Demande de l'aide contre virus
Forum Sécurité - Virus : Demande de l'aide contre virus
Bonjour.
J'ai téléchargé un programme sur le net, et comme dab je l'ai soumis à malwerbytes et avira qui m'on dit ok.
Mais quand j'ai démarré le dit programme, des icônes sont apparut et
avira c'est déclenché, j'ai cliqué sur refuser l'accès.
Le problème, c'est que avira c'est fait détruire, et que MB vois les virus, mais ne peut pas les détruire, car après examens ils sont encore là.
Voilà, je suis bien dégouté....
Quelqu'un pourrait il m'aider ?
P.S voici le rapport de MB :
Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2788
Windows 5.1.2600 Service Pack 3
13/09/2009 13:12:48
mbam-log-2009-09-13 (13-12-48).txt
Type de recherche: Examen complet (C:\|E:\|F:\|)
Eléments examinés: 290268
Temps écoulé: 34 minute(s), 21 second(s)
Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 6
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 35
Processus mémoire infecté(s):
C:\4947,713.exe (Backdoor.Bot) -> Unloaded process successfully.
C:\WINDOWS\Fonts\services.exe (Worm.Archive) -> Unloaded process successfully.
Module(s) mémoire infecté(s):
\\?\globalroot\systemroot\system32\gasfkyyssliqpt.dll (Rootkit.TDSS) -> Delete on reboot.
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\icf (Rootkit.ADS) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\icf (Rootkit.ADS) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\exec (Worm.Archive) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-24sf-n84p (Worm.AutoRun) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Worm.AutoRun) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\BITS\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemRoot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wuauserv\ImagePath (Hijack.WindowsUpdates) -> Bad: (%fystemroot%\system32\svchost.exe -k netsvcs) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
C:\Program Files\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\4947,713.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
\\?\globalroot\systemroot\system32\gasfkyyssliqpt.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\2207,102.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\javopx.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Bureau\jeux\sumotori\sumotori.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Local Settings\Temp\490.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Local Settings\Temporary Internet Files\Content.IE5\B9UBY2GE\dawkxlk[1].txt (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Local Settings\Temporary Internet Files\Content.IE5\B9UBY2GE\loaderadv563[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Local Settings\Temporary Internet Files\Content.IE5\EREEXTYQ\ybkllvjww[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Local Settings\Temporary Internet Files\Content.IE5\GYLHJYYE\pvjsgqqqee[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Local Settings\Temporary Internet Files\Content.IE5\J7FBAZDG\dawkxlk[1].txt (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Local Settings\Temporary Internet Files\Content.IE5\OOK5CRCY\gjftddra[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Local Settings\Temporary Internet Files\Content.IE5\VXTJL8RT\ohheij[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\felipe\Local Settings\Temporary Internet Files\Content.IE5\VXTJL8RT\peopcdl[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Program Files\Arturia\CS-80V\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\Program Files\Arturia\minimoog V\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\Program Files\eMule\Incoming\activcam1.1\AC2004 update.exe (Adware.EShoper) -> Quarantined and deleted successfully.
C:\Program Files\eMule\Incoming\activecam\Active Camera 2004 - Version 2.0\AC2004 2_0.exe (Adware.EShoper) -> Quarantined and deleted successfully.
C:\Program Files\eMule\Incoming\activecam\Active Camera 2004 - Version 2.0\AC2004patchFS9_1.exe (Adware.EShoper) -> Quarantined and deleted successfully.
C:\Program Files\KORG\KORG Legacy\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\Program Files\Native Instruments\Reaktor 5\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\Program Files\Steinberg\Vstplugins\DiscoDSP\Discovery_v2_Data\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\VRTCE5.tmp (Backdoor.Bot) -> Quarantined and deleted successfully.
E:\FIREFOX DOWNLOAD\210709\AC2004 1_1 FR.exe (Adware.EShoper) -> Quarantined and deleted successfully.
E:\FIREFOX DOWNLOAD\Nouveau dossier\sumotori\sumotori.exe (Malware.Packer.Krunchy) -> Quarantined and deleted successfully.
E:\RECYCLER\S-1-5-21-527237240-1303643608-725345543-1003\De18.exe (Adware.NaviPromo) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Bureau\nudetube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Bureau\pornotube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Bureau\youporn.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\svchost.exe:exe.exe (Rootkit.ADS) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\services.exe (Worm.Archive) -> Quarantined and deleted successfully.
C:\WINDOWS\sc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1858\port88.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
C:\bsncjblw.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
Message édité par oric-atmos le 13-09-2009 à 14:02:39
Bonjour,
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\
- Télécharge ComboFix (sUBs) sur ton Bureau.
- Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
- Il va te demander d'installer la console de récupération : accepte.
- Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
Bonjour et merci !
Je n'ai plus accès à mon antivirus.
En attendant des réponses, j'ai téléchargé findykill et voici le rapport si tu veux le voir :
En attendant, je vais télécharger combofix
###################### [ FindyKill V4.715 ]
# User : felipe - XX-FC12373748B0
# Emplacement : C:\Program Files\FindyKill
# Outils Mis a jours 29/01/09 par Chiquitine29
# Recherche effectuée à 14:49:39 le 13/09/2009
# Windows XP - Internet Explorer 8.0.6001.18702
# [ FindyKill V4.715 - Scan ] ##############
\\\\\\\\\\\\\\\\\\\\ [ Processus actifs ] ///////////////////
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\windows\Explorer.EXE
C:\windows\system32\svchost.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\ATKKBService.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\windows\system32\nvsvc32.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\windows\system32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\windows\System32\alg.exe
C:\windows\system32\wscntfy.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\reader_s.exe
C:\windows\System32\svchost.exe
C:\windows\system32\7.tmp
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
\\\\\\\\\\\\\\\\\\ [ Fichiers/Dossiers infectieux ] ///////////////////
################## [ C:\ ]
################## [ C:\windows ]
################## [ C:\windows\Prefetch ]
Found ! - C:\windows\prefetch\377.EXE-07B7F33E.pf
Found ! - C:\windows\prefetch\414.EXE-2E6D4B34.pf
Found ! - C:\windows\prefetch\490.EXE-24BB7870.pf
Found ! - C:\windows\prefetch\560.EXE-2046C553.pf
Found ! - C:\windows\prefetch\741.EXE-13BA45F1.pf
Found ! - C:\windows\prefetch\746.EXE-231F354D.pf
Found ! - C:\windows\Prefetch\KEYGEN.EXE-0E831141.pf
Found ! - C:\windows\Prefetch\SERIAL.EXE-0B8F9DE7.pf
Found ! - C:\windows\Prefetch\SERIAL.EXE-0F52D615.pf
Found ! - C:\windows\Prefetch\KEYGEN.EXE-0E831141.pf
Found ! - C:\windows\Prefetch\VIRTUAL_SAILOR_7_KEY.EXE-1077ADC3.pf
Found ! - C:\windows\Prefetch\PATCH.EXE-31247E7C.pf
################## [ C:\windows\system32 ]
################## [ C:\windows\system32\drivers ]
################## [ C:\Documents and Settings\felipe\Application Data ]
################## [ C:\DOCUME~1\felipe\LOCALS~1\Temp ]
\\\\\\\\\\\\\\\\\\ [ Registre / Startup ] ///////////////////
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
Skype="C:\Program Files\Skype\\Phone\Skype.exe" /nosplash /minimized
swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
TomTomHOME.exe="C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
12CFG214-K641-12SF-N85P=C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
12CFG214-K641-24SF-N84P=C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1858\port88.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
9619=C:\windows\system32\6.tmp.exe
reader_s=C:\windows\System32\reader_s.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
<NO NAME>=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
<NO NAME>=
[HKEY_CURRENT_USER\software\local appwizard-generated applications\EXE]
\\\\\\\\\\\\\\\\\\ [ Registre / Clés infectieuses ] ///////////////////
\\\\\\\\\\\\\\\\\\ [ Etat / Services ] ///////////////////
# Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - # Type de démarrage = 3
EapHost - # Type de démarrage = 3
Ip6Fw - # Type de démarrage = 3
SharedAccess - # Type de démarrage = 2
wuauserv - # Type de démarrage = 2
wscsvc - # Type de démarrage = 2
\\\\\\\\\\\\\\\\\\ [ Recherche dans supports amovibles] ///////////////////
# Informations :
C: - Lecteur fixe
E: - Lecteur fixe
F: - Lecteur fixe
# presence des fichiers :
\\\\\\\\\\\\\\\\\\ [ Registre / Mountpoint2 ] ///////////////////
-> Not found !
################## [ ! Fin du rapport # FindyKill V4.715 ! ]
Si ComboFix ne se lance pas, renomme-le en IDN puis relance-le.
C'est la panique !
J'ai suivis l'installation de combo et lu le didacticiel mais au lancement du programme
il m'a dit que le prog était détérioré et qu' un virus de type virut (qui modifie les textes), était peut être là.
Ensuite plus de connexion internet, j'ai donc éteint et redémarré et ouf c'est revenu...
Combo m'a dit de le re télécharger, j'ai l'impression que j'ai chopé un sale truc...
le fichier exe de combo à disparut
je n'ai rien fait de +.
A chaque démarrage de l'ordi, j'ai ce genre de message et le chiffre x.mtp change...
//9.tmp a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.//
findykill ne pourrait-il pas faire quelque chose ?
J'attends une réponse de ta part avant de réagir.
Merci.
Message édité par oric-atmos le 13-09-2009 à 16:10:05
Le rapport de FindyKill montre effectivement du Virut. FindyKill s'occupe de l'infection Bagle.
Virut est une des pires infections qui existent :
http://www.commentcamarche.net/faq [...] imer-virut
Merde....
Et est-ce que tu pourras m'aider ?
Message édité par oric-atmos le 13-09-2009 à 18:08:32
Tu as lu ce que je t'ai donné ?
oui et merci beaucoup.
Je ne sais d'ailleur pas encore quelle solution utiliser parmi celles proposées.
Le temps d'infection de mon ordi est d'une demi-journée, le virus n'a peut-être pas fait trop de dégats.
J'ai suivi les conseils de ton cite : j'ai éteint l'ordi et je l'ai débranché d'internet.
Je suis resté un jour sans connexion car j'ai installé mon portable à la place de la tour pour + de sécurité.
Sur le cite, ils disent que malgré tout il faut se faire aider car apparament les manipes sont balaises donc, si tu veux bien, tes conseilles seront les bien venus.
Alors à bientôt peut-être.
Tu peux commencer par le scan avec Dr.Web CureIt!.
Bonjour destrio5.
Je dois sauvegarder mes documents perso, puis je te posterais le rapport de Dr.Web CureIt!
à bientôt et merci.
Est-ce que tu sais si un document world ou Open Office peut être infecté par virut ainsi que des fichiers .jpg s.t.p ?
Pas à ma connaissance.
Salut destrio5.
J'ai trouvé un topic pour protéger une clef usb en écrtiture, et donc transporter les programmes de secours sans danger pour la clef :
http://forum.malekal.com/proteger- [...] 20407.html
Mais lorsque j'aurais copier sur le bureau de mon ordi infecté le rapport de Dr.Web CureIt!, comment le ramener sur mon pc sain sans l'infecter ?
Message édité par oric-atmos le 19-09-2009 à 16:02:36
Ah ben ça...
Bon....
Aprés l'opération dr web, j'imprime le rapport, je le scanne chez un pote et je te l'envoie.
N'est-ce pas une fabuleuse idée ?
Si le rapport ne fait pas plusieurs pages, oui 
Bon, je vais commencer le plan de combat a+.
j'ai 2 questions s'il te plait.
1- J'ai interdit ma clef en écriture avec la méthode de malekal. Puis-je la rebrancher sur mon pc propre ?
2-Est-ce que graver mais documents perso sur un dvd est plus sûre que sur une carte compactflash ?
Dans la carte en question (pas la clef protégée en écriture) j'avais de drôles de programmes semi transparent que j'ai effacé, mais il y à un fichier autorun que je ne peut pas enlever et je ne peut pas formater la carte
Message édité par oric-atmos le 19-09-2009 à 19:35:57
Je ne peux pas savoir si ta clé a été infectée ou non.
ok, la clef protégée en écriture est à priori et selon norton clean.
Est-ce que le faite de la protéger en écriture empèche les virus de s'y installer ?
j'ai lancer dr web, et au bout d'une heure il a terminé par l'analyse de la clef avec les programmes anti malware.
Il m' a demandé "une autre disquette ?" alors j'en est mis une autre, et là plantage !!!!! Alors que tout était fini. Quel poisse !!!
je l'ai relancé, mais bizarrement il n'a pas ce coup-ci détecté de virus à l'analyse rapide.
J'attends le résultat.....
a+
Message édité par oric-atmos le 19-09-2009 à 21:23:17
Résultat:
Avant son plantage dr web a vu plain de virut
Aprés plus rien.
Je l'est mis à la corbeille et remplacé par celui de ma clé protégée.
Analyse rapide ce coup-ci, mais toujours pas de virus pour dr web......
Je lance malwarbates qui detect 6 trojans et il en reste encore trois après redémarrage
les voici:
rootkit.rustock
hijack.windows up x 2
voilà.
Bon ben..... du coup le rapport de doctor web tiens en une ligne !
C'est dans finykill, l'outil prockill irréparable et mis en quarantaine.
j'ai un programme pour scanner l'espace disque qui ne marchait plus depuis l'infection, et là il remarche.
dr web aurait il put le réparer malgré le plantage et mon absence de confirmation de désinfection ?
Dans la liste pendant le scan, c'était écrit scanner déinfecté.....
Enfin voilà, voilà quoi.....
Message édité par oric-atmos le 19-09-2009 à 23:43:21
Tu peux faire le scan avec AVPTool pour vérifier :
http://www.commentcamarche.net/faq [...] de-avptool
Il y a 308 utilisateurs connus et inconnus. Pour voir la liste des connectés connus, cliquez ici.
