Virus BOO/Alureon.A détectéRésolu/Fermé

Question

Bonjour, 

J'ai visiblement un virus qui a infecté mon PC... Je précise que j'ai 6 disques durs sur mon PC et je ne sais pas si cela change quelque chose, mais du coup, il a beaucoup de choses a scanner à chaque outils que je lance... (Au passage, quelqu'un saurait me dire si ce virus se duplique sur mes autres disques durs ?)

Je préfère préciser d'abord : J'envisage de remplacer mes 6 disques durs par 3 disques (2 de 1.5To chaque et 1 disque système). 
Est-il possible de récupérer mes données des 6 DD sans risques afin de les copier sur mes 2DD 1.5To neufs et donc parfaitement sains ?
Dans ce cas, pas la peine de résoudre le problème suivant, il suffit de m'indiquer la méthode pour déplacer mes données de mes 6 disques vers mes 1.5To sans risques, ainsi que comment formater proprement un des 6 disques actuel pour le transformer en un disque système sain.


Symptômes :
Lien google redirigés, 
Impossibilité d'accéder à certaines fonctions de mon PC
Création d'un nouvel utilisateur dans Users : Mcx1-PC-DE-TOON (PC-DE-TOON est le nom de mon PC)
Messages Windows : 
Impossible d'ouvrir ces fichiers.  
Vos paramètres de sécurité Internet ont empéché l'ouverture d'un ou de plusieurs fichiers

J'ai lancé Ad-aware, Spybot et Antivir hier soir l'un après l'autre : ad-aware a trouvé des trucs, mais pas assez visiblement (ou bien ils sont revenus...) rien pour spybot et concernant antivir :
Les trois rapports suivants sont significatifs...


Le fichier 'Secteur d'amorçage 'C:\''
 contenait un virus ou un programme indésirable 'BOO/Alureon.A' [virus].
Action(s) exécutée(s) :
Contient le code du virus de secteur dapos;amorçage BOO/Alureon.A.
Le secteur n'a pas été réécrit !

Le fichier 'Secteur d'amorçage 'H:\''
 contenait un virus ou un programme indésirable 'BOO/Alureon.A' [virus].
Action(s) exécutée(s) :
Contient le code du virus de secteur dapos;amorçage BOO/Alureon.A.
Le secteur n'a pas été réécrit !

Le fichier 'Secteur d'amorçage maître HD2'
 contenait un virus ou un programme indésirable 'BOO/Alureon.A' [virus].
Action(s) exécutée(s) :
Contient le code du virus de secteur dapos;amorçage BOO/Alureon.A.
Le secteur n'a pas été réécrit !

-----------------------------------------------------

Concernant la désinfection, j'ai tenté en vain de suivre les étapes décrites ici : https://www.commentcamarche.net/faq/18103-supprimer-le-rootkit-w32-tdss-alureon

**********************************************************************
RSIT : Un message au lancement : Impossible d'ouvrir ces fichiers.  
Vos paramètres de sécurité Internet ont empéché l'ouverture d'un ou de plusieurs fichiers 
Puis 39 fenêtres :
RSIT.exe - Pas de disque
Il n'y a pas de disque dans le lecteur. Insérez un disque dans le lecteur \Device\Harddisk7\DR7.
Avec trois choix : Annuler, Recommencer et Continuer. J'ai mis continuer à chaque fois, sinon, ça n'avançait pas... 
Au final,
log.txt : http://www.cijoint.fr/cjlink.php?file=cj201102/cijFOjQmf9.txt
info.txt : http://www.cijoint.fr/cjlink.php?file=cj201102/cij1CsW6Pv.txt

**********************************************************************
GMER : Une dizaine de fenêtres :
GMER.exe - Pas de disque
Il n'y a pas de disque dans le lecteur. Insérez un disque dans le lecteur \Device\Harddisk7\DR7.
Avec trois choix : Annuler, Recommencer et Continuer.
Le scan se poursuit ensuite et au final :
logGMER : http://www.cijoint.fr/cjlink.php?file=cj201102/cij0NNU1RD.txt

**********************************************************************
TDSSKiller de Kaspersky
Il m'a trouvé un truc : Rootkit.Win32.TDSS.tdl4(\HardDisk2) qu'il a visiblement nettoyé, mais qui au final n'a rien résolu...
logTDSSKiller : http://www.cijoint.fr/cjlink.php?file=cj201102/cijEst1P7K.txt

**********************************************************************
ComboFix :
Rien de rien...
Je le lance et j'ai une mini barre de chargement qui s'affiche. Une fois arrivé vers la fin, j'ai une bonne 30aine de 
Impossible d'ouvrir ces fichiers.  
Vos paramètres de sécurité Internet ont empéché l'ouverture d'un ou de plusieurs fichiers
Je ne les ai pas compté, il y en a trop... Au final, rien ne se lance

**********************************************************************
TDSS Remover : RAS

**********************************************************************
Je n'ai pas essayé Malwarebytes'Anti-Malware (j'ai supposé que c'était l'équivalent de spybot et ad-aware... me trompe-je ?)

**********************************************************************
Norman TDSS Cleaner : RAS

**********************************************************************
J'ai vu sur un autre post qu'un utilisateur avait eu un problème similaire et on lui avait demandé un log ZHPdiag. Voici le mien : http://www.cijoint.fr/cjlink.php?file=cj201102/cijgskQ2uT.txt

**********************************************************************
Voilà, c'est tout ce que je peux faire à mon niveau pour le moment... J'espère que quelqu'un aura une solution...

Merci d'avance en tout cas !!

Configuration: Windows 7 / Firefox 4.0

gen-hackman · Answer

salut

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

GoToon · Answer

Y aurait-il des sous-entendus dans vos commentaires ?

Voici le rapport demandé :

############################## | UsbFix 7.041 | [Suppression]

Utilisateur: Toon (Administrateur) # PC-DE-TOON [MICRO-STAR INTERNATIONAL CO.,LTD MS-7558]
Mis à jour le 24/02/2011 par TeamXscript
Lancé à 00:21:44 | 25/02/2011
Site Web: http://www.teamxscript.org
Un fichier non reconnu ? : http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q9300 @ 2.50GHz
Microsoft Windows 7 Professionnel  (6.1.7600 64-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 4095 Mo 
C:\ (%systemdrive%) -> Disque fixe # 153 Go (90 Go libre(s) - 59%) [Toon's Disk] # NTFS
D:\ -> Disque fixe # 233 Go (7 Go libre(s) - 3%) [Données] # NTFS
E:\ -> Disque fixe # 699 Go (104 Go libre(s) - 15%) [MegaDisk] # NTFS
F:\ -> Disque fixe # 186 Go (40 Go libre(s) - 22%) [Western] # NTFS
G:\ -> Disque fixe # 466 Go (48 Go libre(s) - 10%) [STOREX] # FAT32
H:\ -> Disque fixe # 313 Go (15 Go libre(s) - 5%) [White] # NTFS
I:\ -> CD-ROM
N:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-452386386-3423567678-2465158461-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-452386386-3423567678-2465158461-1001
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-452386386-3423567678-2465158461-1001
Supprimé! F:\$RECYCLE.BIN\S-1-5-21-452386386-3423567678-2465158461-1001
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-452386386-3423567678-2465158461-1001

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[25/02/2011 - 00:22:26 | SHD ] 	C:\$Recycle.Bin
[24/02/2011 - 20:16:53 | D ] 	C:\32788R22FWJFW
[24/02/2011 - 22:47:42 | N | 29135] 	C:\aaw7boot.log
[24/10/2009 - 17:29:39 | D ] 	C:\ATI
[25/02/2011 - 00:08:30 | D ] 	C:\Autorun.inf
[24/10/2009 - 12:42:49 | D ] 	C:\Boot
[14/07/2009 - 02:38:58 | RASH | 383562] 	C:\bootmgr
[24/10/2009 - 12:42:50 | N | 8192] 	C:\BOOTSECT.BAK
[14/07/2009 - 06:08:56 | SHD ] 	C:\Documents and Settings
[24/02/2011 - 22:47:43 | ASH | 3220561920] 	C:\hiberfil.sys
[06/11/2010 - 17:59:26 | N | 401] 	C:\InstallHelper.log
[24/10/2009 - 17:34:47 | D ] 	C:\Intel
[12/12/2010 - 22:00:04 | N | 4427] 	C:\LU4.log
[24/10/2009 - 12:27:56 | RHD ] 	C:\MSOCache
[20/02/2011 - 10:47:45 | D ] 	C:\NVIDIA
[24/02/2011 - 22:47:43 | ASH | 4294086656] 	C:\pagefile.sys
[14/07/2009 - 04:20:08 | D ] 	C:\PerfLogs
[20/02/2011 - 10:48:08 | D ] 	C:\Program Files
[24/02/2011 - 22:58:47 | D ] 	C:\Program Files (x86)
[24/02/2011 - 22:00:49 | HD ] 	C:\ProgramData
[24/10/2009 - 17:31:37 | D ] 	C:\RaidTool
[24/10/2009 - 11:51:27 | SHD ] 	C:\Recovery
[24/02/2011 - 22:25:38 | D ] 	C:\rsit
[23/02/2011 - 22:15:28 | SHD ] 	C:\System Volume Information
[24/02/2011 - 21:52:21 | N | 68796] 	C:\TDSSKiller.2.4.18.0_24.02.2011_21.51.16_log.txt
[24/02/2011 - 21:59:22 | N | 68302] 	C:\TDSSKiller.2.4.18.0_24.02.2011_21.58.55_log.txt
[24/02/2011 - 22:27:14 | N | 135060] 	C:\TDSSKiller.2.4.18.0_24.02.2011_22.26.15_log.txt
[24/02/2011 - 22:26:50 | D ] 	C:\TDSSKiller_Quarantine
[25/02/2011 - 00:22:26 | D ] 	C:\UsbFix
[25/02/2011 - 00:21:44 | A | 3149] 	C:\UsbFix.txt
[25/02/2011 - 00:02:27 | N | 2744931] 	C:\UsbFix_Upload_Me_PC-DE-TOON.zip
[24/02/2011 - 22:17:45 | D ] 	C:\Users
[24/02/2011 - 22:21:37 | D ] 	C:\Windows
[25/02/2011 - 00:22:26 | SHD ] 	D:\$RECYCLE.BIN
[25/02/2011 - 00:08:32 | D ] 	D:\Autorun.inf
[09/01/2009 - 18:21:22 | D ] 	D:\Films Babette
[25/02/2011 - 00:02:18 | SHD ] 	D:\RECYCLER
[26/09/2007 - 15:18:12 | SHD ] 	D:\System Volume Information
[25/02/2011 - 00:22:26 | SHD ] 	E:\$RECYCLE.BIN
[24/11/2010 - 21:51:38 | D ] 	E:\af442cacc102e3534f33d4099cd1b4fc
[25/02/2011 - 00:08:33 | D ] 	E:\Autorun.inf
[09/11/2010 - 18:35:36 | D ] 	E:\Bitlord
[13/12/2009 - 12:43:35 | D ] 	E:\Boot
[14/07/2009 - 02:38:58 | RASH | 383562] 	E:\bootmgr
[26/03/2009 - 23:11:01 | N | 8192] 	E:\BOOTSECT.BAK
[05/01/2010 - 14:53:10 | D ] 	E:\Disque 500Go Oli
[07/02/2011 - 19:38:35 | D ] 	E:\Documents
[24/04/2010 - 23:04:29 | N | 11677728768] 	E:\Encore Une Chanson_France 2 HD_2010_04_24_20_30_00.wtv
[14/01/2010 - 13:47:30 | D ] 	E:\Fichiers importants
[24/02/2011 - 16:25:50 | D ] 	E:\Fichiers SETUP
[29/01/2011 - 10:32:43 | D ] 	E:\Images
[29/01/2009 - 02:10:48 | N | 293] 	E:\INSTALL.LOG
[25/10/2009 - 02:10:06 | N | 528] 	E:\MediaID.bin
[01/12/2006 - 22:37:14 | N | 904704] 	E:\msdia80.dll
[02/03/2009 - 19:24:57 | D ] 	E:\msdownld.tmp
[04/08/2010 - 09:33:45 | D ] 	E:\Musique
[25/10/2009 - 04:21:39 | D ] 	E:\PC-DE-TOON
[23/02/2011 - 22:51:17 | SHD ] 	E:\System Volume Information
[24/02/2011 - 13:52:00 | D ] 	E:\Vidage disque Ordinateur de bureau 24-02-2011
[04/08/2010 - 09:33:45 | D ] 	E:\Vidéos
[05/01/2010 - 21:37:30 | D ] 	E:\WindowsImageBackup
[25/02/2011 - 00:22:26 | SHD ] 	F:\$RECYCLE.BIN
[05/09/2009 - 13:32:07 | D ] 	F:\02 - Photos Jaquette
[25/02/2011 - 00:08:33 | D ] 	F:\Autorun.inf
[04/09/2009 - 11:24:23 | N | 13261] 	F:\Contenu des DVD finaux.xlsx
[31/03/2009 - 21:49:36 | D ] 	F:\DVD Compilés
[31/03/2009 - 21:43:03 | D ] 	F:\DVD Finaux en Video_TS
[05/09/2009 - 13:57:33 | D ] 	F:\Film Famille Arbey final
[05/09/2009 - 13:44:56 | D ] 	F:\Films Babette
[22/02/2010 - 16:54:29 | D ] 	F:\Oli - Vidage EEEPC
[30/03/2009 - 23:11:10 | SHD ] 	F:\System Volume Information
[30/03/2008 - 15:03:38 | D ] 	G:\Recycled
[30/03/2008 - 15:03:38 | SHD ] 	G:\System Volume Information
[03/04/2008 - 00:19:54 | D ] 	G:\Scans
[25/02/2011 - 00:02:26 | D ] 	G:\Autorun.inf
[30/03/2008 - 15:05:10 | D ] 	G:\Séries
[30/03/2008 - 15:05:52 | D ] 	G:\Films
[03/04/2008 - 00:16:52 | D ] 	G:\Animés
[29/01/2009 - 21:52:52 | SHD ] 	G:\$RECYCLE.BIN
[31/03/2009 - 18:06:48 | D ] 	G:\Karaoké
[25/02/2011 - 00:22:26 | SHD ] 	H:\$RECYCLE.BIN
[22/02/2010 - 17:17:25 | D ] 	H:\2009 05 - EVJG Films
[25/02/2011 - 00:08:34 | D ] 	H:\Autorun.inf
[31/03/2009 - 23:01:41 | D ] 	H:\HC-22
[03/05/2009 - 19:06:56 | D ] 	H:\HDR-SR10
[09/06/2010 - 20:42:12 | D ] 	H:\Mariage Oli & &Gui
[30/03/2010 - 15:09:01 | D ] 	H:\Mariage Oli & Gui - Photos
[05/01/2010 - 10:30:54 | N | 23314340] 	H:\Naissance Ludivine.mov
[30/03/2009 - 20:40:03 | SHD ] 	H:\System Volume Information
[31/03/2009 - 17:32:12 | D ] 	H:\Tests SR-10
[31/03/2010 - 14:22:54 | D ] 	H:\Voyage USA - Informations
[15/02/2011 - 14:11:46 | D ] 	H:\Voyages de noces - Photos et vidéos

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

gen-hackman · Answer

je comprends pas que tes peripheriques n'aient pas été vaccinés

Gotoon · Answer

C'est a dire ? Il faut que je fasse une manipulation supplémentaire pour les vacciner ?

gen-hackman · Answer

non essaie ca :

http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html

GoToon · Answer

Je lance ça ce matin et on verra en rentrant ce soir... Ils disent que ça peut prendre plusieurs heures, voire un jour... Merci en tout cas !

gen-hackman · Answer

bonjour

oui c'est assez long mais s'il y a quelques chose à débusquer c'est assez efficace :)

GoToon · Answer

Hello !

Je ne suis pas encore chez moi, mais ma femme m'a dit que ça en était à 41% (après 7 heures de scan) et toujours rien trouvé... J'espère qu'il trouvera quand même qqch... 

Dans tous les cas : est-ce que je peux récupérer mes données sans risques pour les copier sur un nouveau disque dur ?

Pour être plus clair : sur ces 6 disques (il n'y en a que 5 physiquement), j'ai donc 5 DD de stockage pur : photos, vidéos de famille filmées en HD + vidéos récupérées des cassettes de caméscopes de nos parents (qu'il faudrait d'ailleurs que je monte... héhé)
-> Y a-t-il un risque d'infection pour ces disques de stockage ?

Ensuite, j'ai un disque dur partitionné sur lequel se trouve mon C: (qui doit donc être super infecté) et un disque de stockage E: de documents importants (factures téléphone, internet, banque, etc...). Je sais, c'est con, j'aurai mieux fait de les stocker ailleurs, mais au moins, ça me servira de leçon...
-> Est-ce qu'il y a un moyen de les récupérer sans récupérer les merdes que je traine sur ce disque ?

Merci pour cette aide précieuse en tous cas.

gen-hackman · Answer

.........../filmées en HD + vidéos récupérées des cassettes de caméscopes de nos parents (qu'il faudrait d'ailleurs que je monte... héhé)
-> Y a-t-il un risque d'infection pour ces disques de stockage ?

non de ce coté-là ca risque rien

Est-ce qu'il y a un moyen de les récupérer sans récupérer les merdes que je traine sur ce disque ? 

meme réponse qu'au dessus :)

par contre :

quand tu copies , ne prends que les fichiers et pas les dossiers entiers

tu ouvres un autre dossier du meme nom dans l'autre disque , et tu copies de fichiers à fichiers (tu peux tous les selectionner)

pourquoi agir de la sorte ? :

simplement parce que si une infection est planquée dans les fichiers cachés , tu ne l'emarques pas avec :) elle restera dans le disque et sera formatée ^^

si tu veux accelerer tes copies :

https://www.clubic.com/telecharger-fiche11010-supercopier.html

GoToon · Answer

Cool ! C'est plutôt une bonne nouvelle...
C'est vrai que je me considère pas non plus comme débutant en info, mais alors en terme de virus, malware & co..... je suis un grand novice...

Sinon, en effet, ça parait logique cette histoire de prendre les fichiers séparés, sans faire un gros copié-collé. Ca me prendra un peu plus de temps, mais au moins, ce sera bien fait...

En fait, j'avais surtout peur qu'en branchant mes nouveaux disques SATA, les virus soient directement dupliqués dessus. Un peu comme quand tu viens te coller sur un mec qui a un virus et que du coup, tu le choppes... héhé...

Du coup, si je finis par choisir cette solution : Comment faire pour formater correctement un disque dur ? Remarque, il y a ptet un petit tuto sur commentçamarche d'ailleurs... Je vais regarder de ce pas. Enfin, ptet plutôt ce soir, parce que je suis encore au boulot et que ça va commencer à faire long mon petit interlude sur le net, héhé...

Je reviens ce soir sur le site pour faire le point sur le scan de Dr WEB.
Merci.

gen-hackman · Answer

En fait, j'avais surtout peur qu'en branchant mes nouveaux disques SATA, les virus soient directement dupliqués dessus.

fais-le avec un cdlive de linux , les virus ne t'embeteront pass :)

Comment faire pour formater correctement un disque dur ?

https://forum.pcastuces.com/tuto___killdisk-f31s23.htm

GoToon · Answer

Re !

Je suis sur Dr web et je risque de glisser des mzwqa, etc puisque le live cd est bloque en qwerty...

Bon, concernant le scan : il en est a 62% (11h30) et n'a trouve qu'un seul fichier... dans la quarantaine d'antivir lol...

Bon, on va encore esperer un peu...
Ma femme veut qu'on formate le tout dans tous les cas demain. Donc on s'occupera des transferts demain matin quand l'analyse sera terminee...

Du coup : vu qu'elle est en conge maternite et aue c'est elle qui va s'en occuper, elle prefererait le faire sur windows. Du coup : Tu penses que c'est ok quand meme (sqns passer par un livecd linux) ?

Dans ce cas, je branche les 2 disques directement et puis elle s'en occupe dans la semaine...

En esperant tout de meme aue Dr Web resolvera le probleme...

Salut

GoToon · Answer

97% et toujours rien... ca sent le roussi non ?

gen-hackman · Answer

hello je ne sais pas ce que c'est ca : mzwqa 

ensuite si vous formatez demain , c'est meme pas la peine de finir le scan drWeb
G3?-?@¢??@?......Concepteur de List_Kill'em...

GoToon · Answer

mon mzwqa c'etait juste pour rappeler que ca allait etre dur d'ecrire avec le clavier qwerty lol

Sinon, on est toujours a 97%. Je pense aussi que le scan ne nous apportera rien au final puisqu'on va formater, mais bon... ca fait 30h que j'attend et ca me fait mal d'arreter maintenant...

Merci encore et desole pour le derangement puisqu'au final, on ne saura pas quel etait mon probleme... Je ferai quand meme un compte-rendu du scan de Dr Web.

Sinon, concernant le transferts des fichiers par windows : pas trop de risques donc ?

GoToon · Answer

Bon, au final, Dr Web a trouvé qq trucs... J'ai redémarré et j'ai quelques evolutions... J'ai à nouveau la main sur le PC, mais j'ai toujours des redirections de lien google et surtout des dossiers Autorun.inf à la racine de tous mes disques durs. Du coup, il devient hors de question de brancher un disque maintenant avant la désinfection totale du PC...

Par contre : l'utilisation de Dr Web a pas mal cleané le PC : Antivir s'est lancé au démarrage du pc : c'est lui qui m'a fait remarqué les autorun.inf dans mes disques durs.

mais surtout : je n'ai plus le message me disant que windows ne parvient pas à ouvrir tel ou tel fichier... du coup, je peux lancer combofix...

Je viens de le lancer... on verra

GoToon · Answer

Combofix a visiblement encore amélioré la situation : les noms de mes disques avaient disparus, et ils sont revenus. Par contre, j'ai encore les redirections de liens google... Après un redémarrage, par contre, plus de autorun.inf à la racine des disques durs...

Si quelqu'un pouvait me dire ce qu'il pense du log de combofix : http://www.cijoint.fr/cjlink.php?file=cj201102/cijivQfNTV.txt

Merci !

gen-hackman · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::
File::
c:\windows\is-27BA2.exe
c:\windows\SysWow64\C_208667.dll

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"SSBkgdUpdate"=-
"SunJavaUpdateSched"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
"iTunesHelper"=-

MBR::

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

GoToon · Answer

Hello !

Alors, j'ai lancé le CFScript ce matin... et lorsque je suis revenu ce soir, Combofix n'avait pas avancé, il en était toujours à l'étape "Recherche de fichiers infectés... ceci ne prends généralement pas plus de 10 minutes".

Du coup, j'ai ressayé en rentrant ce soir, pareil. Donc dans le doute, j'ai relancé Combofix sans le CFScript en administrateur et je reposte le rapport : http://www.cijoint.fr/cjlink.php?file=cj201102/cijH6w89Um.txt

Je ne sais pas si cela servira à quelque chose.

Merci !

gen-hackman · Answer

salut retente le script en miode sans echec

GoToon · Answer

Re.

J'ai relancé le script en mode sans échec vers 19h55. J'ai attendu jusqu'à 21h10 que ComboFix se lance, mais j'en suis resté à : "Recherche de fichiers infectés... ceci ne prends généralement pas plus de 10 minutes".

Je ne sais pas quoi faire d'autre...

gen-hackman · Answer

hello

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Killem

mirroirs :

List_Kill'em
List_Kill'em

et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

&#9654 Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

GoToon · Answer

Désolé pour le peu de temps que j'ai eu à t'accorder... Je viens de faire l'analyse en question. Voici les rapports :
http://www.cijoint.fr/cjlink.php?file=cj201103/cijvickfUN.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cijVwHyqcl.txt

Sachant que les deux disques de 1.5To ont été rajoutés à ma config et que ma femme a fait les transferts comme préconisé.

Concernant les soucis rencontrés, je n'ai plus de redirections google, ni même d'alertes d'antivir (hormis les fichiers autorun créés par USBFix) ni de prise de contrôle administrateur.

Mais j'aimerais être sûr que l'infection a disparu, donc j'aimerai continuer la procédure jusqu'au bout. D'autant plus que tu t'es donné du mal pour moi, alors par respect pour ton boulot, j'aimerai aller jusqu'au bout.

Merci pour ton aide !

gen-hackman · Answer

salut

option suppression de cet outil :

http://security-domain.be/software/FixLop.html

GoToon · Answer

Voilà, ce fut rapide...

####### FixLop vers 1.0.2.5 [ Suppression ] #######

# Exécuté depuis C:\Program Files (x86)\FixLop
# Le 05/03/2011 à 11h15
# Utilisateur : Toon | PC-DE-TOON

# S.E : Windows 7 Professional |  | 64 bits
# CPU : Intel(R) Core(TM)2 Quad  CPU   Q9300  @ 2.50GHz

# Internet Explorer version [8.0.7600.16385]
# Mozilla Firefox : 4.0b12 (fr)

############## [ Processus ]


############## [ Dossiers & Fichiers ]


~~~~ Lecture fichier prefs.js ~~~~ 


(!) Backup ERDNT crée avec succès dans C:\Windows

############## [ Clés de registres ]


############## [ Internet Explorer ]

-- [ HKLM\Software\Microsoft\Internet Explorer\Main ] --

Search Page : hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=69157
Default_search_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896
Start Page : hxxp://fr.msn.com/
Local Page : C:\Windows\SysWOW64\blank.htm

-- [ HKCU\Software\Microsoft\Internet Explorer\Main ] --

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url : 
Default_search_url : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page : hxxp://fr.msn.com/
Local Page : C:\Windows\system32\blank.htm

########## [ ! Suppression finie le 05/03/2011 à 11h15 ]

Il reste d'autres choses à faire ?

gen-hackman · Answer

desinstalle spybot
desinstalle AD-Aware
desinstalle Softonic
desinstalle BitLord
===============================

desactive toutes tes protections et parefeu windows compris

ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


PROC:SDWinSec.exe 
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Reader Speed Launcher"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Acrobat Speed Launcher"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "QuickTime Task"
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "iTunesHelper"
KLOOK:"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8AB310C0-6A3B-1065-58B2-36C661BF4E6D}"
KLOOK:"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A5BDCE0D-6FB5-02FA-1F65-D23614E3C1B8}"
KLOOK:"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{CE416CE3-CED3-DACB-57A7-0C39353BF37B}"
REM:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{30F9B915-B755-4826-820B-08FBA6BD249D}"
KLOOK:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{4F4693CD-2B4D-42BD-B512-D2AB0F74D30C}"
KLOOK:"HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{c41be492-d9e6-4262-a0bd-e8cf6dc4208d}" 
REM:HKEY_CURRENT_USER\software\18RH6WMFH2     
REM:HKEY_CURRENT_USER\software\65
REM:HKEY_CURRENT_USER\software\BitLord
REM:HKEY_CURRENT_USER\software\SJVLVXZVJ
REM:HKEY_LOCAL_MACHINE\software\Conduit
REM:HKEY_LOCAL_MACHINE\software\conduitEngine
KLOOK:HKEY_LOCAL_MACHINE\software\NoRemove'Microsoft'
REM:HKEY_LOCAL_MACHINE\software\SJVLVXZVJ
REM:HKEY_LOCAL_MACHINE\software\Softonic.France


&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

&#9654 poste le resultat
 
&#9654 Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

GoToon · Answer

Petite question : tu veux que je désinstalle les logiciels demandés manuellement ou bien la procédure que tu indiques réalise cela à ma place ?

gen-hackman · Answer

non desinstalle les , ceux qui sont presents dans le panneau de configuration =>
programmes et fonctionnalités

GoToon · Answer

Bon, je savais pas trop si le truc était fini ou non... il m'a fermé explorer, mais il l'a pas rouvert... Donc au bout d'un plutôt long moment, j'ai relancé explorer via le gestionnaire de tâches et le script était sur le bureau, donc je pense que c'est bon... 

Voici le fichier : http://www.cijoint.fr/cjlink.php?file=cj201103/cijYNUDDWw.txt

Merci

gen-hackman · Answer

tu es sur d'avoir tout desactivé tes ptotections ?

GoToon · Answer

Oui pourquoi ? 

J'ai désactivé antivir, débranché mon câble ethernet, puis désactivé le firewall de windows...

Je ne crois pas avoir d'autres protections...

gen-hackman · Answer

bien fais l'option suppression

GoToon · Answer

Voici le rapport obtenu, mais je me demande s'il n'aurait pas fallu laisser mes protections desactivées... ?

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Toon (Administrateurs) 
Update on 04/03/2011 by g3n-h@ckm@n ::::: 21.30
Start at: 12:45:01 | 05/03/2011

Intel(R) Core(TM)2 Quad  CPU   Q9300  @ 2.50GHz
Microsoft Windows 7 Professionnel  (6.1.7600 64-bit) # 
Internet Explorer 8.0.7600.16385

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 152,67 Go (89,95 Go free) [Toon's Disk] | NTFS
E:\ -> Disque fixe local | 698,64 Go (683,14 Go free) [MegaDisk] | NTFS
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local | 313,09 Go (312,99 Go free) [White] | NTFS
I:\ -> Disque CD-ROM
J:\ -> Disque fixe local | 465,76 Go (465,66 Go free) [Storex] | NTFS
K:\ -> Disque amovible
L:\ -> Disque amovible
M:\ -> Disque amovible
N:\ -> Disque CD-ROM
O:\ -> Disque amovible
P:\ -> Disque fixe local | 1397,14 Go (925,62 Go free) [TeraMedia] | NTFS
Q:\ -> Disque fixe local | 1397,14 Go (513,9 Go free) [TeraPerso] | NTFS
 
Killed : PID 4796 'Firefox.exe'
Killed : PID 4988 'explorer.exe'
 

¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers 

Mis en quarantaine : C:\Users\Toon\AppData\Local\fusioncache.dat   
Mis en quarantaine : C:\Users\Toon\AppData\Local\GDIPFONTCACHEV1.DAT   
Mis en quarantaine : C:\Windows\is-27BA2.exe   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

C:\Windows\System32\Drivers\etc\hosts
127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤

Suppression : HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives   
Suppression : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives   
Suppression : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System : DisableRegistryTools   

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
AntiVirusOverride	=      	0 (0x0) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
FirstRunDisabled	=      	1 (0x1) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio -> Start = 3   
 EapHost -> Start = 2   
 Wlansvc -> Start = 2   
 SharedAccess -> Start = 2   
 windefend -> Start = 2   
 wuauserv -> Start = 2   
 wscsvc -> Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	=      	1 (0x1) 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\Windows\SysWow64\userinit.exe, 
 VMapplet	=         	SystemPropertiesPerformance.exe /pagefile 
 System	=         	 
 PowerdownAfterShutdown	=         	1 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

TDSS | svchost | Internet Explorer: 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600 

device: opened successfully
user: error reading MBR 

Disk trace:
error: Read  Descripteur non valide
kernel: error reading MBR 


Fin du Nettoyage : 12:46:31

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

si mais pas grave il est passé

tu peux supprimer le zip de ton bureau je sais ce qu'il y dedans

refais un scan antivir et poste le rapport

GoToon · Answer

est-ce que je peux scanner seulement le C: ? S'il scanne mes deux disques de stockage, on en a pour 12000 heures...

gen-hackman · Answer

non tout

GoToon · Answer

Finalement cela aura été plus rapide que prévu... ********************************************************* Avira AntiVir Personal Date de création du fichier de rapport : samedi 5 mars 2011 13:17 La recherche porte sur 2460711 souches de virus. Le programme fonctionne en version intégrale illimitée. Les services en ligne sont disponibles. Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus Numéro de série : 0000149996-ADJIE-0000001 Plateforme : Windows 7 x64 Version de Windows : (plain) [6.1.7600] Mode Boot : Démarré normalement Identifiant : Système Nom de l'ordinateur : PC-DE-TOON Informations de version : BUILD.DAT : 10.0.0.109 31824 Bytes 21/01/2011 11:23:00 AVSCAN.EXE : 10.0.3.5 435368 Bytes 13/02/2011 11:00:36 AVSCAN.DLL : 10.0.3.0 56168 Bytes 17/08/2010 12:39:10 LUKE.DLL : 10.0.3.2 104296 Bytes 13/02/2011 11:00:37 LUKERES.DLL : 10.0.0.0 13672 Bytes 17/08/2010 12:39:11 VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 14:47:03 VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 11:00:20 VBASE002.VDF : 7.11.3.0 1950720 Bytes 09/02/2011 11:00:24 VBASE003.VDF : 7.11.3.1 2048 Bytes 09/02/2011 11:00:24 VBASE004.VDF : 7.11.3.2 2048 Bytes 09/02/2011 11:00:24 VBASE005.VDF : 7.11.3.3 2048 Bytes 09/02/2011 11:00:24 VBASE006.VDF : 7.11.3.4 2048 Bytes 09/02/2011 11:00:24 VBASE007.VDF : 7.11.3.5 2048 Bytes 09/02/2011 11:00:24 VBASE008.VDF : 7.11.3.6 2048 Bytes 09/02/2011 11:00:24 VBASE009.VDF : 7.11.3.7 2048 Bytes 09/02/2011 11:00:25 VBASE010.VDF : 7.11.3.8 2048 Bytes 09/02/2011 11:00:25 VBASE011.VDF : 7.11.3.9 2048 Bytes 09/02/2011 11:00:25 VBASE012.VDF : 7.11.3.10 2048 Bytes 09/02/2011 11:00:25 VBASE013.VDF : 7.11.3.59 157184 Bytes 14/02/2011 07:34:39 VBASE014.VDF : 7.11.3.97 120320 Bytes 16/02/2011 10:10:26 VBASE015.VDF : 7.11.3.148 128000 Bytes 19/02/2011 13:20:24 VBASE016.VDF : 7.11.3.183 140288 Bytes 22/02/2011 11:17:11 VBASE017.VDF : 7.11.3.216 124416 Bytes 24/02/2011 15:20:46 VBASE018.VDF : 7.11.3.251 159232 Bytes 28/02/2011 09:10:58 VBASE019.VDF : 7.11.4.33 148992 Bytes 02/03/2011 09:08:57 VBASE020.VDF : 7.11.4.34 2048 Bytes 02/03/2011 09:08:57 VBASE021.VDF : 7.11.4.35 2048 Bytes 02/03/2011 09:08:57 VBASE022.VDF : 7.11.4.36 2048 Bytes 02/03/2011 09:08:57 VBASE023.VDF : 7.11.4.37 2048 Bytes 02/03/2011 09:08:57 VBASE024.VDF : 7.11.4.38 2048 Bytes 02/03/2011 09:08:57 VBASE025.VDF : 7.11.4.39 2048 Bytes 02/03/2011 09:08:57 VBASE026.VDF : 7.11.4.40 2048 Bytes 02/03/2011 09:08:57 VBASE027.VDF : 7.11.4.41 2048 Bytes 02/03/2011 09:08:57 VBASE028.VDF : 7.11.4.42 2048 Bytes 02/03/2011 09:08:57 VBASE029.VDF : 7.11.4.43 2048 Bytes 02/03/2011 09:08:57 VBASE030.VDF : 7.11.4.44 2048 Bytes 02/03/2011 09:08:57 VBASE031.VDF : 7.11.4.71 118784 Bytes 04/03/2011 10:14:59 Version du moteur : 8.2.4.178 AEVDF.DLL : 8.1.2.1 106868 Bytes 02/08/2010 06:56:40 AESCRIPT.DLL : 8.1.3.55 1282426 Bytes 26/02/2011 15:20:51 AESCN.DLL : 8.1.7.2 127349 Bytes 13/02/2011 11:00:33 AESBX.DLL : 8.1.3.2 254324 Bytes 13/02/2011 11:00:35 AERDL.DLL : 8.1.9.2 635252 Bytes 13/02/2011 11:00:33 AEPACK.DLL : 8.2.4.11 520566 Bytes 03/03/2011 09:08:58 AEOFFICE.DLL : 8.1.1.16 205179 Bytes 13/02/2011 11:00:32 AEHEUR.DLL : 8.1.2.81 3314038 Bytes 26/02/2011 15:20:49 AEHELP.DLL : 8.1.16.1 246134 Bytes 13/02/2011 11:00:29 AEGEN.DLL : 8.1.5.2 397683 Bytes 13/02/2011 11:00:28 AEEMU.DLL : 8.1.3.0 393589 Bytes 13/02/2011 11:00:28 AECORE.DLL : 8.1.19.2 196983 Bytes 13/02/2011 11:00:28 AEBB.DLL : 8.1.1.0 53618 Bytes 28/05/2010 20:45:01 AVWINLL.DLL : 10.0.0.0 19304 Bytes 17/08/2010 12:38:56 AVPREF.DLL : 10.0.0.0 44904 Bytes 17/08/2010 12:38:55 AVREP.DLL : 10.0.0.8 62209 Bytes 17/06/2010 14:27:52 AVREG.DLL : 10.0.3.2 53096 Bytes 17/08/2010 12:38:56 AVSCPLR.DLL : 10.0.3.2 84328 Bytes 13/02/2011 11:00:37 AVARKT.DLL : 10.0.22.6 231784 Bytes 13/02/2011 11:00:35 AVEVTLOG.DLL : 10.0.0.8 203112 Bytes 17/08/2010 12:38:55 SQLITE3.DLL : 3.6.19.0 355688 Bytes 17/06/2010 14:28:02 AVSMTP.DLL : 10.0.0.17 63848 Bytes 17/08/2010 12:38:56 NETNT.DLL : 10.0.0.0 11624 Bytes 17/06/2010 14:28:01 RCIMAGE.DLL : 10.0.0.26 2550120 Bytes 11/02/2010 00:23:03 RCTEXT.DLL : 10.0.58.0 99688 Bytes 17/08/2010 12:39:11 Configuration pour la recherche actuelle : Nom de la tâche...............................: Contrôle intégral du système Fichier de configuration......................: C:\program files (x86)\avira\antivir desktop\sysscan.avp Documentation.................................: bas Action principale.............................: interactif Action secondaire.............................: ignorer Recherche sur les secteurs d'amorçage maître..: marche Recherche sur les secteurs d'amorçage.........: marche Secteurs d'amorçage...........................: C:, E:, H:, J:, P:, Q:, Recherche dans les programmes actifs..........: marche Programmes en cours étendus...................: marche Recherche en cours sur l'enregistrement.......: marche Contrôle d'intégrité de fichiers système......: arrêt Fichier mode de recherche.....................: Tous les fichiers Recherche sur les archives....................: marche Limiter la profondeur de récursivité..........: 20 Archive Smart Extensions......................: marche Heuristique de macrovirus.....................: marche Heuristique fichier...........................: moyen Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR, Début de la recherche : samedi 5 mars 2011 13:17 La recherche sur les processus démarrés commence : Processus de recherche 'avscan.exe' - '64' module(s) sont contrôlés Processus de recherche 'avscan.exe' - '30' module(s) sont contrôlés Processus de recherche 'avcenter.exe' - '79' module(s) sont contrôlés Processus de recherche 'plugin-container.exe' - '55' module(s) sont contrôlés Processus de recherche 'plugin-container.exe' - '77' module(s) sont contrôlés Processus de recherche 'firefox.exe' - '126' module(s) sont contrôlés Processus de recherche 'NMIndexStoreSvr.exe' - '58' module(s) sont contrôlés Processus de recherche 'NMIndexingService.exe' - '45' module(s) sont contrôlés Processus de recherche 'SetPoint32.exe' - '29' module(s) sont contrôlés Processus de recherche 'WlanCU.exe' - '59' module(s) sont contrôlés Processus de recherche 'NkMonitor.exe' - '35' module(s) sont contrôlés Processus de recherche 'iTunesHelper.exe' - '77' module(s) sont contrôlés Processus de recherche 'acrotray.exe' - '33' module(s) sont contrôlés Processus de recherche 'jusched.exe' - '26' module(s) sont contrôlés Processus de recherche 'OpWareSE4.exe' - '26' module(s) sont contrôlés Processus de recherche 'avgnt.exe' - '71' module(s) sont contrôlés Processus de recherche 'SuperCopier2.exe' - '29' module(s) sont contrôlés Processus de recherche 'rundll32.exe' - '54' module(s) sont contrôlés Processus de recherche 'TomTomHOMERunner.exe' - '37' module(s) sont contrôlés Processus de recherche 'daemon.exe' - '55' module(s) sont contrôlés Processus de recherche 'ATIRW.EXE' - '61' module(s) sont contrôlés Processus de recherche 'NMBgMonitor.exe' - '51' module(s) sont contrôlés Processus de recherche 'TomTomHOMEService.exe' - '12' module(s) sont contrôlés Processus de recherche 'nvSCPAPISvr.exe' - '30' module(s) sont contrôlés Processus de recherche 'LSSrvc.exe' - '25' module(s) sont contrôlés Processus de recherche 'mDNSResponder.exe' - '41' module(s) sont contrôlés Processus de recherche 'CATSysDemon.exe' - '34' module(s) sont contrôlés Processus de recherche 'AppleMobileDeviceService.exe' - '48' module(s) sont contrôlés Processus de recherche 'avguard.exe' - '67' module(s) sont contrôlés Processus de recherche 'sched.exe' - '50' module(s) sont contrôlés La recherche sur les secteurs d'amorçage maître commence : Secteur d'amorçage maître HD0 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD1 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD2 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD3 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD4 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD5 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD6 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD7 [INFO] Aucun virus trouvé ! Secteur d'amorçage maître HD8 [INFO] Aucun virus trouvé ! La recherche sur les secteurs d'amorçage commence : Secteur d'amorçage 'C:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'E:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'H:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'J:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'P:\' [INFO] Aucun virus trouvé ! Secteur d'amorçage 'Q:\' [INFO] Aucun virus trouvé ! La recherche sur les renvois aux fichiers exécutables (registre) commence : Le registre a été contrôlé ( '215' fichiers). La recherche sur les fichiers sélectionnés commence : Recherche débutant dans 'C:\' C:\Users\Toon\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\c669a2-305cc4a9 [0] Type d'archive: ZIP [RESULTAT] Contient le modèle de détection du virus Java JAVA/Small.Z --> vload.class [RESULTAT] Contient le modèle de détection du virus Java JAVA/Small.Z Recherche débutant dans 'E:\' Recherche débutant dans 'H:\' Recherche débutant dans 'J:\' Recherche débutant dans 'P:\' Recherche débutant dans 'Q:\' Début de la désinfection : C:\Users\Toon\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\34\c669a2-305cc4a9 [RESULTAT] Contient le modèle de détection du virus Java JAVA/Small.Z [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4888d3e8.qua' ! Fin de la recherche : samedi 5 mars 2011 18:46 Temps nécessaire: 2:15:27 Heure(s) La recherche a été effectuée intégralement 51004 Les répertoires ont été contrôlés 1604644 Des fichiers ont été contrôlés 1 Des virus ou programmes indésirables ont été trouvés 0 Des fichiers ont été classés comme suspects 0 Des fichiers ont été supprimés 0 Des virus ou programmes indésirables ont été réparés 1 Les fichiers ont été déplacés dans la quarantaine 0 Les fichiers ont été renommés 0 Impossible de scanner des fichiers 1604643 Fichiers non infectés 19863 Les archives ont été contrôlées 0 Avertissements 1 Consignes ************************************************************* Autre chose ?

gen-hackman · Answer

deux fois rien :) Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Ferme tous tes navigateurs Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels nettoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

GoToon · Answer

Merci pour ton aide en tous cas. Je m'occupe de ces dernières étapes.

A bientôt

gen-hackman · Answer

;)

Virus BOO/Alureon.A détecté

40 réponses

Discussions similaires

Newsletters