Win32:Malware-gen

[invite2df4c882]

Bonjour

Infection arrivée en tapant sur google : ###### Attitude
puis clic sur le 1er lien trouvé"intro"
Avast me signale que je suis infecté

J'ai téléchargé ATF cleaner puis RSIT
-----

[yoda1234]

J'ai effacé une partie de tes indications sur la façon d'accéder à ce lien. En effet le risque que l'on veuille vérifier tes dires est grand.
Voici l'alerte de mon AV en pièce jointe.

[invitec04351b8]

Bonjour,

ne te sers de l'ordi que pour les besoins de la désinfection pour le moment.

===

Des fichiers à vérifier :

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
• Navigues pour trouver ce fichier (*) :

Code:

c:\java\prg\sapdb\indep_prog\pgm\serv.exe

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans un fichier texte
• Poste ce fichier dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

(*) : si tu ne trouves pas le fichier en question, affiche tous les fichiers/dossiers :

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

===

Tu recommences avec :

C:\JAVA\PRG\SAPDB\DEPEND\pgm\k ernel.exe

===

C'est toi qui a ajouté cette ligne dans ton fichier hosts :

O1 - Hosts: 193.0.0.208 mailhost

===

Tu utilises volontairement un proxy ?

===
Télécharge et installe UsbFix de Chiquitine29 sur ton Bureau.

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

===

Avec l'Explorateur Windows, cherche :

C:\WINDOWS\system32\fjhdyfhsn. bat

fais un clic droit et Supprimer.

puis cherche C:\Documents and Settings\INFOLOGIC\Menu Démarrer\Programmes\Démarrage\ syspck32.exe

fais aussi un clic droit et Supprimer.

Vide ta Corbeille.

@+

[invite2df4c882]

Bonjour Lyonnais92

Merci pour ta réponse très claire.

Pour info, j'utilise ce PC pour mon travail sauf lorsque que j'ai eu ce virus ou je l'utilisais a des fins peronnelles

On m'avait donc ajouté une ligne dans mon fichier hosts :

O1 - Hosts: 193.0.0.208 mailhost

je ne vais plus avoir besoin d'utiliser un proxy

Je n'ai pas pu faire les manip que tu me conseilles : j'ai un nouveau problème :

impossible d'allumer mon PC et de voir le bureau windows xp.

Lorsque j'allume le PC, j'ai un écran noir.

(pendant 2 s je vois que je peux rentrer dans le bios setup)

merci encore pour tes conseils

[A voir en vidéo sur Futura]

[invitec04351b8]

Bonjour,

tu as un 2ème PC à ta disposition;

j'espère que tu as un graveur dessus.

===

Comme le PC ne démarre plus, tu vas créer puis utiliser un CD de démarrage qui va permettre d'effectuer une analyse du PC.


Je te conseille d'imprimer la procédure puisque tu vas démarrer à partir d'un CD spécial.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.
Si un élément te paraît obscur, demande des explications avant de commencer la désinfection.


OTLPE (de OldTimer), analyse
Télécharger OTLPE.iso depuis ce lien: http://oldtimer.geekstogo.com/OTLPE.iso (taille du fichier: environ 272 Mo)
Brûler un CD à partir de cette image ISO. Attention: quel que soit le logiciel utilisé, il ne faut pas créer un CD de données, mais "graver" une image ISO.
Modifier le BIOS du PC afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici http://forum.telecharger.01net.com/t...essages-1.html

Faire redémarrer le PC, qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE
Faire un double clic sur l'icône OTLPE
A la demande "Do you wish to load the remote registry", répondre Yes
A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

L'écran principal de OTLPE s'affiche:


Vérifier que les paramètres sont identiques à ceux de l'image ci-dessous.

http://assiste.com.free.fr/m/nick/OTLPE-main.png

Puis cliquer sur le bouton Run Scan:


Le fichier rapport est sauvegardé dans C:\OTL.txt

Le transférer sur une clé USB afin de pouvoir l'envoyer sur le forum.

Attention à vider la clé pour ne garder que le rapport (pour éviter toute contamination).

@+

[invite2df4c882]

Bonsoir


j'ai telechargé et gravé l'image iso "OTLPE.iso"

J'ai modifié le bios du PC infecté pour demarrer avec le CD

J'entends le lecteur cd travailler mais j'obtiens un écran noir.

Pour info sur le PC non infecté je modifie le bios pour demarrer avec le CD. Le programme s'ouvre correctement. (je voulais m'assurer que mon telechargement s'était correctement effectué)

Est ce que tu vois une autre solution?

Merci d'avance

[invite2df4c882]

Je me suis trompé j'ai reussi a demarrer le pc infecté avec le cd

Je vois la barre de progression starting Reatogo-X-PE

arrivé à la fin, j'ai le message:

" the file prfsx4xp.SY_ is corrupted Press any key to continue "

j'appuie sur une touche, j'obtiens le message : "setup failed. Press any key to restart your computeur

[invite2df4c882]

Au 2ieme essai

j'ai le message : The file VMSCSI.SY_ is corrupted
pess any key to continue

[invite2df4c882]

Je n'arrive pas à faire de 3ieme essai la barre de progression starting Reatogo-X-PE ne s'affiche plus = écran noir

[invitec04351b8]

Bonsoir,

ce n'est pas le CD-Rom puisqu'il fonctionne sur un autre ordi.

On va essayer de transférer sur une clé USB bootable (attention aux risques de contamination, vérifie que la clé n'a pas été modifiée en plus de ce que tu as fait).

Le tutoriel de base est ici :

http://www.pcastuces.com/pratique/wi..._usb/page1.htm

ce qui est utile sont les pages Préparer la clé, Télécharger et installer PeToUSB, transférer les fichiers.

Dans le transfert, tu utilises le Cd Rom pour le "Source path ....";


Si ça ne fonctionne toujours pas, on essayera un CD Linux pour sauvegarder les données et réparer ou réinstaller Windows.

Je n'exclus pas un problème matériel (en plus de l'infection).

@+