Votre question

URGENT ! Virus sur le disque dur (System32)

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
3 Juin 2011 20:24:35

Bonjour,
vu que c'est assez compliqué, je vais tenter d'être précise...
Je n'ai plus d'image ni d'icône sur mon bureau ni dans le menu démarrer. Je peux toujours utiliser Itunes ou Firefox grâce au service "Exécuter" du menu démarrer mais c'est tout.

Mon ordinateur m'empêche de voir les dossiers sur mon disque dur (disque local C). Ainsi, tout ce qui est en rapport avec les Progams Files ou les Document and Setting me sont interdits.

En clair, je ne peux plus rien ouvrir (image, téléchargement, musique, dossiers,...) :( 

De plus, un nouveau disque local s'est ajouté sur le bureau appelé "disque local Q). Je n'y ai pas accès. Je ne peux pas l'ouvrir, pas regarder ce qu'il renferme (c'est suspect!!!)

J'avais l'antivirus McAphee en version d'essai. Avec une analyse complète, il a mis en quarantaine plus de 50 virus et prétendait que mon ordinateur était protégé (il est un peu aveugle!)

Alors, j'ai supprimé cette version, tenter d'en mettre une autre que j'ai aussi désinstaller par la suite.

Ensuite sont venues les longues recherches d'un moyen de supprimer ces virus de malheur (télécharger et désinstallation de Norton de Ccleaner et de Hijackthis...)

Je ne sais plus quoi faire :'( 
Aidez-moi s'il-vous-plait, j'ai beau essayer, je suis incapable de m'en sortir seule

Merci d'avance

Manon

Autres pages sur : urgent virus disque dur system32

3 Juin 2011 21:15:59

Bonsoir

dans l'ordre:

1


  • Télécharge RogueKiller sur lon bureau
    (A partir d'une clé USB si le Rogue empêche l'accès au net) .
    http://www.sur-la-toile.com/RogueKiller/
  • Quitte tous les programmes en cours
  • Lance RogueKiller.exe.
    Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.
  • Choisis l'option 6 et laisse tourner l'outil.

  • Poste le rapport RKreport.txt crée sur ton bureau.



    2


    telecharge sur ton bureau http://support.kaspersky.com/downloads/utils/tdsskiller... , dezippe le et execute le , un rapport sera crée ici:

    C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

    tu as aussi directement l'executable là : http://support.kaspersky.com/downloads/utils/tdsskiller...

    o execute le , La fenêtre suivante va s'ouvrir::



    o Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
    o Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:



    o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

    o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

    o Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

    o Si Suspicious file est indiqué, laisse l'option cochée sur Skip

    o Clique sur Continue puis sur Reboot now pour redémarrer le PC.

    o Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

    tutoriel--> http://support.kaspersky.com/viruses/solutions?qid=2082...



    3

    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
  • Poste ce rapport.

    REMARQUE : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.[/#f]

    Note : Si tu ne parviens à télécharger MBAM à partir de MajorGeeks, tu peux le télécharger ici!

    [#FF0000]Aide
    :
  • Comment utiliser MBAM.

    ++
    5 Juin 2011 09:57:28

    Ok :D 
    Je tente de me débrouiller alors voici le rapport RKreport.txt :

    RogueKiller V5.2.2 [05/06/2011] par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueK...

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Manon [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 05/06/2011 09:54:30

    Processus malicieux: 1
    [SUSP PATH] rpchrome10browserrecordhelper.dll -- C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchrome10browserrecordhelper.dll -> UNLOADED

    Attributs de fichiers restaures:
    Bureau: Success 1 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 24173 / Fail 0
    Menu demarrer: Success 37 / Fail 0
    Dossier utilisateur: Success 96 / Fail 0
    Mes documents: Success 258 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 22927 / Fail 0
    Sauvegarde: [FOUND] Success 157 / Fail 0

    Lecteurs:
    [C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
    [Q:] \Device\SftVol -- 0x3 --> Restored

    Termine : << \RKreport[1].txt >>
    RKreport[1].txt



    Voilà, merci beaucoup, je continue avec le reste des indications :D 
    Contenus similaires
    5 Juin 2011 10:12:44

    Alors voilà, suivant les indications, j'ai téléchargé Kaspersky. J'ai lancé le scan,
    c'était un TDSS.tdl4 et je me suis assurée que "Cure" était bien cochée.

    J'ai redémarré l'ordinateur (Reboot Now).

    Mais, je n'ai pas de rapport généré (il ne s'ouvre pas non plus avec l'outil "exécuter". Je tape C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS mais
    on m'indique que cela fait référence à un emplacement non disponible... :S

    Je ne sais pas comment te fournir le rapport :/ 



    5 Juin 2011 11:06:35


    Et voici le dernier rapport. 22 éléments infectés :S Que dois-je faire maintenant? (Merci encore pour ton aide :D )


    Malwarebytes' Anti-Malware 1.51.0.1200
    www.malwarebytes.org

    Version de la base de données: 6774

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    5/06/2011 11:05:03
    mbam-log-2011-06-05 (11-05-03).txt

    Type d'examen: Examen complet (C:\|D:\|Q:\|)
    Elément(s) analysé(s): 192802
    Temps écoulé: 26 minute(s), 13 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 1
    Clé(s) du Registre infectée(s): 8
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 6
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 4

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    c:\WINDOWS\system32\xdeeilxs.dll (IPH.GenericBHO) -> Delete on reboot.

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{A68289E7-FC24-2AAD-50A5-6456ABF06A61} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\Eghhdbuq (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A68289E7-FC24-2AAD-50A5-6456ABF06A61} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A68289E7-FC24-2AAD-50A5-6456ABF06A61} (IPH.GenericBHO) -> Quarantined and deleted successfully.
    HKEY_CLASSES_ROOT\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WORT (Trojan.Vilsel) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\sp (TrojanProxy.Agent) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SPService (TrojanProxy.Agent) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{96AFBE69-C3B0-4b00-8578-D933D2896EE2} (TrojanProxy.Agent) -> Value: {96AFBE69-C3B0-4b00-8578-D933D2896EE2} -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{96AFBE69-C3B0-4b00-8578-D933D2896EE2} (TrojanProxy.Agent) -> Value: {96AFBE69-C3B0-4b00-8578-D933D2896EE2} -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\netsvc (TrojanProxy.Agent) -> Value: netsvc -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDesktop (PUM.Hidden.Desktop) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Manon\Local Settings\Application Data\jsg.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\WINDOWS\system32\xdeeilxs.dll (IPH.GenericBHO) -> Delete on reboot.
    c:\documents and settings\Manon\local settings\Temp\E8.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
    c:\documents and settings\Manon\local settings\Temp\E9.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
    c:\program files\windows media player\run.exe (Trojan.CryptRun) -> Quarantined and deleted successfully.
    5 Juin 2011 11:37:21

    Youpie! Tout REFONCTIONNE merveilleusement :D 

    Merci merci merci :D 

    Bonne journée
    5 Juin 2011 22:57:38

    Bonsoir
    tu peux refaire une passe avec TDSSkiller stp.
    à la fin du scan, tu cliques sur le bouton report (en bas de l'image)


    et tu me le postes. ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS