Virus sur mon pc, comment l'enlever?

[Nergal]

Bonjour,

Vu mon niveau quasi nul en informatique, je viens solliciter votre aide pour un problème de virus.
J'ai suivi la procédure indiquée au début de la page mais j'hésite à poster les rapports puisque mon nom apparait dedans. Est il possible de mettre ces rapports en censurant mon nom? Cela gènera-t-il leur exploitation? Les données présentes dans ces rapports sont elles personnelles?

Merci de m'éclairer.

[synthexe]

Bonjour Nergal

Est il possible de mettre ces rapports en censurant mon nom?

Oui, oui, remplace ton nom par des XXX dans tes 2 rapports si tu veux, ca ne pose pas de probleme pour l'analyse ...

Les données présentes dans ces rapports sont elles personnelles?

On peut y decouvrir les logiciels que tu utilises, mais aucune de tes données personnelles, a part ton fournisseur d'acces, qui n'est pas important en soi puisqu'il concerne des millions de personnes ...

On attend donc tes 2 rapports en pièce jointe, Ewido et Hijackthis.

Bonne journée

[Nergal]

Bonsoir,

Merci synthexe! Voici les deux rapports. Je crois que les virus se trouvent dans C:/Programmes Files/PCODEC mais je n'en suis pas sûr...

Merci pour votre aide.

[SPH]

Tes rapports semblent invisibles...

Essaye de scanner ton PC avec l'excellent anti virus en ligne :
http://www.kaspersky.com/kos/english/kavwebscan.html

[Cyrrus]

Bonjour Nergal, SPH,

Tes rapports montrent des signes d'infection. Je vais te demander un nouveau scan avec un autre logiciel (ca facilitera la tache de synthexe).

(WinXP, Win2K)
Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Dézipper la totalité de l'archive smitfraudfix.zip

Utilisation ----- option 1 - Recherche :
Double cliquer sur smitfraudfix.cmd
Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection.
Poster le rapport sur le forum.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

Poste nous le rapport en pièces jointes je te prie.

Bonne soirée
Cyrrus
PS: SPH >> Kaspersky est un bon antivirus, mais ce n'est pas forcément la panacée pour toutes les infections, surtout quand des outils spécifiques existent.

[Nergal]

Salut SPH,

Invisibles? Tu veux dire que tu ne peux pas les voir ou que tu ne vois pas ce qui cloche?
Je vais essayer ton lien.

++

edit : merci Cyrrus, je vais faire les manips

[Nergal]

Voila le nouveau rapport.

[Nergal]

J'aurais peut être aussi dû vous dire que j'ai une alerte Norton toute les 5 minutes :

[Cyrrus]

Bonsoir Nergal,

Merci pour le screenshot, il confirme notre diagnostics (enfin...pour l'instant le mien, mais synthexe ne devrait pas tarder à passer).

Je laisse synthexe s'occuper de toi. Si vraiment il ne vient pas je te posterai la procédure.

Bonne soirée
Cyrrus

[synthexe]

Bonsoir Nergal , Cyrrus

Merci Cyrrus d'avoir avancé le boulot pour moi

Nergal, lis bien la procédure en entier, si tu as des questions, pose les avant de te lancer, n'hésite pas, sinon, suis bien la procédure en entier et si quelque chose manque tu me le diras a la fin de la procédure, dans ton prochain post avec les rapports demandés.
Nergal, allez, on y va, on va nettoyer tout ca :

Utilisation ----- option 2 -Nettoyage :
Redémarrer l'ordinateur en mode sans échec (tapoter F8 au boot pour obtenir le menu de démarrage ou tuto Symantec).
Double cliquer sur smitfraudfix.cmd
Sélectionner 2 pour supprimer les fichiers responsables de l'infection.
A la question Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

N.B.: Cette étape élimine les fichiers infectieux détectés à l'étape #1
Attention que l'option 2 de l'outil supprime le fond d'écran !

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

Désenregistrement de la dll incriminée :

Démarrer --> Exécuter --> saisie dans la zone de texte le code suivant :

Code:

regsvr32 /u C:\WINDOWS\system32\gtpbx.dll

Puis Ok

Assure toi d'avoir accès à tous les fichiers et dossiers :

• Ouvre votre poste de travail.
• Menu "Outils", "Option des dossiers", onglet "Affichage" :
• Active la case : "Afficher les fichiers et dossiers cachés"
• Désactive la case : "Masquer les extensions des fichiers dont le type est connu"
• Désactive la case : "Masquer les fichiers protégés du système d'exploitation"
• Clique sur "Appliquer".

Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Recherche du fichier malicieux :
Trouve le fichier suivant (en gras) et supprime le :
C:\WINDOWS\system32\gtpbx.dll

Redémarre en mode normal

Relance SmitFraudFix et relance l'option1.
Poste les 2 rapports smitfraudfix ainsi qu'un nouveau hijackthis.

Voili voilou, bon courage, passe une bonne soirée

[Nergal]

Merci synthexe!

J'ai fait ce que tu m'as dit et plusieurs problèmes sont survenus...

Voulez-vous nettoyer le registre ? répondre O (oui) afin de débloquer le fond d'écran et supprimer les clés de démarrage automatique de l'infection.
Le fix déterminera si le fichier wininet.dll est infecté. A la question Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

J'ai donc tapé "o" puis une fenêtre s'est ouverte me demandant si je voulais remettre le pc à un état où il était avant... un truc comme ça, j'ai répondu non et je suis revenu au menu principal du logiciel.

Démarrer --> Exécuter --> saisie dans la zone de texte le code suivant :

Code:
regsvr32 /u C:\WINDOWS\system32\gtpbx.dll

Puis Ok

là, une fenêtre s'ouvre me disant : gtpx "a été chargé mais le point d'entrée DLLUnregisterServer est introuvable, ce fichier ne peut pas être enregistré"
=> Est-ce normal?

Et enfin le plus gros problème :

Trouve le fichier suivant (en gras) et supprime le :
C:\WINDOWS\system32\gtpbx.dll

"Impossible de supprimer gtpbx : accès refusé"

Qu'est ce que je peut faire?

Merci

[synthexe]

Reu ...

Télécharge a nouveau smitfraudfix (il vient d'etre mis a jour) :
http://siri.urz.free.fr/Fix/SmitfraudFix.zip
Recommence toute la procédure et lance bien l'option2 en MODE SANS ECHEC, c'est important.

On va y'arriver !!

[Nergal]

Bon alors j'ai tout refait et là surprise :

Démarrer --> Exécuter --> saisie dans la zone de texte le code suivant :

Code:
regsvr32 /u C:\WINDOWS\system32\gtpbx.dll

Puis Ok

=> "le module spécifié est introuvable"

Et lorsque j'ai essayé de supprimer le fichier : gtpbx.dll, impossible de le trouver, il a disparu (pourtant, quand j'avais essayé de le supprimer, j'avais eu : "impossible de supprimer gtpbx : accès refusé") donc j'en conclu qu'il a été supprimé quand même...

Je te joins les rapports pour que tu vérifies si tu as le temps.


En tout cas, merci beaucoup pour ta disponibilité et ta patience!

Encore merci

[Nergal]

Oups, voila les rapports

Bonne nuit