Virus persistants suite à infection par SECURITY TOOLS

[pear]

Dans c:\documents and settings\All Users\Application Data\

recherchez un fichier au nom aléatoire - 8 chiffres par exemple 12345678

 

faire un glisser-déposer du dossier vers le Bureau.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen rapide"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[raphael38610]

bonsoir,

j'ai suivi vos instructions à la lettre mais le fichier avec les nombres je ne l'ai pas trouver dans C:\Documents and Settings\All Users mais dans C:\ j'ai désinstaller malwarebyte's et re installer il m'ont faire encor une mise à jour avec toujour le mem probleme erreur .Puis j'ai démarrer le scan et il a trouvé encor 9 virus à suprimer ,je vous envoi le rapport:

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2775

Windows 5.1.2600 Service Pack 3

 

12/11/2009 18:05:26

mbam-log-2009-11-12 (18-05-26).txt

 

Type de recherche: Examen rapide

Eléments examinés: 135764

Temps écoulé: 5 minute(s), 59 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 8

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

Je fait souvent un scan avec malwarebytes et j'en trouve toujour une bonne 20é en faisant "executer avec un examen complet".Merci beaucoup de votre aide et j'atten la suite avec impatience pour supprimé tous ces virus!!! Merci beaucoup de m'aider!!!

[raphael38610]

re bonsoir,

j'ai encor fai un scan et je trouve à chaque fois des virus je pense que je devrait re faire un scan avec OTM qui a l'air d'un trés bon éradiqueur de virus?mais moi je ne s'est pas l'utiliser! vous pouvez peu etre me redoner la liste pour en re faire un ?

[raphael38610]

Il ya un turc qui me pèrturbe pour se virus lorsque que je vais sur clubic.com ou 01.net pour télecharger un truc par exemple msn puisque il marche plus sur mon orinateur a cause du virus je le télecharge je clic sur le lien et sa dit d'attendre mais sa fait rien ensuit je vais sur un autre orinateur je fait la meme démarche mais la sa le télecharge vous avez une réponse a cela parce que c'est vrément pénible !

[pear]

Il ya un turc qui me pèrturbe pour se virus lorsque que je vais sur clubic.com ou 01.net pour télecharger un truc par exemple msn puisque il marche plus sur mon orinateur a cause du virus je le télecharge je clic sur le lien et sa dit d'attendre mais sa fait rien ensuit je vais sur un autre orinateur je fait la meme démarche mais la sa le télecharge vous avez une réponse a cela parce que c'est vrément pénible !

 

Oui, c'est pénible.

Il faut qu'on trouve ce qui empêche Combofix de tourner.

 

Créez sur C:`\ un dossier nommé Gamer

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour renommer:

Clic droit sur ce lien

Choisir "Enregistrer la cible du lien..sous....gamer

le diriger vers c:\gamer

En bas, à Nom du Fichier:

Vous devez obtenir -> gamer.exe

Cliquez enfin sur -> Enregistrer

 

Clic droit sur fichier téléchargé->Extraire ici

Déconnecter internet si possible et fermer tous les programmes.

Double-cliquez sur le fichier

 

Clic sur l'onglet "rootkit"

Ne scanner que la partition système pour gagner du temps.

Faites un clic droit dans la fenêtre vide et dans options cliquez"Only non Ms Files"

Clic sur Scan

A la fin du scan->

Les informations sur le scan s'affichent alors, les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

Copier/coller les lignes rouges dans un prochain message

[raphael38610]

Bonsoir,

J'ai essayé de télecharger le fichier gamer ,mais quand je clique dessus pour le dézipper il ya rien qui se passe . je ne peux pas le copier ou le coller ,le virus doit le bloquer . merci pour votre réponse et j'attend la suite

[pear]

Bonsoir,

 

Recherche Win32kDiag

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Pour éviter leur réactivation après un redémarrage, décochez les dans les options de démarrage ->Msconfig

Si vous utilisez Spybot

Pour désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

Désactivez le contrôle des comptes utilisateurs (Vous le réactiverez par la suite):

http://www.zebulon.fr/astuces/220-desactiv...dans-vista.html

- Démarrer puis panneau de configuration->"Comptes d'utilisateurs"

- Cliquer ensuite sur désactiver et valider.

C:\ProgramData\Spybot - Search & Destroy\Snapshots

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vers le bureau ,

Télécharger (Win32kDiag.exe)

Double-cliquez sur Win32kDiag.exe et patientez

Quand apparait "Finished! Press any key to exit...", appuyez sur une clé quelconque

Double-cliquez sur Win32kDiag.txt sur le bureau et postez en le contenu par copier/coller dans votre prochain message

[raphael38610]

Bonsoir,

Il ya encor un petit problème lorsque que je double clic sur win32Diag.exe sa dit :WARNING: Could get backup privleges!

Searching 'C:\WINDOWS' ...

Cannot acces

Je vous envoi le scan mais j'ai l'impression qu'il a echoué:

 

 

Running from: C:\Program Files\BitComet\Downloads\Win32kDiag.exe

 

Log file at : C:\Documents and Settings\Raphaël.NOM-3189168\Bureau\Win32kDiag.txt

 

WARNING: Could not get backup privileges!

 

Searching 'C:\WINDOWS'...

 

 

 

Cannot access: C:\WINDOWS\system32\t1p0_490246173712.b1k

 

[1] 2009-11-13 15:55:18 45568 C:\WINDOWS\system32\t1p0_490246173712.b1k ()

 

 

 

Cannot access: C:\WINDOWS\system32\t1p1_299467129052.b1k

 

[1] 2009-11-13 15:54:16 45568 C:\WINDOWS\system32\t1p1_299467129052.b1k ()

 

 

 

Cannot access: C:\WINDOWS\Temp\VRT6.tmp

 

[1] 2009-11-11 09:56:15 86528 C:\WINDOWS\Temp\VRT6.tmp ()

 

 

 

Cannot access: C:\WINDOWS\Temp\VRT7.tmp

 

[1] 2009-11-11 09:56:22 49152 C:\WINDOWS\Temp\VRT7.tmp ()

 

 

 

 

 

Finished!

 

Juste une question si je reinitialise windows esque le virus poura se suprimer juste pour savoir? .merci de votre aide

[pear]

Juste une question si je reinitialise windows esque le virus poura se suprimer juste pour savoir? .merci de votre aide

 

Si vous pensiez à une réparation sans pertes, ce n'est pas suffisant.

Un formatage avant réinstallation sont nécessaires.

Cela nécessite aussi que les données soient sauvegardées sur un support externe(disque , dvd etc..)

 

Faites moi part de votre décision.

[raphael38610]

bonjour,

Il ya vrement un gros probleme sur mon ordinateur il ne veu plus s'allumer soit il bloque sur la sesion ou soit il la barre de menu de la session ne vient pas ,Je sais pas se qui se passe . Je voulais pas dire reintinaliser mais réinstaller windows,si je le fait le virus sera encor la ou pas? . Esque le disque D partira aussi avec la réinstallation de windows.Esque vous avez une idé pour suprimer c'est virus sans réinstaller windows parce que jai des fichier très important dans le disque C