Bonjour,

Comme indiqué dans le titre, j'ai ce satané virus.

Auriez vous une idée de comment l'éradiquer ?

A savoir qu'a chaque fois que je tente un Antivir, Windows defender le détecte au rédémarrage de mon ordi.

Peut être HijackThis ? Mais je suis incapable de déchiffrer tout.

J'ai tenté un scan rapide MBAM, et une analyse total de mon système en mode sans échec avec DrWeb CureIt. (Pas mal de résultat positif, mais c'est revenu.)

Etant donné que j'ai l'impression que ce virus s'étend considérablement. (J'ai trouvé un paquet de résultat sur google, mais comment savoir quel source est plus fiable qu'une autre ? )

PS : Ca pourrait marcher ça ? http://removal-tool.blogspot.com/2010/10/win32cybotb-easy-removal.html

Merci.

Edit : Ne me demandé pas comment j'ai chopé ce virus, j'en ai aucune idée. Je l'ai ressentis hier vers 17-18H, sans avoir fait de choses particulière.

Le MBAM complet en mode sans échec n'aide pas ?

PS : pour le logiciel proposé en lien, je ne le sens pas...

J'essayerais MBAM, sur W7 en mode sans échec.

(Le problème, c'est qu'avec ce virus j'ai le droit à d'autres virus qui s'invite sur mon ordi. )

Le test complet ou rapide ?

Il faudrait le complet

Et n'hésitez pas à le refaire une 2ème fois après redémarrage, pour vérifier qu'il ne trouve plus rien...

Ok, je le ferais dès que j'arrête d'utiliser l'ordinateur.

Est ce qu'un rapport de HijackThis peut aider ?

Je suis pas certain qu'il soit 100% clean, là.

Peut-être après ? Il vaut mieux déjà bien nettoyer avant, et après on verra s'il reste des éléments suspects

Bon j'ai fais une analyse MBAM , sur W7 en mode sans échec. Il détecte bien des trucs sauf, que les virus restent. (J'ai aussi le droit à TR/Kazy qui se loge là : C:\Users\Thomas\AppData\Local\Temp\dwm.exe)

Voilà le log :

Type de recherche: Examen complet (C:\|E:\|)

Eléments examinés: 316907

Temps écoulé: 47 minute(s), 11 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\Users\Thomas\AppData\Roaming\Microsoft\svchost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Edit : Selon Windows Defender j'aurais le droit aussi un truc se logeant dans ça : Windows/shell.exe

Si jamais il reste (mode sans échec infecté), il n'y a plus que 2 solutions à ma connaissance :

- Soit démonter le disque et lancer MBAM depuis un autre ordinateur, pour que l'OS ne soit pas lancé

- Soit tout sauvegarder puis réinstaller

En mode sans echec le virus ne se fait pas ressentir. Sauf que qu'après MBAM me demande de redémarrer l'ordinateur, je l'ai fais en mode normal. (C'est important ?)

Vous pouvez faire le redémarrage en mode sans échec, n'hésitez pas

Est ce que c'est possible de détruire les virus manuellement en les localisant ?

(Je recommence donc le scan de MBAM, et cette fois redémarrage en mode sans échec ?)

Et pour HijackThis ? Parce que ce virus c'était accompagné d'un détourneur de lien de moteur de recherche ^^ (Bon lui j'ai réussi à m'en débarasser, il me semble.)

PS : On peut me tutoyer ! ^^

Oui vous pouvez supprimer le virus à la main en mode sans échec, pas de souci

En principe MBAM ne doit plus rien trouver, quitte même à le repasser encore un coup en mode normal.

Au fait, vous avez bien MBAM à jour ?

Si ensuite, il ne trouve rien, pourquoi pas un rapport HijackThis oui

Bon, j'avais pas MBAM à jour. (Outil de mise à jour qui bug, donc je dois télécharger MBAM de nouveau.)

Je suis en train de passer un scan Antivir, j'ai déjà 8 résultats positif à 50% (Ca promet.)

Je vais repasser un coup de scan en mode sans échec.

Puis je dirais où j'en suis.

Bonjour

un petit truc qui peut aider. Souvent ce genre de virus se régénère a partir des points de restauration.Donc avant tout nettoyage par un AV commencer par supprimer les points de restauration.

C'est le B A Ba mais on l'oublie souvent.

Voilà la partie sur les virus détectés par Antivir.

Recherche débutant dans 'C:\' <Seven>

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{10D8A3F7-4868-09A3-7250-1B518730F863}-shell.exe

[0] Type d'archive: HIDDEN

--> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{10D8A3F7-4868-09A3-7250-1B518730F863}-shell.exe

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.79

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{32C74A27-468E-1B57-519D-5C2442206EEA}-dwm.exe

[0] Type d'archive: HIDDEN

--> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{32C74A27-468E-1B57-519D-5C2442206EEA}-dwm.exe

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.93

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{50C217D6-E21E-D373-B2B2-DDBAA6A8DF41}-shell.exe

[0] Type d'archive: HIDDEN

--> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{50C217D6-E21E-D373-B2B2-DDBAA6A8DF41}-shell.exe

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.79

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{7CDD519E-E53E-FBAD-DBEA-767AE51AFCDC}-dwm.exe

[0] Type d'archive: HIDDEN

--> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{7CDD519E-E53E-FBAD-DBEA-767AE51AFCDC}-dwm.exe

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.93

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{9B17EA06-950B-C77F-E840-43536D5CD2BF}-shell.exe

[0] Type d'archive: HIDDEN

--> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{9B17EA06-950B-C77F-E840-43536D5CD2BF}-shell.exe

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.79

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{AE1AC3B1-9B78-6E44-7037-50F7B2E4FF62}-dwm.exe

[0] Type d'archive: HIDDEN

--> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{AE1AC3B1-9B78-6E44-7037-50F7B2E4FF62}-dwm.exe

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.93

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{B87ED2B3-1D72-EB66-0C05-A158F14356F7}-dwm.exe

[0] Type d'archive: HIDDEN

--> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{B87ED2B3-1D72-EB66-0C05-A158F14356F7}-dwm.exe

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.93

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{FE5F3371-D738-B386-ECEA-F976F08D6726}-shell.exe

[0] Type d'archive: HIDDEN

--> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{FE5F3371-D738-B386-ECEA-F976F08D6726}-shell.exe

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.79

C:\Users\Thomas\AppData\Local\Temp\7B19.tmp

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.26

C:\Users\Thomas\AppData\Local\Temp\jar_cache3448926014921098387.tmp

[0] Type d'archive: ZIP

--> bpac/a.class

[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.2212

C:\Users\Thomas\AppData\Local\Temp\jar_cache833125489509731308.tmp

[0] Type d'archive: ZIP

--> LwlzJs.class

[RESULTAT] Contient le modèle de détection du virus Java JAVA/Remote.B

--> S__T_Ij.class

[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.abj

--> vjOAPpiYCQB.class

[RESULTAT] Contient le modèle de détection du virus Java JAVA/Rowindal.A

C:\Windows\System32\drivers\sptd.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Recherche débutant dans 'E:\' <Data>

Début de la désinfection :

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{10D8A3F7-4868-09A3-7250-1B518730F863}-shell.exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d127cec.qua' !

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{32C74A27-468E-1B57-519D-5C2442206EEA}-dwm.exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d147cee.qua' !

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{50C217D6-E21E-D373-B2B2-DDBAA6A8DF41}-shell.exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d127cf0.qua' !

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{7CDD519E-E53E-FBAD-DBEA-767AE51AFCDC}-dwm.exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d257cf2.qua' !

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{9B17EA06-950B-C77F-E840-43536D5CD2BF}-shell.exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d247cf5.qua' !

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{AE1AC3B1-9B78-6E44-7037-50F7B2E4FF62}-dwm.exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d277cfd.qua' !

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{B87ED2B3-1D72-EB66-0C05-A158F14356F7}-dwm.exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d1a7cfe.qua' !

C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{FE5F3371-D738-B386-ECEA-F976F08D6726}-shell.exe

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d277d02.qua' !

C:\Users\Thomas\AppData\Local\Temp\7B19.tmp

[RESULTAT] Contient le cheval de Troie TR/Kazy.3292.26

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d137cfe.qua' !

C:\Users\Thomas\AppData\Local\Temp\jar_cache3448926014921098387.tmp

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d547d1d.qua' !

C:\Users\Thomas\AppData\Local\Temp\jar_cache833125489509731308.tmp

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e7df13e.qua' !

Y a t'il quelque chose d'anormale ?

(Je commence un Scan MBAM. Dès que possible.)

Bon j'ai lancé un scan rapide de MBAM après celui d'antivir, j'ai eu le droit à 13 autres virus. Seulement ensuite j'ai redémarré, et là pas de nouvelle de Win32 Cybot.B alors que normalement Windows Defender me prévient de ça présence. (Tout ça en mode Normal, pas Sans Echec.) J'ai lancé Spybot Search & Destroy maintenant.

Y a t'il un moyen de vérifier que mon PC soit 100% clean ?

Si jamais il ne trouve plus aucune trace avec différents logiciels, en principe c'est bon.

Si vous avez doute, il faudra démonter le disque dur pour le mettre sur une autre machine afin que ce soit un OS sain qui accède au disque

Bon après un nouveau scan de mon ordi. MBAM et Anvira ne détecte plus rien. (J'ai passé en plus de ça Spybot search & Destroy, il m'a éliminé plein de cookies !)

Merci beaucoup, pour l'aide !

Si vous avez doute, il faudra démonter le disque dur pour le mettre sur une autre machine afin que ce soit un OS sain qui accède au disque

Ou un Windows PE si la machine peut booter sur un support Read-Only

Certes, mais pas facile d'avoir un MBAM à jour sur Windows PE...

Quelqu'un a d'ailleurs peut-être une méthode ?

Certes, mais pas facile d'avoir un MBAM à jour sur Windows PE...

Quelqu'un a d'ailleurs peut-être une méthode ?

Si tu as au moins 2 ordis relies par une couche TCP/IP, tu bootes l'infecté avec un Windows PE, tu enlèves le firewall et tu montes le disque avec devio

Sur le PC sain, tu montes un imdisk client de ton Windows PE et tu peux ainsi tourner les outils depuis une copie d'un OS complet normal.

Bon, ça c'est pour ceux qui préfèrent mettrent un cable RJ45 entre 2 PCs plutôt que de démonter les disques

Merci, je garde ça de côté