[Résolu] Virus GEMA

[bernard53]

ok pas mal de ménage a été fait

 

Juste ceci pour confirmer que tout va.

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

[sytchov]

Rapport de malwarebyte:

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.06.15.03

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 8.0.7601.17514

Christophe :: CHRIS [administrateur]

 

15/06/2012 13:23:48

mbam-log-2012-06-15 (13-23-48).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 232751

Temps écoulé: 2 minute(s), 27 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Données: C:\Users\Christophe\AppData\Local\d92096e5\X -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 3

C:\Users\Christophe\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

C:\Users\UpdatusUser\AppData\Local\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[sytchov]

Après l'analyse j'ai redémarré le PC et refait une analyse et voici le résultat

 

 

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.06.15.03

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 8.0.7601.17514

Christophe :: CHRIS [administrateur]

 

15/06/2012 13:31:35

mbam-log-2012-06-15 (13-31-35).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 232465

Temps écoulé: 3 minute(s), 31 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Backdoor.Agent) -> Données: C:\Users\Christophe\AppData\Local\d92096e5\X -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 3

C:\Users\Christophe\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

C:\Users\UpdatusUser\AppData\Local\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

C:\Windows\temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

[bernard53]

fait ceci.

 

[*]Cliquer ICI]PureRa - Browse Files at SourceForge.net pour télécharger PureRa

Dézippes le fichier.

 

[*]Fermer toutes les fenêtres et applications ouvertes et double-cliquer sur PureRa.exe (Vista et Windows 7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") puis cliquer sur Next.

 

[*]Cocher la case Check All et cliquer sur le bouton Clean

 

Un rapport sera créé. Inutile de le poster sur le forum

 

Après tu as passer l'outil Kasperky ou pas?

Modifié le 16 juin 2012 par bernard53

[sytchov]

Désolé de la réponse tardive, grosse journée de travail.

 

 

J'ai fait le scan avec Purera, par contre, j'ai pas fait celui de kapersky. Jai suivi le tuto (http://www.malekal.com/2010/11/12/graver-une-image-iso-avec-imgburn/) jusque là tout va bien

mais pour démarrer le CD j'y arrive pas. Le lien pour changer la séquence de démarrage dans le tuto ci dessous est mort.

 

"Windows Unlocker depuis le CD Live de Kaspersky est aussi une solution.

Vous devez graver le CD et Booter dessus, tout ceci est expliquer sur la page suivante : Malekal's forum • Kaspersky Live CD et Windows Unlocker : Tutorial Antivirus

Le principe étant de graver le CD Kaspersky sur un CD ou mettre sur clef USB.

Redémarrer l’ordinateur et changer la séquence de démarrage Malekal's forum • Booter sur un CD ou DVD : Tutorials Windows pour faire démarrer sur le CD ou clef USB."

[bernard53]

Pour changer la séquence de boot.

Booter sur CD, changer séquence de boot

 

Sinon fait ceci.

 

Télécharge sur ton bureau

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

dezippe le et execute le , un rapport sera crée ici:

 

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

 

tu as aussi directement l'executable là :

http://support.kaspersky.com/downloads/utils/tdsskiller.exe

A cette fenêtre lance le scan.

 

 

Tu peux récupérer le rapport en validant Report

 

Si une détection est faite valide Cure puis

 

 

redémarres le pc pour confirmer la suppression de celle-ci.

 

INFO::

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

 

Si TDSS.tdl2 est détecté l'option "delete" sera cochée par défaut.

• Si TDSS.tdl3 est détecté assure toi que "Cure" est bien cochée.

• Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que "Cure" est bien cochée.

• Si Suspicious file est indiqué, laisse l'option cochée sur "Skip"

• Clique sur Continue puis sur Reboot now pour redémarrer le PC.

[sytchov]

J'ai fait le scan avec tdsskille et jai aussi fait celui de kapersky qui a pris plusieurs heures. Il a eliminé beaucoup de trojan, jai redémarré le pc, fait un scan avec malwarebyte, il m'a détecté les mêmes infections

qu'avant le scan de kapersky, je les ais supprimés, reboot le pc et là, plus rien!!

J'ai juste une fenêtre qui apparait souvent en me disant que mon windows est pas authentique ce qui, bien sûre n'est pas le cas, ça peut venir d'une infection ou autre?

[bernard53]

je les ais supprimés, reboot le pc et là, plus rien!!

 

J'ai juste une fenêtre qui apparait souvent en me disant que mon windows est pas authentique ce qui, bien sûre n'est pas le cas, ça peut venir d'une infection ou autre?

non pas de soucis cela viens d'une mise à jour, fait ceci .

 

1°) Cliquer sur "Démarrer"

2°) Cliquer sur "Panneau de configuration"

3°) Cliquer sur "Programmes"

4°) Cliquer sur "Programmes et fonctionnalités"

5°) En haut a gauche de la fenêtre, cliquez sur "Afficher les mises à jour installées"

6°) Cherchez la mise à jour "Mise à jour pour Microsoft Windows (KB971033)"

7°) Cliquer droit dessus, et désinstaller.

8°) Patientez jusqu'à la fin de la désinstallation.

9°) Allez dans Windows Update, puis cliquez sur "Recherche de mise à jours"

10°) Cliquez sur " [X] mises à jours importantes sont disponibles"

11°) Décochez la case à coter de "Mise à jour pour Microsoft Windows (KB971033)"

12°) Cliquez droit dessus, et cliquez sur "Masquer la mise à jour".

 

 

Voilà! Vous ne serez plus embêter par cette fenêtre qui revenait régulièrement !

[sytchov]

Enooooorme tout est OK!! merci infiniment pour ton aide

Dernière petite chose je peux garder ou supprimer quel logiciel?

[bernard53]

Ceci pour finir alors.

 

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

 

Télécharge << DELFIX >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.

 

 

Lance-le.

 

* A l'invite, [suppression] ()

 

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

 

puis: On va mettre la restauration du système propre.

Pour cela:

 

1- Valides les touches Windows et Pause en même temps.

 

Puis Protection du système

 

Sur cette fenêtre décoches la case concernant le DD ou est installé ton système normalement C:

 

Valide et acceptes les demandes suivantes.

 

***Pour Windows 7** il faut valider l'onglet Configurer puis valider la désactivation de la restauration.

 

**Toujours sur cette même fenêtre : Il te faut donc maintenant recrée un nouveau point de restauration.

 

Coche cette même case et valides cela par l’onglet APPLIQUER puis onglet « CREER »

 

Nommes ce point PC- Clean: Valides.

 

Vous pouvez maintenant fermer toutes les fenêtres.

 

 

Et pour marquer ton post en résolu.

http://forum.zebulon.fr/comment-afficher-son-sujet-comme-resolu-t180253.html

 

 

Garde juste Malwaresbytes et Delfix va supprimer les autres qui sont régulièrement mis à jour.

Bonne soirée