ordinateur infecté

[gael89]

Bonjour à tous, je suis nouveaux ici et je n'y connait rien en informatique. Voici mon problème:

 

J'ai chopé un virus qui m'empèche d'ouvrir le gestionnaire des taches, l'ajout-suppression de programme, la restauration système et divers programmes. Je ne peux plus lancé mon pc qu'en mode sans échec et là encore je ne peux pas faire grand chose (pas de gestionnaire...) le virus se lance également en scannant mon ordi et en me disant que je ne suis pas protégé. De lus je ne peux pas me connecté à internet. Après avoir lu certains post j'ai téléchargé MBAM et voici le rapport:

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3510

Windows 5.1.2600 Service Pack 2 (Safe Mode)

Internet Explorer 8.0.6001.18372

 

18/02/2010 16:53:41

mbam-log-2010-02-18 (16-53-41).txt

 

Type de recherche: Examen rapide

Eléments examinés: 125654

Temps écoulé: 14 minute(s), 17 second(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 12

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 8

 

Processus mémoire infecté(s):

C:\WINDOWS\system32\smss32.exe (Trojan.FakeAlert) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: c:\windows\system32\winlogon32.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.FakeAlert) -> Data: system32\winlogon32.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\winlogon32.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

C:\Documents and Settings\All Users\Application Data\80104922 (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\Documents and Settings\kamel\Local Settings\Application Data\wybuhidup_navps.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\kamel\Local Settings\Application Data\wybuhidup_nav.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\Documents and Settings\kamel\Local Settings\Application Data\wybuhidup.dat (Adware.Navipromo.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\smss32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\Winlogon32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\kamel\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

 

 

 

 

voila, au redémarrage le pc va mieux puisque je peux enfin le démarrer normalement, ouvrir le gestionnaire des taches et tout et tout. Par contre un logiciel (le virus??) se lance encore il s'appel "security essentials 2010" et en fond d'écran bureau j'ai ça: "récupération active desktop microsfoft rencontré une erreur innatendue..." A noté qu'avant ces manip' j'avais supprimer tous les éléments se lançant au démarrage (boulette?!!)...

Voila je remercie par avance mille fois la personne qui prendra le temps de m'aider!!

Modifié le 18 février 2010 par gael89

[Kaneda]

Bonjour, et bienvenue sur Zebulon.

 

Tu as fait un examen en mode "rapide" , ce n'est pas suffisant (bien que pas mal de cochonneries déjà trouvées...).

Donc:

- Fait une vérification de mise à jour d'abord (onglet mise à jour de MalwareBytesAntiMalware)

- Branche tous tes supports externes (clé USB, disque dur externe, ...)

- Effectue une "examen complet" (cela peut prendre de 1h à 2h selon ton PC et le nombre de Go à scanner)

- Reposte le rapport

 

Suite à cela tu pourras être pris en charge par des membres de l'équipe Sécurité.

[gael89]

je m'y colle! merci beaucoup!

[Kaneda]

je m'y colle! merci beaucoup!

 

N'oublie surtout pas la Mise à jour avant l'examen complet (tu as la version de base de données 3510. Pour info je viens de faire une mise à jour chez moi, l'actuelle version est 3756).

[gael89]

N'oublie surtout pas la Mise à jour avant l'examen complet (tu as la version de base de données 3510. Pour info je viens de faire une mise à jour chez moi, l'actuelle version est 3756).

 

Pas moyen de mettre a jour, ca m'affiche un message d'erreur (Error code: 732 (12007, 0)). A coté de ça, et c'est peut etre lié, je ne peux pas me connecter à internet. que dois-je faire? merci

Modifié le 19 février 2010 par gael89

[pear]

Bonjour,

Puisque vous postez, je suppose que vous avez une autre machine.

Vous transfèrerez ces logiciels sur le pc malade:

 

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Vous en posterez les rapports ensuite, en fin de procédures

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur Bleeping Computers en Anglais:

 

Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[gael89]

Avant tout merci de ton aide. J'ai fais ce que tu m'as dis de faire, j'ai télécharger les trois logiciel, mis sur une clé et copier sur le bureau de mon pc malade. Problème, quand je lance Load_tdsskiller il ouvre une boite de dialogue mais 10sec après un message d'erreur apparait: "Windows ne trouve pas C:\tdsskiller.exe Vérifiez que vous avez entré le nom correctement..." puis le logiciel s'arrète. Je n'ai pas essayé les autres en supposant qu'il y avait un ordre à respecter. Je dois etre un sacré boulet mais là je suis complétement coincé. Encore une fois merci pour tout.

[gael89]

personne n'a une petite idée pour résoudre mon problème ??

[Apollo]

Bonjour,

 

Si vous permettez pear.

 

Gael, fais comme ceci:

 

Télécharge TDSS Killer de Kaspersky. http://senduit.com/6df46f

 

Enregistrer sur le bureau. (et pas ailleurs).

 

Va dans Démarrer/exécuter (ou touches Windows et R) et copie/colle le contenu du cadre ci-dessous:

 

"%userprofile%\bureau\TDSSKiller.exe" -l TDSSlog.txt -v

 

A la fin de l'exécution, appuie sur une touche comme demandé pour fermer la fenêtre.

Un fichier TDSSlog.txt va apparaitre sur ton bureau.

Ouvre le et poste l'intégralité de son contenu dans ta prochaine réponse.

 

NB: Si l'outil demande un reboot, accepte en tapant Y (yes).

D'ailleurs, applique tout ce qu'il propose.

 

Fais la suite péconisée par pear.

 

@++

[gael89]

Bonjour et merci pour ton aide.comme je le dis plus haut, je ne peux pas accéder a Internet sur mon pc malade. Donc je copie colle le fichier tdss via une clé USB sur le bureau en mode sans échec. J'ai esayer de recopier ton code dans exécuter mais ça m'affiche encore que Windows ne trouve pas le fichier, alors que quand je vérifie j'ai bien le fichier load_tdskiller sur le bureau! Que faire?! Ou plutôt qu'est ce que je fais mal boulet que je dois être. J'espère avoir été sufisament clair et encore merci