Virus de la gendarmerie aussi chez moi... [Fermé]

Signaler
-
 Utilisateur anonyme -
Bonjour,

Comme je suis une dame polie je passe par la case départ et je ne pollue pas le post des autres internautes :)

Je suis sous XP, depuis cet après-midi j'ai ce satané virus s'est installé.
Je ne suis pas douée en info, j'ai donc redémarré en mode sans echec puis installé malwarebytes qui m'a trouvé 15 infections. J'ai mis celles-ci en quarantaine puis supprimé.
Le virus est toujours là.
Je vous colle déjà le rapport (je crois que c'est ce que vous demander dans un premier temps...) là j'ai redémarré en mode sans echec ... réseau pour vous écrire:


Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.03.05

Windows XP Service Pack 3 x86 NTFS (Mode sans échec)
Internet Explorer 8.0.6001.18702
HP_Administrateur :: NOM-FB9B15D2723 [administrateur]

26/07/2012 18:58:01
mbam-log-2012-07-26 (18-58-01).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 335046
Temps écoulé: 35 minute(s),

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Données: C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\{913e6b08-aa05-70fa-e753-d6275671103a}\n. -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 14
C:\Documents and Settings\HP_Administrateur\Local Settings\Temp\01net\01Net_download_manager.com.exe (PUP.Toolbar.Repacked) -> Aucune action effectuée.
C:\Documents and Settings\HP_Administrateur\Local Settings\Application Data\{913e6b08-aa05-70fa-e753-d6275671103a}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP173\A0046140.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP174\A0047132.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP176\A0047306.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP177\A0047659.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP178\A0047677.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP179\A0047704.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP181\A0048704.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP181\A0048710.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP182\A0049710.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP183\A0051709.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP183\A0052713.ini (Trojan.0access) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\HP_Administrateur\ms.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

(fin)



16 réponses

Messages postés
1132
Date d'inscription
mercredi 11 novembre 2009
Statut
Contributeur
Dernière intervention
24 novembre 2013
179
Hello!

On va créer un LiveCD permettant de supprimer les Malwares ou autres, empêchant le démarrage d'un système.
Sur un pc fonctionnel:
▶ Télécharge OTLPEnet sur ton bureau.
▶ Lance-le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7) et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
▶ Une fenêtre va s'ouvrir pour te demander si tu souhaites graver le CD, clique sur le bouton Oui.
▶ Patiente le temps de la décompression et de la gravure du CD.

Sur ton pc malade:
▶ Il faut mainteant insérer le CD créé dans le lecteur du PC malade et redémarrer l'ordinateur sur le CD : http://forum.malekal.com/booter-sur-dvd-t9447.html
▶ En fonction de votre type de connexion Internet, tu dois être en mesure d'accéder au Net, si bien que tu peux accéder à ce sujet plus facilement.
▶ Une fois le bureau de reatogo chargé, lances OTLPE, l'icone jaune.
▶ Quand demandé Do you wish to load remote user profile(s) for scanning, sélectionne Yes.
▶ Ici sélectionne ta session
Voir image => http://imagesup.org/images6/1274092650-loqd2.jpg
▶ Si ton systeme d'exploitation est Vista tu peux avoir ce message : RunScanner Error - Target is not windows 2000 or later, il faut donc se rendre jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:) et cliquer sur OK].
Voir image => http://imagesup.org/images8/1287928545-otlpe05.gif
▶ Sous Custom Scan box copie_colle le contenu en gras ci-dessous.

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
volsnap.sys
wininit.ini
eventlog.dll
winlogon.exe
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
wininit.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
rundll32.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s

▶ Clique sur Run Scan pour démarrer le scan.
▶ Une fois terminé , le fichier se trouve là C:\OTL.txt
▶ Copie_colle le contenu dans ta prochaine réponse.


Toujours sur le PC infecté
▶ Clique sur MyComputer.
▶ Rends-toi dans le disque dur où se trouve les données.
▶ Insère une clé USB précédemment vacciné grace au logiciel USBFix (Lance le logiciel et clique sur Vacciner)
▶ Copie toute tes données importantes dessus sauf les fichier exécutables (*.exe/*.msi/*.bat)

Toujours sur le PC infecté
▶ Clique sur le bouton en bas à gauche de la barre des tâches.
▶ Clique sur Run et tape regedit.
▶ Rends toi dans HKEY_MOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\Current Version\Winlogon
▶ Dis moi le contenu de la colone Data en face de Shell et Userinit.

++
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 82960 internautes nous ont dit merci ce mois-ci

Messages postés
218
Date d'inscription
jeudi 3 juin 2010
Statut
Membre
Dernière intervention
1 août 2015
61
Bonsoir,

Je vous conseille d'aller faire un tour sur cette FAQ.

Cordialement,
galexis30
Merci je vais tenter de m'y coller malgré l'heure tardive et je vous tiens informé ^^
Bonjour,
Pas facile de répondre quand le pc est infecté, j'ai du trouver un autre ordi pour écrire.
J'ai suivi votre lien et trouvé la marche à suivre pour pouvoir faire une modif sur la restauration partielle à une autre date. Seulement un message s'affiche et indique que la modification à une autre date est impossible. Depuis mon ordi ne veut plus aller sur le net malgré que je démarre en appuyant sur F8 et que je choisisse l'affichage en mode sans echec avec prise en charge réseau... Je peux valider mon choix, puis mon écran m'affiche windows, je valide sur ma cession et rebelotte, il faut refaire les manipulations et je n'arrive pas à aller plus loin... J'ai vraiment besoin d'aide, étant une vrai quiche en informatique.
D'avance merci
bettyboop75
Messages postés
7
Date d'inscription
dimanche 29 juillet 2012
Statut
Membre
Dernière intervention
7 août 2012

J'ai réussi à m'inscrire enfin, l'autre jour pas moyen !

Je vous explique ce qu'il ce passe actuellement. J'allume le pc + F8. L'écran noir avec le choix de démarrage apparait : mode sans echec, mode SE avec reseau et invité des commandes... peut importe celui que je choisi, je valide et là :
l'écran bleu : Windows HP invent se charge, puis j'entends que mon ordi redémarre et à nouveau l'écran noir avec le choix de démarrage... si je laisse mon ordi sans rien choisir, il passe de l'écran windows bleu, puis écran noir avec choix, et ainsi de suite en continue... ca m'énerve j'en ai besoin pour bosser le plus rapidement possible et je craque... sans pouvoir redemarrer en mode sans echec je ne peux pas sauvegarder mes fichiers récents (je le fais tous les mois)... de plus avant tout ça il ramait beaucoup, ayant des difficultés de plantage lors de visionnage en replay sur le net... Help !!!!
Messages postés
20902
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 397
Bonsoir bettyboop75


en Mode sans échec avez vous l'option démarrer avec la dernière bonne configuration connue


Si ça ne marche pas faire ceci en MSE :



Nous allons faire un petit diagnostic de ton PC pour cela :


==> Télécharge ZHPDiag (de Nicolas Coolman)


==> si ça ne marche pas, essaye de la télécharger ici

==> Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,

==> Si vous êtes sous Vista/Seven pensez à faire clique droit éxécuter en tant qu'administrateur.
clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

==> Pour XP lancer ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.

==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.

==> Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse,

==> Clique sur l'appareil photo où disquette et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://threat-rc.com/

==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt

==> Clique sur Ouvrir.

==> Copie ce lien de fichier joint dans ta réponse.
Helper - Contributeur sécurité
Messages postés
7
Date d'inscription
dimanche 29 juillet 2012
Statut
Membre
Dernière intervention
7 août 2012

Merci de vos réponses
Pimprenelle 27 : je n'ai pas réussi à redémarrer mon ordi sur la dernière bonne configuration connue... ni autrement d'ailleurs...

Roro04 : j'ai télécharger et gravé OTLPE.net puis modifié via Setup l'ordre de démarrage sur mon PC sur le CD ROM... Rien ne se passe et l'écran me demande toujours comment démarrer : MSE / MSE av prise en charge réseau... et rien ne marche malgré tout...
J'en peux plus, j'ai envie de tout passer par la fenêtre !!!
J'attends vos directives, plus que ça à faire
Messages postés
20902
Date d'inscription
lundi 10 décembre 2007
Statut
Contributeur sécurité
Dernière intervention
8 octobre 2019
2 397
Essaye de voir si tu peux faire le rapport ZHP diag via le mode sans échec avec prise en charge réseau.
Messages postés
7
Date d'inscription
dimanche 29 juillet 2012
Statut
Membre
Dernière intervention
7 août 2012

Pimprenelle27 : impossible d'entrer avec le mode sans échec, mon ordi redemarre et recommence lorsque j'essaie.

gen hackman : j'ai télécharger ce que tu m'as cité dans ton lien et gravé, vérifié l'ordre de la prise en charge CD ROM en premier et rien ne se passe non plus, mon ordi redémarre encore et toujours... Pffff

tu memorises bien avec F10 dans le bios ?
Messages postés
7
Date d'inscription
dimanche 29 juillet 2012
Statut
Membre
Dernière intervention
7 août 2012

je suis sous XP au fait ! et mon ordi a environ 6 ans, plus tout jeune

si tu as bien lu le systeme on s en fout que ce soit xp ou vista
Messages postés
1132
Date d'inscription
mercredi 11 novembre 2009
Statut
Contributeur
Dernière intervention
24 novembre 2013
179
Re,

Une fois que tu as modifié les paramètres dans le BIOS, il faut enregistrer.

Pour cela, tape F10 et valide pas la touche y.

Si rien n'y fait, c'est que tu dois mal graver le fichier ISO.

++
Utilisateur anonyme
c'est automatiquement bien fait pour la gravure
roro04
Messages postés
1132
Date d'inscription
mercredi 11 novembre 2009
Statut
Contributeur
Dernière intervention
24 novembre 2013
179
Ne sait-on jamais
bettyboop75
Messages postés
7
Date d'inscription
dimanche 29 juillet 2012
Statut
Membre
Dernière intervention
7 août 2012

fichier bien gravé sur CD, vérifié sur un autre ordi !!!
Ca me gave c'est horrible ! 8 jours que je n'arrive plus à bosser chez moi...
et si jamais je réinstallais tout ? ca ferait quelques chose ?
roro04
Messages postés
1132
Date d'inscription
mercredi 11 novembre 2009
Statut
Contributeur
Dernière intervention
24 novembre 2013
179
Est-ce que tu mémorises bien en sortant du BIOS?

++
Messages postés
7
Date d'inscription
dimanche 29 juillet 2012
Statut
Membre
Dernière intervention
7 août 2012

Désolé mais je ne peux pas répondre de suite, j'étais en attente d'un second PC pour pouvoir vous lire et vous écrire.
Oui j'ai bien mémorisé dans le BIOS en validant par la touche F10 car ca m'affiche un message : voulez vous mémoriser et fermer la modification.
Et lorsque mon ordi redémarre et que je vais sur le Setup à l'aide de la touche F1, je vois bien que l'ordi est programmé au démarrage sur le CD ROM et non sur le disque dur comme initialement.
A l'aiiiiiiiiiiiiiiiiiiiiiiiiiiiide
roro04
Messages postés
1132
Date d'inscription
mercredi 11 novembre 2009
Statut
Contributeur
Dernière intervention
24 novembre 2013
179
Re,

> Donc le CD est dans le lecteur CD.
> Ensuite tu reboot puis tu tapes F1.
> Tu choisis CD et là rien ne se passe?

++
Messages postés
7
Date d'inscription
dimanche 29 juillet 2012
Statut
Membre
Dernière intervention
7 août 2012

Non rien ce se passe !!
J'ai gravé hier Ultimate Boot CD 5 et là j'ai réussi à démarrer via le CD, j'ai scanné ma mémoire + DD... mais dans la partie "Others" où je suis censée trouver un antivirus y'a pas grand chose...
Du coup j'ai pu récupérer mes données et dossiers que j'ai mis sur mon DD externe au moins c'est déjà sauvé.
Vous me conseiller quoi maintenant ?

à tous les coups il a gravé l'executable d'otlpe tel quel au lieu de lire les instructions comme il le faut...
Ca veut dire quoi "IL" a gravé tel quel ??? au lieu de lire les instructions ?
J'ai bien spécifié que je n'y connaissais rien... sinon je n'aurais pas demandé de l'aide...
Utilisateur anonyme
suffit pas de connaitre suffit de lire comme il le faut et d executer ce que tu lis

"elle" pardon
Bon pour ne pas passer pour la dernière des c**** j'ai tenté de regraver OTLPE mais sur l'autre ordi que j'ai à la maison il y a un antivirus (pc de boulot) et je ne peux pas cliquer sur OTLPE donc je n'ai que le fichier télécharger. j'avais pu graver Ultimate boot cd car je l'ai fait au boulot... pfff quelle merde !!!
roro04
Messages postés
1132
Date d'inscription
mercredi 11 novembre 2009
Statut
Contributeur
Dernière intervention
24 novembre 2013
179
Réésaye de graver OTLPE sur le PC de boulot en suivant les instructions.

++