Virus cluster défectueux win7
Résolu/Fermé
A voir également:
- Virus cluster défectueux win7
- Svchost.exe virus - Guide
- Win7 to usb - Télécharger - Systèmes d'exploitation
- Vérificateur de lien virus - Guide
- Produkey virus ✓ - Forum Windows 10
- Lien virus à envoyer - Forum Virus
74 réponses
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
31 mai 2011 à 20:51
31 mai 2011 à 20:51
Hello,
Nous allons essayer de régler ton problème ensemble. D''abord, quelques rappels :
▶ N''ouvre pas d''autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
▶ N''hésite pas à poser des questions en cas de besoin ;)
▶ Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
▶ La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l''infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu''au bout, sinon ce qu''on a fait n''aura servi à rien.
Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique.
désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu
Télécharge Pre_scan (de gen-hackman)
♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau
▶ Exécute Pre_scan. Si l''outil détecte un proxy et que tu n''en as pas installé clique sur "supprimer le proxy"
♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Nous allons essayer de régler ton problème ensemble. D''abord, quelques rappels :
▶ N''ouvre pas d''autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
▶ N''hésite pas à poser des questions en cas de besoin ;)
▶ Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
▶ La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l''infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu''au bout, sinon ce qu''on a fait n''aura servi à rien.
Avertissement: Il y aura une courte extinction du bureau pendant que l''outil travaillera --> pas de panique.
désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu
Télécharge Pre_scan (de gen-hackman)
♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau coupe-le de ton dossier téléchargements et colle-le sur ton bureau
▶ Exécute Pre_scan. Si l''outil détecte un proxy et que tu n''en as pas installé clique sur "supprimer le proxy"
♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
2 juin 2011 à 14:20
2 juin 2011 à 14:20
Re,
Décidément, il est coriace ce rootkit. On va chercher à remplacer les fichiers qu'il utilise pour effectuer ses actions malveillantes...
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
Décidément, il est coriace ce rootkit. On va chercher à remplacer les fichiers qu'il utilise pour effectuer ses actions malveillantes...
▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE
▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!
▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
KillAll:: SRPeek:: C:\Windows\system32\DRIVERS\ndiswan.sys C:\Windows\system32\DRIVERS\netbt.sys Quit::
▶ Enregistre ce fichier sous le nom CFScript
▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif
▶ Combofix se lance, laisse toi guider..
▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c''est normal!
Ne touche à rien tant que le scan n''est pas terminé.
▶ Une fois le scan achevé, un rapport va s''afficher: poste son contenu, en précisant où en sont tes soucis
▶ Si le fichier ne s''ouvre pas, il se trouve ici > C:\ComboFix.txt
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
Modifié par juju666 le 31/05/2011 à 21:27
Modifié par juju666 le 31/05/2011 à 21:27
Humm on dirait que pre_scan a eu du mal de travailler, le rapport est incomplet...
Copie ce texte en gras sans les lignes :
______________________________
host::
______________________________
Lance pre_script qui est sur ton bureau
Dans le fichier du bloc note qui s'ouvre, colle le texte copié
Fichier>Enregistrer
Ferme le bloc note
Poste le rapport qui s'ouvrira à la fin
.::. Contributeur Sécurité .::.
Copie ce texte en gras sans les lignes :
______________________________
host::
______________________________
Lance pre_script qui est sur ton bureau
Dans le fichier du bloc note qui s'ouvre, colle le texte copié
Fichier>Enregistrer
Ferme le bloc note
Poste le rapport qui s'ouvrira à la fin
.::. Contributeur Sécurité .::.
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
31 mai 2011 à 21:36
31 mai 2011 à 21:36
non ....
828 | c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe - Système - Normal - "c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe" - 544
2704 | C:\Program Files\Microsoft Security Client\msseces.exe - Guillaume - Normal - "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey - 2140
828 | c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe - Système - Normal - "c:\Program Files\Microsoft Security Client\Antimalware\MsMpEng.exe" - 544
2704 | C:\Program Files\Microsoft Security Client\msseces.exe - Guillaume - Normal - "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey - 2140
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai refais tourner pre_scan en copiant le texte en gras dans le rapport mais lors de l'exécution le programme a planté.
voici quand même le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201105/cij83wcrZk.txt
voici quand même le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201105/cij83wcrZk.txt
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
31 mai 2011 à 21:48
31 mai 2011 à 21:48
c est pas pre_scan qu'il fallait relancer, mais pre_script qui est sur ton bureau. :)
Utilisateur anonyme
31 mai 2011 à 22:17
31 mai 2011 à 22:17
ah c'est l installation de pre_script qui bloque le prog regarde juju
FileWriteLine($txt, "¤¤¤¤¤¤¤¤¤¤ Listing Tasks")
code
c'est pour cela qu'il stoppe ici au scan je pense que le programme doit etre lancé dans la sandbox de l'antivirus
FileInstall("Pre_Script.exe", @DesktopDir & "\Pre_Script.exe")
ProgressOn("Pre_Scan", "Réattribution Fichiers | Dossiers")
code
FileWriteLine($txt, "¤¤¤¤¤¤¤¤¤¤ Listing Tasks")
code
c'est pour cela qu'il stoppe ici au scan je pense que le programme doit etre lancé dans la sandbox de l'antivirus
FileInstall("Pre_Script.exe", @DesktopDir & "\Pre_Script.exe")
ProgressOn("Pre_Scan", "Réattribution Fichiers | Dossiers")
code
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
31 mai 2011 à 22:21
31 mai 2011 à 22:21
ok mais moi je ne comprends pas grand chose en autoit :o)
@Guillaume :
▶ Télécharge sur le bureau RogueKiller (par tigzy)
▶ ▶ Sous Windows XP, double clic gauche
▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur
▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
▶ A ce moment tape 2 et valide
Note: s''il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse
▶ Toujours dans RogueKiller, tape 3 et poste RKReport2
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
@Guillaume :
▶ Télécharge sur le bureau RogueKiller (par tigzy)
▶ ▶ Sous Windows XP, double clic gauche
▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur
▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
▶ A ce moment tape 2 et valide
Note: s''il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse
▶ Toujours dans RogueKiller, tape 3 et poste RKReport2
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
Voilà pour le 2ième rapport généré par RogueKiller :
http://www.cijoint.fr/cjlink.php?file=cj201105/cijJ2RInkY.txt
http://www.cijoint.fr/cjlink.php?file=cj201105/cijJ2RInkY.txt
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
31 mai 2011 à 22:35
31 mai 2011 à 22:35
Heu bizarre ....
Soit
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Soit
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
ftp://zebulon.fr/ZHPDiag2.exe
▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »
▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
▶ Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Voilà le rapport ZHPDiag généré.
http://pjjoint.malekal.com/files.php?id=96edf3bd6d13813
A noter que j'ai eu une erreur pendant l'exécution du programme, mais ça n'a pas empêché l'exécution de se terminer.
http://pjjoint.malekal.com/files.php?id=96edf3bd6d13813
A noter que j'ai eu une erreur pendant l'exécution du programme, mais ça n'a pas empêché l'exécution de se terminer.
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
Modifié par juju666 le 1/06/2011 à 18:18
Modifié par juju666 le 1/06/2011 à 18:18
Hello,
Relance RogueKiller option 6 stp et poste le rapport
.::. Contributeur Sécurité .::.
Relance RogueKiller option 6 stp et poste le rapport
.::. Contributeur Sécurité .::.
Rebonjour juju,
Voilà le rapport généré:
http://pjjoint.malekal.com/files.php?id=665dcecbbf11147
A priori tout rentre dans l'ordre. Tout ce que j'avais sur mon bureau est revenu, mon dossier utilisateur aussi et je peux à nouveau réutiliser mes programmes qui avait disparus :).
Voilà le rapport généré:
http://pjjoint.malekal.com/files.php?id=665dcecbbf11147
A priori tout rentre dans l'ordre. Tout ce que j'avais sur mon bureau est revenu, mon dossier utilisateur aussi et je peux à nouveau réutiliser mes programmes qui avait disparus :).
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
1 juin 2011 à 19:54
1 juin 2011 à 19:54
En fait tout était là mais en fichiers cachés....
Ton pc présente diverses infections Adwares.
CF : https://www.futura-sciences.com/tech/definitions/internet-adware-1857/
▶ Télécharge de AD-Remover sur ton Bureau. (TeamXScript)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\
▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Scanner »
▶ Confirme lancement du scan
▶ Laisse travailler l''outil.
▶ Quand il a fini, un rapport s'ouvrira : ferme le.
♦ Pour me transmettre le rapport
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Ton pc présente diverses infections Adwares.
CF : https://www.futura-sciences.com/tech/definitions/internet-adware-1857/
▶ Télécharge de AD-Remover sur ton Bureau. (TeamXScript)
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )
/!\ Ferme toutes applications en cours /!\
▶ Double-clique sur l''icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Scanner »
▶ Confirme lancement du scan
▶ Laisse travailler l''outil.
▶ Quand il a fini, un rapport s'ouvrira : ferme le.
♦ Pour me transmettre le rapport
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Voici le rapport généré par AD- Remover
http://www.cijoint.fr/cjlink.php?file=cj201106/cijDCicsXl.txt
http://www.cijoint.fr/cjlink.php?file=cj201106/cijDCicsXl.txt
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
1 juin 2011 à 20:21
1 juin 2011 à 20:21
▶ Relance AD-Remover, clique sur Nettoyer
▶ Laisse le pc redémarrer.
▶ Une fois revenu sur le bureau, le rapport devrait s''ouvrir : poste son contenu.
▶ S''il ne s''ouvre pas; il se trouve là : C:\AD-Report[CLEAN]1.txt
▶ Laisse le pc redémarrer.
▶ Une fois revenu sur le bureau, le rapport devrait s''ouvrir : poste son contenu.
▶ S''il ne s''ouvre pas; il se trouve là : C:\AD-Report[CLEAN]1.txt
