Bonjour,
J'ai depuis déjà plusieurs jours un problème avec le rootkit physicadrive0. Je fait des analyses avast mais impossible de le supprimer! De plus avast me répète sans cesse que j'ai un virus et que je doit le supprimer (ce que je fait) puis il me demande de rédémarre l'ordinateur. Après l'avoir fait, Avast me prévient à nouveau que j'ai un virus et ainsi de suite!
Merci de m'aider car je ne sais vraiment pas quoi faire
Merci d'avance
Bonjour,
Consulte je te prie la procédure préliminaire du forum.
Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.
Note: Ces rapports, s'ils n'apparaissent pas, se trouvent en C\RSIT.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Merci pour votre réponse. J'ai fait comme indiqué et voici donc les rapports.
Bonsoir,
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
http://www.bleepingcomputer.com/comb...liser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
@+
Bonsoir,
J'ai suivi les instructions et télécharger ComboFix. Je lance ComboFix mais avant meme d'avoir terminé d' analyser les fichiers , mon ordinateur se bloque. Que faire ?
Merci
Bonsoir,
mets toi en mode sans échec et lance Combofix avec les précautions demandées pour le mode normal.
@+
Bonjour,
Même en mode sans échec mon ordinateur se bloque. Que dois je faire de plus ?
Merci
Bonsoir,
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]
Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).
- Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
- Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".
===
Ouvre ce lien : http://support.kaspersky.com/fr/faq/?qid=208280685
Fais ce qui est dit sous Réparation du système infecté.
Poste le rapport.
@+
Bonsoir,
En me servant du deuxième lien, le virus est parti. En effet, j'ai rfait des analyses avast et spybot et ni l'un ni l'autre ne me trouvé le virus alors qu'ils me le trouvait avant.
Merci beaucoup pour votre aide
Bonsoir,
le rapport de MBAM ?
le rapport de TDSSKiller ?
Relance Combofix avec les précautions données et poste le rapport.
@+
Bonjour,
MBAM ne m'a trouvé aucun virus mais je vous joind quand même le rapport. Quant à TDSSkiller il ne m'a pas affiché de rapport.
Je vais essayer de relancer combofix et je vous poste le rapport si cela fonctionne.
Sur la page TDSSKiller.:Envoyé par coco2105
Par défaut, l’utilitaire sauvegarde le rapport de son fonctionnement à la racine du disque système (le disque sur lequel le système d’exploitation est installé ; généralement, il s’agit du disque C:\).
Le nom du rapport a le format suivant : NomDeL’Utilitaire.Version_Date _Heure_log.txt.
Par exemple : C:\TDSSKiller.2.4.7_23.07.2010 _15.31.43_log.txt.Je te le déconseille sans la supervision de Lyonnais92: Attend son avis.
Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).
Bonjour,
regarde si tu trouves le rapport de TDSSKiller avec les informations données par yoda1234.
Quelque soit la réponse, tu peux relancer Combofix (avec les précautions données par le tuto) et poster le rapport.
@+
Bonsoir,
Effectivement j'ai pu trouver le rapport tdsskiller que vous trouverez ci joind.
Par contre j'ai relancé Combofix il n'a pas fonctionné, mon oridanteur s'est encore bloqué.
Je vais essayer de le faire à nouveau et je vous tiendrai au courant.
Merci
Re,
relance TDSSKiller et fais redémarrer l'ordi.
Poste le nouveau rapport.
@+
Bonjour,
Voici le nouveau rapport TDSSkiller.
Merci
Bonsoir,
Télécharge ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Double clique sur le raccourci ZHPDiag sur ton Bureau.
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.
Tu as encore des soucis ?
@+
Voici le rapport. A quoi vous sert ce rapport ?
Et non je n'ai maintenant plus de problème.
Merci pour votre aide
Re,
le rapport me sert à voir où on en est et s'il y a des restes.
Il y en a;
===
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)
Code:[HKCU\Software\PriceGong] O43 - CFD: 06/12/2011 - 11:28:46 - [1,985] ----D- C:\Documents and Settings\Propriétaire\Application Data\OpenCandy O43 - CFD: 29/09/2011 - 14:22:10 - [0] ----D- C:\Documents and Settings\Propriétaire\Application Data\PriceGong [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1631550F-191D-4826-B069-D9439253D926}] [HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}] [HKLM\Software\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}] [HKLM\Software\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}] EmptyTemp
Déconnecte toi d'Internet et ferme toutes les applications ouvertes.
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.
Clique sur "Tous" puis sur "Nettoyer".
Laisse l'outil travailler.
Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.
Le rapport d'exécution va apparaître dans la fenêtre.
Copie le dans ta réponse.
===
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
===
Télécharge JavaRa.zip de Paul McLain et Fred de Vries.
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
@+
Bonsoir,
Voici les rapports que vous m'avez demandé.
Re,
fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.
Encore des soucis ?
@+
Bonjour,
Voici le rapport et non il ne semble pas y avoir encore de problèmes.
Merci pour votre aide
Bonsoir,
alors on va en terminer.
===
Relance ZHPFix avec ces lignes :
Poste le rapport.Code:O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://wanadoofr.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 O43 - CFD: 15/11/2011 - 20:32:06 - [45,534] ----D- C:\Program Files\Spybot - Search & Destroy O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\0GK2N982\SweetImSetup[1].exe" [Enabled] .(...) -- C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Conten O47 - AAKE:Key Export SP - "C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\FR6C8VCA\SweetImSetup[1].exe" [Enabled] .(...) -- C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Conten O53 - SMSR:HKLM\...\startupreg\SweetIM [Key] . (...) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe (.not file.) EmptyTemp
===
Démarrer, Exécuter, tape <code>combofix /uninstall</code> dans la zone de saisie puis clique sur OK.
===
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.
Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.
Clique sur le A rouge (Nettoyeur de Tools).
Clique sur Nettoyer.
Fais redémarrer l'ordi pour terminer le nettoyage.
===
Quelques conseils pour limiter les risques d'infection :
http://forum.malekal.com/securiser-s...urte-t381.html
@+
Merci beaucoup pour vos précieux conseils!
Je reviendrai vers vous si jamais j'ai un autre problème.
Encore merci
Bonsoir,
de rien pour l'aide, ce fut avec plaisir.
@+
