Gloks Posté(e) le 15 novembre 2010 Partager Posté(e) le 15 novembre 2010 Bonjour, Comme indiqué dans le titre, j'ai ce satané virus. Auriez vous une idée de comment l'éradiquer ? A savoir qu'a chaque fois que je tente un Antivir, Windows defender le détecte au rédémarrage de mon ordi. Peut être HijackThis ? Mais je suis incapable de déchiffrer tout. J'ai tenté un scan rapide MBAM, et une analyse total de mon système en mode sans échec avec DrWeb CureIt. (Pas mal de résultat positif, mais c'est revenu.) Etant donné que j'ai l'impression que ce virus s'étend considérablement. (J'ai trouvé un paquet de résultat sur google, mais comment savoir quel source est plus fiable qu'une autre ? ) PS : Ca pourrait marcher ça ? http://removal-tool.blogspot.com/2010/10/win32cybotb-easy-removal.html Merci. Edit : Ne me demandé pas comment j'ai chopé ce virus, j'en ai aucune idée. Je l'ai ressentis hier vers 17-18H, sans avoir fait de choses particulière. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 15 novembre 2010 Partager Posté(e) le 15 novembre 2010 Le MBAM complet en mode sans échec n'aide pas ? PS : pour le logiciel proposé en lien, je ne le sens pas... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gloks Posté(e) le 15 novembre 2010 Auteur Partager Posté(e) le 15 novembre 2010 J'essayerais MBAM, sur W7 en mode sans échec. (Le problème, c'est qu'avec ce virus j'ai le droit à d'autres virus qui s'invite sur mon ordi. ) Le test complet ou rapide ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 15 novembre 2010 Partager Posté(e) le 15 novembre 2010 Il faudrait le complet Et n'hésitez pas à le refaire une 2ème fois après redémarrage, pour vérifier qu'il ne trouve plus rien... Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gloks Posté(e) le 15 novembre 2010 Auteur Partager Posté(e) le 15 novembre 2010 Ok, je le ferais dès que j'arrête d'utiliser l'ordinateur. Est ce qu'un rapport de HijackThis peut aider ? Je suis pas certain qu'il soit 100% clean, là. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 16 novembre 2010 Partager Posté(e) le 16 novembre 2010 Peut-être après ? Il vaut mieux déjà bien nettoyer avant, et après on verra s'il reste des éléments suspects Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gloks Posté(e) le 16 novembre 2010 Auteur Partager Posté(e) le 16 novembre 2010 Bon j'ai fais une analyse MBAM , sur W7 en mode sans échec. Il détecte bien des trucs sauf, que les virus restent. (J'ai aussi le droit à TR/Kazy qui se loge là : C:\Users\Thomas\AppData\Local\Temp\dwm.exe) Voilà le log : Type de recherche: Examen complet (C:\|E:\|) Eléments examinés: 316907 Temps écoulé: 47 minute(s), 11 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 1 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost (Backdoor.Bot) -> Quarantined and deleted successfully. Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\Users\Thomas\AppData\Roaming\Microsoft\svchost.exe (Backdoor.Bot) -> Quarantined and deleted successfully. Edit : Selon Windows Defender j'aurais le droit aussi un truc se logeant dans ça : Windows/shell.exe Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 16 novembre 2010 Partager Posté(e) le 16 novembre 2010 Si jamais il reste (mode sans échec infecté), il n'y a plus que 2 solutions à ma connaissance : - Soit démonter le disque et lancer MBAM depuis un autre ordinateur, pour que l'OS ne soit pas lancé - Soit tout sauvegarder puis réinstaller Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gloks Posté(e) le 16 novembre 2010 Auteur Partager Posté(e) le 16 novembre 2010 En mode sans echec le virus ne se fait pas ressentir. Sauf que qu'après MBAM me demande de redémarrer l'ordinateur, je l'ai fais en mode normal. (C'est important ?) Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 16 novembre 2010 Partager Posté(e) le 16 novembre 2010 Vous pouvez faire le redémarrage en mode sans échec, n'hésitez pas Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gloks Posté(e) le 16 novembre 2010 Auteur Partager Posté(e) le 16 novembre 2010 Est ce que c'est possible de détruire les virus manuellement en les localisant ? (Je recommence donc le scan de MBAM, et cette fois redémarrage en mode sans échec ?) Et pour HijackThis ? Parce que ce virus c'était accompagné d'un détourneur de lien de moteur de recherche ^^ (Bon lui j'ai réussi à m'en débarasser, il me semble.) PS : On peut me tutoyer ! ^^ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 16 novembre 2010 Partager Posté(e) le 16 novembre 2010 Oui vous pouvez supprimer le virus à la main en mode sans échec, pas de souci En principe MBAM ne doit plus rien trouver, quitte même à le repasser encore un coup en mode normal. Au fait, vous avez bien MBAM à jour ? Si ensuite, il ne trouve rien, pourquoi pas un rapport HijackThis oui Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gloks Posté(e) le 16 novembre 2010 Auteur Partager Posté(e) le 16 novembre 2010 Bon, j'avais pas MBAM à jour. (Outil de mise à jour qui bug, donc je dois télécharger MBAM de nouveau.) Je suis en train de passer un scan Antivir, j'ai déjà 8 résultats positif à 50% (Ca promet.) Je vais repasser un coup de scan en mode sans échec. Puis je dirais où j'en suis. Lien vers le commentaire Partager sur d’autres sites More sharing options...
flying tea pot Posté(e) le 16 novembre 2010 Partager Posté(e) le 16 novembre 2010 Bonjour un petit truc qui peut aider. Souvent ce genre de virus se régénère a partir des points de restauration.Donc avant tout nettoyage par un AV commencer par supprimer les points de restauration. C'est le B A Ba mais on l'oublie souvent. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gloks Posté(e) le 16 novembre 2010 Auteur Partager Posté(e) le 16 novembre 2010 Voilà la partie sur les virus détectés par Antivir. Recherche débutant dans 'C:\' <Seven> C:\hiberfil.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\pagefile.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! [REMARQUE] Ce fichier est un fichier système Windows. [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche. C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{10D8A3F7-4868-09A3-7250-1B518730F863}-shell.exe [0] Type d'archive: HIDDEN --> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{10D8A3F7-4868-09A3-7250-1B518730F863}-shell.exe [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.79 C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{32C74A27-468E-1B57-519D-5C2442206EEA}-dwm.exe [0] Type d'archive: HIDDEN --> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{32C74A27-468E-1B57-519D-5C2442206EEA}-dwm.exe [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.93 C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{50C217D6-E21E-D373-B2B2-DDBAA6A8DF41}-shell.exe [0] Type d'archive: HIDDEN --> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{50C217D6-E21E-D373-B2B2-DDBAA6A8DF41}-shell.exe [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.79 C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{7CDD519E-E53E-FBAD-DBEA-767AE51AFCDC}-dwm.exe [0] Type d'archive: HIDDEN --> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{7CDD519E-E53E-FBAD-DBEA-767AE51AFCDC}-dwm.exe [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.93 C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{9B17EA06-950B-C77F-E840-43536D5CD2BF}-shell.exe [0] Type d'archive: HIDDEN --> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{9B17EA06-950B-C77F-E840-43536D5CD2BF}-shell.exe [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.79 C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{AE1AC3B1-9B78-6E44-7037-50F7B2E4FF62}-dwm.exe [0] Type d'archive: HIDDEN --> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{AE1AC3B1-9B78-6E44-7037-50F7B2E4FF62}-dwm.exe [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.93 C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{B87ED2B3-1D72-EB66-0C05-A158F14356F7}-dwm.exe [0] Type d'archive: HIDDEN --> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{B87ED2B3-1D72-EB66-0C05-A158F14356F7}-dwm.exe [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.93 C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{FE5F3371-D738-B386-ECEA-F976F08D6726}-shell.exe [0] Type d'archive: HIDDEN --> FIL\\\?\C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{FE5F3371-D738-B386-ECEA-F976F08D6726}-shell.exe [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.79 C:\Users\Thomas\AppData\Local\Temp\7B19.tmp [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.26 C:\Users\Thomas\AppData\Local\Temp\jar_cache3448926014921098387.tmp [0] Type d'archive: ZIP --> bpac/a.class [RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.2212 C:\Users\Thomas\AppData\Local\Temp\jar_cache833125489509731308.tmp [0] Type d'archive: ZIP --> LwlzJs.class [RESULTAT] Contient le modèle de détection du virus Java JAVA/Remote.B --> S__T_Ij.class [RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.abj --> vjOAPpiYCQB.class [RESULTAT] Contient le modèle de détection du virus Java JAVA/Rowindal.A C:\Windows\System32\drivers\sptd.sys [AVERTISSEMENT] Impossible d'ouvrir le fichier ! Recherche débutant dans 'E:\' <Data> Début de la désinfection : C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{10D8A3F7-4868-09A3-7250-1B518730F863}-shell.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d127cec.qua' ! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{32C74A27-468E-1B57-519D-5C2442206EEA}-dwm.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d147cee.qua' ! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{50C217D6-E21E-D373-B2B2-DDBAA6A8DF41}-shell.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d127cf0.qua' ! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{7CDD519E-E53E-FBAD-DBEA-767AE51AFCDC}-dwm.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d257cf2.qua' ! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{9B17EA06-950B-C77F-E840-43536D5CD2BF}-shell.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d247cf5.qua' ! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{AE1AC3B1-9B78-6E44-7037-50F7B2E4FF62}-dwm.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d277cfd.qua' ! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{B87ED2B3-1D72-EB66-0C05-A158F14356F7}-dwm.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d1a7cfe.qua' ! C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{FE5F3371-D738-B386-ECEA-F976F08D6726}-shell.exe [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d277d02.qua' ! C:\Users\Thomas\AppData\Local\Temp\7B19.tmp [RESULTAT] Contient le cheval de Troie TR/Kazy.3292.26 [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d137cfe.qua' ! C:\Users\Thomas\AppData\Local\Temp\jar_cache3448926014921098387.tmp [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d547d1d.qua' ! C:\Users\Thomas\AppData\Local\Temp\jar_cache833125489509731308.tmp [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4e7df13e.qua' ! Y a t'il quelque chose d'anormale ? (Je commence un Scan MBAM. Dès que possible.) Bon j'ai lancé un scan rapide de MBAM après celui d'antivir, j'ai eu le droit à 13 autres virus. Seulement ensuite j'ai redémarré, et là pas de nouvelle de Win32 Cybot.B alors que normalement Windows Defender me prévient de ça présence. (Tout ça en mode Normal, pas Sans Echec.) J'ai lancé Spybot Search & Destroy maintenant. Y a t'il un moyen de vérifier que mon PC soit 100% clean ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 16 novembre 2010 Partager Posté(e) le 16 novembre 2010 Si jamais il ne trouve plus aucune trace avec différents logiciels, en principe c'est bon. Si vous avez doute, il faudra démonter le disque dur pour le mettre sur une autre machine afin que ce soit un OS sain qui accède au disque Lien vers le commentaire Partager sur d’autres sites More sharing options...
Gloks Posté(e) le 16 novembre 2010 Auteur Partager Posté(e) le 16 novembre 2010 Bon après un nouveau scan de mon ordi. MBAM et Anvira ne détecte plus rien. (J'ai passé en plus de ça Spybot search & Destroy, il m'a éliminé plein de cookies !) Merci beaucoup, pour l'aide ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
1dimitri Posté(e) le 16 novembre 2010 Partager Posté(e) le 16 novembre 2010 Si vous avez doute, il faudra démonter le disque dur pour le mettre sur une autre machine afin que ce soit un OS sain qui accède au disque Ou un Windows PE si la machine peut booter sur un support Read-Only Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 17 novembre 2010 Partager Posté(e) le 17 novembre 2010 Certes, mais pas facile d'avoir un MBAM à jour sur Windows PE... Quelqu'un a d'ailleurs peut-être une méthode ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
1dimitri Posté(e) le 17 novembre 2010 Partager Posté(e) le 17 novembre 2010 Certes, mais pas facile d'avoir un MBAM à jour sur Windows PE... Quelqu'un a d'ailleurs peut-être une méthode ? Si tu as au moins 2 ordis relies par une couche TCP/IP, tu bootes l'infecté avec un Windows PE, tu enlèves le firewall et tu montes le disque avec devio Sur le PC sain, tu montes un imdisk client de ton Windows PE et tu peux ainsi tourner les outils depuis une copie d'un OS complet normal. Bon, ça c'est pour ceux qui préfèrent mettrent un cable RJ45 entre 2 PCs plutôt que de démonter les disques Lien vers le commentaire Partager sur d’autres sites More sharing options...
Amour Posté(e) le 18 novembre 2010 Partager Posté(e) le 18 novembre 2010 Merci, je garde ça de côté Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.