Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection de virus et fichier suspect


 Share

Messages recommandés

Bonjour,

Mon ordinateur a été infecté par des virus (trojan?). Dans un premier temps antivir me détectait plusieurs fois par minute des virus et un scan intégral pour les mettre en quarantaine (lien ci dessous) rien n'a changé, il continuait de me détecter des problèmes toutes les 30 secondes. Malwerbites ne m'avait par contre rien trouvé.

Lien CJoint.com 3Frt6ifqKey

 

J'ai éteint mon pc quelques jours faute de pouvoir y consacrer du temps. Cet après midi en le rallumant antivir a fait une mise à jour et m'a indiqué "Le moteur a été de nouveau chargé.". Après ça il m'a retrouvé une fois les virus, les a mis en quarantaine et a enfin arrêté de les détecter toutes les 30 sec.

Lien CJoint.com 3FrualLxBHU

 

J'ai ensuite fait un contrôle intégral du système :

Lien CJoint.com 3FruaZDVWfY

Le fichier suspect "HEUR/Modified.SystemFile" apparait toujours. De plus le nouveau virus trouvé "W32/Patched.UA" réapparait toutes les 5 min dans le dossier "événement" de antivir. Malwerbites lui ne me détecte toujours rien.

 

Je suis perdue... Que faire pour ce nouveau virus? Les anciens ont-ils vraiment disparus? Qu'est ce ce fichier suspect?

Merci pour votre aide =)

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Rends toi sur ce lien : Virus Total

  • Clique sur le bouton Parcourir...
  • Parcours tes dossiers jusque à ce fichier, si tu le trouves :

  • C:\Windows\system32\services.exe
     

 

  • Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyser le fichier maintenant.
  • Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  • Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  • Lorsque l'analyse est terminée copie le lien qui se trouve dans la barre de navigateur et colle-le dans ta réponse stp.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

No, cela n'a rien à voir ;)

 

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur la loupe loupe-334dd63.png pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

++

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Voillà le rapport de RogueKiller.

 

RogueKiller V7.5.4 [07/06/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/54)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Recherche -- Date: 18/06/2012 09:42:18

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 5 ¤¤¤

[sUSP PATH] HKUS\S-1-5-21-2889404139-1022355138-1161187359-1002[...]\RunOnce : CTPostBootSequencer ("C:\Users\ADMINI~1\AppData\Local\Temp\CTPBSEQ.EXE" /reglaunch /self_destruct) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : ApnStub.exe (C:\Windows\SysWOW64\svchost.exe) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : ApnToolbarInstaller.exe (C:\Windows\SysWOW64\svchost.exe) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD5000AAKX-001CA0 ATA Device +++++

--- User ---

[MBR] 962609c70e622b20637ea2ad19bbe31c

[bSP] 1ae68eabd356eb5544eba1190ac4c19b : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 149899 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 307200000 | Size: 326939 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Relance RogueKiller et clique cette fois sur Suppression; poste son rapport stp.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

ok, voilà le rapport:

 

RogueKiller V7.5.4 [07/06/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/54)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Suppression -- Date: 18/06/2012 12:45:19

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 5 ¤¤¤

[sUSP PATH] HKUS\S-1-5-21-2889404139-1022355138-1161187359-1002[...]\RunOnce : CTPostBootSequencer ("C:\Users\ADMINI~1\AppData\Local\Temp\CTPBSEQ.EXE" /reglaunch /self_destruct) -> DELETED

[iFEO] HKLM\[...]\Image File Execution Options : ApnStub.exe (C:\Windows\SysWOW64\svchost.exe) -> DELETED

[iFEO] HKLM\[...]\Image File Execution Options : ApnToolbarInstaller.exe (C:\Windows\SysWOW64\svchost.exe) -> DELETED

[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: WDC WD5000AAKX-001CA0 ATA Device +++++

--- User ---

[MBR] 962609c70e622b20637ea2ad19bbe31c

[bSP] 1ae68eabd356eb5544eba1190ac4c19b : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 149899 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 307200000 | Size: 326939 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[5].txt >>

 

Merci.

Lien vers le commentaire
Partager sur d’autres sites

Ok,

 

Je t'aurais bien fait passer ComboFix, mais il a un bug pour le moment et il peut être dangereux avant que le créateur de ce tool ne corrige le défaut, aussi je vais te faire passer un antivirus très puissant.

 

Il y a deux sortes d'analyses, une rapide et une complète: il faut faire les deux ;)

 

icone_10.png CureIt Dr.Web

Il ne nécessite pas d'installation.

 

arrow210.gif Lance le fichier launch.exe après avoir désactivé ton antivirus résident.

Il va te demander de faire la mise à jour

Une fois celle-ci effectuée, il va lancer un scan rapide.

Quand tout ceci est terminé, tu choisis scan sélectif et tu coches au moins C qui contient le système.

arrow210.gifA la fin du scan, tu mets tout en quarantaine et tu postes le rapport.

Comme il sera assez conséquent, héberge-le sur Cjoint comme indiqué sur ce tutoriel

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...