Votre question

infection par un virus "résolu"

Tags :
  • Windows
  • Services
  • Virus
  • Trojan
  • Antivirus
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Août 2012 12:56:16

Bonjour,
Depuis 2 jours je suis infecté par un cheval de troie se nommant "dropper.generic_c.mmi" .(c:\windows\....services.exe).
J'ai avg comme anti-virus. Je viens de faire MalwareByte's Anti-Malware : voici le rapport
http://pjjoint.malekal.com/files.php?id=20120813_c7n5s6...


qqu'un peut me prendre en charge svp ? merci

Autres pages sur : infection virus resolu

a c 614 8 Sécurité
a b 9 Windows
13 Août 2012 14:06:12

Bonjour,

C'est une infection dangereuse, on va tenter de la traiter.

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    1) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau


    2) Télécharge ComboFix (de sUBs) sur ton bureau (! pas ailleurs!).

    /!\ Ferme tous tes programmes et déconnecte toi d'internet.

    /!\ Désactive tes logiciels de sécurité (antivirus, antispyware, etc). /!\

  • Double clique sur Combofix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur combofix.exe et sélectionne "Exécuter en tant qu'administrateur".)

    Note : si une erreur s'affiche, arrête l'exécution et vient nous le dire

  • Valide les conditions d'utilisations
  • L'outil va se lancer, ne touche plus à rien pendant ce temps là !!!
  • S'il est demandé d'installer la console de récupération, accepte.

  • Pendant l'analyse ton bureau peut disparaitre et réaparraitre, c'est normal.
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt
    13 Août 2012 16:18:49

    Salut,

    d'abord un tout grand merci de m'aider, ça fait vraiment plaisir !

    J'aurais voulu savoir , tu me dis que c'est un virus dangereux, peux-tu me dire en quoi
    car je ne vois pas grand chose de changer sur mon ordi à part AVG qui affiche
    régulièrement la menace ?

    J'ai fait le scan par OTL je poste les liens
    http://pjjoint.malekal.com/files.php?id=20120813_e6z13x...
    http://pjjoint.malekal.com/files.php?id=20120813_m10j14...

    Je passe à l'étape 2 ,à bientot
    Contenus similaires
    13 Août 2012 16:32:38

    voilà j'ai lancé combofix j'ai accepté les conditions, le logiciel avait l'air de travailler,
    je suis pas rester devant et qd je suis revenu la fenêtre était plus là comme si c'était
    terminé, mais pas de trace du rapport ni dans c:\combofi..
    que dois-je faire ?

    j'ai remarqué qu'il y avait une lettre en plus dans l'explorateur windows (y a un b:\ maintenant
    normal ?)
    a c 614 8 Sécurité
    a b 9 Windows
    13 Août 2012 19:46:19

    Re,

    Si ce n'est pas fait, redémarre le pc et regarde si Combofix termine le travail et fais apparaitre son rapport.

    Sinon on continuera sans.

    :jap: 
    13 Août 2012 20:03:09

    Voilà j'ai redémarré sans souci, pas de trace du rapport et la lettre b:\ a disparu, tout est comme d'habitude à part le message d'avg qui apparait régulièrement, j'attends tes instruction merci
    a c 614 8 Sécurité
    a b 9 Windows
    13 Août 2012 20:22:51

    Re,

    Bon on va travailler autrement, on reviendra peut-être sur combofix ensuite.

    Ah, oui, tu demandais pourquoi c'est dangereux, en fait cette menace est un rootkit, une infection évoluée et difficile à traiter, pouvant provoquer des plantages du système.
    De même en soit elle n'est là que pour protéger d'autres infections qui elles peuvent voler tes données, ou utiliser ton pc pour des actions (pc zombie).

    Sache par ailleurs que cette infection est là car ton pc n'est pas jour de certains logiciels/addons (java, adobe reader, flash, etc ...), et tu as visité des sites (généralement streaming), contenant des publicités infectées (malvertising).
    On fera le nécessaire en fin de procédure.

    On y va :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    - Java(TM) 6 Update 14 (64-bit) (version obsolète, risque de faille)
    - Adobe Reader 9.4.6 MUI (idem, tu possèdes une plus récente)
    - AOL Toolbar 5.0 (sauf réelle utilité, barre d'outil)
    - Bing bar (idem)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA}:6.0.26
    FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_1_102.dll File not found
    [2012-08-13 12:47:21 | 000,231,936 | ---- | C] (Ufasoft) -- C:\Windows\Installer\{c4882ad4-6442-7f41-0b2d-87d01264044f}\L\00000008.@
    [2012-08-13 12:46:41 | 000,232,960 | ---- | C] () -- C:\Windows\Installer\{c4882ad4-6442-7f41-0b2d-87d01264044f}\U\00000008.@
    [2012-08-13 12:46:33 | 000,092,160 | ---- | C] () -- C:\Windows\Installer\{c4882ad4-6442-7f41-0b2d-87d01264044f}\U\80000032.@
    [2012-08-13 12:45:59 | 000,001,632 | ---- | C] () -- C:\Windows\Installer\{c4882ad4-6442-7f41-0b2d-87d01264044f}\U\000000cb.@
    [2012-08-12 19:20:30 | 000,080,896 | ---- | C] () -- C:\Windows\Installer\{c4882ad4-6442-7f41-0b2d-87d01264044f}\U\80000064.@
    [2012-08-12 19:20:26 | 000,016,896 | ---- | C] () -- C:\Windows\Installer\{c4882ad4-6442-7f41-0b2d-87d01264044f}\U\80000000.@
    [2012-08-12 19:20:19 | 000,002,048 | ---- | C] () -- C:\Windows\Installer\{c4882ad4-6442-7f41-0b2d-87d01264044f}\U\00000004.@
    [2012-08-12 17:03:56 | 000,000,804 | ---- | C] () -- C:\Windows\Installer\{c4882ad4-6442-7f41-0b2d-87d01264044f}\L\00000004.@
    [2012-06-27 22:03:55 | 000,000,052 | ---- | C] () -- C:\ProgramData\grrqpunrkpfxxzp
    [2012-01-11 09:12:12 | 000,002,048 | -HS- | C] () -- C:\Windows\Installer\{c4882ad4-6442-7f41-0b2d-87d01264044f}\@
    [2012-01-11 09:12:12 | 000,002,048 | -HS- | C] () -- C:\Users\Chris\AppData\Local\{c4882ad4-6442-7f41-0b2d-87d01264044f}\@
    @Alternate Data Stream - 24 bytes -> C:\Windows:135B310532B12307

    :Files
    C:\Windows\SysNative\services.exe|C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7 /replace

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    a c 614 8 Sécurité
    a b 9 Windows
    13 Août 2012 23:07:04

    Re,

    OK, une partie importante n'a pas fonctionné, mais vu qu'on a pu supprimer un peu, on va tester de nouveau combofix pour voir :

  • Ouvre un fichier Bloc-note vierge (Démarrer -> Tous les programmes -> accessoire -> Bloc-note)
  • Copie-colle EXACTEMENT ceci dedans :



    Fcopy::
    C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7 | C:\Windows\SysNative\services.exe



  • Clique ensuite sur "Fichier" -> "Enregistrer sous..."
  • Choisi ton bureau comme destination et nomme le fichier "CFScript"
  • Clique sur le bouton "Enregistrer"
  • Ferme le Bloc-note.

  • Fait maintenant glisser le fichier sur ton bureau sur l'icone de Combofix comme ceci (maintenir le clic-gauche de la souris et faire glisser)



  • Combofix va se relancer, suis les instructions.
  • Ne touche à rien pendant le temps du scan !!!
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    14 Août 2012 07:38:36

    Salut,

    Opération effectuée.
    QQ remarques :
    - il était pas indiqué de couper internet avant de lancer combofix, du coup il a détecté une maj de combofix,
    que j'ai faite..
    - il a détecté que avg était actif, c'est vrai je l'avais réactivé vu que je me reconnectais pour aller sur le
    forum, je l'ai désactivé puis combofix s'est lancé après.
    Voici le rapport :
    http://pjjoint.malekal.com/files.php?id=20120814_h11x14...
    a c 614 8 Sécurité
    a b 9 Windows
    14 Août 2012 10:18:32

    Re,

    Parfait, normalement ce doit être bon à présent.

    Confirme-moi qu'AVG ne fait plus d'alerte.

    Si c'est ok, on passera au nettoyage des outils et à la conclusion.
    14 Août 2012 10:32:45

    oui effectivement je confirme qu'il n'y a plus d'alerte du tout, YES !

    Je suis content un tout grand merci à toi.

    J'attends tes instructions.
    a c 614 8 Sécurité
    a b 9 Windows
    14 Août 2012 11:55:31

    Re,

    On y va :

    1) Désinstallation de Combofix :

    Clique sur "Démarrer" -> "exécuter" (si non présent : "Tous les programmes" -> "accessoires")
    Tape exactement ceci :
    Citation :
    Combofix.exe /Uninstall


    Laisse l'outil travailler, il se supprimera automatiquement.


    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    3) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    14 Août 2012 13:19:41

    Salut !

    étape 1, 2 et 3 effectuées sans souci. J'ai installé les 2 plugins pour firefox aussi.
    J'ai fait le scan de sécurité, j'ai qq logiciels à mettre à jour aussi je vais m'en occuper.

    Je voulais te remercier encore une fois car seul je n'ay serais jamais parvenu, je souhaite
    longue vie à ce forum et aux personnes sympa et compétentes comme toi,

    Chris
    a c 614 8 Sécurité
    a b 9 Windows
    14 Août 2012 13:32:53

    Re,

    NoScript peut demander un peu de maitrise dans son utilisation, car il peut empêcher le fonctionnement normal de certains sites légitimes si tu ne le configure pas correctement, mais il est une très bonne sécurité contre les attaque via site web piégé et via les failles logiciels

    Citation :
    J'ai fait le scan de sécurité, j'ai qq logiciels à mettre à jour aussi je vais m'en occuper.


    Normalement SXCU met à jour les principaux, quels sont ceux indiqué par Secunia comme non à jour ?
    14 Août 2012 15:29:58

    lol pas noté la liste mais de mémoire : il y avait itunes, adobe flash et encore un autre adobe mais pas retenu le nom...
    J'ai tout mis à jour et tout est ok maintenant.

    Chris
    a c 614 8 Sécurité
    a b 9 Windows
    14 Août 2012 15:55:38

    Re,

    Pour Itunes, je te laisse faire, tu dois avoir un menu pour le mettre à jour dedans.

    Pour flash, il faut aller avec chaque navigateur sur ce lien et suivre la procédure (décoche les options proposée "McAfee security scan et/ou Chrome") :
    http://get.adobe.com/fr/flashplayer/

    Avais-tu bien supprimé cette version d'adobe reader ?
    Adobe Reader 9.4.6

    La restant, la X, aurait dû se mettre à jour vers 10.1.3 si jamais l'alerte la concerne.

    Bref, si tu veux de l'aide pour comprendre et/ou mettre à jour selon l'analyse, dis-le moi.
    :jap: 
    14 Août 2012 19:47:35

    oui oui j'ai bien supprimé adobe reader 9.4.6 et là j'ai le 10.1.3. Mais l'alerte concernait un autre adobe mais pas retenu le nom.
    Pour firefox je n'ai plus rien à mettre à jour d'après Secunia, idem avec internet explorer 32 bits, c'est bon.

    Par contre avec internet explorer 64 bits, je ne sais pas lancer secunia il me dit que java manque, je suppose qu'il faut installer
    un java "64 bits", si je le fais ca risque pas de faire des conflits avec le java 32 bits ? merci
    a c 614 8 Sécurité
    a b 9 Windows
    14 Août 2012 20:06:07

    Re,

    Normalement Java 7 contient les deux versions, 32 et 64 bits, donc non pas besoin.

    Et IE 64bits tu l'utilises rarement, donc ...
    14 Août 2012 20:08:36

    oui tout à fait firefox me suffit amplement, encore merci l'ami ;) 
    15 Août 2012 16:39:40

    Rebonjour,

    j'ai un petit souci, j'ai voulu faire mes mise à jour windows 7 mais impossible. il affiche
    > echec code 80246008.(jamais eu çà avant) J'ai essayé de faire le nécessaire mais en vain. Apparemment il faut relancer
    le service appelé BITS ( service de transfert intelligent) mais je ne le vois pas, il est absent de la liste des services disponible,
    peux-tu m'aider à nouveau stp ? merci

    edit : j'ai trouvé une solution en cherchant sur le net, puis-je l'appliquer ?
    http://www.vista-xp.fr/forum/topic10624-30.html

    edit2 : j'ai posté ma demande d'aide dans la bonne section du forum (windows 7)
    15 Août 2012 21:13:29

    c'est bon j'ai trouvé la solution (importation clé de registre BITS d'un autre ordi win 7 puis exportation sur le mien), Résolu merci
    a c 614 8 Sécurité
    a b 9 Windows
    15 Août 2012 21:17:43

    Tant mieux ;) 

    Bonne soirée.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS