suite à une infection par file restore virusFermé

Question

Bonjour, 

J'ai été infecté par un virus nommé File restore. J'ai procédé rapidemment à une restauration système (deux jours avant l'infection). Depuis mon pc est lent, mais cela concerne principalement la navigation internet, que ce soit IE ou Chrome. Lorsque que j'ai vu sur des forums que la restauration sytème ne servait à rien avec ce type de virus, j'ai commencé à suivre les instructions d'un site web : j'ai installé Rkiller qui n'a pas trouvé de malware, mais a modifié certains paramètres. J'ai ensuite installé malwarebytes anti-malware (gratuit), il a trouvé 3 fichiers infectés que j'ai supprimé. Cependant, ma navigation sur internet reste très lente. Et j'ai de temps en temps des redirections que je ne comprends pas...
d'autre part si cela peut vous être utile,
-le catalyst control center indique qu'il a cessé de fonctionné dès l'affichage du bureau ou après avoir cliqué sur le lancement du navigateur web
-java me demande des mises à jours...cependant je n'ose pas cliquer sur l'application qui se nomme jucheck.exe car l'editeur reste inconnu.

Pourriez-vous m'aider à résoudre ces problèmes de lenteur? Merci

Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

g3n-h@ckm@n · Answer

t'as pas du desactivber tes protections coorectement et il a ete bloqué !!

cttristan · Answer

d'accord je vais donc refaire la procédure. Il semble en effet que j'ai oublié de désactiver un des pare feux . Cela dit en passant, il semble que le "prescan" ait supprimé certains fichiers. Est ce normal? Auriez-vous une technique rapide pour désactiver les protections? 
Autre question: Les sauvegardes de mes données sont sur un disque dur. Est-il sûr de le connecter à un autre ordinateur? Ce virus peut-il contaminé un disque dur? Si oui, comment le savoir?
En tout cas je vous remercie du temps que vous m'accordez...

g3n-h@ckm@n · Answer

là :


https://forum.pcastuces.com/default.asp

cttristan · Answer

Bonjour, j'ai réussi à faire un scan sans problèmes particuliers : voici le lien du rapport: https://forums-fec.be/upload/www/?a=d&i=8670419719 .

g3n-h@ckm@n · Answer

hello du coup il est plus à jour...relance-le clique sur Diag et heberge le rapport

cttristan · Answer

Bonjour, voici le nouveau rapport : https://forums-fec.be/upload/www/?a=d&i=4290314296 Merci!

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

il sera aussi : C:\Adwcleaner[Sx].txt

cttristan · Answer

Re : voici le lien pour le rapport Adw https://forums-fec.be/upload/www/?a=d&i=2786917587 cependant après avoir redemarrer l'ordinateur, je constate qu'il existe toujours un beugue sur IE, il ya une redirection (qui arrive de tps en tps) vers Ebay que ne comprends pas

g3n-h@ckm@n · Answer

uniquement sur IE ?

cttristan · Answer

je ne crois pas qu'il y ait eu beaucoup de bug sur chrome (je ne m'en souviens pas) mais je ne l'utilise que rarement. Je trouve quand même que la navigation est plutot lente sur IE et sur chrome

g3n-h@ckm@n · Answer

on va voir une autre approche

 Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

cttristan · Answer

voici le lien pour le fichier otl.txt  : https://forums-fec.be/upload/www/?a=d&i=2195151524 et celui pour extra.txt : 	https://forums-fec.be/upload/www/?a=d&i=0880413991
Merci

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes,DefaultScope = 
IE - HKLM\..\SearchScopes\{08412486-EA6E-4862-A541-37499E2D3BC5}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcnnbie7-fr-fr 
IE - HKLM\..\SearchScopes\{73D3DCB3-9C46-4525-8771-771C01DA490C}: "URL" = https://fr.search.yahoo.com/web{searchTerms}&ei={inputEncoding}&fr=cb-hp06&type=ie2008 
IE - HKLM\..\SearchScopes\{AB45D6FF-EC9A-4E39-A7A6-BA7A39BA769C}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932 
IE - HKU\S-1-5-18\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-19\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-20\..\SearchScopes,DefaultScope = 
IE - HKU\S-1-5-21-869315669-2953040175-383343274-1000\..\SearchScopes\{08412486-EA6E-4862-A541-37499E2D3BC5}: "URL" = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=1156&query={searchTerms}&invocationType=tb50hpcnnbie7-fr-fr 
IE - HKU\S-1-5-21-869315669-2953040175-383343274-1000\..\SearchScopes\{73D3DCB3-9C46-4525-8771-771C01DA490C}: "URL" = https://fr.search.yahoo.com/web{searchTerms}&ei={inputEncoding}&fr=cb-hp06&type=ie2008 
IE - HKU\S-1-5-21-869315669-2953040175-383343274-1000\..\SearchScopes\{AB45D6FF-EC9A-4E39-A7A6-BA7A39BA769C}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932 
IE - HKU\S-1-5-21-869315669-2953040175-383343274-1000\..\SearchScopes\{FFF58BBA-EFA7-4CC0-BA83-2B49075FC2F6}: "URL" = https://www.bing.com/?scope=web&mkt=fr-FR&FORM=IEFM1{searchTerms}&src={referrer:source?} 
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)     
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_14-windows-i586.cab (Java Plug-in 1.6.0_14)     
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} https://www.webangelis.fr/page-404.php (Reg Error: Key error.)     
O16 - DPF: {62D90588-609E-4208-A260-A6CEC45BB92C} http://www.liberticam.com/download/CFWebU.exe (Reg Error: Key error.)     
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)     
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)     
O33 - MountPoints2\{15352b1c-b934-11df-9c97-e32f334a7ea3}\Shell - "" = AutoRun 
O33 - MountPoints2\{b5d6ce60-9cd4-11e0-b4c5-ae970783b8bd}\Shell - "" = AutoRun 
O33 - MountPoints2\F\Shell - "" = AutoRun 
O33 - MountPoints2\H\Shell - "" = AutoRun 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""=-

:Files
C:\2a4abf3279c98ea59fa014 
C:\Users\Tristan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\File Restore 
C:\Program Files (x86)	oolbar2.exe 
C:\ProgramData\uzgjrtcmgkxibri 
C:\Users\Tristan	mp1.24 
C:\Users\Tristan\AppData\Roaming\GhostObjGAFix.xml 
C:\Users\Tristan\AppData\Roaming\questdb.v12 

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

cttristan · Answer

re : voici le lien du rapport https://forums-fec.be/upload/www/?a=d&i=9168970475

cttristan · Answer

par contre pour ce dernier scan, j'avais laissé les paramètres d'OTL par default en plus du script que vous m'aviez fourni, jespère que j'ai bien fait...

g3n-h@ckm@n · Answer

bien que reste-t-il comme soucis ?

cttristan · Answer

bonjour,
eh bien je trouve que internet est tjrs un peu lent à charger que ce soit sur IE comme sur chrome. Je me base sur les performance d'un autre ordinateur qui est plus ancien et qui a un moins bon processeur, mais qui n'a pas été infecté par ce virus.
De plus quand j'ouvre mon gestionnaire des taches, est ce normal que je vois apparaître svchost.exe de nombreuses fois? (15 fois!)
ps : je viens encore d'avoir une redirection sur ziinga en utilisant IE....
je ne suis pas sûr d'être débarassé

cttristan · Answer

Je viens de faire un scan personalisé avec Avast sur les programmes se mettant en route au demarrage, il a trouvé 7 infections!
les programmes concernnés sont les suivants : avastsvc.exe; svchost.exe; explorer.exe; iexplorer.exe 
je n'arrive pas à cliquer sur le bouton mise en quarantaine dans avast, et il s'agit selon avast de menaces de types malware-gen; alureon ANP et MBR:SST
que faire?

g3n-h@ckm@n · Answer

je comprends mieux

 telecharge ceci :

https://forums-fec.be/gen-hackman/HDDFix.exe

lance-le puis clique sur Listing et heberge le rappport

cttristan · Answer

re : 
¤¤¤¤¤¤¤¤¤¤ HDDFix | g3n-h@ckm@n ¤¤¤¤¤¤¤¤¤¤

15/11/2012 | 19:11:51

 Disk: 0   Size=305G
 Pos MBRndx Type/Name  Size Active Hide Start Sector   Sectors
 --- ------ ---------- ---- ------ ---- ------------ ------------
  0    0    07-NTFS    199M   Yes   No         2,048      407,552
  1    1    07-NTFS    291G   No    No       409,600  596,705,280
  2    2    07-NTFS     14G   No    No   597,114,880   27,813,888
  3    3    0C-FAT32X  103M   No    No   624,928,768      211,632

g3n-h@ckm@n · Answer

tiens bizarre il est planqué où ?

===

 &#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<< ===================================================== Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe Combofix Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

cttristan · Answer

re : 
scan combo : https://forums-fec.be/upload/www/?a=d&i=0642603763 
et j'ai refait un scan derrière avec avast et les virus sont tjrs au même endroit : si ça peut aider à localiser ces fichus virus voici un imprim ecran du scan d'avast : https://forums-fec.be/upload/www/?a=d&i=0147602274

g3n-h@ckm@n · Answer

selectionne ce texte :

FixMBR::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

g3n-h@ckm@n · Answer

precise ?

Suite à une infection par file restore virus

26 réponses

Discussions similaires

Newsletters