Virus au démarrage

Virus au démarrage - Virus/Spywares - Windows & Software

Marsh Posté le 01-02-2011 à 18:01:57    

Bonjour à tous ,
Depuis peu de temps je remarque que lorsque je ferme google chrome , un processus continue de tourner , lorsque je le ferme , un fichier nommé CrackRAZOR-1911.exe se lance et puis le processus de google chrome se lance aussi et ça fait ça indéfiniment ... :/
J'ai fait une analyse avec Spybot et MBAM mais le problème est toujours là.
En plus maintenant quand je démarre , j'ai une fenêtre paramètres personnalisés qui se lance et je vois l'arborescence de ce fichier , malheureusement elle ne mène à rien car je n'ai pas de dossier Temp dans system32 -_-"
Même en supprimant le fichier de la liste de démarrage dans msconfig ça se lance toujours :/
Ca commence à me prendre la tête d'autant plus que le processus de google chrome occupe 50% des ressources ce qui ralentit le démarrage ...
 
Merci d'avance pour votre aide .

Reply

Marsh Posté le 01-02-2011 à 18:01:57   

Reply

Marsh Posté le 02-02-2011 à 13:45:14    

Citation :

CrackRAZOR-1911.exe  


 
Vu le nom t'aurait pas des logiciels crackés sur ton pc des fois ?


---------------
www.mrbroderie.fr
Reply

Marsh Posté le 02-02-2011 à 15:05:34    

Ben justement je crois que le virus prends le nom d'un crack pour passer inaperçu x)

Reply

Marsh Posté le 02-02-2011 à 21:18:56    

Warl0ck3r a écrit :

Ben justement je crois que le virus prends le nom d'un crack pour passer inaperçu x)


 
Tout à fait:
 
http://www.google.fr/search?q=Crac [...] =firefox-a
 
Il semblerait que la solution soit ici:
 
http://forum.zebulon.fr/besoin-dai [...] 81560.html
 
 :jap:  


---------------
Quand tout le reste a échoué lisez le mode d'emploi
Reply

Marsh Posté le 03-02-2011 à 17:01:41    

J'ai installé security essentials comme celui de l'autre forum mais ce truc est complètement buggé il s'est arrêté à la fin de l'analyse , mon PC a planté , j'ai arrêté l'ordi et le redémarrage a été plus ou moins fastidieux donc du coup je l'ai désinstallé :/
Ya pas d'autres solutions ?

Reply

Marsh Posté le 04-02-2011 à 22:11:30    

bonjour
 
s'agit il du même PC que sur ce sujet http://forum.hardware.fr/hfr/Windo [...] 0839_1.htm pour lequel tu n'as plus donné de nouvelles?
la désinfection n'était pas terminée...


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 05-02-2011 à 12:17:55    

Oui il s'agit bien du même PC , je n'ai pas pu finaliser la désinfection car j'ai prêté mon CD de XP à un ami :/
Mais je pense avoir supprimé ce virus grace à AD-Aware ...

Reply

Marsh Posté le 05-02-2011 à 12:24:26    

Warl0ck3r a écrit :

Oui il s'agit bien du même PC , je n'ai pas pu finaliser la désinfection car j'ai prêté mon CD de XP à un ami :/
Mais je pense avoir supprimé ce virus grace à AD-Aware ...


 
mouais,cela m'étonnerait fortement que Ad-aware soit capable de réparer des fichiers systèmes patchés  :sarcastic:  
 
quoiqu'il en soit pour faire le point et décider de la marche à suivre fais une analyse de ton PC
 
 

  • Télécharge ZHPDiag
  • clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    ! sous vista/win7 => clic droit et "exécuter en tant qu'administrateur !

  • Clique ensuite sur l'icône représentant une loupe

http://www.memoclic.com/medias/var_forum/23/5780.jpg (« Lancer le diagnostic »)

  • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  

http://www.memoclic.com/medias/var_forum/23/5781.jpg (sauvegarder le fichier sous)  

  • Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


ne colle pas le rapport complet sur ce forum ,c'est interdit
 
note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr
 
Pour déposer le ficher sur cijoint.fr  
 

  • Clique sur "parcourir"lorsque tu es sur le site de cijoint.fr
  • Indique ensuite le chemin vers le fichier ZHPDiag.txt sur le bureau

     - le chemin s'inscrit dans le champ de recherche (à coté de parcourir)
 
note: le fichier se trouve aussi sous C:\Program Files\ZHPDiag\ZHPDiag.txt
 

  • clique sur "cliquez ici pour déposer le fichier"
  • Patiente ,le temps de "l'upload",un lien de couleur bleu est affiché  

ex: http://www.cijoint.fr/cjlink.php?f [...] lc5NHg.txt

  • c'est ce lien que tu dois poster dans ta réponse[/list]



---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 05-02-2011 à 16:38:31    

Non non pour AD-Aware j'ai réussi à supprimer le virus " CrackRAZOR-1911.exe "
Mais voici le rapport :http://www.cijoint.fr/cjlink.php?file=cj201102/cijee6HFNH.txt

Reply

Marsh Posté le 05-02-2011 à 17:11:47    

le " CrackRAZOR-1911.exe " est encore bien présent sur ton ordi ainsi que d'autres infections
 
avant de faire un script de suppression fais ceci stp?
 
