Se connecter / S'enregistrer
Votre question

Virus sur mon portable pro

Tags :
  • portable
  • Sécurité
Dernière réponse : dans Sécurité et virus
9 Mars 2010 12:10:31

Bonjour à tous,

Depuis ce matin d'un seul coup mon pc s'est emballé : j'ai un envoie de mail automatique constant des que je me connecter à Internet.

Symantec antivirus s'excite et me les bloque tous, je ne sais pas quoi faire.

Avez deja eu à faire à ce genre de merde??

Je vous remercie

Autres pages sur : virus portable pro

a c 267 8 Sécurité
9 Mars 2010 12:26:43

Bonjour,

  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
  • Coche également les cases à côté de LOP Check et Purity Check.
  • Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
  • Clique sur ce lien : http://www.cijoint.fr/
  • Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
  • Clique sur Ouvrir.
  • Clique sur Cliquez ici pour déposer le fichier.
  • Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
  • Copie-colle ce lien dans ta réponse.
    Contenus similaires
    a c 267 8 Sécurité
    9 Mars 2010 13:27:28

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    O4 - HKLM\..\Run: [07807628] C:\DOCUME~1\ALLUSE~1\APPLIC~1\07807628\07807628.exe File not found
    O4 - Startup: C:\Documents and Settings\rvaysse\Menu Démarrer\Programmes\Démarrage\winesm32.exe ()
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
    O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
    O33 - MountPoints2\{9a19437c-a5c6-11dd-82f6-005056c00008}\Shell\AutoRun\command - "" = jix9a.bat
    O33 - MountPoints2\{9a19437c-a5c6-11dd-82f6-005056c00008}\Shell\explore\Command - "" = jix9a.bat
    O33 - MountPoints2\{9a19437c-a5c6-11dd-82f6-005056c00008}\Shell\open\Command - "" = jix9a.bat
    [2010/03/09 12:50:55 | 000,802,304 | ---- | M] () -- C:\WINDOWS\System32\drivers\grxrh.sys
    [2010/03/02 09:31:33 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat
    [2010/02/27 10:47:11 | 000,000,148 | ---- | C] () -- C:\WINDOWS\System32\fjhdyfhsn.bat
    [2010/02/27 10:46:56 | 000,000,012 | ---- | C] () -- C:\Documents and Settings\LocalService\Application Data\rbuwzv.dat
    [2010/02/26 10:14:15 | 000,000,004 | ---- | C] () -- C:\Documents and Settings\rvaysse\Application Data\avdrn.dat

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Run Fix en haut de la fenêtre.
  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le rapport qui s'affichera après redémarrage.
    9 Mars 2010 13:29:52

    on dirait que security tool de mes 2 est là..

    Je l'ai supprimé à la main mais ca n'a pas l'air fini
    9 Mars 2010 13:37:56

    All processes killed
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
    File move failed. C:\Documents and Settings\rvaysse\Menu Démarrer\Programmes\Démarrage\winesm32.exe scheduled to be moved on reboot.
    Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}\ not found.
    Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a19437c-a5c6-11dd-82f6-005056c00008}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a19437c-a5c6-11dd-82f6-005056c00008}\ not found.
    File jix9a.bat not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a19437c-a5c6-11dd-82f6-005056c00008}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a19437c-a5c6-11dd-82f6-005056c00008}\ not found.
    File jix9a.bat not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9a19437c-a5c6-11dd-82f6-005056c00008}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9a19437c-a5c6-11dd-82f6-005056c00008}\ not found.
    File jix9a.bat not found.
    File C:\WINDOWS\System32\drivers\grxrh.sys not found.
    C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat moved successfully.
    C:\WINDOWS\system32\fjhdyfhsn.bat moved successfully.
    C:\Documents and Settings\LocalService\Application Data\rbuwzv.dat moved successfully.
    C:\Documents and Settings\rvaysse\Application Data\avdrn.dat moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 6110801 bytes
    ->Temporary Internet Files folder emptied: 599580 bytes
    ->FireFox cache emptied: 5774157 bytes
    ->Flash cache emptied: 405 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33237 bytes

    User: rvaysse
    ->Temp folder emptied: 812472 bytes
    ->Temporary Internet Files folder emptied: 3030969 bytes
    ->Java cache emptied: 0 bytes
    ->FireFox cache emptied: 30339758 bytes
    ->Apple Safari cache emptied: 5217148 bytes
    ->Flash cache emptied: 1915632 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2870291 bytes
    %systemroot%\System32 .tmp files removed: 3072 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 373882 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 25315114 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 190582 bytes
    RecycleBin emptied: 1664 bytes

    Total Files Cleaned = 79,00 mb


    OTL by OldTimer - Version 3.1.35.0 log created on 03092010_133641

    Files\Folders moved on Reboot...
    C:\Documents and Settings\rvaysse\Menu Démarrer\Programmes\Démarrage\winesm32.exe moved successfully.

    Registry entries deleted on Reboot...
    9 Mars 2010 13:40:08

    pour info, plus de messages sont envoyés... ca a l'air d'etre ok now
    a c 267 8 Sécurité
    9 Mars 2010 13:51:27

  • Mets à jour Java.

  • Mets à jour Adobe Reader.

  • Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
  • Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
  • Sélectionne Exécuter un examen rapide.
  • Clique sur Rechercher. L'analyse démarre.
  • A la fin de l'analyse, un message s'affiche :
    Citation :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  • Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
  • Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    9 Mars 2010 14:43:52

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3510
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    09/03/2010 14:37:23
    mbam-log-2010-03-09 (14-37-23).txt

    Type de recherche: Examen rapide
    Eléments examinés: 120536
    Temps écoulé: 14 minute(s), 59 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\07807628 (Rogue.Multiple) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\Drivers\grxrh.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    a c 267 8 Sécurité
    9 Mars 2010 15:01:47

    Malwarebytes' Anti-Malware n'est pas à jour.

    Mets-le à jour puis refais un examen rapide.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS