[Résolu] PC infecté

[angelus1717]

rere,

 

dans le doute j'ai relancer MBAM en scan complet et surprise la petite bêbête est toujours présente grrrr

 

voici le rapport de scan

 

Malwarebytes Anti-Malware (Essai) 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.07.25.08

 

Windows 7 x64 NTFS

Internet Explorer 9.0.8112.16421

Nanou :: NANOU-PC [administrateur]

 

Protection: Désactivé

 

26/07/2012 14:37:31

mbam-log-2012-07-26 (14-37-31).txt

 

Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 308990

Temps écoulé: 18 minute(s), 50 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\Users\Nanou\Desktop\RK_Quarantine\00000008.@.vir (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

je l'ai suprimer de la quarantaine et aprés redemarage il réaparait sans cesse

 

je sais plus quoi faire

[Apollo]

En fait, MBAM détecte ce qui se trouve dans la quarantaine de RogueKiller (d'où l'extension *.vir) ; c'est neutralisé, mais par prudence, on va vérifier.

Au besoin, on utilisera un missile

 

 

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

 

Et coche les 2 options supplémentaires:

 

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

[angelus1717]

Rere,

 

Bon bonne nouvelle le missile peut rester a l'abris pour le moment !!

Kapersky a fini par tout nettoyer !!! yessssssssss

 

Je te remercie de tout tes précieux conseils

gros bisous

[Apollo]

Ce n'est pas fini hein, il faut sécuriser le pc.

 

Tu as Kaspersky? Quelle version exactement? place la souris sur le K de la barre des tâches et note ce qu'il est inscrit. (kav ou kis 12.0.0374?)

 

A moins que tu ne parles de TDSSKiller?

 

Fais un nouveau scan ZHPDiag mais héberge le rapport stp: Accueil de Cjoint.com

 

@++

Modifié le 26 juillet 2012 par Apollo

[angelus1717]

quel antivirus me conseil tu ? car je n'ai que le dernier programme que tu ma dit de telecharger !!

[Apollo]

Ca dépend, si tu veux une bonne protection payante, prends Kaspersky Antivirus ou Internet Security mais il faut pas mal de mémoire, les suites sont gourmandes en ram.

 

Versions d'évaluation de 30 jours ici: Versions d'évaluation

 

En gratuit, j'ai donné un lien plus haut, le revoici: Protéger son pc gratuitement

 

---------------------

Il est important, pour terminer ce sujet de faire ce que j'ai demandé dans mon post précédent, à savoir un nouveau scan ZHPDiag et d'héberger son rapport.

 

Il faudra encore faire des mises à jour d'applications (très important!) de même que désinstaller tous les outils spéciaux à la fin.

 

Une désinfection n'est jamais satisfaisante sans prévention de la part du helper et la collaboration du membre s'il ne veut pas revenir dans une semaine

 

@++

[angelus1717]

ah ok

 

là je telecharge avast et je te post ce que tu as demander des que je l'ai

[angelus1717]

voici ce que tu ma dfemander,

 

Lien CJoint.com BGAqJTyz8fa

[Apollo]

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

O43 - CFD: 15/07/2012 - 11:24:09 - [0] ----D C:\Users\Nanou\AppData\Local\{0C3F3C0F-F0EA-4651-BD5E-7DE6CED8631F}    => Empty Folder not necessary  
O43 - CFD: 17/07/2012 - 21:29:09 - [0] ----D C:\Users\Nanou\AppData\Local\{0EC2B41C-3A97-4D20-A596-9B5B75E46077}    => Empty Folder not necessary  
O43 - CFD: 26/07/2012 - 09:39:48 - [0] ----D C:\Users\Nanou\AppData\Local\{125C5584-0834-4194-A0E1-BD88BE7BFBAD}    => Empty Folder not necessary  
O43 - CFD: 15/07/2012 - 11:24:20 - [0] ----D C:\Users\Nanou\AppData\Local\{19E06608-3DCC-4067-BF7D-F31547AD4E2C}    => Empty Folder not necessary  
O43 - CFD: 03/07/2012 - 10:37:25 - [0] ----D C:\Users\Nanou\AppData\Local\{1CC2090A-4D82-4834-B446-A5F606365FB5}    => Empty Folder not necessary  
O43 - CFD: 14/07/2012 - 10:34:24 - [0] ----D C:\Users\Nanou\AppData\Local\{224A892E-9571-442E-8A41-37F3FD7C20AC}    => Empty Folder not necessary  
O43 - CFD: 14/07/2012 - 10:34:34 - [0] ----D C:\Users\Nanou\AppData\Local\{24ED1FB9-6683-4F4B-9CDD-69F2FE87F99A}    => Empty Folder not necessary  
O43 - CFD: 11/07/2012 - 20:33:56 - [0] ----D C:\Users\Nanou\AppData\Local\{29339076-9335-4AAD-BC49-B653777AA8D4}    => Empty Folder not necessary  
O43 - CFD: 24/06/2012 - 21:44:05 - [0] ----D C:\Users\Nanou\AppData\Local\{2CC5A591-34DE-4600-A70E-ECF07CC9A486}    => Empty Folder not necessary  
O43 - CFD: 24/06/2012 - 21:43:55 - [0] ----D C:\Users\Nanou\AppData\Local\{2CFA4460-6E02-4A46-BDE7-E7BFFD4CE460}    => Empty Folder not necessary  
O43 - CFD: 10/07/2012 - 16:31:42 - [0] ----D C:\Users\Nanou\AppData\Local\{30B8D537-E715-49F5-9A0A-FD696E57BFDF}    => Empty Folder not necessary  
O43 - CFD: 30/06/2012 - 11:41:54 - [0] ----D C:\Users\Nanou\AppData\Local\{3925E8B6-7F6A-4689-83FD-F397245C4893}    => Empty Folder not necessary  
O43 - CFD: 24/06/2012 - 12:02:52 - [0] ----D C:\Users\Nanou\AppData\Local\{3A527BF0-1033-4556-AF22-986F61EDB602}    => Empty Folder not necessary  
O43 - CFD: 26/06/2012 - 20:14:40 - [0] ----D C:\Users\Nanou\AppData\Local\{3FBB5F57-EFF2-45B3-AB42-8A6C850718F8}    => Empty Folder not necessary  
O43 - CFD: 28/06/2012 - 21:42:56 - [0] ----D C:\Users\Nanou\AppData\Local\{4CD58552-2EB4-4A4B-A9B2-F5B201533D8E}    => Empty Folder not necessary  
O43 - CFD: 16/07/2012 - 18:09:29 - [0] ----D C:\Users\Nanou\AppData\Local\{50A5EB6D-BF8B-493C-8CCA-AC53B77CB5AE}    => Empty Folder not necessary  
O43 - CFD: 12/07/2012 - 12:26:41 - [0] ----D C:\Users\Nanou\AppData\Local\{608C3A14-62EA-479C-8246-A7284517981C}    => Empty Folder not necessary  
O43 - CFD: 03/07/2012 - 10:37:14 - [0] ----D C:\Users\Nanou\AppData\Local\{644A3998-1609-473E-A1D3-C15BCB69B89A}    => Empty Folder not necessary  
O43 - CFD: 30/06/2012 - 11:41:44 - [0] ----D C:\Users\Nanou\AppData\Local\{6F4F24C0-7786-4D1C-A2ED-C15107BE183A}    => Empty Folder not necessary  
O43 - CFD: 27/06/2012 - 15:40:53 - [0] ----D C:\Users\Nanou\AppData\Local\{766FCC81-86F0-44CC-98A8-8006F85B1E6C}    => Empty Folder not necessary  
O43 - CFD: 26/06/2012 - 20:14:51 - [0] ----D C:\Users\Nanou\AppData\Local\{7929D23B-F6D4-4AE4-9F7C-48CF79D02944}    => Empty Folder not necessary  
O43 - CFD: 18/07/2012 - 16:42:41 - [0] ----D C:\Users\Nanou\AppData\Local\{7D366AE6-1B40-4BEC-AFEA-24E4245BE97F}    => Empty Folder not necessary  
O43 - CFD: 17/07/2012 - 21:28:58 - [0] ----D C:\Users\Nanou\AppData\Local\{7F5DC8C0-E7E1-4C6A-8BD5-E52B94F0D744}    => Empty Folder not necessary  
O43 - CFD: 28/06/2012 - 21:42:45 - [0] ----D C:\Users\Nanou\AppData\Local\{8AC2FF55-C774-49B5-8DFA-71C845D1BF4A}    => Empty Folder not necessary  
O43 - CFD: 22/06/2012 - 20:39:20 - [0] ----D C:\Users\Nanou\AppData\Local\{9111D2A7-A2C4-481D-97F8-F68D5513ECFC}    => Empty Folder not necessary  
O43 - CFD: 25/06/2012 - 21:49:21 - [0] ----D C:\Users\Nanou\AppData\Local\{92257BEC-3493-4AB8-83F0-6E1D8DEC37EE}    => Empty Folder not necessary  
O43 - CFD: 13/07/2012 - 22:34:01 - [0] ----D C:\Users\Nanou\AppData\Local\{9633B22A-5C5F-4A08-9DC2-9A05B1FB498A}    => Empty Folder not necessary  
O43 - CFD: 25/06/2012 - 21:49:10 - [0] ----D C:\Users\Nanou\AppData\Local\{9D80CC5E-5F24-4468-AA90-D51B1D1F67C3}    => Empty Folder not necessary  
O43 - CFD: 22/06/2012 - 20:38:24 - [0] ----D C:\Users\Nanou\AppData\Local\{A268B4AE-1013-41B2-B88F-4C02C8F8946B}    => Empty Folder not necessary  
O43 - CFD: 28/06/2012 - 03:41:29 - [0] ----D C:\Users\Nanou\AppData\Local\{A642162F-A050-4F60-9A76-D8C0BA36910C}    => Empty Folder not necessary  
O43 - CFD: 11/07/2012 - 20:33:46 - [0] ----D C:\Users\Nanou\AppData\Local\{ABD7D49C-A46C-4D4F-9654-906D485DED5C}    => Empty Folder not necessary  
O43 - CFD: 24/06/2012 - 12:02:39 - [0] ----D C:\Users\Nanou\AppData\Local\{B1D1D9C3-BB20-48B2-A434-BB2482D2BC3B}    => Empty Folder not necessary  
O43 - CFD: 10/07/2012 - 16:31:52 - [0] ----D C:\Users\Nanou\AppData\Local\{B663F096-D1BB-4DC3-8957-8D0240153BFF}    => Empty Folder not necessary  
O43 - CFD: 28/06/2012 - 03:41:39 - [0] ----D C:\Users\Nanou\AppData\Local\{CCCADFEC-07CB-4F13-811A-6213B2BDA3C2}    => Empty Folder not necessary  
O43 - CFD: 27/06/2012 - 15:42:08 - [0] ----D C:\Users\Nanou\AppData\Local\{D738E0E2-7299-4EA9-A17B-4A7FCC1E671D}    => Empty Folder not necessary  
O43 - CFD: 12/07/2012 - 12:26:51 - [0] ----D C:\Users\Nanou\AppData\Local\{D7CA0707-803D-4068-8017-2C5749677F21}    => Empty Folder not necessary  
O43 - CFD: 18/07/2012 - 16:42:31 - [0] ----D C:\Users\Nanou\AppData\Local\{DAB85920-0E6E-41D4-985F-33E3A73896D7}    => Empty Folder not necessary  
O43 - CFD: 16/07/2012 - 18:09:19 - [0] ----D C:\Users\Nanou\AppData\Local\{EE74BFC9-A2E8-46FF-A16C-E568EE57D243}    => Empty Folder not necessary  
O43 - CFD: 26/07/2012 - 09:39:39 - [0] ----D C:\Users\Nanou\AppData\Local\{F49DBDDB-97D7-4D4D-B5EF-F3E5488D46F1}    => Empty Folder not necessary  
O43 - CFD: 27/06/2012 - 15:40:43 - [0] ----D C:\Users\Nanou\AppData\Local\{F83940ED-2873-43C0-AC6B-6A19084FB5F4}    => Empty Folder not necessary  
O43 - CFD: 26/07/2012 - 14:22:16 - [0] -SH-D C:\Users\Nanou\AppData\Local\{fe09ce2e-23ef-c6be-b551-13ec0a9986aa}    => Empty Folder not necessary  
FirewallRaz
Emptytemp
EmptyFlash  
Sysrestore 

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

@+ pour la suite et fin

[angelus1717]

eh hop voici ce que tu demande !!! lol

 

Lien CJoint.com BGArkhNlM1O