 

  • Télécharge Malwarebytes antimalware  
  • Utilise le en mode normal si possible
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  • Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
  • L'analyse est longue (environ 2 heures)=>  patiente
  • Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

      *note:si des malwares sont détectés ils s'affichent en Rouge

  • Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport  héberge le sur cijoint.fr et poste le lien dans ta prochaine réponse sur le forum .
  • Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Tutoriel MBAM  


Message édité par glops31 le 05-02-2011 à 17:12:06

---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 05-02-2011 à 17:11:47   

Reply

Marsh Posté le 05-02-2011 à 18:53:32    

MBAM avait trouvé 3 fichiers infectés que je n'ai pas supprimé puisque ce sont des fichiers de ma clé wifi que j'ai réinstallée aujourd'hui , ils sont dont sains :)
rapport : http://www.cijoint.fr/cjlink.php?f [...] ni0i8w.txt

Reply

Marsh Posté le 05-02-2011 à 20:44:48    

je ne vois pas de fichiers infectés sur ce rapport MBAM ,quand as tu passé MBAM et quels étaient les fichiers infectés?
es tu sur et certain que les fichiers détectés par MBAM sont sains et qu'est ce qui te permet de l'affirmer?
peux tu me montrer le rapport correspondant que tu trouveras en ouvrant MBAM sous l'onglet  "rapports/logs"  poste moi le rapport dont la date correspond à cette détection Stp?

 


pour continuer fais ceci:

 
  • Lance ZHPFix à partir du raccourci sur le bureau http://i51.tinypic.com/vobs3t.jpg
  • Copie toutes les lignes ci dessous:


O4 - HKCU\..\Run: [Win32] C:\WINDOWS\system32\Temp\CrackRAZOR-1911.exe (.not file.)    
O4 - HKLM\..\policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Temp\CrackRAZOR-1911.exe (.not file.)    
O4 - HKCU\..\policies\Explorer\Run: [Policies] C:\WINDOWS\system32\Temp\CrackRAZOR-1911.exe (.not file.)    
O4 - HKUS\S-1-5-21-1614895754-1004336348-839522115-1004\..\Run: [Win32] C:\WINDOWS\system32\Temp\CrackRAZOR-1911.exe (.not file.)    
[HKCU\Software\LdShih]    
[HKCU\Software\SAMP]
[HKCU\Software\cacaoweb]    
O43 - CFD: 17/07/2010 - 09:23:36 ----D- C:\Documents and Settings\VERNAY\Application Data\cacaoweb    
O43 - CFD: 04/08/2010 - 21:51:46 ----D- C:\Documents and Settings\VERNAY\Application Data\ScanSpyware    
O47 - AAKE:Key Export SP - "C:\Program Files\cacaoweb\cacaoweb.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\cacaoweb\cacaoweb.exe (.not file.)    
O53 - SMSR:HKLM\...\startupreg\cacaoweb  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\cacaoweb\cacaoweb.exe  

 

ou =>Avec la souris tout sélectionner, clic droit =>copier

 
  • Clique sur l'icône représentant la lettre  http://i39.tinypic.com/238x01.jpg (« coller les lignes Helper »)

les lignes se placent  dans la fenêtre de ZHPFix  => tu ne dois voir que celles-là

  • valide par "OK"
  • Clique sur « Tous », puis sur « Nettoyer »
  •  héberge le rapport généré sur cijoint.fr et poste moi le lien fourni
 


Message édité par glops31 le 05-02-2011 à 20:45:45

---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 05-02-2011 à 21:19:07    

En fait , les fichiers que MBAM me montraient infectés , je les ai supprimé de la liste et puis j'ai enregistré le rapport donc je pense que c'est pour ça qu'ils n'apparaissent pas dedans.
Voila le rapport ZHPfix : http://www.cijoint.fr/cjlink.php?f [...] BOFvtM.txt

Reply

Marsh Posté le 05-02-2011 à 21:35:26    

Tu vas maintenant exécuter Usbfix,uniquement en recherche pour le moment, ne supprime rien et ne modifie rien sur le rapport qui sera généré
 
Ferme toutes tes applications et enregistre le travail en cours.
 
Munis toi de tous tes supports amovibles (clés usb,disque durs externes,etc...)
 

  • Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau

sur la même page tu auras un tutoriel vidéo "recherche"  pour t'aider si besoin

  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
  • Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
  • Choisis:  recherche
  • Vérifie que  tous tes disques amovibles, clés USB sont connectés =>  puis cliquez sur OK.
  • Laisse travailler l'outil
  • Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur cijoint.fr et poste moi le lien qui te sera fourni
  • Note : le rapport UsbFix.txt est sauvegardé a la racine du disque


Important: Ne poste pas le rapport directement sur ce forum
 
    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
 
     
 
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 06-02-2011 à 12:49:56    

Reply

Marsh Posté le 06-02-2011 à 14:18:29    

donc au vu de ce rapport UsbFix les fichiers systèmes infectés qui étaient détectés par UsbFixsur l'autre topic ne le sont plus...  
j'en déduis donc que tu avais fait la manip de remplacement même si ensuite tu n'avais pas pu me tenir au courant pour cause de prêt du PC ,est ce exact?
 
Tu peux passer l'option suppression de cette façon:
 

  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sucsceptibles d'avoir été infectés sans les ouvrir
  • Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
  • choisis:  Suppression  
  • Vérifie que tous tes disques amovibles, clés USB soient connectés =>puis cliquez sur OK.
  • Ton bureau disparaîtra momentanément
  •  UsbFix scannera ton pc , laisse travailler l'outil.
  • Ensuite héberge le rapport UsbFix.txt qui apparaîtra avec le bureau sur http://www.cijoint.fr et poste moi le lien fourni.


Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
 ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 08-02-2011 à 17:36:59    

Oui oui , ça commence à dater mais il me semble avoir fait cette manip ^^
 
Voila le rapport : http://www.cijoint.fr/cjlink.php?f [...] hceRZc.txt

Reply

Marsh Posté le 08-02-2011 à 22:02:38    

bonsoir
 
ok pour usbfix ,pour faire le point,tu vas maintenant refaire un ZHPDiag et me poster le lien vers le rapport hébergé Stp?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 09-02-2011 à 19:14:24    

Reply

Marsh Posté le 13-02-2011 à 11:52:32    

bonjour
 
il y a quelques logiciels sur ton PC qui me laisse perplexe ,je ne trouve pas grand chose sur eux ou ils sont totalement inconnus
 
est ce que "Oreans technology" te dis quelque chose?
de même "Str33t.HaCkEr" connais tu?
myfingershurt => ??
N3WT0N=> ??
NewC0D7=> ??
 
en attendant ta réponse fais ceci:
 

  • Lance ZHPFix à partir du raccourci sur le bureau http://i51.tinypic.com/vobs3t.jpg
  • Copie toutes les lignes ci dessous sans les modifier:


[b]O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (.Pas de propriétaire - Pas de description.) --  (.not file.)    
O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - Clé orpheline
O23 - Service:  (StarWindServiceAE) - Clé orpheline
O47 - AAKE:Key Export SP - "C:\Program Files\ijji\ijji REACTOR\REACTOR.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\ijji\ijji REACTOR\REACTOR.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\ijji\ENGLISH\AVA\binaries\AVA.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\ijji\ENGLISH\AVA\binaries\AVA.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Valve\Garry's Mod\hl2.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Valve\Garry's Mod\hl2.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Valve\Garry's Mod\srcds.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Program Files\Valve\Garry's Mod\srcds.exe (.not file.)
O47 - AAKE:Key Export SP - "D:\Recup de Mes Documents\Test Drive\TestDriveUnlimited.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- D:\Recup de Mes Documents\Test Drive\TestDriveUnlimited.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Downloads\Call_of_Duty_Black_Ops_French_up_by_Urukubarr_Team-Cx\BlackOps.exe" [Enabled] .(.Pas de propriétaireC:\Downloads\Call_of_Duty_Black_Ops_French_up_by_Urukubarr_Team-Cx\BlackOps.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Downloads\Singularity\Binaries\Singularity.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- C:\Downloads\Singularity\Binaries\Singularity.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O53 - SMSR:HKLM\...\startupreg\Windows Defender  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\Temp\CrackRAZOR-1911.exe
OPT:O53 - SMSR:HKLM\...\startupreg\WahOO  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Documents and Settings\VERNAY\Local Settings\Application Data\WahOO\WahOO.exe    
O64 - Services: CurCS - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour (Bonjour Service)  .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE

 
Avec la souris tout sélectionner, clic droit =>copier
 

  • Clique sur l'icône représentant la lettre  http://i39.tinypic.com/238x01.jpg (« coller les lignes Helper »)

les lignes se placent  dans la fenêtre de ZHPFix  => tu ne dois voir que celles-là

  • valide par "OK"
  • Clique sur « Tous », puis sur « Nettoyer »
  •  héberge le rapport généré sur cijoint.fr et poste moi le lien fourni


la restauration système est désactivée sur ton PC , pourquoi ?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed