Bonjour

Je viens chercher de l'aide car mon Portable a chopé une saloperie hier.

Quand je suis allé l'éteindre hier soir, j'ai remarqué plein de fenêtre ouverte me disant entre autre antivirus software alert a détecté un fichier .....exe infecté et ce autres genres de conneries. Le problème est que tous les .exe ( malwarebytes RSITT etc) ne se lancent pas et à chaque fois que je veux pour lancer un programme, le virus (je suppose que c'est ça) m'ouvre une fenêtre en disant fichier infesté et bloque l'application.

Etant assez novice dans ce domaine j'aurai bien besoin d'un coup de main, si c'est possible sinon ce sera reformatage.

D'avance merci

Pour la config je suis sous W7 (vista + mis à jour)

....essaie en mode sans échec(tapotes F8 au démarrage avant le logo Windows)

Pas de changement à signaler.

Une autre idée ?

Fais un scan en ligne si tu peux:http://www.eset.com/online-scanner ou essaie de télécharger ce tool :

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ en faisant le scan automatique et précises ton action à l'exécution:désinfecter

Bonjour,

éléchargez les logiciels suivants pour les lancer l'un après l'autre.
Si l'infection en bloque l'installation,utilisez une clé usb, sur un pc sain.Lancez les à partir de cette clé Usb
Vous en posterez tous les rapports ensuite, à la fin des 3 procédures
Télécharger TDSSKILLER
- Télécharger le .zip sur le Bureau.
- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;
- Un dossier tdsskiller sera créé sur le Bureau.

Cliquer surStart scan pour lancer l'analyse.
Lorsque l'outil a terminé son travail d'inspection,

si des nuisibles ("Malicious objects") ont été trouvés,

vérifier que l'option est sélectionnée,

puis cliquer sur le bouton ,

puis sur le bouton

Envoyer en réponse:
*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Télécharger Rkill de Grinler sur le bureau,
double clic pour le lancer.
Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
il y aura 'un rapport là: %SystemDrive%\rkill.log
donnant la liste de tous les processus arrêtés.


Désinstallez Mbam, s'il est installé
Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français
* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.
* Une fois la mise à jour terminée, allez dans l'onglet Recherche.
* Sélectionnez "Exécuter un examen complet"
* Cliquez sur "Rechercher"
* .L' analyse prendra un certain temps, soyez patient !
* A la fin , un message affichera :
L'examen s'est terminé normalement.

*Si MBAM n'a rien trouvé, il le dira aussi.
Cliquez sur "Ok" pour poursuivre.
*Fermez les navigateurs.
Cliquez sur Afficher les résultats .

*Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
* Copiez-collez ce rapport dans la prochaine réponse.

Voici les rapports de Rkill et de malware

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as niko et Emily on 19/08/2010 at 15:09:07.


Processes terminated by Rkill or while it was running:


C:\Users\niko et Emily\Desktop\rkill.exe


Rkill completed on 19/08/2010 at 15:09:09.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4052

Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

19/08/2010 15:55:21
mbam-log-2010-08-19 (15-55-21).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 255767
Temps écoulé: 40 minute(s), 40 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

Est ce que l'ordi est désormais clean ? Ya t il encore des manip à faire et comment j'ai pu infecté l'ordi en sachant que j'ai fini la session tout allait bien, je suis revenu de manger tout etait pourri ?

Ordinateur redémarré en mode normal.

Pas de changement malgré la suppresion des fichiers trouvés par malawarebytes et un deuxième scan clean.

Recherchez un répertoire installé par l'infection et complètement bloqué/locké au nom aléatoire - 8 chiffres comme

c:\documents and settings\All Users\Application Data\12665314(par exemple)
et, si vousle trouvez,faites un glisser-déposer du dossier vers le Bureau.
Désinstallez Mbam par Ajout/Suppression de programmes

Téléchargez MBAM

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE
Pour renommer:
Clic droit sur http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Choisir "Enregistrer la cible du lien..sous....Winlogon.exe
Choisir le bureau
En bas, à Nom du Fichier:
Vous devez obtenir ->Winlogon.exe
Cliquez sur -> Enregistrer

Utiliser ProcessExplorer,
Rechercher et tuer le processus av360
Si c'est Total Sécurity:-> tuez le fichier tsc.exe
il est très facile à identifier, par son icône de bouclier et par le nom de l'exécutable, composé de chiffres aléatoires comme par exemple 1234567.exe ou 638476435.exe, etc...
Sélectionnez la ligne comportant une icône de bouclier et un nom d'exécutable composé de chiffres, faites un clic droit dessus puis choisissez Kill Process.

Même si pour une raison quelconque la manipulation Process Explorer ne pouvait aboutir
Lancez winlogon.exe

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Si vous utilisez Spybot
Désactiver TeaTimer qui ne set à rien et peut faire échouer une désinfection:!
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:
Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.
* Une fois la mise à jour terminée, allez dans l'onglet Recherche.
* Sélectionnez "Exécuter un examen complet"
* Cliquez sur "Rechercher"
* .L' analyse prendra un certain temps, soyez patient !
* A la fin , un message affichera :
L'examen s'est terminé normalement.

*Si MBAM n'a rien trouvé, il le dira aussi.
Cliquez sur "Ok" pour poursuivre.
*Fermez les navigateurs.
Cliquez sur Afficher les résultats .

*Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
* Copiez-collez ce rapport dans la prochaine réponse.

Juste une précision : je fais toutes ces manip en mode normal ou sans echec ?

Normal, si possible.

Bonjour ,

J'ai exactement le même problème , merci au GS d'apporter des réponses mais j'ai un souci (gros souci ) ,

j'ai installé les logiciels , jusque là , aucun souci. Seulement je ne peux lancer ces logiciels et les executer car le virus bloque. Il m'est impossible de lancer quoi que ce soit.Que faire ?

impossible de faire quoi que ce soit en normal

je passe par le mode sans echec

coucou tout le monde, et pour tomd51 il est preférable que tu ouvres un nouveau post je pense