Votre question

J'ai un virus: au secours!

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Septembre 2010 18:03:11

Bonjour.

j'ai besoin de votre aide, SVP! j'ai en effet un fond de bureau noir sur mon pc "your system is infected".

une icone me propose de lancer un programme "antivirus 2010" qui à mon avis est bidon et risque d'aggraver mon cas.
impossible de lancer le moindre scan avec mes logiciels de nettoyage= malware byte, avira antivirus se coupent dès que j'en lance un = rootkit?

je ne peux meme pas lancer hijackthis via l'application RSIT.

au secours! je ne sais plus quoi faire :( 




Autres pages sur : virus secours

a c 614 8 Sécurité
25 Septembre 2010 19:21:55

[:arslan:13] Bonsoir,

Préambule à toute désinfection :

La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient vous empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risque de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, pense à sauvegarder le maximum possible tes documents auparavant !


    Télécharge OTLPEnet sur ton Bureau (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    sptd.sys
    iaStor.sys
    nvstor.sys
    atapi.sys
    i8042prt.sys
    cdrom.sys
    disk.sys
    ndis.sys
    tcpip.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    redbook.sys
    ipsec.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Contenus similaires
    a c 614 8 Sécurité
    27 Septembre 2010 17:20:28

    Re ;) 

    Citation :
    sympa, le coup du cd de boot pour passer outre le blocage provoqué par le virus!

    Ouais, malheureusement, on est de plus en plus obligé d'en passer par çà à la vue des infections actuelles ...

    Et je vois que tu as utilisé une pléthore d'outils avant non ?


    On y va :

  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    SRV - File not found [Auto] -- -- (userinit)
    SRV - File not found [Unavailable] -- C:\Program Files\Norton Internet Security\NISUM.EXE -- (NISUM)
    SRV - File not found [Unavailable] -- C:\Program Files\Norton Internet Security\ccPxySvc.exe -- (ccPxySvc)
    SRV - File not found [Unavailable] -- C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe -- (ccPwdSvc)
    SRV - File not found [Unavailable] -- C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe -- (ccEvtMgr)
    DRV - File not found [Kernel | On_Demand] -- C:\WINDOWS\System32\Drivers\ZDPSp50.sys -- (ZDPSp50)
    DRV - File not found [Kernel | On_Demand] -- C:\WINDOWS\System32\ZDCndis5.SYS -- (ZDCndis5)
    DRV - File not found [Adapter | On_Demand] -- -- (Winsock - Google Desktop Search Backup Before Last Install)
    DRV - File not found [Adapter | On_Demand] -- -- (Winsock - Google Desktop Search Backup Before First Install)
    DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
    DRV - File not found [Kernel | Unavailable] -- C:\Program Files\Symantec\SYMEVENT.SYS -- (SymEvent)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
    DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
    DRV - File not found [Kernel | System] -- -- (lbrtfdc)
    DRV - File not found [Kernel | System] -- -- (i2omgmt)
    DRV - File not found [Kernel | System] -- -- (Changer)
    DRV - File not found [Kernel | On_Demand] -- C:\WINDOWS\System32\DRIVERS\atimtag.sys -- (atimtag)
    DRV - [2009/02/09 06:53:55 | 000,012,800 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\System32\drivers\mvb35316.sys -- (mvb35316)
    O3 - HKU\Thomas_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.
    O3 - HKU\Thomas_ON_C\..\Toolbar\WebBrowser: (AOL Toolbar) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll File not found
    O4 - HKLM..\Run: [KernelFaultCheck] File not found
    MsConfig - Services: "AVG Anti-Spyware Guard"
    MsConfig - Services: "avast! Web Scanner"
    MsConfig - Services: "avast! Mail Scanner"
    MsConfig - Services: "avast! Antivirus"
    MsConfig - Services: "aswUpdSv"
    MsConfig - StartUpFolder: C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^AOL 9.0 Icône AOL.lnk - C:\Program Files\AOL 9.0\aoltray.exe - File not found
    MsConfig - StartUpReg: KernelFaultCheck - hkey= - key= - File not found
    [1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]


    :Reg
    [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe"

    :Files
    C:\WINDOWS\System32\us?rinit.exe /u
    copy C:\WINDOWS\ServicePackFiles\i386\aec.sys C:\WINDOWS\System32\drivers /c

    :Commands
    [purity]
    [emptytemp]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    27 Septembre 2010 17:57:31

    salut!!

    cette petite opération a fait sauter le fond d'ecran noir et le lancement de l'application 'antivirus 2010'. :sol: 

    cela me rappelle une précédente infection où l'on m'avait fait utiliser, sur ce même forum, un applicatif appellé OTM, avec des lignes de code à insérer.

    je serais curieux de savoir comment reconnaître les éléments douteux retranscrits dans le rapport ?

    en tout cas, voici le lien demandé:


    http://www.cijoint.fr/cjlink.php?file=cj201009/cijEbTGH...

    a c 614 8 Sécurité
    27 Septembre 2010 20:10:10

    Re,

    Citation :
    cela me rappelle une précédente infection où l'on m'avait fait utiliser, sur ce même forum, un applicatif appellé OTM, avec des lignes de code à insérer.

    je serais curieux de savoir comment reconnaître les éléments douteux retranscrits dans le rapport ?


    Normal, OTM et OTL sont deux outils similaire, du même auteur. OTM ne sert qu'à faire des suppressions et scripts de suppression, OTL est plus complet, car il permet de diagnostiquer avant de supprimer.

    Quand à reconnaitre les éléments, et bien, expérience et formation peuvent y aider :
    http://www.infos-du-net.com/forum/284351-11-centre-form...
    (malheureusement les inscriptions sont un peu fermées à cause du manque de place ...)


    Revenons à la désinfection.

    Redémarre le pc en mode normal.

    Puis fais ceci :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

    Poste-le dans ta prochaine réponse.

    Dis-moi comment se comporte le PC.

    [:_tom_:7]
    4 Octobre 2010 20:58:12

    Bonsoir hyunkel,

    voici le rapport demandé, avec quelques jours de décalage, désolé:

    http://www.cijoint.fr/cjlink.php?file=cj201010/cijjD7Gk...

    celui-ci s'avère a priori négatif (tout comme l'analyse que j'aai faite de mon système avec avira antivirus).

    ce qui me laisse perplexe, c'est que j'ai du désinstaller malwarebytes pour le réinstaller.

    En effet, mon icone pour le logiciel, depuis le début d mon problème, a l'aspect d'une fenetre de windows vierge, (liseré bleu en haut et toute blanche pour la page), et quand je cliquais dessus ça me mettait:

    "windows ne parvient pas a accéder au périphérique, au chemin d'accès ou au programme spécifié. Vosu ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément".

    donc pour pouvoir suivre cette nouvelle étape de la désinfection j'ai dû désinstaller malware et le réinstaller avec le lien que tu m'as donné.

    ça a fonctionné.
    par contre, j'avais RSIT sur mon bureau également, et l'icone reste blanche, et quand je clique dessus, j'ai toujours ce commentaire.

    je me doute que l'infection y est pour quelquechose, mais l'infection n'a plus l'air d'être présente.

    les programmes destinés à se défendre contre ce type de problème auraient ils été corrompus durant cette "attaque"? ou subsiste-t-il un problème que malware et avira n'ont pas detecté...

    merci pour l'aide que tu m'apportes en tout cas
    a c 614 8 Sécurité
    4 Octobre 2010 21:22:06

    Re,

    Ok, oui l'infection avait endommagé ou corrompu les programmes d'analyse ou leur raccourci.

    Il faudra supprimer tous ceux qui ne fonctionnent plus pour les réinstaller.

    Connais-tu d'autres soucis à part ceux-là ?
    Le PC tourne-t-il correctement ?

    21 Octobre 2010 23:09:13

    Bonsoir hyunkel,

    je n'ai pas pu vraiment utiliser mon pc ces derniers temps, mais a priori, tout a l'air normal.

    je me suis fait avoir lors de l'ouverture d'un simple fichier video streaming.

    java et windows media player se sont ouverts (alors que media player n'est pas mon lecteur par defaut) et boum... alerte avira. mais c'etait déjà trop tard...

    y a-t-il un moyen de ne pas craindre ce genre de failles de sécurité?

    ou suis-je condamné à faire pipi dans ma culotte à chaque fois que je veux ouvrir un truc sur internet... :sol: 



    @ +
    a c 614 8 Sécurité
    22 Octobre 2010 17:29:23

    Re,

    C'est la grosse mode les infections via faux-codec/faille Java/flash player ...

    Pour éviter :
    - Faire attention à ce que l'on visite, ne pas cliquer sur n'importe quoi
    - Maintenir ses logiciels à jour, notamment Windows, Java, Flash player, Adobe reader/lecteur de pdf
    - Surfer sans droit d'administration, ou en utilisant des bloqueurs de script

    On va finir le ménage et te donner les conseils :


    1) Télécharge CCleaner Slim (sans toolbar) de Piriform :

  • Lance l'installation en double cliquant sur le fichier Ccleaner***_slim.exe. (aide ici)
  • Ceci terminé, lance le programme.
  • Choisis Options -> Avancé -> et décoche "Effacer uniquement les fichiers du dossier temp plus vieux que 48h"
  • Choisis "Nettoyeur" puis clique sur "Analyse"
  • Laisse faire puis clique sur "Lancer le nettoyage" et accepte l'avertissement avec "Oui"

  • Choisis ensuite "Registre" puis clique sur "Chercher les erreurs"
  • Laisse faire le scan puis clique sur "Réparer les erreurs sélectionnées"
  • Enregistre la sauvegarde en cliquant sur "Oui"
  • puis clique sur "Corriger toutes les erreurs sélectionnées"
  • Valide l'avertissement en cliquant sur "Oui"

  • Ferme le programme


    2) Purger la restauration système :

    Elle contient des restes de l'infection :
    http://www.inforumatique.fr/la-restauration-du-systeme-...

    (fin du tuto)

    3) Vérifier que tes programmes sont à jours :

    Utilise ce scan :
    http://secunia.com/vulnerability_scanning/online/

    Et met à jour les logiciels détecté comme non à jour.


    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Utiliser un navigateur alternatif pour surfer de manière plus sécurisée :
    Firefox offre une meilleure sécurité par rapport à Internet Explorer, surtout si on le complète de quelques plugins très intéressant : Noscript et WOT par exemple.

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS