Virus inconnu - gros soukFermé

Question

Bonjour, 

Je suis sur le PC d'un ami qui ne touche pas une bille en informatique.

Alors... Les ennuis ont commencé dimanche 1er avril. Il a ouvert un mail venant d'Orange.fr lui réclamant une facture impayée... Sachant qu'il vit au Luxembourg et pas d'abonnement chez Orange... Bref! 
Ensuite il a eu des "drôles de fenêtres qui se sont ouvertes, des alertes et d'un coup plus un seul mail dans Thunderbird !"

Je n'ai découvert le tout qu'hier matin. Après lui avoir dit de ne rien toucher, j'ai préparé un rescue System de chez Avira. Quand j'arrive chez lui il me dit qu'il a vidé la corbeille qui était pleine.

Je lance le Rescue System et après 2 heures de scans pas de virus de détecté. Par contre pleins de dossiers users (je les avais déplacés de C:/ sur D:/) et tous, sauf ceux de la session user en cours ont disparus. Pas de trace des derniers back-ups faits par True Image d'Acronis.

Je ne trouve aucun virus "récent" qui colle à cette description de comportement.
J'ai un Scan de f-Secure en cours, et je vais lancer MBAM ensuite. (je posterai les rapports au fur et à mesure.

Quelqu'un a-t-il une idée de ce que c'est que cette sale bête?

Merci. :-)


Configuration: Windows 7 / Firefox 11.0

UmD Sacrigmatik · Answer

Un coup d'hijackthis ?

SopranoSorceress · Answer

J'ai fait Rogue Killer hier: RogueKiller V7.3.2 [20/03/2012] par Tigzy Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur: Edouard [Droits d'admin] Mode: Recherche -- Date: 02/04/2012 18:21:53 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 9 ¤¤¤ [SUSP PATH] McQcModifier-5c47-a7b0.job @ : C:\ProgramData\McQcModifier-5c47-a7b0\McQcModifier-5c47-a7b0.cmd -> FOUND [DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{755CAEEB-C9B4-460B-8B89-51DF3F48839E} : NameServer (8.26.56.26,156.154.70.22) -> FOUND [DNS] HKLM\[...]\ControlSet002\Parameters\Interfaces\{755CAEEB-C9B4-460B-8B89-51DF3F48839E} : NameServer (8.26.56.26,156.154.70.22) -> FOUND [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [] HKCR\[...]\InprocServer32 : () -> ACCESS DENIED ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] c5f1696180607d2815fdea253afc1fcf [BSP] 438b6fe4709737e49869052e979868a3 : Windows 7 MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 14336 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 29362176 | Size: 100 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 29566976 | Size: 469454 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 991008768 | Size: 469977 Mo Error reading LL1 MBR! Error reading LL2 MBR! Termine : << RKreport[1].txt >> RKreport[1].txt

SopranoSorceress · Answer

Alors...
Scan f-secure a échoué ! Le PC s'est éteint automatiquement à 99% (pas de redémarrage, juste éteint tout seul).

Rapport Hijackthis : https://pjjoint.malekal.com/files.php?id=HijackThis_20120403_p6b13h9i7f11

Scan MBAM en cours...

Virus inconnu - gros souk

3 réponses

Discussions similaires

Newsletters