Votre question

PC infecté par virus inconnu RESOLU

Tags :
  • Virus
  • Demarrage
  • Connexion
  • Sécurité
Dernière réponse : dans Sécurité et virus
13 Août 2012 19:37:42

Bonjour,

J'ai un PC infecté par un virus que je n'arrive pas à identifier, j'aurais besoin d'aide pour l'éradiquer.
Le PC est sous XP SP3, l'antivirus installé est Sophos, il est mis à jour régulièrement.

Quelques secondes après le démarrage du PC une fenetre internet s'ouvre, prenant tou l'écran, sans barre de tache ni barre d'outil. Sauf que la connextion ne se fait pas et c'est une page "erreur de connexion" qui s'affiche. (du coup je ne sais pas si c'est de la pub, une arnaque gendarmerie, ou autre)
J'ai lancé le mode sans ehec, et la page ne s'affiche pas. J'ai fait une restauration à vendredi derneir, et redemarré normalement, et la page ne s'affichait pas.
Par contre, j'ai débranché le réseau, et je n'ai pas relancer IE (au cas ou le virus est toujours là mais pas activé).
Je peux facilement utiliser un autre PC pour lire ce forum. Je pourrais faire des manip demain.

Merci d'avance !

Eric

Autres pages sur : infecte virus inconnu resolu

a c 614 8 Sécurité
14 Août 2012 10:21:59

Bonjour,

Cela ressemble effectivement à un ransomware "gendarmerie" qui n'arrivait pas à joindre son serveur.

On va regarder s'il y a des restes :
A télécharger sur un pc connecté, puis transfère en usb, idem à l'inverse pour les rapports. (pense à copier en fichier texte le script ce sera plus facile que le recopier manuellement)

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    Contenus similaires
    a c 614 8 Sécurité
    14 Août 2012 12:11:15

    Re,

    Tu as effectivement des restes de l'infection par ransomware, tu as été infecté car ton pc et ses logiciels ne sont pas à jour (java, adobe reader, flash, etc ...) On s'en occupera à la fin de la procédure.

    1) Désinstalle les programmes suivant via "ajout/suppression des programmes" (si présents) :

    - J2SE Runtime Environment 5.0 Update 4
    - Java(TM) 6 Update 3
    - Java(TM) 6 Update 5
    - Java(TM) 6 Update 7
    - Java(TM) SE Development Kit 6 Update 13 (version obsolètes comportant des failles, tu possèdes une plus récente)


    2) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    PRC - [2007/01/04 23:38:18 | 000,112,336 | ---- | M] (Viewpoint Corporation) -- C:\Program Files\Viewpoint\Viewpoint Manager\ViewMgr.exe
    PRC - [2007/01/04 23:38:08 | 000,024,652 | ---- | M] (Viewpoint Corporation) -- C:\Program Files\Viewpoint\Common\ViewpointService.exe
    SRV - [2007/01/04 23:38:08 | 000,024,652 | ---- | M] (Viewpoint Corporation) [Auto | Running] -- C:\Program Files\Viewpoint\Common\ViewpointService.exe -- (Viewpoint Manager Service)
    O2 - BHO: (no name) - {71f93a86-7661-4463-b4e9-621e76bff200} - No CLSID value found.
    O4 - Startup: C:\Documents and Settings\DL\Menu Démarrer\Programmes\Démarrage\Maj Heure.lnk = C:\WINDOWS\system32\net.exe (Microsoft Corporation)
    O20 - HKLM Winlogon: Shell - (rundll32.exe pful.tko) - File not found
    O20 - HKLM Winlogon: Shell - (mgocdj) - File not found
    O20 - Winlogon\Notify\atkean: DllName - (atkean.dll) - File not found
    O20 - Winlogon\Notify\hhsrep: DllName - (hhsrep.dll) - File not found
    ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
    ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
    [2012/08/13 16:36:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\wyzqrcsdzfuwcrt
    [7 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/08/14 11:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At36.job
    [2012/08/14 11:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At12.job
    [2012/08/14 10:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At35.job
    [2012/08/14 10:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At11.job
    [2012/08/13 16:36:08 | 000,000,051 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\tqfjyhqohwpdjkb
    [2012/08/13 16:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At41.job
    [2012/08/13 16:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At17.job
    [2012/08/13 15:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At40.job
    [2012/08/13 15:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At16.job
    [2012/08/13 14:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At39.job
    [2012/08/13 14:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At15.job
    [2012/08/13 13:57:00 | 000,000,512 | ---- | M] () -- C:\WINDOWS\tasks\Ad-Aware Update (Weekly).job
    [2012/08/13 13:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At38.job
    [2012/08/13 13:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At14.job
    [2012/08/13 12:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At37.job
    [2012/08/13 12:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At13.job
    [2012/08/09 09:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At34.job
    [2012/08/09 09:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At10.job
    [2012/08/08 17:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At42.job
    [2012/08/08 17:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At18.job
    [2012/07/18 18:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At43.job
    [2012/07/18 18:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At19.job
    [2012/07/18 08:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At9.job
    [2012/07/18 08:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At33.job
    [2012/07/18 07:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At8.job
    [2012/07/18 07:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At32.job
    [2012/07/18 06:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At7.job
    [2012/07/18 06:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At31.job
    [2012/07/18 05:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At6.job
    [2012/07/18 05:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At30.job
    [2012/07/18 04:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At5.job
    [2012/07/18 04:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At29.job
    [2012/07/18 03:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At4.job
    [2012/07/18 03:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At28.job
    [2012/07/18 02:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At3.job
    [2012/07/18 02:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At27.job
    [2012/07/18 01:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At26.job
    [2012/07/18 01:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At2.job
    [2012/07/18 00:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At25.job
    [2012/07/18 00:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At1.job
    [2012/07/17 23:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At48.job
    [2012/07/17 23:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At24.job
    [2012/07/17 22:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At47.job
    [2012/07/17 22:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At23.job
    [2012/07/17 21:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At46.job
    [2012/07/17 21:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At22.job
    [2012/07/17 20:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At45.job
    [2012/07/17 20:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At21.job
    [2012/07/17 19:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At44.job
    [2012/07/17 19:00:00 | 000,000,346 | ---- | M] () -- C:\WINDOWS\tasks\At20.job
    [2009/04/20 13:47:46 | 000,000,000 | ---D | M] -- C:\Documents and Settings\DL\Application Data\Lavasoft
    [2007/12/26 12:09:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\DL\Application Data\Viewpoint
    @Alternate Data Stream - 142 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:B00CB50D
    @Alternate Data Stream - 119 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:414FC9F2

    :Files
    C:\Program Files\Viewpoint
    C:\WINDOWS\tasks\At*.job

    :Command
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    3) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    a c 614 8 Sécurité
    14 Août 2012 16:01:47

    Re,

    Le java 30 je l'ai laissé le temps de le mettre à jour en cas de besoin sur le pc.

    java Db 10.4.1.3 c'est un module spécifique lié à la gestion de base de données sous des distributions Apache, donc je n'ai pas touché.
    Si tu ne sais pas ce que c'est ou n'en a pas l'utilité, tu peux désinstaller.

    JWSFileChooserDemo : pareil, module lié à la lecture de projet java web star, si aucune utilité, tu peux supprimer.


    Pour le reste, c'est ok.

    Tu peux tester le pc connecté et voir si plus de symptôme/souci.

    Si c'est bon on passera au nettoyage/mises à jour et on conclura.
    14 Août 2012 16:49:17

    Je te remercie, tout foncionne. Je n'ai plus d'écran blanc, et ça a par la même occasion viré un message d'erreur qui s'affichait au démarrage de ce PC depuis longtemps ^_^ (un dll manquant suite à un programme mal désinstallé je pense)

    a c 614 8 Sécurité
    14 Août 2012 20:16:32

    Re,

    1) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :Commands
    [emptytemp]
    [CLEARALLRESTOREPOINTS]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)


    2) Relance OTL.exe

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le désires, pense alors à le mettre à jour auparavant. Sinon, désinstalle-le dans ta liste des programmes.


    4) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version ont bien été supprimée, sinon fais-le manuellement : Adobe Reader 7.0.8

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.

    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Comodo par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS