Se connecter / S'enregistrer
Votre question

Virus qui revient

Tags :
  • Internet explorer 8
  • Sécurité
Dernière réponse : dans Sécurité et virus
6 Avril 2011 14:50:16

Bonjour à tous,

J'ai depuis quelques semaines un problème de virus tyep trojan qui revient encore et encore malgré les scans que je lance.

Le virus apparait sous la forme de pop ups du genre "fausse alerte d'antivirus" et me bloque sévèrement l'ordinateur m'empêchant parfois d'ouvrir des fenêtres ou en ouvrant des pop ups à l'infini.

Après un scan et suppression des fichiers infectés je suis généralement tranquile pour quelques jours, cependant le virus revient encore et encore... (il y a java sun qui s'ouvre au moment ou le virus réapparait et toutes mes fenêtres en cours se ferment).

Voici le rapport de mon dernier scan avec malwarebytes:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6264

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

06/04/2011 08:04:58
mbam-log-2011-04-06 (08-04-58).txt

Type d'examen: Examen complet (C:\|Q:\|)
Elément(s) analysé(s): 298433
Temps écoulé: 1 heure(s), 31 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\jean mathieu\AppData\Local\kgh.exe" -a "%1" %*) Good: ("%1" %*) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\jean mathieu\AppData\Local\Temp\0.6238889757575143.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\jean mathieu\AppData\Local\Temp\0.8698111371618197.exe (Trojan.Dropper) -> Quarantined and deleted successfully.


Est-ce que quelqu'un pourrait me donner une solution pour me débarrasser définitivement de ce virus?

Merci

Jean-Mathieu

Autres pages sur : virus revient

a c 548 8 Sécurité
6 Avril 2011 15:50:22

Bonjour,

Oui, infecté par un rogue : faux logiciel de sécurité.


Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.



    1) Télécharge RogueKiller (de Tigzy) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur RogueKiller.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Une fois l'initialisation terminée, choisis l'option 1 et valide.
  • Un rapport s'ouvrira, copie-colle son contenu dans ta prochaine réponse

    (S'il ne s'ouvre pas, il est enregistré sur le bureau : RKreport.txt)


    2) Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Contenus similaires
    a c 548 8 Sécurité
    15 Avril 2011 10:08:19

    Re,

    Ton message Java, ce serait pas plutôt pour le mettre à jour, car il n'est pas à jour ...

    A suivre :

    1) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Copie/colle ce qui suit dans le cadre Personnalisation en bas à gauche.
    :OTL
    MsConfig - StartUpReg: terrapoint700x0main.exe - hkey= - key= - File not found
    MsConfig - StartUpReg: tsnp2uvc - hkey= - key= - File not found
    [2011/04/05 23:57:54 | 000,114,688 | -HS- | C] (Microsoft Corporation) -- C:\Users\jean mathieu\AppData\Local\nxd.exe
    [2011/04/04 01:04:29 | 000,114,688 | -HS- | C] (Microsoft Corporation) -- C:\Users\jean mathieu\AppData\Local\hfp.exe
    [2011/04/02 17:42:40 | 000,000,000 | ---D | C] -- C:\Users\jean mathieu\AppData\Local\Panther
    [2011/04/02 17:42:35 | 000,114,688 | -HS- | C] (Microsoft Corporation) -- C:\Users\jean mathieu\AppData\Local\sqk.exe
    [2011/04/02 17:42:35 | 000,114,688 | -HS- | C] (Microsoft Corporation) -- C:\Users\jean mathieu\AppData\Local\msi.exe
    [2011/04/02 17:42:34 | 000,114,688 | -HS- | C] (Microsoft Corporation) -- C:\Users\jean mathieu\AppData\Local\nid.exe
    [2011/04/06 07:58:43 | 000,008,008 | -HS- | M] () -- C:\Users\jean mathieu\AppData\Local\3lhqy33xpt11p
    [2011/04/06 07:58:43 | 000,008,008 | -HS- | M] () -- C:\ProgramData\3lhqy33xpt11p
    [2011/04/02 19:43:16 | 000,008,832 | -HS- | M] () -- C:\Users\jean mathieu\AppData\Local\jcl665ep0rnlp562hps
    [2011/04/02 19:43:16 | 000,008,832 | -HS- | M] () -- C:\ProgramData\jcl665ep0rnlp562hps
    [2011/04/02 17:42:29 | 000,239,213 | -HS- | M] () -- C:\Users\jean mathieu\AppData\Local\ody.exe
    [2011/04/02 17:42:26 | 000,239,213 | -HS- | M] () -- C:\Users\jean mathieu\AppData\Local\qtc.exe
    [2011/04/02 17:42:26 | 000,239,213 | -HS- | M] () -- C:\Users\jean mathieu\AppData\Local\ala.exe
    [2011/03/27 20:05:47 | 000,009,038 | -HS- | M] () -- C:\Users\jean mathieu\AppData\Local\7d34t16snostcdvlr1fx05d0p28v406d1j3q6fah3hdl
    [2011/03/27 20:05:47 | 000,009,038 | -HS- | M] () -- C:\ProgramData\7d34t16snostcdvlr1fx05d0p28v406d1j3q6fah3hdl
    [2011/03/09 21:09:17 | 000,009,564 | -HS- | C] () -- C:\Users\jean mathieu\AppData\Local\995087126
    [2011/03/09 21:09:17 | 000,009,564 | -HS- | C] () -- C:\ProgramData\995087126
    [2010/10/18 18:06:23 | 000,000,120 | ---- | C] () -- C:\Users\jean mathieu\AppData\Local\Asuqadepiriqur.dat
    [2010/10/18 18:06:23 | 000,000,000 | ---- | C] () -- C:\Users\jean mathieu\AppData\Local\Hvamoh.bin
    [2010/10/18 18:04:41 | 000,000,189 | ---- | C] () -- C:\Users\jean mathieu\AppData\Roaming\35069.bat
    [2010/10/18 18:04:41 | 000,000,188 | ---- | C] () -- C:\Users\jean mathieu\AppData\Roaming\8741.bat
    [2010/10/18 18:06:54 | 000,000,000 | ---D | M] -- C:\Users\jean mathieu\AppData\Roaming\4EF6EBE6C80E9F8FCBECC0CE1C742127
    @Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:DFC5A2B2
    @Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:D1B5B4F1

    :Commands
    [emptytemp]
    [emptyflash]


  • Puis clique sur le bouton Correction en haut à gauche
  • Si le pc demande à redémarrer accepte.
  • Poste le rapport de suppression.


    Ensuite :

    2) Télécharge TDSSKiller de Kaspersky sur ton bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
  • Double clique sur "TDSSKiller.exe" pour lancer l'outil.
    (Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)

  • Clique alors sur le bouton "Start Scan".
  • Laisse le scan s'effectuer.

  • Dans la fenêtre de résultat :
  • Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
  • Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
  • Pour la partie "Suspicious object" laisse sur "Skip"
  • Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
  • Clique enfin sur "Continue"

  • Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"

  • Au redémarrage va chercher le rapport de suppression, il se trouve ici :
    C:\ TDSSKiller.x.x.x.x_date_heure_log.txt

    Poste son contenu dans ta prochaine réponse.
    15 Avril 2011 22:22:15

    En fait ce matin, le virus a fait que je ne pouvais plus accéder à Windows (écran noir avec juste pointeur de la souris). du coup j'ai appelé un informaticien qui m'a résolu le problème et fait le ménage.

    Encore Merci pour votre aide.
    a c 548 8 Sécurité
    16 Avril 2011 10:20:56

    Ok, tant pis.

    [:_tom_:7]
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS