[RESOLU] J'ai chopé un virus
Forum Sécurité - Virus : [RESOLU] J'ai chopé un virus
salut je sais pas trop si sa va marché, mais tu pe essayer de télécharger un anti maleware, c'est assez efficace avec les gros virus et c'est gratuit 
Répondre à gardian@IDN
Bonjour à tous,
Je sollicite l'aide d'un helper SVP.
Je ne comprend pas mon problème étant donné que mon netbook me sers quand je voyage, et je l'ai rangé il y a 3 mois, je n'avais pas de problèmes, et en le rallumant hier je me suis rendu compte que ça n'allait pas. Je suis pourtant prudente, j'ai lu le tuto d'Angeldark, mais voilà ça n'arrive pas qu'aux autres. 
Merci pour votre aide
Bien cordialement
Aucun soucis Caliméro, le principal c'est que quelqu'un me vienne en aide 
Merci d'avance pour toute l'aide que tu pourras m'apporter
Bien cordialement
Bonsoir et merci pour ta patience.
| Citation : Voilà le rapport HijackThis,
|
Bon, voici les manipulations que je te propose :
Télécharge MalwareByte's Anti-Malware sur ton Bureau.
* Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :
* Fais redémarrer ton ordinateur en mode sans échec
- Au démarrage, après le chargement du bios, appuie successivement sur la touche F8 (ou F5) de ton clavier jusqu'à l'apparition d'un menu sur fond noir. Une fois arrivé à ce stade, sélectionne à l'aide du clavier Mode sans Echec.
- Dans ce mode, tu n'as pas accès à Internet, et tu te retrouves avec une configuration visuelle différente (pas de fond d'écran, icônes très grosses). Ne sois donc pas étonné.
- C'est pour ces différentes raisons que je t'invite à imprimer, noter, ou enregistrer dans un document texte les informations suivantes afin de ne pas être perdu.
- ! Ne fais pas démarrer ton ordinateur en mode sans échec via MSConfig ! Pourquoi ? Certaines infections cassent les clefs du mode sans échec, ce qui ferait crasher ton ordinateur.
* Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
* Afin de lancer la recherche, clic sur"Rechercher".
* Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
- Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
- Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
- Fais redémarrer ton ordinateur normalement et poste le rapport dans ta prochaine réponse.
REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Note : Si tu ne parviens à télécharger MBAM à part de MajorGeeks, tu peux le télécharger ici!
Aide : * Comment utiliser MBAM.
* Comment faire démarrer son ordinateur en mode sans échec.
Relance Hijackthis
* Clique sur Open the Misc Tools Section.
* Choisis Delete an NT Service .
* Tape KeenfinderSrch et valide.
Relance Hijackthis, do a system scan only, coche ces lignes (si toujours présentes) :
| Citation :
|
Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
Puis Fix Checked !
Suppression des répertoires & fichiers malveillants:
* Supprime le répertoire suivants (si présents) :
- C:\Program Files\RelevantKnowledge
Télécharge DDS de sUBs sur ton bureau.
L'outil ne nécessite pas d'installation.
Lance-le en cliquant sur l'icône dds.scr
Cette fenêtre DOS va apparaitre
Le scan ne doit pas dépasser trois minutes.
Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau.
Il te sera demandé si tu veux faire le scan optionnel.
Accepte par Oui
Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.
Tu ne le fourniras que si nécessaire.
Poste le rapport DDS.txt
| Citation : * Supprime les répertoires suivants (si présents) :
|
Hello queenjulie,
En fait Calimero28 voulait dire :
* Supprime le répertoire suivant en gras (si présent) :
- c:\documents and settings\all users\application data\keenfindersrch
Sécurité / Prévention
Répondre à Egwene
Bien , si on peut dire
Tu as fais, me semble-t-il une petite erreur avec HiJackThis.
Tu donnes, comme message d'erreur:
"Service keenfindersrch" was not found in the registry
Tu aurais saisi le nom de l'élément à supprimer dans le désordre ?
C'était KeenfinderSrch Service
Peux tu confirmer et relancer cette manipulation :
Relance Hijackthis
* Clique sur Open the Misc Tools Section.
* Choisis Delete an NT Service .
* Tape KeenfinderSrch Service et valide.
Quelque soit le résultat de cette commande, poste un résultat du scan de DDS
Bonjour Calimero28,
Voilà j'ai scanné mon netbook avec mon antivirus, apparament ça à l'air d'être réglé, je te poste le rapport, et encore merci pour ton aide.
Avira AntiVir Personal
Date de création du fichier de rapport : mardi 17 mars 2009 09:47
La recherche porte sur 1303192 souches de virus.
Détenteur de la licence :Avira AntiVir PersonalEdition Classic
Numéro de série : 0000149996-ADJIE-0001
Plateforme : Windows XP
Version de Windows Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur :TRESOR
Informations de version :
BUILD.DAT : 8.2.0.52 16931 Bytes 02/12/2008 14:55:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18/11/2008 08:21:00
AVSCAN.DLL : 8.1.4.1 49921 Bytes 21/07/2008 13:44:27
LUKE.DLL : 8.1.4.5 164097 Bytes 12/06/2008 12:44:16
LUKERES.DLL : 8.1.4.0 13057 Bytes 04/07/2008 07:30:27
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27/10/2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11/02/2009 09:22:35
ANTIVIR2.VDF : 7.1.2.152 749568 Bytes 11/03/2009 16:32:02
ANTIVIR3.VDF : 7.1.2.177 153088 Bytes 16/03/2009 19:49:13
Version du moteur: 8.2.0.116
AEVDF.DLL : 8.1.1.0 106868 Bytes 21/02/2009 09:23:10
AESCRIPT.DLL : 8.1.1.63 364923 Bytes 12/03/2009 23:54:00
AESCN.DLL : 8.1.1.8 127346 Bytes 12/03/2009 16:33:03
AERDL.DLL : 8.1.1.3 438645 Bytes 04/11/2008 13:58:38
AEPACK.DLL : 8.1.3.10 397686 Bytes 12/03/2009 16:33:00
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 12/03/2009 16:32:53
AEHEUR.DLL : 8.1.0.104 1634679 Bytes 12/03/2009 16:32:50
AEHELP.DLL : 8.1.2.2 119158 Bytes 12/03/2009 16:32:18
AEGEN.DLL : 8.1.1.29 336245 Bytes 16/03/2009 19:49:15
AEEMU.DLL : 8.1.0.9 393588 Bytes 14/10/2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 21/02/2009 09:22:42
AEBB.DLL : 8.1.0.3 53618 Bytes 14/10/2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09/07/2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16/05/2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31/07/2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09/05/2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12/02/2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12/06/2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22/01/2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12/06/2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25/01/2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 04/07/2008 07:23:16
RCTEXT.DLL : 8.0.52.1 86273 Bytes 17/07/2008 10:08:43
Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: c:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:,
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Début de la recherche : mardi 17 mars 2009 09:47
La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHSP.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hprblog.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHid.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosA2dp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqste08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpqtra08.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MgApp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtMng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpwuSchd2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'zlclient.exe' - '0' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MGSysCtrl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSIService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'vsmon.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'42' processus ont été contrôlés avec '42' modules
La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !
La recherche sur les renvois aux fichiers exécutables (registre) commence.
Le registre a été contrôlé ( '58' fichiers).
La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\' <OS_Install>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\'
D:\logiciels\zaZA_Setup_en.exe
[0] Type d'archive: ZIP SFX (self extracting)
--> WINDOWS6.0-KB929547-V2-X64.MSU
[1] Type d'archive: CAB (Microsoft)
--> Windows6.0-KB929547-v2-x64.cab
[AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
Fin de la recherche : mardi 17 mars 2009 11:16
Temps nécessaire: 1:28:55 Heure(s)
La recherche a été effectuée intégralement
3091 Les répertoires ont été contrôlés
213024 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
213022 Fichiers non infectés
8199 Les archives ont été contrôlées
3 Avertissements
0 Consignes
@+
Bonjour,
Cette étape nous montre des Logs propres.
Concernant les informations sur Java. Comme ta version est à jour, les messages reçus sont normaux.
Pour Acrobat Reader, relance ton installation avec le lien donné dans le message précédent et accepte, dans la barre jaune, l'activeX d'Adobe pour cette installation.
Puis, je te propose les opérations suivantes, pour finir de nettoyage de ton système:
Restauration Système
Désactive-Réactive la restauration système. Cela va supprimer tous les points de restauration créés (dont ceux infectieux) et en recréer un qui sera sain.
- Clique sur Démarrer, fais un clique droit sur le Poste de travail puis clique sur Propiétés.
- Sélectionne l'onglet Restauration du Système.
- Dans cet onglet, coche la case Désactiver la Restauration du système sur tous les lecteurs.
- Un message de confirmation va apparaître. Clique sur Oui, puis OK. Fais redémarrer ton ordinateur pour que les changements soient bien pris en compte.
- Pour réactiver la restauration système, il suffit de décocher cette même case et de faire redémarrer ton ordinateur (en ayant suivi les mêmes étapes).
Suppression des outils installés :
Après la désinfection, il est utile et indispensable de supprimer tous les outils spécifiques utilisés. Il ne faut pas les réutiliser pour plusieurs raisons :
- Il faut les connaître très bien pour les utiliser;
- Les outils sont régulièrement mis à jour;
- Certains outils sont plus dangereux que d'autres;
Télécharge ToolsCleaner2 (de A.Rothstein)
- Installe le sur ton Bureau.
- Clique sur Recherche pour lancer le scan.
- Clique sur Supprimer pour nettoyer les outils utilisés.
- Clique sur Quitter.
- Supprime maintenant ToolsCleaner.
Remise en place des protections, protection du système avec les Mises à Jour !
Tout ce qui va suivre est important pour la sécurité de l'ordinateur, ce qui implique également la tienne..
Je t'invite maintenant à (ré)activer/contrôler toutes tes protections résidentes (Antivirus, Antispyware, Firewall..), qui ont pu être désactivées pendant la désinfection.
Tu dois avoir accès à tes protections dans la zone systray à côté de la barre des tâches. Si tu as des difficultés, n'hésite pas à me questionner !
Si ce n'est pas fait, assure-toi que les Mises à jour Automatiques Windows soient activées !
Comment protéger efficacement mon système ?
La meilleure façon de protéger son système est d'utiliser son ordinateur avec une session Utilisateur. En tant qu'utilisateur, vous n'avez pas expressément le droit d'installer quoi que ce soit. Il vous faut donc créer une session Administrateur avec un Mot de Passe, mais sans l'utiliser. Lorsque vous voudrez installer une application par exemple, il vous suffira de le faire en tant qu'administrateur et d'entrer le mot de passe que vous connaîtrez.
Pourquoi devoir faire ça ? C'est pareil pour les Malwares, il leur faut les droits nécessaire pour s'exécuter/installer. Or, ils les héritent justement de la session sous laquelle ils s'exécutent.
Conclusion : En utilisant une session Utilisateur, "pas d'infection". C'est une protection beaucoup plus efficace que n'importe quel logiciel.
Voici un dossier qui résume notamment en deuxième partie ce que je viens de vous dire et qui vous propose une panoplie de protections :
Inutile et ennuyant d'installer trop de softs :
Sujet Résolu ?
Si tu estimes ton sujet résolu :
Ajoute maintenant [Résolu] au titre. Pour cela :
- Clique, dans ton premier message, sur le bouton "Editer"
- Rajoute la mention [Résolu] au titre
- Clique ensuite sur "Valider votre message"
Bonne journée
Bonsoir,
Je vais bien sur suivre tes instructions, mais je dois te faire part d'un problème que j'ai pour installer adobe reader, (j'ai un autre ordinateur sur lequel j'ai le même problème, on pourrait faire d'une pierre 2 coups, non?)
Lorsque j'essais d'instaler adobe avec le lien que tu m'as donné voici le message que j'ai dans une fenêtre:
La DLL système user 32.dll a été repositionnée en mémoire. L'application ne s'exécutera pas correctement. Le repositionnement a été fait car la DLL C:\windows\system 32\SHELL32.dll occupait une zone d'adresse réservée pour les DLL système de windows NT. Le vendeur ayant fourni la DLL doit être contactépour en obtenir une nouvelle.
Je ne sais pas ce que ça veut dire, je n'y comprend rien, je me sers très peu de cet ordinateur, il est neuf (4mois), et ça faisait 3 mois qu'il était éteint et rangé. Est-ce que c'est grave ce problème, et de quoi ça peut provenir?
Merci d'avance
Bonjour,
Microsoft nous (se) joue parfois des vilains tours, embêtant mais pas méchants
Une mise à jour n'a pas été effectué comme il faudrait : Juste pour information => http://support.microsoft.com/kb/935448/fr
Télécharger le package 935448 maintenant.
Puis, clique sur Enregistrer ou sur Enregistrer ce programme sur le disque.
et ensuite lance cet exécutable pour installer cette mise à jour.
Suis les informations qui te seront affichées lors de cette opération.
Puis relance l'installation de ton Acrobat Reader en suivant le lien donné dans le message précédent.
@+
Message édité par Calimero28 le 18-03-2009 à 18:58:12
Bonsoir,
Je dois avouer que plus j'avance et plus ça se complique
Tout d'abord j'ai eu un mal fou à desinstaller intervidéo winDVD, mais bon après avoir bloqué tous les écran, être allé dans le gestionnaire de tâches pour faire fin de tâche car aucun programmes ne répondaient et avec beaucoup de persévérence j'y suis arrivé.
Ensuite ça c'est gâté avec les mises à jour microsoft, car pour cela il faut IE, et comme j'utilise que mozilla, je reconnais que je n'ai plus la bonne version de IE, donc j'ai voulu mettre à jour là aussi, mais impossible, et comme mes mises à jours microsoft se font automatiquement, j'ai donc abandonné.
J'ai réinstallé Intervideo win DVD8. Je ne sais pas si ça fonctionne, je n'ai pas de dvd pour faire un essai.
Et pour mon netbook, (car la je t'écris depuis mon autre ordinateur), je verrais demain pour réinstaller adobe reader, et te tiendrais au courant.
Cordialement
