PC INFECTE Antivirus software alert [Résolu]

donc tu n'as pas acces a ton antivirus habituel?

Non je ne peux même pas lancer ANTIVIR... tous les accès aux logiciels de protection, même restauration système je ne peux pas y accéder...
Merci de votre aide svp

tu pourrais avoir acces a un disque externe ? (clé usb)

Hello ;

Télécharge ZhpDiag en cliquant sur ce lien : http://telechargement.zebulon.fr/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

Une fois installé le programme s'ouvre automatiquement .

Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

Rend toi sur ce site : http://www.cijoint.fr/index.php

Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

meme une clé usb ?
1GO suffirait .

Mon portable alors peut etre ? ou une carte sd ?

*Télécharge Rkill (de Grinler) depuis l'un des liens ci dessous :

Rkill
Rkill
Rkill
Rkill

*Enregistrer le fichier sur le Bureau.
*Désactive ton antivirus et/ou antispyware .
*Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
*Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

Ensuite essaie de lancer ZhpDiag .

carte sd ... peut etre possible mais pas sur du tout .

telecharger a-squared free :antivirus a mettre sur disque amovible .
il devrait detecter tes virus .

c'est une possibilité .

Il va falloir analyser un ou des fichier(s) suspect(s) !

Il se peut qu'il se trouvent dans les " dossiers cachés " du systeme.
Il faut donc les rendre visibles pour le scan.

Pour afficher les dossiers et fichiers cachés:

Panneau de configuration > Options des dossiers > onglet Affichage.

Coche Afficher les fichiers et dossiers cachés,
Décoche Masquer les extensions de fichiers connus
Décoche Masquer les fichiers protégés du Système.
Un message de mise en garde va apparaitre. Clique sur OK pour confirmer ton choix.
Les fichiers et dossiers cachés du système apparaitront alors dans l'explorateur Windows en transparence.

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\Users\Alex\AppData\Local\sgvwgs\fmxbsftav.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Voici le rapport reçu :

Fichier fmxbsftav.exe reçu le 2010.02.18 18:31:20 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 15/41 (36.59%)


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.50 2010.02.18 -
AhnLab-V3 5.0.0.2 2010.02.18 -
AntiVir 8.2.1.170 2010.02.18 TR/FraudPack.alnv
Antiy-AVL 2.0.3.7 2010.02.18 -
Authentium 5.2.0.5 2010.02.18 W32/FakeAV.RD
Avast 4.8.1351.0 2010.02.18 Win32:Adware-gen
AVG 9.0.0.730 2010.02.18 -
BitDefender 7.2 2010.02.18 -
CAT-QuickHeal 10.00 2010.02.18 -
ClamAV 0.96.0.0-git 2010.02.18 -
Comodo 3982 2010.02.18 -
DrWeb 5.0.1.12222 2010.02.18 -
eSafe 7.0.17.0 2010.02.18 -
eTrust-Vet 35.2.7310 2010.02.18 Win32/AntivirusLive.H
F-Prot 4.5.1.85 2010.02.17 -
F-Secure 9.0.15370.0 2010.02.18 Suspicious:W32/Malware!Gemini
Fortinet 4.0.14.0 2010.02.18 -
GData 19 2010.02.18 Win32:Adware-gen
Ikarus T3.1.1.80.0 2010.02.18 -
Jiangmin 13.0.900 2010.02.18 -
K7AntiVirus 7.10.977 2010.02.18 -
Kaspersky 7.0.0.125 2010.02.17 Trojan.Win32.FraudPack.alnv
McAfee 5896 2010.02.18 -
McAfee+Artemis 5896 2010.02.18 -
McAfee-GW-Edition 6.8.5 2010.02.18 Heuristic.LooksLike.Win32.Suspicious.I
Microsoft 1.5406 2010.02.18 TrojanDownloader:Win32/Renos.KQ
NOD32 4878 2010.02.18 Win32/Adware.SpywareProtect2009
Norman 6.04.08 2010.02.18 -
nProtect 2009.1.8.0 2010.02.18 -
Panda 10.0.2.2 2010.02.18 Suspicious file
PCTools 7.0.3.5 2010.02.17 -
Prevx 3.0 2010.02.18 High Risk Fraudulent Security Program
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.18 Mal/FakeAV-CF
Sunbelt 5684 2010.02.18 -
Symantec 20091.2.0.41 2010.02.18 AntiVirus2008
TheHacker 6.5.1.4.198 2010.02.18 Trojan/FraudPack.alnv
TrendMicro 9.120.0.1004 2010.02.18 -
VBA32 3.12.12.2 2010.02.18 -
ViRobot 2010.2.18.2192 2010.02.18 -
VirusBuster 5.0.27.0 2010.02.18 -
Information additionnelle
File size: 278784 bytes
MD5...: b8f270a085334e2ed045ce38b0a80b7c
SHA1..: a1aff9bc48193c0b07529477503864ec71e3518a
SHA256: 55d7f2e2359d9dece893c2600cf9f32d0564f6607cb5466731d86ea2d8611b71
ssdeep: 6144:wiUeyKK3Gz6fvManYDIA9fXFc8Z5NZohtCO/4D0oUshcv5B:Fq2IUyYflyb
C+F4G5B
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x76830
timedatestamp.....: 0x4b7aa27a (Tue Feb 16 13:49:46 2010)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x32000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x33000 0x44000 0x43a00 7.77 65514bda852ec32dcb654e5447edf8bd
.rsrc 0x77000 0x1000 0x200 3.47 77d15c0f01058b7e5b2f173b741cd865

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> SHLWAPI.dll: UrlHashA
> USER32.dll: GetMessageA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: UPX compressed Win32 Executable (42.6%)
Win32 EXE Yoda's Crypter (37.0%)
Win32 Executable Generic (11.8%)
Clipper DOS Executable (2.8%)
Generic Win/DOS Executable (2.7%)
packers (F-Prot): UPX
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=26990B360063B95F412E049EC0F46D0012796B2B' target='_blank'>http://info.prevx.com/...



Dis moi si ça te suffit ou s'il te manque quoi que ce soit ;)
Merci

Impeccable ,on voit bien que le fichier est infecté .

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://oldtimer.geekstogo.com/OTM.exe

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".




:Reg
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"gdvjicxu"=-

:files
C:\Users\Alex\AppData\Local\sgvwgs\fmxbsftav.exe
:services

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Ok super voilà le résultat :

All processes killed
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\gdvjicxu deleted successfully.
========== FILES ==========
C:\Users\Alex\AppData\Local\sgvwgs\fmxbsftav.exe moved successfully.
========== SERVICES/DRIVERS ==========
========== COMMANDS ==========

[EMPTYTEMP]

User: Alex
->Temp folder emptied: 212162 bytes
->Temporary Internet Files folder emptied: 44148232 bytes
->Java cache emptied: 6720739 bytes
->FireFox cache emptied: 91986263 bytes

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 200704 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 13846117 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 150,00 mb


OTM by OldTimer - Version 3.1.8.0 log created on 02182010_200709

Files moved on Reboot...

Registry entries deleted on Reboot...


Est-ce fini ? je peux décocher les fichiers cachés etc ?

Comment va le pc ?

Bah ecoute.. déjà lorsque tu m'avais demandé de lancer Rkill je ne voyais plus rien s'afficher... mais je suppose que ce virus ou appelles ça comme tu veux, était tjrs présent....

Le pc s'est redémarré, il est bcp moins long aussi... Toi qui lis entre les lignes tu dois savoir si mon pc est sain ou presque désormais lol...

Que dois-je faire d'autres sinon ? est ce fini ?

Merci pour ton aide franchement respect

Que dois-je faire d'autres sinon ? est ce fini ? 

On va faire une derniere vérif ensuite je te donnerais quelques conseils pour finir .

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

http://malwarebytes.gt500.org/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Re !!!

Alors il m'a supprimé 4 trucs malveillants voici le rapport :


Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

18/02/2010 22:43:24
mbam-log-2010-02-18 (22-43-24).txt

Type de recherche: Examen complet (C:\|D:\|J:\|)
Eléments examinés: 302419
Temps écoulé: 1 hour(s), 50 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\911 (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


S'il y a autre chose à faire dis le moi...
C'est tout de même bizarre que j'ai eu ce ou ces virus car j'utilise régulièrement ANTIVIR (le meilleur des gratuits je pense), SPYBOT (qui protège en temps réel logiquement mais aussi en faisant une analyse) et ADAWARE... sans compter les truc déjà installés avec VISTA... ça va tellement vite tout ça !

Télécharge R-Hosts (de S!ri).

Lance R-host en double cliquant sur l’exe, puis clique sur restaurer , puis ok.

Dis moi ensuite si tu as encore des soucis avec le pc ?

Il semble que ce logiciel ne fonctionne pas avec VISTA.
et j'ai essayé de le faire en comptabilité XP mais ça me met
Impossible de créer le fichier C:\WINDOWS\system32\drivers\etc\hosts.

... donc là c toi qui sait lol mdr

Celui ci devrait fonctionner :

telecharge HostsXpert v4.0
http://www.funkytoad.com/download/HostsXpert.zip
décompresse-le sur le bureau.
clique sur Restore MS Hosts files

=====================

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

· Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.
http://pc-system.fr/TC/ToolsCleaner2.exe
· Clique sur Recherche et laisse le scan se terminer.
· Clique, sur Suppression pour finaliser.
· Tu peux, si tu le souhaites, te servir des Options facultatives.
· Clique sur Quitter, pour que le rapport puisse se créer.
· Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

=====================

Désactive ta restauration systeme puis recréé un point de sauvegarde sain comme suit : https://wiki.securite-academie.fr/index.php/Tutoriaux_Les_points_de_restauration

Tu peux supprimer Ad-aware (il est devenu obsolete) .

Met a jour ta console Java : http://www.java.com/fr/download/manual.jsp

Tu utilises E-mule et Azureus ,je te conseille de lire ceci :

danger du P2P et des cracks

également un exemple concret ici ou l'internaute ne pouvait plus rien faire de sa machine ...

Je met donc en "résolu" .

Bon surf !

Salut ,

Tu vas me trouver embêtant mais... ça me met le même message...