[Virus] Pop-up intempestivesFermé

Question

Bonjour, 

Je suis confronté à un problème sur mon PC depuis deux ou trois jours. Après une alerte sur mon AVira antivir, j'ai, comme d'habitude, réinitialiser mon PC pour être tranquille. Le problème, c'est qu'il me reste un virus que je n'arrive pas à éliminer. Il m'ouvre des pop-ups intempestives. Ca m'embête car la dernière fois qu'un virus m'a fait ça il a fini par me shooter tous mes points de réinitialisation ainsi que le processus "explorer". J'aimerais donc m'en débarrasser au plus vite.

Quelqu'un aurait-il la gentillesse de m'aider en ce lundi pascal (il peut s'appeler autrement d'ailleurs).

Merci !

Configuration: Windows XP / Firefox 4.0

Utilisateur anonyme · Answer

Bonjour
On va examiner le PC
* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

roro04 · Answer

Salut!

Reste jusqu'à la fin de la désinfection même si les symptômes disparaissent. 
________________________________________________________________
-------------------------------------------------------------------------------------------------------

> Télécharges AD-Remover sur ton Bureau. 

/!\ Désactives ton antivirus le temps de la manipulation /!\

> Lance-le. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7). 
> Clique sur Nettoyer. 
> Poste le rapport qui s'ouvre en fin de Scan. 

Note: Le rapport est aussi sauvegarder sous C:\Ad-Report-CLEAN.txt 

Après

> Télécharges ZHPDiag (de Nicolas coolman) sur ton bureau.
> Un fois le téléchargement terminé, double cliques sur ZHPDiag.exe et suis les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
> Coches la case Créer une îcone sur le bureau lors de l'installation.
> A la fin de l'installation, ZHPDiag va se lancer tout seul.
> Cliques sur l'icône représentant une loupe.
> En fin de scan, enregistres le rapport sur ton Bureau. Pour cela, clique sur l'îcone représentant une disquette.

> Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

@+

MrG · Answer

Hello,

Merci les gars pour votre réactivité.

Alors j'ai fait le truc avec Ad-Remover.
Voici le rapport: 

http://up.sur-la-toile.com/iLUT

Au passage, mon antivirus vient de me trouver un truc : objet: volsnap.sys; résultat positif: TR/Patched.Gen

Sinon, voici le rapport de ZHP Diag. Je suis désolé, mais Cjoint et sur-la-toile.com ne l'ont pas hébergé, j'ai eu un message d'erreur à chaque fois. Même si je le remettais en .doc. Et je ne peux pas le copier-coller ci-dessous car il me met syntax error. Que faire ?

MrG · Answer

OKAY ! Superbe je viens de trouver une astuce pour contrarier mon con de PC.

Il est hébergé en pdf.

http://up.sur-la-toile.com/iLUZ

Utilisateur anonyme · Answer

Apparemment, il y a un rootkit
Télécharge TDSSKiller sur ton bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
Crée un nouveau dossier sur ton bureau puis décompresse l'archive dedans
Lance le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Coche les, et clique sur Dele

MrG · Answer

Impossible d'ouvrir TDSS Killer.

Constamment, il me met:

TDSS rootkit removing tool a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.

Utilisateur anonyme · Answer

Vire le, on va faire autre chose

Avant de commencer, fait une sauvegarde de tous tes documents
Attention, cet outil n'est pas à utiliser à la légère, et doit
être recommandé que par une personne formée à cet outil
Imprime la procédure

Attention Très Important

/!\Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

 Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tutoriel pour bien utiliser l'outil
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
Surtout, accepte d'installer la console de récupération
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

MrG · Answer

Ah! Combofix! Ce truc a sauvé mon PC deux fois puis s'est cassé les dents sur un monstrueux virus la troisième fois. Allez, on espère le 3-1.

Voici le rapport

[url=http://up.sur-la-toile.com/sLVk]cbfix.txt/url

MrG · Answer

Voilà le rapport ZHPDiag : http://up.sur-la-toile.com/iLVs

Et voilà le rapport de Virus Total : http://cjoint.com/11av/ADztvdJJvDm.htm

Il n'a pas gardé la mise en forme du site par contre.

roro04 · Answer

Re,

> Télécharge TDSSKiller sur ton bureau avec le nom winlogon.exe et pas à un autre endroit.  
> Fais un clique droit sur le fichier puis Extraire Tout, Suivant, Suivant et Terminer.  
  
 /!\ Déconnecte toi d'internet /!\  

> Lance le fichier TDSSKiller (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).  
> Clique sur Start scan.  
> Laisse le logiciel travailler.  
> Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir.
> Laisse les options par défaut.
> Clique sur Continue puis sur Reboot now pour redémarrer le PC si des infections ont été trouvées.
> Poste le rapport situé dans C:\TDSSKillerVersion_Date_Time_log.txt  

@+

roro04 · Answer

Salut!

Bon on essayer le même outils mais dans un mode réduit de Windows où le rootkit en partie neutraliser.

 Je vais te faire démarrer en Mode Sans Echec (mode alléger de Windows) Pour cela:

> Redémarre ton ordinateur et avant l'apparition de logo Windows, tapotes la touche F8 de ton clavier.
> Avec les flèche directionnels Haut et Bas Déplace toi jusqu'à Mode sans Echec avec prise en charge Réseau puis valide par la touche Entrée
> Sélectionne la session Administrateur.
> Clique sur OK à la fenêtre d'avertissement.
> Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
(Si F8 ne marche pas utilise la touche F5)
__________________________________________________________

> Télécharge TDSSKiller sur ton bureau en l'enregsitrant sous le nom winlogon.exe et pas à un autre endroit.  
> Fais un clique droit sur le fichier puis Extraire Tout, Suivant, Suivant et Terminer.  
  
 /!\ Déconnecte toi d'internet /!\  

> Lance le fichier TDSSKiller (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).  
> Clique sur Start scan.  
> Laisse le logiciel travailler.  
> Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir.
> Laisse les options par défaut.
> Clique sur Continue puis sur Reboot now pour redémarrer le PC si des infections ont été trouvées.
> Poste le rapport situé dans C:\TDSSKillerVersion_Date_Time_log.txt  

@+

MrG · Answer

Hello,

Ca ne marche toujours pas, même en suivant ces instructions.

Pour info, la signature de l'erreur est:

EventType : BEX     P1 : TDSSKiller.exe     P2 : 2.4.21.0     P3 : 4d789985
P4 : TDSSKiller.exe     P5 : 2.4.21.0     P6 : 4d789985     P7 : 00056ec9     
P8 : c0000409     P9 : 00000000

roro04 · Answer

OK,
Je réfléchit à autre chose.
Toujours en mode sans echec avec prise en charge réseau =>

> Télécharges RogueKiller (de tigzy) sur ton bureau.
> Quittes tous tes programmes en cours
>  Lances-le. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
> Lorsque demandé, tape 1 et valide par Entrée.

Remarque: Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

> Poste le rapport qui s'ouvre.
________________________________________________________________

Ensuite sans redémarrer l'ordi =>

> Retélécharge TDSSKiller sur ton bureau et pas à un autre endroit.  
> Fais un clique droit sur le fichier puis Extraire Tout, Suivant, Suivant et Terminer.  
  
 /!\ Déconnecte toi d'internet /!\  

> Lance le fichier TDSSKiller (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).  
> Clique sur Start scan.  
> Laisse le logiciel travailler.  
> Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir.
> Laisse les options par défaut.
> Clique sur Continue puis sur Reboot now pour redémarrer le PC si des infections ont été trouvées.
> Poste le rapport situé dans C:\TDSSKillerVersion_Date_Time_log.txt  

Normalement, il devrait marcher.

@+

MrG · Answer

Tout fonctionne très bien jusqu'au lancement de TDSSKiller, qui ne marche toujours pas.

Voici le rapport de Rogue Killer : http://up.sur-la-toile.com/iLXT

roro04 · Answer

Bon, il m'énerve celui-là.

On va essayer comme ça, ça ira mieux.
________________________________________________________________

Certains logiciels d'émulation CD peuvent interférés avec les logiciels de désinfection. Nous allons les désactivés.

> Télécharges Defogger sur ton bureau.
> Double-clique sur Defogger pour exécuter l'outil. (Sous Vista/7, fais un clic droit/exécuter en tant qu'administrateur)
> La fenêtre de l'application apparaît.
> Clique sur le bouton Disable pour désactiver les pilotes de DeamonTool.
> Clique sur Oui pour continuer.
> Un message Finished apparaîtra.
> Clique sur OK.
> Defogger va maintenant demander le redémarrage du pc - clique sur OK.
________________________________________________________________

> Refais TDSSKiller.
________________________________________________________________

/!\ Si tu as encore le même problème avec TDSSkiller /!\

> Télécharge TDSSRemover
> Extrait-le sur ton bureau dans un dossier nommé TDSSRemover (avec 7-zip par exemple)
> Double clique sur le fichier remover.exe présent dans le dossier TDSSRemover (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
> Si un message apparait, clique sur Yes.
> Si des éléments apparaissent, clique sur Select All puis sur Delete/Repair Selected.
> Clique sur Yes.
> L'ordi va redémarrer.

@+

MrG · Answer

Voilà, c'est bon.
TDsSKiller n'a donc pas marché à nouveau.
TDSS remover a fonctionné mais aucun élément n'est apparu. Mon PC a redémarré.

roro04 · Answer

Bon, 
On a trouvé l'origine du rootkit qui à modifier (patché) un fichier système. Je vais te faire rechercher (avec un logiciel) une copie saine de ce fichier sur ton PC. Ensuite on pourra le remplacer par le fichier sain.

> Télécharge SEAF (de C_XX) sur ton Bureau.
> Lance SEAF (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
> Dans les options, règle Calculer le checksum sur MD5.
> Tape volsnap.sys dans le champs de recherche.
> Clique sur Lancer la recherche et patiente.
> Poste le rapport situé dans C:\SeafLog.txt précédemment hébergé sur https://www.cjoint.com/

@+

MrG · Answer

Salut!

Voici le lien du rapport : http://cjoint.com/11av/ADBvNznaIUS.htm

roro04 · Answer

OK, 

Refais un ZHPDiag.


Avant de continuer, on va récupérer un fichier sur ton PC. 

> Rends-toi dans le dossier C:\Windows\system32 
> Cherche le fichier volsnap.sys  
> Copie-Colle le dans C:\ 
> Zippe le grace à 7zip par exemple. 
> Avec 7zip => Clique droit sur le fichier puis ajouter à l'archive puis OK. 
> Supprime le fichier C:\volsnap.sys mais pas le nouveau fichier qui est apparu. 

> Rends-toi sur https://www.cjoint.com/ et héberge le fichier que tu viens de zipper. 
> Donne moi le lien par message perso. 

Ensuite, je te donnerais la suite. 
@+ 
Vive l'informatique et la sécurité informatique. Tout le monde a droit à de l'aide pour désinfecter son PC.

MrG · Answer

Alors, tout d'abord, voici un des rapports TDSS Killer que j'ai trouvé dans C:/ : http://cjoint.com/11av/ADCpl6KMYfj.htm

Je ne sais pas si tu peux savoir pourquoi il ne se lance pas.

Voici aussi le ZHP Diag que tu m'as demandé de faire : 

http://cjoint.com/11av/ADCplR7IsOm.htm

En ce qui concerne le fichier volsnap.sys, il n'est pas dans \system32 mais dans \system32\drivers

Il y en a également un dans C:/Windows/ServicePackFiles/i386 et un autre dans C:/Windows/Softwaredistribution/Download/327771f7f3830b5acec68906a2aac4ab

Lequel dois-je te donner ? Pour l'instant, je t'envoie celui qui est dans drivers.

roro04 · Answer

Oui, c'était bien celui là, désolé je me suis trompé. 
J'analyse ton rapport ZHPDiag dès que j'ai le temps. Pour TDSSKiller, ça ne m'apprend rien.

Je vais bientôt te poster un script, qui règlera normalement tout les problèmes.

@+

roro04 · Answer

> Télécharge The Avenger sur ton bureau. 
> Dézippe le (clique droit/Extraire tout/Suivant/Suivant/Terminer). 
> Lance-le (clique droit/Exécuter en tant qu'administrateur pour Vista/7) 
> Dans le cadre, sous Input Script here, copie/colle les lignes en gars ci-dessous. 

Files to move: 
C:\WINDOWS\ServicePackFiles\i386\volsnap.sys | C:\Windows\System32\drivers\volsnap.sys 

> Clique sur Exécute. 
> Ton ordinateur va redémarrer. 
> Ferme le rapport qui s'ouvre. 
> Poste le rapport situé dans C:\avenger.txt précédemment hébergé sur https://www.cjoint.com/ 

@+ 
Vive l'informatique et la sécurité informatique. Tout le monde a droit à de l'aide pour désinfecter son PC.

MrG_91 · Answer

Euh... ça fait ça : http://cjoint.com/11av/ADCunUnAatG.htm

Moi je ne vois rien. Mais en copiant-collant le contenu du rapport sur un autre fichier txt, on y voit plus clair.

http://cjoint.com/11av/ADCuplpXuDQ.htm

Je n'ai pas touché aux cases. La première ("scan rootkit") était cochée.

roro04 · Answer

archet9,
Pas grave.
Zut, j'avais effacer ton message. TU peux me renvoyer par MP ce que tu m'avais mis (le script)? Pour que j'étudie? Ca peux me servir pour une prochaine désinfection.

MrG_91,
Comment va le PC?
Reposte un ZHPDiag.

@+

MrG_91 · Answer

Ben le PC pour l'instant je ne vois pas encore de différence. Si tu veux ce qu'avait écrit archet9, c'était ça:

Drivers to disable:
volsnap

Drivers to delete:
volsnap

Files to delete:
C:\WINDOWS\ServicePackFiles\i386\volsnap.sys
C:\WINDOWS\System32\drivers\volsnap.sys

Je m'occupe du ZHPDiag

roro04 · Answer

Bon, mon script  n'est pas encore validé. On va faire un scan généraliste pour voir si il reste des choses.


> Télécharges Malwarebytes sur ton bureau. 

> Lance le. Laisse les options par défaut lors de l'installation. A la fin, il va se mettre à jour, laisse-le faire.  
> Branche toutes tes sources de données externes à ton PC. (Clés USB...) 
> Rends-toi dans l'onglet Recherche, clique sur Exécuter un examen complet puis clique sur Rechercher. 
> Sélectionnes tes disques durs et disques amovibles puis clique sur Rechercher 
> A la fin du scan, un rapport s'ouvre. Clique sur fichier puis enregistrer sous. Clique sur Bureau et met le nom Malwarebytes 
> Si MalwareBytes détecte des infections, clique sur Afficher les résultats, puis sur Supprimer la sélection. 
> Si Malwarebytes te demande de redémarrer ton pc, clique sur oui  
> Poste le rapport 
!!! Ne pas vider la quarantaine de MBAM sans avis !!! 

Tuto pour t'aider Ici 

@+

MrG_91 · Answer

Voilà. C'était long mais c'est terminé.
Il a trouvé six objets, dont le TDSS Killer renommé en winlogon.exe.

Pas de volsnap.sys par contre.

Il m'a bien demandé de redémarrer le PC.

Voici le rapport: http://cjoint.com/11av/ADDpzjKC4Hl.htm

roro04 · Answer

?
Tu as bien cliquer sur supprimer la sélection???

> Rends-toi dans l'onglet Quarantaine et clique sur Tout supprimer.
> Rends-toi dans l'onglet Rapports/Logs. Clique sur le plus récent. Clique sur Ouvrir. Clique sur Fichier puis sur Enregistrer Sous. Enregistre sur ton bureau. Reposte ce rapport hébergé sur https://www.cjoint.com/

@+

roro04 · Answer

Bon, nickel. 
Sa commence à être pas mal. 

==> Vu que je suis en formation de désinfection, je doit faire valider les scripts comme The Avenger avant de pouvoir les postés. Donc là, je doit faire validé un script pour finir le nettoyage avant de pouvoir le poster.

Je penses avoir la confirmation dans la soirée ou demain. 
En attendant, refais un ZHPDiag.

@+

roro04 · Answer

Salut! 


Sur un PC sain:
> Télécharge OTLPE sur ton bureau.
> Lance-le (clique droit/exécuter en tant qu'administrateur pour Vista/7)
> Insère un CD vierge dans ton lecteur de CD.
> Clique sur Oui. Laisse charger.
> Clique sur l'icône qui représente une feuille avec un cd à l'intérieur.
> Laisse le CD se graver.
______________________________________________________________
Sur le PC infecté:
> Allume le PC est met immédiatement le CD dedans.
> OTLPE doit se lancer.
> Clique sur l'icône OTLPE
> Répond oui au message.
> Sélectionne ta session.
> Vérifie que "Automatically Load All Remaining Users" est sélectionné et presse OK.
> Clique sur Run Scan.
> Normalement tu as un accès internet. Poste le rapport qui s'ouvre hébergé sur https://www.cjoint.com/ à la fin du scan.

Rapport aussi sauvegarder sous OTL.txt 
______________________________________________________________

> Toujours sur le PC infecté, clique sur MyComputer.
> Rends-toi dans le disque dur où se trouve les données.
> Insère une clé USB DÉDIÉE à la sauvegarde de CE PC.
> Copie toute tes données importantes dessus sauf les fichier exécutables (*.exe/*.msi/*.bat)

/!\ Ne branche pas cette clé sur un autre PC /!\

______________________________________________________________
______________________________________________________________


> Télécharge BurnCDCC sur ton bureau. 
> Dézippe-le. (Clique droit/Extraire tout/Suivant/Suivant/Terminer) 
> Télécharge Super Grub sur ton bureau. 
> Lance BurnCDCC. 
> Avec l'onglet browse, sélectionne super_grub_disk_0.9799.iso que tu viens de télécharger. 
> Coche alors read verify, Finalyze et autoeject. 
> Déplace le curseur sous speed pour le mettre à 32X , insère un cd vierge et clique sur start. 
______________________________________________________________

> Redémarre ton ordi. 
______________________________________________________________
> La fenêtre du SuperGrubDisk devrait apparaitre. Avec les flèches directionnelles, choisis WIN=> MBR & !WIN! comme sur Cette photo 
> L'ordinateur va redémarrer. 

Refais un ZHPDiag. 

@+ 

Vive l'informatique et la sécurité informatique. Tout le monde a droit à de l'aide pour désinfecter son PC.

MrG_91 · Answer

Hello,

J'ai un problème.
J'ai commencé les manoeuvres sur le PC sain et tout allait bien jusqu'à l'étape de l'icône avec la feuille à l'intérieur. J'imagine que c'est dû au logiciel de gravage donc j'ai continué.
Arrivé sur le PC infecté, OTDLE ne s'est pas lancé. Je suis allé manuellement dans le CD et je n'ai vu qu'un fichier *.exe qui s'appelle reatogo. En cliquant dans le dossier PROGRAMS, je trouve un OTDLE. Je le lance. Je peux faire "run scan" mais je n'ai ni message, ni session à sélectionner, ni "Automatically Load All Remaining Users" à sélectionner.

Je ne suis pas allé plus loin.

roro04 · Answer

Bon, alors =>  

Sur un PC sain:  
> Télécharge OTLPE (iso) sur ton bureau.  
> Télécharge BurnCDCC sur ton bureau.  
> Dézippe-le. (Clique droit/Extraire tout/Suivant/Suivant/Terminer)  
> Lance BUrnCDCC. 
> Avec l'onglet browse, sélectionne OTLPE_New_Std.iso que tu viens de télécharger.  
> Coche alors read verify, Finalyze et autoeject.  
> Déplace le curseur sous speed pour le mettre à 32X , insère un cd vierge et clique sur start.  
________________________________________________________________  

Sur le PC infecté:
> Allume le PC est met immédiatement le CD dedans.  
> Regato doit se lancer.
> Clique sur l'icône OTLPE
> Répond oui au message.
> Sélectionne ta session.
> Vérifie que "Automatically Load All Remaining Users" est sélectionné et presse OK.
> Clique sur Run Scan.
> Normalement tu as un accès internet. Poste le rapport qui s'ouvre hébergé sur https://www.cjoint.com/ à la fin du scan.

Le rapport est aussi sauvegarder sous OTL.txt 
________________________________________________________________

> Toujours sur le PC infecté, clique sur MyComputer.  
> Rends-toi dans le disque dur où se trouve les données.  
> Insère une clé USB DÉDIÉE à la sauvegarde de CE PC.  
> Copie toute tes données importantes dessus sauf les fichier exécutables (*.exe/*.msi/*.bat...)  

/!\ Ne branche pas cette clé sur un autre PC /!\  

Après, je te donnerais la suite des instructions.  
@+  
Vive l'informatique et la sécurité informatique. Tout le monde a droit à de l'aide pour désinfecter son PC.

MrG_91 · Answer

Hello,

Cette fois, malgré la galère que c'est pour faire démarrer un hp6730s sur cd, tout s'est parfaitement déroulé selon tes instructions (par contre, sur reatogo l'accès Internet ne marchait pas).

Voici le lien OTL.

http://cjoint.com/11mi/AEcqrmVjU.htm

roro04 · Answer

Bon, maintenant que tu as sauvegardé toutes tes données, on attaque la partie délicate.

Sur un PC sain:
> Télécharge [ ftp://terabyteunlimited.com/burncdcc.zip BurnCDCC.zip] sur ton bureau et dézippe-le (Clique droit/Extraire tout/Suivant/Suivant/Terminer)
> Télécharge aussi SuperGrubIso
> Lance BurnCDCC.
> Avec l'onglet Browse, sélectionne super_grub_disk_0.9799.iso
> Coche Cread verify, Finalyze et Autoeject.
> Déplace le curseur pour le mettre à 32X, insère un cd vierge et clique sur Start.

Sur le PC infecté:
> Redémarre le PC en insérant le CD précédemment gravé. 
> SuperGrubDisk se lance.
> Avec les flèches directionnelles, déplace toi jusqu'à WIN=> MBR & !WIN!
> Valide par la touche Entrée
> L'ordinateur va redémarrer.

Reposte un ZHPDiag.

@+

MrG_91 · Answer

Yep,

Voici le ZhPDiag: http://cjoint.com/11mi/AEcuoIBfoWn.htm

Tout s'est passé comme prévu avec Supergrubdisk.

Que dois-je faire à présent?

roro04 · Answer

Bon ben c'est bien. 

Est-ce que tu as toujours des alertes sur volsnap.sys? 

Je vais te faire analyser un fichier sur un site
> Rend-toi sur le site www.virustotal.com    
> Clique sur Parcourir Rends toi dans le répertoire des fichiers suivants et clique sur le fichier.    

C:\Windows\system32\drivers\volsnap.sys    

> Clique sur Send File. Si tu as un message comme quoi le fichier à déjà été analyser, clique sur Reanalyse.    
> Sélectionne le rapport de Antivirus jusqu'à VT Community puis clique droit/Copier.   
> Clique droit sur le bureau puis nouveau et enfin Document Texte. Nomme-le VT et colle le texte sélectionner dedans. Enregistre.   
> Poste le rapport héberger sur https://www.cjoint.com/     

Fais de même pour C:\Windows\system32\drivers\acpi.sys et C:\WINDOWS\PEV.exe

Ensuite, réessaye TDSSKiller pour voir si il plante toujours. 
@+ 
Vive l'informatique et la sécurité informatique. Tout le monde a droit à de l'aide pour désinfecter son PC.

MrG_91 · Answer

Hello, alors voici les rapports de,

C:\Windows\system32\drivers\volsnap.sys : http://cjoint.com/11mi/AEcu5pF4EtP.htm

C:\Windows\system32\drivers\acpi.sys : http://cjoint.com/11mi/AEcu5NacQmB.htm

C:\WINDOWS\PEV.exe (trois résultats positifs, mais un type dit dans les commentaires en dessous que c'est normal car c'est un composé de Combofix, je sais pas si c'est vrai) : http://cjoint.com/11mi/AEcu6HDFwBY.htm

A noter que TDSS Killer accepte de se lancer et ne plante pas au démarrage cette fois-ci. Dois-je l'utiliser?

roro04 · Answer

Re,
Pour PEV.exe, je ne pense pas que ce soit un composant de combo, mais 3 résulatas, ce n'est aps beaucoup donc je pense que c'est normal.

Oui, essaye de le passer entièrement comme ça:

> Télécharge TDSSKiller sur ton bureau et pas à un autre endroit.  
> Fais un clique droit sur le fichier puis Extraire Tout, Suivant, Suivant et Terminer.  
  
 /!\ Déconnecte toi d'internet /!\  

> Lance le fichier TDSSKiller (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).  
> Clique sur Start scan.  
> Laisse le logiciel travailler.  
> Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir.
> Laisse les options par défaut.
> Clique sur Continue puis sur Reboot now pour redémarrer le PC si des infections ont été trouvées.
> Poste le rapport situé dans C:\TDSSKillerVersion_Date_Time_log.txt  

@+

MrG_91 · Answer

Yep,

TDSS Killer s'est lancé et a fonctionné. Il n'a trouvé aucune infection.
Par contre, le scan n'a duré que 16 secondes. C'est normal que ce soit aussi rapide?

http://cjoint.com/11mi/AEdvlToHTxg.htm

roro04 · Answer

Bon, ben c'est bon signe tout ça!

> Refais un ZHPDiag pour vérifier.

@+

MrG_91 · Answer

Hello!

Désolé pour mon silence de deux jours, ce n'était pas voulu!

Je te fais immédiatement le ZHPDiag.

MrG_91 · Answer

Je pense que c'est bon signe. Je n'ai plus de pop-up là, je pense que ça a marché.
En revanche, j'ai toujours un petit problème qui date de mon précédent formatage et je me demande si tu pouvais y jeter un oeil. En fait, c'est tout simple: mon PC ne s'éteint plus. Quand je clique sur "éteindre", il reste indéfiniment sur la fenêtre "Fermeture de Windows..." mais finalement je dois toujours l'éteindre en restant appuyer sur l'interrupteur de mon PC. J'ai regardé plein de tutoriels, mais tout est en règle dans mon panneau de configuration...

roro04 · Answer

Effectivement, c'est bizarre mais là, je n'ai pas de réponse pour toi. Les rapports ZHPDiag ne passent toujours pas sans les mettre en PDF? Réessaye en normal.

==> Internet Explorer n'est pas à jour. Désinstalle-le via Ajout/Suppression de programmes. Télécharge la dernière version disponible Ici
==> XP n'est pas à jour. Rends toi Ici. Suis les instructions si Microsoft Update n'est pas installé. Clique sur Rapide. Suis les instruction.

Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan.
Autrement, installes-le, c'est un antimalware très efficace. Tu trouveras un tuto complet Ici


1- Nous allons mettre à jour ton pc.

 Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.

1ère étape : Java

> Télécharge JavaRa puis décompresse le sur ton bureau.
> Ouvre le dossier JavaRa puis exécute JavaRa.exe.
> Clique sur "Search For Updates".
> Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
> Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
> Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
> Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
> Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à Cette adresse puis passe directement à la partie " Remove Older Versions " /!\

2ème étape : Adobe Reader

> Si tu utilises adobe reader, il est important qu'il soit à jour.
> Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir ici )
> Pour vérifier qu'adobe reader est à jour, lance le puis clique sur Aide puis Rechercher les mises à jour.

3ème étape : Mise à jour des logiciels

> Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
> Télécharge le Ici
> Un tutoriel pour son utilisation est disponible Ici.


2- Vacciner les supports amovibles

> Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
> Télécharge USBfix puis lance le. (Clique droit/Exéuter en tent qu'administrateur pour Vista/7).
> Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option Vacciner.
> Appuie sur [Ok] au message de confirmation.
> Une fois la vaccination terminée, relance usbfix et choisis l'option Désinstaller.

 Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )


3- DelFix

> Télécharge DelFix sur ton bureau.
> Lance le.
> Clique sur Suppression.
> Patiente pendant le scan jusqu'à l'ouverture du rapport.
> Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFixSuppr.txt


4- Optimisation

1ère étape : Suppression des fichiers inutiles

> Télécharge CCleaner
> Lance le.
> Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers de plus de 24H[...] ".
> Cliques sur l'onglet " Nettoyeur " puis cliques sur Nettoyer.
> Rends toi à l'onglet " Registre " puis cliques sur Chercher les erreurs. Cliques ensuite sur Corriger les erreurs sélectionnées.
> Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression )
> Cliques ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer.
> Tu peux renouveler ces opérations tous les jours.

2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

> Télécharge Defraggler.
> Un tutoriel pour son utilisation est disponible Ici.

3ème étape : Vérification des disques

> Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
> Clique sur Propriété puis sur l'onglet Outils.
> Clique sur Vérifier maintenant puis coche les deux cases présentes.
> Clique sur Démarrer (Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage).

4ème étape : Désactivation des programmes au démarrage

> Clique sur Démarrer puis Exécuter.
> Tape msconfig et valide par Ok.
> A l'onglet Démarrage, décoche tout les programmes inutiles (Quicktime, Adobe Reader...)
> Clique sur Appliquer puis Ok et redémarre ton PC.
> Au redémarrage, un message apparait. Coche la case et clique sur OK.


4- Purge de la restauration système


La restauration système est un endroit que Windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

> Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

> Tutoriels :

- Windows XP
- Windows Vista
- Windows 7


5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

-> Pourquoi garder l'UAC activée?


6- Security Check 

Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

> Télécharge Security Check ( de Screen317 ) sur ton bureau.
> Lance le, puis appuis sur une touche.
> Patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse.
> Une fois le rapport posté, tu peux supprimer Security Check.

7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

Reviens bien posté les rapports.

@+

[Virus] Pop-up intempestives

43 réponses

Discussions similaires

Newsletters