Menu

Virus indétectable au démarrage Windows 7 [Résolu/Fermé]

Messages postés
12
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
11 juin 2013
-
Bonjour à tous,

J'ai contracté un virus hier soir qui se manifeste au démarrage de mon ordinateur : ouvertures de petites fenêtres blanches, une mélodie qui commence (La BO de Star Wars faite avec les sons windows), les raccourcis du bureau qui s'effacent et enfin mon lecteur de disque qui s'ouvre tout seul.

Oui oui, je crois bien avoir choppé un gros virus !

Actuellement en mode sans échec avec prise en charge du réseau, j'ai effectué des scans multiples avec MalwareBytes, Spybot et Ccleaner mais rien. Je pense que le virus s'est logé dans une des composantes du démarrage mais impossible de la trouver.

Ma configuration : Windows 7, Ordinateur portable Hp Pavillion Dv7
Je demande votre aide, humble communauté :)
Merci d'avance !
Afficher la suite 

9 réponses

Messages postés
165573
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
24 avril 2019
22023
0
Merci
Salut,

Spybot est inefficace.
Désinstalle le.

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Messages postés
12
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
11 juin 2013
0
Merci
Bonjour Malekal_morte,

Tout d'abord, merci de ta réponse.

Ensuite, voici les liens des résultats :

Analyse AdwCleaner : http://pjjoint.malekal.com/files.php?read=20130611_n159r15w8m9

Analyse OTL Ficher OTL.txt : http://pjjoint.malekal.com/files.php?read=OTL_20130611_w14c10m5m15f10

Analyse OTL fichier Extras.txt : http://pjjoint.malekal.com/files.php?read=OTL_Extras_20130611_v13u9h8z9m6

Merci d'avance ;)
Messages postés
165573
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
24 avril 2019
22023
0
Merci
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-3007954097-163685091-3613621111-1000..\Run: [mfserver] C:\Users\Martin\AppData\Local\Temp\mfserver.exe File not found
O4 - HKU\S-1-5-21-3007954097-163685091-3613621111-1000..\Run: [updater] C:\Users\Martin\AppData\Roaming\samsung.exe (Samsung)
O4 - HKU\S-1-5-21-3007954097-163685091-3613621111-1000..\Run: [Basic] C:\Users\Martin\AppData\Roaming\TheBasics\Basic.exe File not found
[2013/06/10 19:33:58 | 000,015,872 | ---- | C] (Samsung) -- C:\samsung.exe
[2013/06/10 19:33:56 | 000,015,872 | ---- | C] (Samsung) -- C:\Users\Martin\AppData\Roaming\samsung.exe
[2013/05/30 18:42:28 | 000,351,232 | ---- | M] () -- C:\Users\Martin\AppData\Roaming\qvhost\qvhost.exe
[2013/04/24 00:51:23 | 001,532,040 | ---- | M] () -- C:\Users\Martin\AppData\Roaming\g5jml.exe
[2013/06/10 19:33:57 | 000,015,872 | ---- | M] (Samsung) -- C:\Users\Martin\AppData\Roaming\samsung.exe
:Commands
[reboot]


* redemarre le pc sous windows et poste le rapport ici


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur http://upload.malekal.com

Messages postés
12
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
11 juin 2013
0
Merci
Alors, il y a du nouveau !

Après la relance OTL et la correction, l'ordinateur à reboot et à réussi à démarrer normalement, c'est à dire que je ne suis plus en mode sans échec mais bien en mode normal ! :)

Ensuite, je viens de t'envoyer le fichier _OTL.zip

Que dois-je faire maintenant ?

Merci en tout cas !
Messages postés
165573
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
24 avril 2019
22023
0
Merci
https://www.virustotal.com/fr/file/63c31cd33dabae21cafc0b653d64dd63142105b559eb9e697bdfe67155784c6a/analysis/1370953304/

SHA256: 63c31cd33dabae21cafc0b653d64dd63142105b559eb9e697bdfe67155784c6a
Nom du fichier : malekal_g5jml.exe
Ratio de détection : 6 / 47
Date d'analyse : 2013-06-11 12:21:44 UTC (il y a 1 minute)

CRATEFROMLF.NO-IP.ORG
173.52.22.220:1604

~~

Refais un scan OTL et donne le rapport de scan via pjjoint.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
MartinJez
Messages postés
12
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
11 juin 2013
-
ça marche, je vais en refaire un mais je ne comprend pas ce que je dois faire avec l'analyse sur virustotal..
Malekal_morte-
Messages postés
165573
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
24 avril 2019
22023 -
rien sur virustotal, c'est juste à titre informatif :)
MartinJez
Messages postés
12
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
11 juin 2013
-
Ha oui d'accord, merci bien !
Le scan est en cours !
Messages postés
12
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
11 juin 2013
Messages postés
165573
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
24 avril 2019
22023
0
Merci
ok y a plus rien d'actif.



Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

Faire attention à ce que vous téléchargez - change tous tes mots de passe

Messages postés
12
Date d'inscription
jeudi 2 mai 2013
Statut
Membre
Dernière intervention
11 juin 2013
0
Merci
Je pensais bien !
Je vais faire doublement attention maintenant.

En tout cas, merci beaucoup pour ton aide et pour ces éclaircissements !

Bonne continuation, merci encore.
-3
Merci
Effectivement c'est un bon gros virus..... ou application de merde bien caché et vicieuse bref......

Je pense que t'as du télécharger un logiciel qui devait pas être très légal ou voir télécharger un logiciel piraté?

Dans tous les cas si tu utilises un bon antivirus pour enlever se virus ou que tu reformate utilise "AdwCleaner" ça t'éviteras d'avoir delta shearch, babylon et compagnie......

Si tu veux un conseil pour aller plus vite sauvegarde t'es fichiers et reformate ton disque dur local.
Malekal_morte-
Messages postés
165573
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur
Dernière intervention
24 avril 2019
22023 -
Il a déjà utilisé AdwCleaner et pas besoin de formater.
juju666
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
5623 -
et puis adwcleaner dans ce genre de situation ça sert à rien, autant tourner autour du pc avec un grigri dans la main gauche que ça aura le même effet :)
C'est sur Juju666 ça va pas résoudre le problème Adwcleaner.

Merci pour t'as remarque pertinente! mdr!!!!
juju666
Messages postés
35731
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
22 août 2018
5623 -
Mais elle est très pertinente ma remarque :)