Téléchargement
illégal
Posez votre question Signaler

Méthode pour les nuls virus windows security [Fermé]

lefeufollet - Dernière réponse le 2 févr. 2010 à 16:03
Bonjour,
Bonjour à tous ceux qui me liront:
j'ai été infecté par plusieurs virus. Je ne connais casi rien pour enlever virus mais je pense que si qq'un peut me donner qq conseils judicieux, je pourrai me débarasser de ce qui reste car un scan de mon anti-virus avast a semble il éliminé ceux-ci.
Environnement: windows XP , ordinateur Acer TravelMate 281LC (date de 2001 , une vieille bécane mais qui tourne à peu près bien jusque maintenant).
Samedi, j'ai eu un cheval de troie (avast l'a repéré mais malheureusement, le mal fut fait)
J'ai fais un scan, il a repéré une dizaine de virus, Trojan et autres principalement situés dans windows local and settings....
Resultat actuel: je suis ennuyé sur plusieur points:
- Windows Security Center est apparu dans la barre des applications en bas à droite sour la forme d'un blason avec une croix (windows security alert). Donc, apparamment, il détecte que je n'ai pas d'antivirus et me demande d'installer antivirus software ASAP (c'est en anglais alors que quand je vais chercher windows security center dans panneau de configuration, c'est en Francais) . Dans tous les cas, ce n'est pas normal car Avast est bien entendu fonctionnel (malgré qu'il laisse passer virus mais bon).
Lorsque je vais dans panneau de configuration pour modifier parametres la façon dont le centre de securité me previent, c'est impossible de cliquer pour le faire (semi-tranparent).
Donc c'est des fenetres incessantes (toutes les 3 minutes) qui m'alertent:
"to help protect your computer windows firwall has blocked:"
- Trojan.Win32.Agent.dcc
- RootkitWin32.agent.pp
- Trojan-Downloader.JS.Multi.ca
- virus.Win32.Gpcode.ak
- BackdoorWin32.Kbot.al
- Net-Worm.Win32.DipNet.d
- Email-Worm.Win32.NetSky.q
- virus.Win32.Hola.a
- Backdoor.Win32.Agent.ich
Je redis que Avast ne m'alerte plus. Apparamment, il a éliminé les virus lors du scan (d'après son journal).
Egalement, Malaware Defense Installer tente parfois d'installer qq chose (Comprehensive computer protection???????????).Mais j'ai effacé ce programme...
Egalement, j'ai un spam (fenetre msdos qui s'affiche avec ecrite spam au dessus et envoi une dizaine de mail vers yahoo, gmail : sending mail) et également des connexions parfois à des sites porno : youporn, nudetube, porntube.com? allelitepass.com) lorsque je clique dessus (non connecté donc page web non affichée heureusement) je constate l'adresse suivante: res://c:\WINDOWS\system32\shdoclc.dll/offcancl.htm#http://youporn.videobox.com
De même, lorsque cette connexion se fait: 3 raccourcis porno apparaissent systematiquement sur mon bureau.
Enfin, mon ordi redémarre systemtiquement au bout de 3 heures. Le message indiqué est qu'il est initié par utilisateur-DC.... je ne sais qui c'est pas mais je pense que c'est mon nom d'utilisateur en langage ordi.
Egalement, je précise que lorsque je vais sur une autre session (j'en ai 3), tous ceci ne se produit pas....étonnant non????? ces virus ont infectés ma session principale. Comme c'est curieux. malgré tout, les raccourcis porno apparaissent sur ces autres sessions.Mais à part cela , pas de balson en bas à droite... donc pas d'alertes incessantes.
Donc j'aurai qq questions à vous poser si vous le voulez bien:
- comment supprimer ce windows security center qui est le plus penible car m'alerte un peu trop souvent
- supprimer tentatives Malaware Defense installer
- supprimer les connexionx aux sites porno et tentatives appels (sending mail)
- empecher redémarrage windows tous les 3 h.
Voila , j'epsere ne pas être trop long et lourdingue. Cela semble être de petits problemes resolvables mais il me faudrait de l'aide. Alors je vous remerci de l'intéret que vous porterez à ma demande et j'attend vous réponses avec impatience. J'ajoute que étant Rmiste, si je pouvais éviter de payer une seance pour déveroler mon ordi, ce serait sympa pour mon budget.
Merci à vous
Lire la suite 

Méthode pour les nuls virus windows security »

14 réponses
Réponse
+0
moins plus
archet9 9726Messages postés 24 février 2008Date d'inscription 8 janvier 2011Dernière intervention 2 févr. 2010 à 13:19
Bonjour,

Apparement y'a du boulot !!!

Télécharge rkill
http://download.bleepingcomputer.com/grinler/rkill.exe

Enregistre-le sur ton Bureau

Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)

Un bref écran noir t'indiquera que le tool s'est correctement exécuté.

S'il ne lance pas ,change de lien de téléchargement en utilisant le suivant à partir d'ici:

http://download.bleepingcomputer.com/grinler/rkill.pif
http://download.bleepingcomputer.com/grinler/rkill.scr
http://download.bleepingcomputer.com/grinler/rkill.com


Puis:


---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

---> Double-clique sur Combofix.exe
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Accepte en cliquant sur "Oui"

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
--> Cela pourrait planter ton pc....

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt


a+

lefeufollet - 2 févr. 2010 à 14:01
salut, merci bcp pour ta réponse et ta méthode.
Je vais l'entreprendre immediattement mais auparavant avant de donner le top, puis je te poser qq questions pour me rassurer?
quand je désactive antivirus avast (je fais pause ou terminer)? antyspyware, je ne crois pas en avoir... le pare feu windows doit il etre desactivé??
Comment être sûr que toutes les applications sont fermées???
Puis je rester sur session non priincipale sans risque d'être limité???

en attendant, je télécharge rkill de ce pas... merci bcp de ta réponse archet9
lefeufollet - 2 févr. 2010 à 14:25
voili voila..... j'ai installé rkill et apparamment pas de souci.
Il m'a donné l'info que peut être je ne devrai pas divulguer mais il me faut bien avoir confiance sinon ou on va.
Archet9, tu es maintenant mon guide.

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Alexis Machine on 02/02/2010 at 14:11:25.

Processes terminated by Rkill or while it was running:
Rkill completed on 02/02/2010 at 14:11:44.

J'ai chargé combofix... esperons que cela va bien se passer.
Si jamais après avoir desactivé mon antivirus, tout fout le camp... aurais je encore une chance avec le mode sans echec? J'espere....

A bientot
Réponse
+0
moins plus
archet9 9726Messages postés 24 février 2008Date d'inscription 8 janvier 2011Dernière intervention 2 févr. 2010 à 14:18
Pour avast:
tu cliques avec le bouton droit de la souris sur la boule avast puis tu cliques avec le bouton gauche sur "arrêter la protection résidente".
Laisses tomber le pare feu... 
Comment être sûr que toutes les applications sont fermées???

==> ComboFIX t'en informera si cela n'est pas le cas....

Ps: Si RKILL s'est bien déroulé
(Un bref écran noir t'indiquera que le tool s'est correctement exécuté. )

==> Ne te sert pas du pc pour autre chose...et lances Combofix .

a+

Réponse
+0
moins plus
archet9 9726Messages postés 24 février 2008Date d'inscription 8 janvier 2011Dernière intervention 2 févr. 2010 à 14:41
Pour une bonne lisibilité du topc:
--> je te prie de poster tes réponses à la suite ...et non pas ...entre les miennes !


Pour ceci : 
Archet9, tu es maintenant mon guide
.
Ok c'est gentil....mais pas de fantasmes....
je ne suis ici, comme tant d'autres, que bénévole sur ce forum !

a+

lefeufollet - 2 févr. 2010 à 15:03
ok, Archet9, en fait je savais pas que tu m'avais répondu.

J'ai fais la manip avec Combofix. Je t'envoi le résultat mais avant il faut te dire que il m'a demandé la connexion a internet pour récupérer la console de récupération Microsoft Windows, ce que je n'ai pas fais.
Ais je fais une bêtise?

Merci pour le temps que tu me consacre

RESULTAT AUTOSCAN:

ComboFix 10-02-01.03 - Alexis Machine 02/02/2010 14:32:03.1.1 - FAT32x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.254.142 [GMT 1:00]
Lancé depuis: c:\documents and settings\Alexis Machine.UTILISAT-6BCD18\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 100202-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd
C:\SYS32DLL.bat
c:\windows\system32\796525
c:\windows\system32\870159

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-01-02 au 2010-02-02 ))))))))))))))))))))))))))))))))))))
.

2010-02-02 10:45 . 2010-02-02 10:45 -------- d-----w- c:\documents and settings\Alexis Machine.UTILISAT-6BCD18\Application Data\dvdcss
2010-02-01 22:37 . 2010-02-01 22:37 -------- d-----w- c:\documents and settings\Alexis Machine.UTILISAT-6BCD18\Local Settings\Application Data\Mozilla
2010-02-01 22:34 . 2010-02-01 22:34 68864 ----a-w- c:\documents and settings\Alexis Machine.UTILISAT-6BCD18\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-01 22:32 . 2010-02-01 22:32 -------- d-----w- c:\documents and settings\Alexis Machine.UTILISAT-6BCD18\Application Data\vlc
2010-01-20 12:45 . 2010-01-20 12:53 24820 ----a-w- c:\windows\system32\drivers\MxlW2k.sys
2010-01-18 16:54 . 2010-01-18 16:54 -------- d-----w- C:\Cache

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-01 13:07 . 2008-04-14 11:00 49932 ----a-w- c:\windows\system32\perfc00C.dat
2010-02-01 13:07 . 2008-04-14 11:00 371070 ----a-w- c:\windows\system32\perfh00C.dat
2009-06-03 12:28 . 2009-06-03 12:28 14336 ----a-w- c:\program files\wmdmhelper.dll
2009-06-03 12:28 . 2009-06-03 12:27 568 ----a-w- c:\program files\fpsectbl
2005-07-01 23:18 . 2001-11-13 02:43 105 ----a-w- c:\program files\winamp.m3u
2005-06-22 19:16 . 2005-06-22 19:16 4587 ----a-w- c:\program files\Winamp.q1
2004-10-01 14:00 . 2009-05-22 13:35 40960 ----a-w- c:\program files\Uninstall_CDS.exe
2001-10-15 01:14 . 2001-10-15 01:14 4555 ----a-w- c:\program files\commentfaire.txt
2001-10-06 13:14 . 2001-10-06 13:14 187904 ----a-w- c:\program files\FR.lng
2001-10-02 01:21 . 2001-10-02 01:21 30367 ----a-w- c:\program files\whatsnew.txt
2001-04-07 23:02 . 2001-04-07 23:02 10080 ----a-w- c:\program files\historique.txt
2001-03-08 21:28 . 2001-03-08 21:28 219 ----a-w- c:\program files\WINAMP.lks
1999-04-30 15:00 . 2003-07-11 17:38 98304 ----a-w- c:\program files\internet explorer\plugins\UPjpeg.dll
2009-04-21 21:45 . 2008-10-30 16:34 61440 ----a-w- c:\program files\mozilla firefox\components\FFComm.dll
2009-05-26 12:37 . 2006-12-24 16:39 67688 ----a-w- c:\program files\mozilla firefox\components\jar50.dll
2009-05-26 12:37 . 2006-12-24 16:39 54368 ----a-w- c:\program files\mozilla firefox\components\jsd3250.dll
2009-05-26 12:37 . 2006-12-24 16:39 34944 ----a-w- c:\program files\mozilla firefox\components\myspell.dll
2009-05-26 12:37 . 2006-12-24 16:39 46712 ----a-w- c:\program files\mozilla firefox\components\spellchk.dll
2009-05-26 12:37 . 2006-12-24 16:39 172136 ----a-w- c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-01-23 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-01-23 114688]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"RemoteControl"="c:\program files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 32768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-06-03 198160]
"EPSON Stylus D68 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAAE.EXE" [2005-01-25 98304]
"ORAHSSSessionManager"="c:\program files\OrangeHSS\SessionManager\SessionManager.exe" [2007-12-12 107248]
"MMTray"="c:\program files\MusicMatch\MusicMatch Jukebox\mm_tray.exe" [2000-11-27 102400]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\realplay.exe"=
"c:\\Program Files\\OrangeHSS\\Connectivity\\ConnectivityManager.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [22/05/2009 14:10 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [22/05/2009 14:10 20560]
R3 {5C8B2B65-A385-11d5-A78B-00104B672758};AIM 3.0 Part 01 Codec Driver CH-7017-B;c:\windows\system32\drivers\a310.sys [22/05/2009 14:02 33335]
S3 MXBULK;DualCam Still, MXBulk3.Sys;c:\windows\system32\drivers\MXBulk3.sys [03/06/2009 10:09 50688]
S3 MXCap;DSC-06 Video Camera;c:\windows\system32\drivers\MXCap3.sys [03/06/2009 10:09 63104]
.
.
------- Examen supplémentaire -------
.
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\documents and settings\Alexis Machine.UTILISAT-6BCD18\Application Data\Mozilla\Firefox\Profiles\l90vxyz9.default\
FF - component: c:\program files\browserrecord\components\nprpbrowserrecordplugin.dll
FF - component: c:\program files\Mozilla Firefox\components\FFComm.dll
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-02 14:39
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2010-02-02 14:41:45
ComboFix-quarantined-files.txt 2010-02-02 13:41

Avant-CF: 4 740 251 648 octets libres
Après-CF: 4 770 037 760 octets libres

- - End Of File - - 226429ACE9C6219F027560F798C88909
Réponse
+0
moins plus
Destrio5 65242Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 1 mai 2012Dernière intervention 2 févr. 2010 à 15:16
Salut archet9,

Juste pour te prévenir :
http://www.infos-du-net.com/forum/291631-11-encore-virus-windows-security-center
Réponse
+0
moins plus
archet9 9726Messages postés 24 février 2008Date d'inscription 8 janvier 2011Dernière intervention 2 févr. 2010 à 15:45
Salut et merci de me prévenir...

Je connais DESTRIO il est super efficace...

Copies /colles ce message en gras et colles le lui sur PCA :

Salut Destrio....l

L'internaute m'a personellement indiqué qu 'il suivait un double désinfection...
Ici sur CCM et sur PCA
Afin de ne pas interférer, je te laisse la suite de cette désinfection !
Voici le lien de ce qui a été fait:
http://www.commentcamarche.net/...
Merci et bon courage à vous deux
a+
Merci de me confirmer que tun as bien eu le message....

Bien à toi

Je compte sur toi lefeufollet, pour diffuser ce mess à DESTRIO......

==> Je suppose qu'il me répondra !


a+

Réponse
+0
moins plus
Destrio5 65242Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 1 mai 2012Dernière intervention 2 févr. 2010 à 15:45
Apparemment, il veut continuer avec toi :
http://www.infos-du-net.com/...
Réponse
+0
moins plus
lefeufollet 2 févr. 2010 à 15:47
Ok, j'ai remercié Destrio5 pour sa disponibilité. Comme tu m'a répondu en premier, si tu le veux bien, on continu la manip ensemble. En tous cas pas de souci pour les premières étapes.
j'espere que la suite ira bien aussi

A bientot
Réponse
+0
moins plus
lefeufollet 2 févr. 2010 à 15:52
ok, je crois que nos messages se croisent un peu trop rapidement.
Que fais je? Qui veux de moi? Destrio???? Archet9???
je veux bien retourner avec Destrio, pas de souci
Réponse
+0
moins plus
archet9 9726Messages postés 24 février 2008Date d'inscription 8 janvier 2011Dernière intervention 2 févr. 2010 à 16:01
Commes tu veux tu choises...

a+

Réponse
+0
moins plus
lefeufollet 2 févr. 2010 à 16:01
j'ai tranché pour que l'on evite de tourner en rond pendant longtemps.
Tu es mon guide donc je suis ton dernier message qui me dit de retourner auprès de Destrio5. Je l'en ai informé. J'espere qu'il le voudra bien. Tu deviendra donc mon ancien guide et mon nouveau mentor sera Destrio5.
J'spere que tout est ok
Réponse
+0
moins plus
Destrio5 65242Messages postés 18 septembre 2005Date d'inscription ModérateurStatut 1 mai 2012Dernière intervention 2 févr. 2010 à 16:03
Ok, je ferme ce sujet alors ;)
Posez votre question
Ce document intitulé « méthode pour les nuls virus windows security » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Les pires photos de famille

  • Les pires photos de famille

    Mises en scène étranges, coiffures démodées ou poses incongrues... Découvrez les pires photos de famille du site américain Awkward Family.