enfin le rapport du scan de Gmer , effectuée sur C: et pour system, services, registry et files.
http://www.cijoint.fr/cj201003/cijFtK0pU3.txt
:-)
Marsh Posté le 13-03-2010 à 18:44:11
Rien non plus dans ce rapport... Faisons une ultime vérification :
/!\ Attention /!\
Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! A utiliser uniquement avec une aide appropriée.
/!\ Désactive tous tes logiciels de protection /!\
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Héberge ce rapport (C:\Combofix.txt) et poste le lien dans ta prochaine réponse.
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
Marsh Posté le 13-03-2010 à 19:50:50
Le scan s'est bien passé; voici le rapport:
http://www.cijoint.fr/cj201003/cijqYNBHXb.txt
Marsh Posté le 13-03-2010 à 20:47:41
Le MBR (secteur d'amorçage du disque dur) était infecté, il semble que Combofix l'ait restauré. Fais ceci pour confirmer stp :
• Télécharge [http://www2.gmer.net/mbr/mbr.exe MBR Rootkit Detector] (gmer) et enregistre-le sur le Bureau.
• Désactive provisoirement les programmes de protection (antivirus, pare-feu, anti-spyware...) :
• Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,
• Un rapport sera généré : mbr.log ==> Copie/colle le résultat de ce log dans ta réponse.
Marsh Posté le 13-03-2010 à 22:02:10
C'est fait. http://www.cijoint.fr/cj201003/cijoEsgJm8.txt
Marsh Posté le 13-03-2010 à 23:38:59
• Désactive toutes tes protections
• Va dans le menu démarrer --> Exécuter --> tape ceci : "%userprofile%\Bureau\mbr" -f
(les guillemets sont importants)
• Poste le rapport mbr.log
Ensuite, supprime le rapport et relance mbr.exe directement. Poste le nouveau rapport
Marsh Posté le 14-03-2010 à 18:47:19
Voici le premier rapport .log : http://www.cijoint.fr/cj201003/cijFqOoLGp.txt
Et le deuxième http://www.cijoint.fr/cj201003/cijWSbOvfP.txt
:-)
Marsh Posté le 15-03-2010 à 00:37:11
Ok
Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp
Marsh Posté le 15-03-2010 à 10:06:26
C'est fait:
http://www.cijoint.fr/cj201003/cij6xg6cbn.txt
:-)
Marsh Posté le 15-03-2010 à 20:38:45
Alors maintenant il ya pas photo; le pc tourne bien, mais je ne sais pas si tout est vraiment résolue, je n'ai pas encore trouvé de problème :-) .
Merci! :-)
Marsh Posté le 15-03-2010 à 21:38:48
Ok
Pour pouvoir te donner les conseils de finition (notamment pour sécuriser ton ordinateur), j'ai besoin d'un dernier rapport :
• Télécharge hijackthis sur ton Bureau.
• Installe le, lance le et clique sur "Do a system scan and save a logfile".
• Comme pour les autres, héberge le rapport et poste le lien dans ton prochain message stp
Marsh Posté le 16-03-2010 à 10:56:53
C'est fait; voici le rapport:
http://www.cijoint.fr/cj201003/cij1ls2iwK.txt
:-)
Marsh Posté le 16-03-2010 à 17:37:15
Ton ordinateur n'est plus infecté
Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).
1) Sécurise ton ordinateur
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
• Internet Explorer n'est pas à jour, c'est une faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8
• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/
• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (décoche le programme qui est proposé en option lors du téléchargement). Ensuite, lance le (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe) puis clique sur « Aide » → « Rechercher les mises à jour ».
Puis, pour combler une faille de sécurité utilisée très souvent par les infections, désactive la prise en charge Javascript d'Adobe Reader : clique sur Edition → Préférences → JavaScript → décoche "Activer Acrobat JavaScript" et valide
• Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 Plugin. Ensuite, utilise ce lien pour installer la dernière version.
• Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)
• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Double clique sur le raccourci USBFix sur ton Bureau → Au menu principal, choisis l'option 3 (Vaccination).
2) Relance Hijackthis (pour la dernière fois), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) :
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, ces 2 lignes devraient apparaitre, tu peux la cocher :
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"
3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix → clique sur le « A » rouge (Nettoyeur de Tools) → clique sur « Nettoyer »
Tutoriel pour t'aider
4) Télécharge CCleaner. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation), puis lance le.
Clique sur Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
(Tu peux garder ce logiciel et l'utiliser régulièrement).
5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
7) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin
Marsh Posté le 01-03-2010 à 15:04:07
[#ff1c00][#ff1c00][#ff1c00][#0eff00]Bonjour à tous ! :-)
J'ai des gros soucis avec mon pc: j'avais le virus suivant: TR/Rootkit.Gen' [trojan]; mon pc tournait très mal et je n'arrivais pas à l'enlever; je suis venus sur ce forum et j'ai suivi pas mal d'instructions que je vais détailler, il y avait quatre virus qui ont étés enlever mais le, pc (portable), même s'il va un peu mieux, plante toutes les dix mn; et là je ne sais plus quoi faire.....
Voila ce que j'ai fait: j'ai installé mbr.exe
-----------------------------------------------------------------------------------------
J'ai installé RSIT.exe.
Puis j'ai suivi la procedure pour netoyer tout cela avec Malwarebytes' Anti-Malware; il a trouvé quatres virus/trojan, il les a éliminé et je me suis dit ok super maintenant ca va rouler; et bien non, ca plante encore, alors que maintenant, lorsque Malwarebytes' Anti-Malware scan, il trouve rien; je ne sais plus quoi faire.... Voila le raport lorsque il avait trouvé les quatres virus: http://www.cijoint.fr/cj201003/cijvoPzLdp.txt
-----------------------------------------------------------------------------------------
Bon, et là, en ecrivant ce message voila ce que donne le log.txt lorsque je lance RSIT.exe: http://www.cijoint.fr/cj201003/cijKfCwmWB.txt
Voili voilou...
[/#ff1c00][/#ff1c00][/#ff1c00][/#0000ff]
---------------
:-)