Problème virusRésolu/Fermé

Question

Bonjour, je vais vous expliquer en détail mon problème... ( je tiens à signaler que j'ai dût télécharger un fichier contenant un ou des virus)

Alors, je parlais avec un ami sur Skype quand quelqu'un s'est mis à parler en disant " Allah wakba " bref, je regarde si quelqu'un d'autre est sur la discussion et nous n'étions que deux, ensuite on s'est mis à parler avec le mec...

Bref mon ordi contient maintenant plein de virus, j'ai fait un rapport ZHPDiag et je l'ai envoyé sur pjjoint.malekal.com et apparemment AVAST est contaminé, malwarebytes aussi... et pour combler le tout mon logiciel TuxGuitar ne fonctionne plus...

J'ai pourtant passé un coup d'Adwcleaner ainsi qu'une analyse malwarebytes, mais cela ne trouve rien. Quelqu'un pourrait m'aider ?

Ce serait vraiment sympas...



Configuration: Windows 7 / Chrome 21.0.1180.89

juju666 · Accepted Answer

Désactive Avast et l'autosandbox avant la manipulation.

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :

:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = http://www1.search-results.com/web?l=dis&q=&o=APN10649&apn_dtid=%5EBND414%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAGA&d=414-0&lang=en&atb=sysid%3D414%3Auid%3Da2264c90e526c363%3Asrc%3Dieb%3Ao%3DAPN10649%3Atg%3D&p2=%5EAGA%5EBND414%5EYY%5EFR{searchTerms}      
IE - HKLM\..\URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - No CLSID value found     
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found    
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2414}: "URL" = http://www1.search-results.com/web?l=dis&q=&o=APN10649&apn_dtid=%5EBND414%5EYY%5EFR&shad=s_0043&gct=ds&apn_ptnrs=%5EAGA&d=414-0&lang=en&atb=sysid%3D414%3Auid%3Da2264c90e526c363%3Asrc%3Dieb%3Ao%3DAPN10649%3Atg%3D&p2=%5EAGA%5EBND414%5EYY%5EFR{searchTerms}      
IE - HKU\S-1-5-21-2661882217-2707113589-3687497468-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found      
IE - HKU\S-1-5-21-2661882217-2707113589-3687497468-1000\..\URLSearchHook: {ef79f67a-6ad7-4715-a0f8-932fca442023} - No CLSID value found     
IE - HKU\S-1-5-21-2661882217-2707113589-3687497468-1000\..\SearchScopes\{CA1DA551-4799-4575-BDD7-BBB2DE7BA7AD}: "URL" = https://www.ebay.fr{searchTerms}      
FF - prefs.js..browser.search.defaultenginename: ""      
FF - prefs.js..browser.search.defaulturl: "http://s1.bubbledock.com/store/fr_fr"      
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\webbooster@iminent.com: C:\Program Files (x86)\Iminent\webbooster@iminent.com    
[2012/05/28 10:54:49 | 000,172,310 | ---- | M] () (No name found) -- C:\Users\Charlie\AppData\Roaming\mozilla\firefox\profiles\xgyij0ti.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi    
O2 - BHO: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found.   
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found.    
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-2661882217-2707113589-3687497468-1000\..\Toolbar\WebBrowser: (no name) - {977AE9CC-AF83-45E8-9E03-E2798216E2D5} - No CLSID value found. 
O3 - HKU\S-1-5-21-2661882217-2707113589-3687497468-1000\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
O3 - HKU\S-1-5-21-2661882217-2707113589-3687497468-1000\..\Toolbar\WebBrowser: (no name) - {EF79F67A-6AD7-4715-A0F8-932FCA442023} - No CLSID value found.
O4 - HKLM\..\Run: [Tutorials]  File not found
[2012/09/04 15:49:55 | 000,031,080 | ---- | M] (AVG Technologies) -- C:\Windows\SysNative\drivers\avgtpx64.sys      
[2012/07/24 16:00:07 | 000,000,000 | ---D | M] -- C:\Users\Charlie\AppData\Roaming\moovida-1  

:Commands
[EMPTYTEMP]

&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

juju666 · Answer

Salut,

AdwCleaner c'est pour les pubs, pas les RAT ... 
Etonnant que MBAM n'ai rien trouvé.

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

Lancedrop · Answer

https://pjjoint.malekal.com/files.php?id=OTL_20120926_i5o7g9f11h14

Lancedrop · Answer

https://pjjoint.malekal.com/files.php?id=20120926_s69x11d8k12

C'est bon ?

Lancedrop · Answer

Attend je vais reposter un nouveau rapport, je n'avais pas mis les options comme tu m'as dit sur OTL

Lancedrop · Answer

Désolé - la fonction analyse est pour le moment désactivée


Bon....

juju666 · Answer

En fait le site pjjoint de malekal est down.

Héberge les 2 rapports sur https://www.cjoint.com/ STP

Lancedrop · Answer

Ben je n'ai plus qu'un rapport donc...

http://cjoint.com/12sp/BIBvnli3T0e.htm

juju666 · Answer

Malekal a des soucis avec pjjoint qui bouffe toute sa bande passante, du coup ça met des plombes à charger. 
Tu n'as ré-hébergé que Extras, je n'irais pas loin avec uniquement ce rapport.

Lancedrop · Answer

Excuse-moi, j'ai la tête ailleurs...
Voici le deuxième rapport OTL
http://cjoint.com/12sp/BIBvvbtoLpv.htm

Lancedrop · Answer

https://www.cjoint.com/?BIBvVn9Aodq

juju666 · Answer

Parfait !

Quels sont les soucis restants ?

Lancedrop · Answer

Attend, en faites, j'ai mal fait le truc que tu m'as dit donc je l'ai refait correctement et ça donne ça le rapport :

https://www.cjoint.com/?BIBv3iwLMx8

Lancedrop · Answer

Je ne sais pas si ce que tu m'as fait faire a enlever le virus du RAT mais je te remercie de ton aide, si tu as d'autres conseils à me dire fait m'en part. Merci à toi pour toute ton aide.

juju666 · Answer

Bah en fait j'ai pas vu de RAT ^^  

ça donne quoi par rapport aux problèmes initaux ?

Lancedrop · Answer

Ben je sais pas vu que le site malekal est down, j'avais mis un rapport avec Diag et j'avais fait une analyse depuis le site, ça me mettait avast malwarebytes et pleins d'autres lignes de codes rouges (cela ne le met pas d'habitude)...

juju666 · Answer

Te fie pas aux robots ....

Lancedrop · Answer

Enfin bon, là je dois encore avoir des problèmes sur mon ordi...
J'essai de désactiver Avast pendant 10 min, et up un problème m'est signalé qui me parle de mémoire insuffisante.... Et là mon ordi est bugué, je ne peux plus rien faire, la barre du bureau windows est enlevé, mon bureau est vide avec seulement mon fond d'écran...
?

juju666 · Answer

&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Lancedrop · Answer

Salut, mon ordi n'a pas rebuguer depuis, si vraiment cela se reproduisait, je ferais la manip que tu as marquer. 
Bref, merci encore, je reviens sur le forum si j'ai des problèmes. :)

juju666 · Answer

ok

le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Lancedrop · Answer

merci

Problème virus

22 réponses

Discussions similaires

Newsletters