PC infecté par malware

[dogmoa]

bonjour lance,

 

la machine peux démarrer normalement ; mais si je clique sur GMER , et se relance toute seule comme si j' avais fait "reset"

merci

[lance_yien]

Tu as pu voir si Avira avait trouvé quelque chose d'infectieux?

As-tu essayé ESET et Combofix?

Si sans succès, télécharger, sur le Bureau Rkill (par Grinler) depuis un de ces liens:

• Rkill.exe
  
• Rkill.com
  
• Rkill.scr

Double-cliquer sur le fichier Rkill et essaie ComboFix et GMER.

Le seul rôle de RKILL est de désactiver (jusqu'au nouveau démarrage du PC) certains processus de malware pour débloquer l'utilisation des programmes de désinfection.

- Si le 1er fichier télécharger ne fonctionne pas en essayer un autre.

- Si pour une raison quelconque le PC doit être redémarré avant la fin de ces étapes, accepter et relancer RKill de nouveau.

- Ne pas poster le rapport de RKill

[dogmoa]

bonsoir lance,

je ne sais trop comment mais j' ai reussi à lancer le scan eset et voici le rapport.

 

C:\Documents and Settings\Administrateur.WINXPCRA-E6E327\Mes documents\Téléchargements\Nero-9.4.12.3d_free.exe Win32/Toolbar.AskSBar application deleted - quarantined

C:\Documents and Settings\Administrateur.WINXPCRA-E6E327\Mes documents\Téléchargements\RegistryReviverSetup.exe a variant of Win32/SlowPCfighter application cleaned by deleting - quarantined

C:\Documents and Settings\All Users.WINDOWS\Application Data\ReviverSoft\RegistryReviver\InstallCache\{E31E4E05-4B6B-42A5-8623-EB530F8147F5}\RegistryReviver.msi a variant of Win32/SlowPCfighter application deleted - quarantined

C:\Documents and Settings\PC\Mes documents\Téléchargements\MsgPlusLive-482.exe a variant of Win32/Adware.CiDHelp application cleaned by deleting - quarantined

C:\System Volume Information\_restore{2440BFBD-80DC-463F-A3CB-4B635D2B0E18}\RP9\A0066633.msi a variant of Win32/SlowPCfighter application deleted - quarantined

C:\System Volume Information\_restore{2440BFBD-80DC-463F-A3CB-4B635D2B0E18}\RP9\A0066635.exe a variant of Win32/Adware.CiDHelp application cleaned by deleting - quarantined

[lance_yien]

Bonsoir,

 

C'est une bonne nouvelle et en plus il a supprimé certains items. Est-ce que tu peux utiliser les autres utilitaires?

Attention: Pour ComboFix chaque version est valable un certain nombre de jour. Clic-droit sur ton fichier => "Supprimer" et télécharge la dernière version.

Essaie aussi en "Mode sans échec avec prise en charge réseau" si nécessaire.

[dogmoa]

pas toujours possible d' utiliser combofix et gmer

[lance_yien]

Bonjour,

 

On va y aller manuellement en créant un autre CD.

Imprimer ces instructions parce qu'elles seront inaccessibles lors de leur exécution à moins d'avoir un second PC sain et relié à Internet à côté.

Si les documents personnels sont accessibles, c'est le moment de les copier vers un emplacement sûr (CD/DVD/, clé USSB etc).

 

>>> Matériels nécessaires: Une clé USB et un CD/DVD vierge.

 

>>> Préparer le CD de démarrage: Sur un PC sain, télécharger sur le Bureau OTLPE (par OldTimer) depuis ICI.

Placer le CD ou DVD vierge dans son lecteur et double-cliquer sur OTLPEStd.exe. Ceci a pour effet d'ouvrir ImgBurn pour graver le fichier sur le CD.

Si "Do you want to burn the CD?" s'affiche, choisir Yes.

L'affichage de ce message: "Operation successfully completed", indique que l'opération s'est bien déroulée.

 

>>> Générer un rapport OTL:

• Insérer le CD-ROM dans le lecteur du PC infecté et redémarrer celui-ci. Un changement de l'ordre de démarrage dans le Bios (avec le CD en 1er) peut être nécessaire selon les configurations.
  ATTENTION:
  - Les choses peuvent aller très doucement pour que le CD reconnaisse le DD et charge le système. Patienter!
  - Aucune option, à ce jour pour mettre le clavier en FR. Imprimer (ou afficher sur un autre PC à côté) cette image
  
• Quand, enfin le Bureau "Reatogo" s'affiche, double-cliquer sur l'icône de OTLPE.
  
• Sélectionner le dossier Windows sur le disque infecté s'il demande un emplacement.
  
• A la question "Do you wish to load the remote registry?", choisir Yes.
  
• A la question "Do you wish to load remote user profile(s) for scanning?", choisir Yes
  
• S'assurer que la case "Automatically Load All Remaining Users" soit cochée et cliquer sur OK.
  
• OTL se lancera. Presser Run Scan pour faire une analyse.

A la fin un rapport s'ouvre (et sera sauvegardé à la racine de la partition système comme C:\OTL.txt).

- Si accès à Internet possible depuis ce nouveau Bureau, copier/ coller le contenu du rapport.

- SINON, copier ce fichier sur la clé USB pour pouvoir le poster après redémarrage (clic-droit sur le fichier => "Envoyer vers" et choisir la clé USB). Vérifier ça présence sur la clé.

Brancher la clé USB sur un autre PC et poster le rapport.

En attendant une réponse, c'est le moment d'en profiter pour sauvegarder les documents en les copiant sur la clé au cas où ceci n'était pas possible avant.

[manaa]

Bonjour Lance,

puisque tu est en éveil à cette heure matinale

pourrais-tu m'aider à déchifrer ce rapport zhp :

 

http://zeho.net/ZHPDiagScan1.Txt

 

ou me proposer une autre solution

pour confirmer le bon état de ma config

(suite à spoofing et infection éradiquée par usbfix)

merci

[lance_yien]

Bonjour Lance,

puisque tu est en éveil à cette heure matinale

pourrais-tu m'aider à déchifrer ce rapport zhp :

 

http://zeho.net/ZHPDiagScan1.Txt

 

ou me proposer une autre solution

pour confirmer le bon état de ma config

(suite à spoofing et infection éradiquée par usbfix)

merci

Bonjour manaa,

Crée ton propre sujet STP et explique les problèmes ou les raisons pour lesquels tu as généré ce rapport.

[dogmoa]

bonsoir lance,

comme je n' ai pas un autre PC je le ferai dés que j' aurai l' occasion de trouver un ordi sain.

merci