Se connecter / S'enregistrer
Votre question

[RESOLU] Virus qui revient sans arrêt

Tags :
  • Internet explorer 8
  • Sécurité
Dernière réponse : dans Sécurité et virus
12 Août 2010 15:25:19

Salut les IDNautes !

Je vous explique mon problème. L'ordinateur de mon père a un virus qui revient même après l'avoir supprimé. J'ai essayé quelques trucs (MAJ Malwarebyte's, analyse Malwarebyte's, demarrage en mode sans échec puis analyse, analyse spybot...) mais rien à faire, il revient à chaque fois (ou plutot ils reviennent à chaque fois puisque Malwarebyte's en trouve toujours 31 : 28 fichiers, 2 dossiers et 1 du registre).
Le PC est un peu plus lent que d'habitude (et la config reste acceptable). Vu que c'est l'ordi de mon père (utilisé aussi par mon petit frère), son utilisation reste normale (Outlook, IE, Wow, facebook, youtube, etc.).

Voici le rapport malwarebyte's:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4422

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

12/08/2010 15:08:30
mbam-log-2010-08-12 (15-08-30).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 282873
Temps écoulé: 41 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 28

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\PriceGong (Adware.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Documents and Settings\Michel\Application Data\PriceGong (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data (Adware.Agent) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\1.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\a.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\b.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\c.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\d.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\e.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\f.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\g.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\h.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\i.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\J.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\k.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\l.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\m.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\mru.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\n.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\o.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\p.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\q.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\r.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\s.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\t.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\u.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\v.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\w.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\x.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\y.xml (Adware.Agent) -> No action taken.
C:\Documents and Settings\Michel\Application Data\PriceGong\Data\z.xml (Adware.Agent) -> No action taken.



Je précise que l'ordinateur n'est pas inutilisable (la preuve, je suis dessus en ce moment), mais ce serait cool de virer cette merde avant que je reparte (dans une semaine), et en même temps, de faire un petit netoyage :D 
Après, je sais que c'est les vacances, et que les Helpeurs ne sont pas forcément là. Donc si c'est pas fait avant la rentrée, c'est pas trop grave.
Voila voila, merci d'avance, et bonnes vacances à tous les IDNautes :D 

Autres pages sur : resolu virus revient arret

14 Août 2010 14:03:18

Salut,

1) Tu n'as entrepris aucune action "No action taken", relances MBAM et supprimes tout ce qu'il trouve ;) 

2) On va regarder l'état du PC
  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Dans la section "Analyse des fichiers", "Âge du fichier", met 30 jours
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    Contenus similaires
    14 Août 2010 22:20:04

    Salut ;) 

    1) C'est toi qui a installé facemoods ? Ou c'est installé à ton insu ?

    2)
    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    O4 - HKLM..\Run: [funkyemoticons] C:\Program Files\FunkyEmoticons\FunkyEmoticons.exe File not found
    [2010/08/13 19:39:58 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michel\Application Data\PriceGong

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL

    3)

    Télécharge Ad-Remover (C_XX) sur ton Bureau.
    /!\ Déconnecte toi et ferme toutes applications en cours /!\
    Double-cliquez sur AD-R présent sur ton bureau. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA)
    Patiente jusqu'à l'apparition du menu principale. A partir de là, clique sur Nettoyer. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.
    !! Laisse Travailler l'outil !!
    A la fin du scan on te propose de redémarrer, accepte en cliquant sur oui. Ton PC va redémarrer.
    Une fois ton PC rallumé, rend toi ici : C:\ et ouvre le fichier nommé Ad-Report-SCAN.
    Poste moi dans ta prochaine réponse le contenu de Ad-Report-SCAN.
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    14 Août 2010 23:38:44

    Ok, c'est bon tout ça.

    Pour facemoods: si c'est pas lui, désinstalles le via Ajout/Suppression de programmes.

    Et ensuite, est-ce que tu pourras refaire un log OTL s'il te plait ?
    15 Août 2010 00:20:17

    Il y a encore des traces de facemoods dans le log. On va nettoyer ça.

    Par contre, PriceGong et Conduit sont revenus... hmm...

    Relance OTL.exe.

  • Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant (Ne le modifie pas):

    :OTL
    PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
    [2010/06/22 22:13:05 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Michel\Application Data\Mozilla\Firefox\Profiles\iosqnnfg.default\extensions\ffxtlbr@Facemoods.com
    [2009/12/28 18:54:24 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions\ffxtlbr@Facemoods.com
    O3 - HKLM\..\Toolbar: (facemoods Toolbar) - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.3.43.0\escorTlbr.dll File not found
    [2010/08/14 22:42:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michel\Application Data\PriceGong
    [2010/08/14 22:42:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Michel\Local Settings\Application Data\Conduit
    [2009/12/28 18:54:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Michel\Application Data\facemoods.com
    [2010/08/14 22:43:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Michel\Application Data\PriceGong
    C:\Program Files\facemoods.com\

    :Commands
    [purity]
    [emptytemp]
    [start explorer]
    [Reboot]


  • Puis clique sur le bouton Correction en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Enfin, poste un nouveau log OTL (cette fois, ne coche pas les cases LOP Check et Purity).

    Note : Tu verras peut-être un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le avec le nouveau log OTL
    15 Août 2010 01:16:34

    Ca devrait être mieux.
    Est-ce que tu peux refaire un scan avec OTL qu'on voit l'état maintenant ?
    15 Août 2010 12:43:29

    Bonjour,

    J'avais oublié un bout de facemoods.
    Par contre, les deux dossiers sont de retour, il doit y avoir quelque chose que je ne vois pas.

    1)
    Les logiciels d'émulation de CD ( comme Daemon Tools et autre ) peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    * Télécharge Defogger (de jpshortstuff) sur ton Bureau
    http://www.jpshortstuff.247fixes.com/Defogger.exe
    * Lance le
    * Une fenêtre apparait : clique sur "Disable"
    * Fais redémarrer l'ordinateur si l'outil te le demande
    * Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    2)

    Télécharge Gmer. (Przemyslaw Gmerek)

  • Dézippe-le dans un dossier dédié ou sur ton Bureau.
  • Déconnecte toi d'Internet puis ferme tous les programmes.
  • Double-clique sur Gmer.exe.
    Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clique sur l'onglet Rootkit.
  • A droite, coche seulement Files, Services & Registry.
  • Clique maintenant sur Scan.
  • Lorsque le scan est terminé, clique sur Copy.
  • Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
  • Le rapport doit alors apparaître.
  • Enregistre le fichier sur ton Bureau et poste le contenu ici.
    15 Août 2010 15:47:47

    Hmm, bizarre...

    Comment se comporte le PC sinon, maintenant que tu as redémarré ?
    15 Août 2010 15:56:48

    Après le redémarrage, beaucoup mieu, et beaucoup plus rapide :)  Merci
    J'imagine que je peux réactiver tout le petit monde avec Defogger ?
    15 Août 2010 15:59:47

    Tout à fait.

    Pour moi c'est bon, si tu as d'autres soucis n'hésites pas à revenir dans ce sujet.
    15 Août 2010 16:25:45

    Ok ok :) 
    Ba merci beaucoup pour tout ca, et bon courage :) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS