bonjour,
mon pc est serieusement attaqué par le vuris malware doctor. j'ai bien suivi les étapes de test comme decrit sur le site.
Desole, je ne saurais vous dire la maniere dont j'ai eu le virus, mon pc est 24h sur 24 connecté au net (peut-etre...) et il est aussi utilisé par mon fils pour ses jeux.
Merci de me depanner...
Thyko
Salut,
pour un pré-nettoyage, télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.
bonjour,
je viens de passer malwarebytes et je vous joins ci-dessous le résultat. merci
Thyko
c'est une méchante infection que nous avons là...
copie-colle cette procédure dans le bloc-notes ou word puis enregistre-la sur le Bureau
pour pouvoir y avoir accès facilement.
Branche tous disques externes, clés USB et autres ressources externes au pc.
Télécharge Dr.Web CureIt sur ton Bureau:
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
* Redémarre ton ordinateur
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.
* Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
* Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ;
s'il trouve des processus infectés,clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; tu peux quitter en cliquant le "X"
* Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
* Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
* De retour à la fenêtre principale : clique pour activer "Analyse complète";
* Clique le bouton avec flèche verte sur la droite, et le scan débutera.
* Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
* Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés
* Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
* Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
* Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
* Ferme Dr.Web Cureit
* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Suite au redémarrage, poste le contenu du rapport Dr.Web dans ta prochaine réponse.
En principe il est conseillé de faire ce scan à au moins deux reprises pour s'assurer du nettoyage.
Aussi après avoir fait le premier scan et posé le rapport, refais-en un autre toujours en mode sans échec
dont tu nous posteras aussi le rapport.
re-bonjour,
j'ai téléchargé Dr Web et mis sur le bureau seulement, quand j'ai redémarré la machine voilà les messages que j'ai (en boucle) :
svchost.exe - Erreur d’application
L’instruction à ‘0x83617acf’ emploie l’adresse mémoire «0x83617acf». La mémoire ne peut pas être ‘read’.
Cliquez sur OK pour terminer le programme.
services.exe - Erreur d’application
L’instruction à ‘0x83617acf’ emploie l’adresse mémoire «0x83617acf». La mémoire ne peut pas être ‘read’.
Cliquez sur OK pour terminer le programme.
Explorer.EXE - Erreur d’application
L’instruction à ‘0x83617acf’ emploie l’adresse mémoire «0x83617acf». La mémoire ne peut pas être ‘read’.
Cliquez sur OK pour terminer le programme.
svchost.exe - Erreur d’application
L’instruction à ‘0x83617acf’ emploie l’adresse mémoire «0x83617acf». La mémoire ne peut pas être ‘read’.
Cliquez sur OK pour terminer le programme.
lsass.exe - Erreur d’application
L’instruction à ‘0x83617acf’ emploie l’adresse mémoire «0x83617acf». La mémoire ne peut pas être ‘read’.
Cliquez sur OK pour terminer le programme.
MCI command handling window : winlogon.exe - Erreur d’application
L’instruction à ‘0x83617acf’ emploie l’adresse mémoire «0x83617acf». La mémoire ne peut pas être ‘read’.
Cliquez sur OK pour terminer le programme.
svchost.exe - Erreur d’application
L’instruction à ‘0x83617acf’ emploie l’adresse mémoire «0x83617acf». La mémoire ne peut pas être ‘read’.
Cliquez sur OK pour terminer le programme.
Et l’ordinateur redémarre
Thyko
fais le scan en mode normal.
salut,
impossible de démarrer la machine. le système revient en boucle avec les meme msg et fini par se planter.
Thyko
Redémarre la machine et appuye sur F8 au démarrage pour accéder au menu avancé
puis essaie de voir ce que cela donne en choisissant la dernière bonne configuration connue
salut,
merci pour l'aide que vous m'apportez. trouvez ci-joint le rapport du check. Je dois vous signaler que le msg :
ACU.exe - Composant Introuvable
Cette application n'a pas pu démarrer car athcfg11.dll est introuvale. La réinstallation de cette application peut corriger ce problème.
est toujours présent à l'écran. Je n'y ai pas touché.
Thyko
cf. fichier rapport. je crois l'avoir oublié.
thyko
salut,
les 2 résultats de check. cela m'a donné un peu de souci car le format .CSV n'est pas supporté pour l'attachement. j'espere que cela va aller...
thyko
le message que tu as au démarrage c'est un détail par rapport à l'infection par Virut
qui elle nécessite assez souvent une réinstallation pure et simple de Windows...
tu dois probablement avoir un dossier Dr Web dans le disque C: supprime-le.
Télécharge ComboFix (de sUBs) par un de ces liens :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.
Le rapport est également sauvegardé ici : C:\ComboFix.txt
Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme.
une fois que tu auras posté le rapport, le temps que je te réponde, refais un scan avec Dr Web
en mode sans échec comme préconisé plus haut. scanne tout le poste de travail, prend-soin d'avoir
tous tes disques externes connectés à la machine.
bonjour,
test effectué et ci-joint le rapport.
Thyko
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.Code:Driver:: agmf80a dhj4ad6 egiaa4a elr804f ethcctqz gkqa6fa ioa45b9 lci5357 moqf5c0 obd74fb oredc80 qqcf360 mxfjxrtus435tiksr5735dghdsgwy80 e3511c79 File:: c:\windows\mxfjxrtus435tiksr5735dghdsgwy81.exe c:\windows\system32\CF8209.exe c:\windows\system32\6.tmp c:\windows\system32\3.tmp c:\windows\system32\2.tmp c:\windows\system32\69.tmp c:\windows\system32\63.tmp c:\windows\system32\22E.tmp c:\windows\system32\6C.tmp c:\windows\system32\5F.tmp c:\windows\system32\5B.tmp c:\windows\system32\5A.tmp c:\windows\system32\60.tmp c:\windows\system32\58.tmp c:\windows\system32\56.tmp c:\windows\system32\52.tmp c:\windows\system32\4E.tmp c:\windows\system32\4B.tmp c:\windows\system32\6A.tmp c:\windows\system32\46.tmp c:\windows\system32\53.tmp c:\windows\system32\4F.tmp c:\windows\system32\4A.tmp c:\windows\system32\3F.tmp c:\windows\system32\47.tmp c:\windows\system32\39.tmp c:\windows\system32\3D.tmp c:\windows\system32\36.tmp c:\windows\system32\249.tmp c:\windows\system32\38.tmp c:\windows\system32\33.tmp c:\windows\system32\37.tmp c:\windows\system32\35.tmp c:\windows\system32\34.tmp c:\windows\system32\32.tmp c:\windows\system32\2F.tmp c:\windows\system32\2E.tmp c:\windows\system32\2C.tmp c:\windows\system32\2B.tmp c:\windows\system32\27.tmp c:\windows\system32\231.tmp c:\windows\system32\24.tmp c:\windows\system32\235.tmp c:\windows\system32\230.tmp c:\windows\system32\2A.tmp c:\windows\system32\21.tmp c:\windows\system32\1D.tmp c:\windows\system32\22A.tmp c:\windows\system32\23.tmp c:\windows\system32\1C.tmp c:\windows\system32\229.tmp c:\windows\system32\16.tmp c:\windows\system32\22.tmp c:\windows\system32\2747783496.dat c:\windows\system32\13.tmp c:\windows\system32\11.tmp c:\windows\system32\14.tmp c:\windows\system32\1D3.tmp c:\windows\system32\75.tmp c:\windows\system32\3C.tmp c:\windows\system32\perfc00C.dat c:\windows\system32\perfh00C.dat
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.
As-tu refait le nouveau scan avec Dr Web ?
salut,
le test avec DrWeb vient juste de finir. Rapport ci-joint.
Thyko
Salut,
Rapport du test Combofix.
Thyko
C'est déjà mieux mais ce n'est pas encore désinfecté...
• Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL en cliquant sur cette image:
Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :
Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.Code:Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\e3511c79] File:: c:\windows\system32\drivers\e3511c79.sys c:\windows\system32\9E.tmp c:\windows\system32\9C.tmp c:\windows\system32\D5.tmp c:\windows\system32\3E.tmp c:\windows\system32\19.tmp c:\windows\system32\17.tmp c:\windows\system32\486.tmp c:\windows\system32\481.tmp c:\windows\system32\472.tmp FCOPY:: c:\windows\system32\dllcache\svchost.exe | c:\windows\system32\svchost.exe c:\windows\$NtUninstallKB951748$\tcpip.sys | c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys c:\windows\system32\dllcache\tcpip.sys | c:\windows\system32\drivers\tcpip.sys c:\windows\system32\dllcache\explorer.exe | c:\windows\explorer.exe c:\windows\system32\dllcache\ctfmon.exe | c:\windows\system32\ctfmon.exe c:\windows\system32\dllcache\spoolsv.exe | c:\windows\system32\spoolsv.exe c:\windows\system32\dllcache\userinit.exe | c:\windows\system32\userinit.exe
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt
Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :
Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Quand il aura fini applique ceci:
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
choisir ta session habituelle,pas celle Administrateur ou autres.
• Connecte éventuellement tes clés USB et disques externes.
• Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
• Réponds "Oui" à la question "Do you want to continue installation?"
• Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
• Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...)
• L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
• Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image:
• Valide avec "Apply" puis "OK"
• L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
• A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre:
• Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
• Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
• Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
• Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES"
• Un message d'alerte indiquera que le PC doit être redémarré pour finir la désinstallation:
A la question "Would you like to restart now", réponds "OUI" et redémarre ton ordinateur en Mode normal.
Poste les deux rapports ComboFix et AVPTool.
