Se connecter / S'enregistrer
Votre question

Virus bloquant tous les exécutables

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
11 Mars 2010 18:26:03

Bonjour!

Je suis actuellement infecté par un virus bloquant les exécutables qui m'affiche en permanence une fenêtre de type popup avec le message suivant :

"Antivirus software alert" your computer is being attacked by an internet virus. It could be a password-stealing attack, a trojan - dropper or similar".

Il m'est devenu impossible d'ouvrir le moindre fichier ou application. Un message d'erreur s'ouvre à chaque fois : un un fichier étant infecté. Des fenêtres m'enjoignant de télécharger un antivirus précis s'ouvrent. De plus, des pages internet apparaissent régulièrement sur des sites pornographiques...

Je suis incapable de nettoyer mon PC seul. Mon antivirus (Avast) n'y parviens pas non plus.

Je sollicite donc votre aide.

Après avoir lancer OTL, voici les rapports :

http://www.cijoint.fr/cjlink.php?f [...] v8sF0q.txt
http://www.cijoint.fr/cjlink.php?f [...] 8Nr77g.txt


Merci d'avance.

Julien

PS: j'utilise windows 7, si cela peut vous guider...

Autres pages sur : virus bloquant executables

a c 267 8 Sécurité
11 Mars 2010 19:04:15

Bonjour,

Je remets les liens pour les rapports :
http://www.cijoint.fr/cjlink.php?file=cj201003/cij1v8sF...
http://www.cijoint.fr/cjlink.php?file=cj201003/cijj8Nr7...

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    FF - prefs.js..extensions.enabledItems: search@searchsettings.com:1.2.2
    [2009/11/06 18:07:52 | 000,000,000 | ---D | M] -- D:\Program Files\mozilla firefox\extensions\search@searchsettings.com
    O4 - HKCU\..\Run: [lfjdnkdg] D:\Users\Julien\AppData\Local\gjqikt\vrdosftav.exe ()
    O4 - HKCU\..\Run: [lfqpuski] D:\Users\Julien\AppData\Local\bnyxwb\vkilsftav.exe ()
    O4 - HKCU\..\Run: [mfoosomx] D:\Users\Julien\AppData\Local\eukmvf\vkbbsftav.exe ()
    [2010/03/10 23:53:15 | 000,000,000 | ---D | M] -- D:\Users\Julien\AppData\Local\gjqikt
    [2010/03/10 23:53:12 | 000,000,000 | ---D | M] -- D:\Users\Julien\AppData\Local\bnyxwb
    [2010/03/10 23:53:10 | 000,000,000 | ---D | M] -- D:\Users\Julien\AppData\Local\eukmvf

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Run Fix en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    11 Mars 2010 19:16:23

    Voici le rapport attendu:

    All processes killed
    ========== OTL ==========
    Prefs.js: search@searchsettings.com:1.2.2 removed from extensions.enabledItems
    D:\Program Files\mozilla firefox\extensions\search@searchsettings.com\COMPONENTS folder moved successfully.
    D:\Program Files\mozilla firefox\extensions\search@searchsettings.com\CHROME\SKIN folder moved successfully.
    D:\Program Files\mozilla firefox\extensions\search@searchsettings.com\CHROME\LOCALE\EN-US folder moved successfully.
    D:\Program Files\mozilla firefox\extensions\search@searchsettings.com\CHROME\LOCALE folder moved successfully.
    D:\Program Files\mozilla firefox\extensions\search@searchsettings.com\CHROME\CONTENT folder moved successfully.
    D:\Program Files\mozilla firefox\extensions\search@searchsettings.com\CHROME folder moved successfully.
    D:\Program Files\mozilla firefox\extensions\search@searchsettings.com folder moved successfully.
    Registry key HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Run not found.
    D:\Users\Julien\AppData\Local\gjqikt\vrdosftav.exe moved successfully.
    Registry key HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Run not found.
    D:\Users\Julien\AppData\Local\bnyxwb\vkilsftav.exe moved successfully.
    Registry key HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Run not found.
    D:\Users\Julien\AppData\Local\eukmvf\vkbbsftav.exe moved successfully.
    D:\Users\Julien\AppData\Local\gjqikt folder moved successfully.
    D:\Users\Julien\AppData\Local\bnyxwb folder moved successfully.
    D:\Users\Julien\AppData\Local\eukmvf folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrator

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Julien
    ->Temp folder emptied: 44992825 bytes
    ->Temporary Internet Files folder emptied: 19842475 bytes
    ->FireFox cache emptied: 94554874 bytes
    ->Apple Safari cache emptied: 534339811 bytes
    ->Flash cache emptied: 23546 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 3370514 bytes
    RecycleBin emptied: 2785101961 bytes

    Total Files Cleaned = 3 321,00 mb


    OTL by OldTimer - Version 3.1.36.1 log created on 03112010_190901

    Files\Folders moved on Reboot...

    Registry entries deleted on Reboot...


    Je ne sais pas si le problème est réglé, mais pour le moment je n'observe plus d'apparition de fenêtres intempestives, ni de demandes de téléchargement d'un quelconque antivirus.

    Contenus similaires
    a c 267 8 Sécurité
    11 Mars 2010 19:18:21

    C'est réglé niveau rogue.

  • Désactive l'UAC le temps de la désinfection.

  • Télécharge Ad-Remover (de C_XX) sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes applications en cours /!\

  • Double-clique sur AD-R situé sur ton Bureau pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur AD-R et choisir Exécuter en tant qu'administrateur)
  • Choisis la langue F pour Français.
  • Au menu principal, choisis l'option L.

    /!\ Laisse travailler l'outil /!\

  • Poste le rapport qui apparaît à la fin (C:\Ad-Report-CLEAN.log).

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Kaspersky, etc.) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    11 Mars 2010 19:37:21

    voici le rapport :

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 05.02.2010 à 17:34
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 19:32:36, 11/03/2010 | Mode Normal | Option: CLEAN
    Exécuté de: D:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows 7™ Service Pack 2 v6.1.7600
    Nom du PC: JULIEN-PC | Utilisateur actuel: Julien
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .

    D:\Program Files\Ask.com

    (!) -- Fichiers temporaires supprimés.

    .
    HKCU\software\appdatalow\software\AskToolbar
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.5.8 [fr] *
    .
    Nom du profil: 7n3y9zjo.default (Julien)
    .
    (Julien, Invalidprefs.js) Browser.download.dir, D:\Users\Julien\Downloads
    (Julien, Invalidprefs.js) Browser.download.lastDir, D:\Users\Julien\Desktop
    (Julien, Invalidprefs.js) Browser.search.defaultenginename, Yahoo
    (Julien, Invalidprefs.js) Browser.search.selectedEngine, Google
    (Julien, Invalidprefs.js) Browser.startup.homepage, www.google.fr
    (Julien, Invalidprefs.js) Extensions.enabledItems, {d5bc46d8-67c7-11dc-8c1d-0097498c2b7a}:1.0.0.1,{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
    (Julien, Invalidprefs.js) Keyword.URL, hxxp://fr.search.yahoo.com/search?ei=utf-8&fr=megaup&p=
    .
    (Julien, prefs.js) Browser.download.dir, D:\Users\Julien\Downloads
    (Julien, prefs.js) Browser.download.lastDir, D:\Users\Julien\Desktop
    (Julien, prefs.js) Browser.search.defaultenginename, Yahoo
    (Julien, prefs.js) Browser.search.selectedEngine, Google
    (Julien, prefs.js) Browser.startup.homepage, www.google.fr
    (Julien, prefs.js) Extensions.enabledItems, {d5bc46d8-67c7-11dc-8c1d-0097498c2b7a}:1.0.0.1,{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
    .
    .
    * Internet Explorer Version 8.0.7600.16385 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: D:\Windows\system32\blank.htm
    Show_ToolBar: yes
    Enable Browser Extensions: yes
    Start Page: hxxp://fr.msn.com/
    Start Page Redirect Cache: hxxp://fr.msn.com/?ocid=iehp
    Start Page Redirect Cache_TIMESTAMP: 9e7f68f831b3ca01
    Start Page Redirect Cache AcceptLangs: fr
    Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnh...
    Start Page: hxxp://fr.msn.com/
    Local Page: D:\Windows\System32\blank.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Search bar: hxxp://search.msn.com/spbasic.htm
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ===================================
    .
    3320 Octet(s) - D:\Ad-Report-CLEAN[1].log
    .
    3 Fichier(s) - D:\Users\Julien\AppData\Local\Temp
    1 Fichier(s) - D:\Windows\Temp
    0 Fichier(s) - D:\Windows\Prefetch
    .
    20 Fichier(s) - D:\Ad-Remover\BACKUP
    5 Fichier(s) - D:\Ad-Remover\QUARANTINE
    .
    Fin à: 19:33:42 | 11/03/2010 - CLEAN[1]
    .
    ============== E.O.F ==============
    .


    Merci infiniment!
    a c 267 8 Sécurité
    11 Mars 2010 19:40:10

  • Désinstalle Ad-Remover.

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    11 Mars 2010 20:04:57

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3510
    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    11/03/2010 20:03:20
    mbam-log-2010-03-11 (20-03-20).txt

    Type de recherche: Examen rapide
    Eléments examinés: 99456
    Temps écoulé: 3 minute(s), 27 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)


    Voilà.
    a c 267 8 Sécurité
    11 Mars 2010 21:11:29

    Citation :
    Version de la base de données: 3510

    --> Pas à jour.

    Plus de souci ?
    11 Mars 2010 23:14:43

    Non, plus du tout. Merci !
    a c 267 8 Sécurité
    11 Mars 2010 23:18:34

    1/

  • Télécharge OTC sur ton Bureau.
  • Clique droit sur OTC et choisis Exécuter en tant qu'administrateur.
  • Clique sur CleanUp! puis clique sur Yes à la fenêtre Confirm.
  • Redémarre ton PC comme demandé.


    2/

  • Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar).
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    3/

  • Il est nécessaire de supprimer les points de restauration.


    ==Prévention==

    Tu peux réactiver l'UAC si ce n'est pas déjà fait.

    La nouvelle version d'Avast est disponible ici :
    http://www.avast.com/fr-fr/free-antivirus-download

    Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

    Par rapport au P2P : Lien

    Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    Sois plus vigilant(e) sur Internet ;) 
    31 Juillet 2010 20:23:50

    Bonjour,

    J'ai le même problème avec les mêmes "symptômes". Cependant, il s'avère que c'est peut être plus compliqué pour moi : Lorsque je télécharge OTC ou autre logiciel je n'arrive pas à le lancer à cause du virus qui bloque les .exe.

    Y a-t-il quelqu'un qui peut m'aider ??
    1 Août 2010 17:48:13

    Salut trankicool,

    Ici on fonctionne à un sujet = un problème d'une personne.
    Est-ce que tu peux créer ton propre sujet (bouton bleu en haut à droite de la page) en expliquant ton problème.

    Merci
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS