méchant virus/spy : impossible à supprimer ! PC très instable - Sécurité - Windows & Software
Marsh Posté le 08-06-2006 à 09:39:06
Bonjour a tous.
1/Télécharger SmitfraudFix (de S!Ri, balltrap34 et moel31) : http://siri.urz.free.fr/Fix/SmitfraudFix.zip
2/ Dézipper la totalité de l'archive sur ton bureau.
3/ Déconnecte toi du net.
4/ Double cliquer sur smitfraudfix.cmd
5/ Sélectionner 1 dans le menu pour créer un rapport des fichiers responsables de l'infection.
6/ Sauvegarde le rapport et colle le ici.
Marsh Posté le 08-06-2006 à 10:58:56
merci de ta réponse !
Voici le rapport :
Citation : SmitFraudFix v2.56 |
A noter qu'il y a l'air d'avoir une acalmie, mais par contre j'ai toujours ces services bidons qui reviennent dès que je les supprimes... (du genre winzip.exe alors que je n'ai jamais installé ni utilisé winzip sur ce PC)
Marsh Posté le 08-06-2006 à 11:05:54
Re
* Télécharge et installe F-Secure Blacklight
http://www.europe.f-secure.com/exc [...] blbeta.exe
Installe le a la racine de C:.
* Double clique sur le fichier blbeta.exe
Accepte la licence puis clique enfin sur Scan
* Copie le contenu du log qui sera généré.
Tu peux consulter en cas de problemes le tutorial venant de Malekal_Morte :
http://www.malekal.com/tutorial_f- [...] Light.html
Marsh Posté le 08-06-2006 à 11:24:07
Voici le log. On dirait qu'il n'a rien trouvé.
Citation : 06/08/06 11:17:06 [Info]: BlackLight Engine 1.0.37 initialized |
Mon PC est utilisable pour l'instant, mais il risque de redevenir instable.
Et surtout, j'ai pas mal de processus que je vire et qui reveiennent du genre :
- tclock.exe
- peuptryo.exe
- mwrqvke.exe
- winzip.exe
C'est qu'il y a bien un truc qui cloche quelque part...
Mais pour l'instant le PC tourne pas trop mal, mais c'est sûr que si je pouvais virer ces saletés...
Marsh Posté le 08-06-2006 à 18:32:28
C'est très instable par moments.
Des processus se rajoutent encore :
- sql-dgm.exe
- chkntfs.exe
- type.exe
- anregw~1.exe
et tous me bouffent du CPU. Là pour l'instant c'est le dernier qui me bouffe entre 50 et 95 %.
SVP Aidez-moi !!
Marsh Posté le 08-06-2006 à 18:47:32
Il y a des pubs qui s'affichent aléatoirement.
là c'était pour meetic...
Help me please !
Marsh Posté le 08-06-2006 à 20:50:59
Scan en ligne avec bitdefender (http://www.bitdefender.fr/), télécharge HijakThis (http://merijn.org/) et met nous un log.
Marsh Posté le 08-06-2006 à 21:57:05
avec bitdefender il n'a rien trouvé.
J'ai refait un scan avec Spybot, il m'a trouvé 2/3 spywares, mais sans résultat.
J'ai encore plein de processus qui se lancent (à ajouter aux autres) :
- readme.exe
- ezdihcf.exe
- autoit3.exe
- readfkoe.exe
- wgimmysmileysB.exe
- whipertrm.exe
C'est le bordel complet, c'est à la limite de l'utilisable, je ne sais même pas encore comment je fais pour écrire ce post.
Marsh Posté le 08-06-2006 à 22:10:03
Voici le log hijackthis. comme vous pouvez le voir, y a plein de processus bidons qui ré-apparaissent dès qu'ils sont supprimés.
Même les valeurs dans les clés de la base de registre concernant le démarrage (run) réapparaissent instantanément quand je les supprimes.
Citation : Logfile of HijackThis v1.99.1 |
Si je résume, j'ai scanné avec :
- SmitfraudFix
- F-Secure Blacklight
- l'anti-Sasser
- l'anti-blaster
- ad-aware
- spybot
- Avast
- Bit defender online
- hijackthis
Et même si les antispy ont trouvé 2/3 trucs, ça n'arrange rien
J'en ai profité pour installer Kerio aussi.
Bref, il est vérolé de partout, je ne sais plus où chercher, je crois que j'ai tout fait, et je commence à me dire que le formatage serait la meilleure solution.
Please HELP ME ! C'est le gros bordel ici !
Marsh Posté le 08-06-2006 à 22:14:39
scan en cours avec ewido, mais je ne pense pas que ca changera grand chose...
Marsh Posté le 08-06-2006 à 22:20:11
Et quand on regarde le log hijackthis, c'est bizarre...
Je n'ai jamais installé Word sur ce PC, ni Microsoft anti-spyware, ni adobe reader, ni Realteck Sound Manager, ni tclock...
Par moment, un message comme quoi je n'ai plus assez de mémoire virtuelle s'affiche.
Pourri jusqu'a la moelle, c'est pas possible !
Marsh Posté le 08-06-2006 à 22:40:44
Oui... Poste le log HijackThis, je pense que ton PC est infecté par "Worm IRCBot Gen", je suis entrain d'éssayer de trouver un prog pour le virer ou au pire de faire un petit script pour le virer (j'aime bien le batch ). Sinon éssaies NOD32 (http://eset-nod32.fr)
Marsh Posté le 08-06-2006 à 23:11:36
J'ai déja posté le log hijackthis plus haut.
voici le log d'ewido :
Citation : --------------------------------------------------------- |
Marsh Posté le 08-06-2006 à 23:22:00
Les choses semblent s'être calmés après un passage d'ewido alors que ni spybot ni ad-aware n'ont rien fait de probant.
Le PC reste utilisable et je pense qu'un reformatage complet ne pourra que faire du bien. Il doit rester quelques spys encore et je voudrais avoir un système sain.
Mais merci de m'avoir fait découvrir ewido !
Marsh Posté le 09-06-2006 à 10:38:11
Voici un nouveau log d'hijackthis.
Comme vous pouvez le voir, j'ai décider de garder ewido en résident car c'est le seul qui à réussi à m'éradiquer presque toutes ces cochonneries. Et encore ce matin, quand j'ai démarré mon PC, il m'a trouvé un autre spy.
Pourtant je ne connaissais pas ewido. Pour moi, les 2 plus connus sont Spybot et ad-aware.
Citation : Logfile of HijackThis v1.99.1 |
Marsh Posté le 09-06-2006 à 10:39:24
Re.
* Le log n'est pas entier, veuillez en mettre un entier svp.
Marsh Posté le 09-06-2006 à 10:52:48
il est entier... J'ai fait un CTRL+A du rapport hijackthis.log et je l'ai collé ici
Marsh Posté le 09-06-2006 à 10:57:32
je viens de le refaire à l'instant.
Pour être sur, je l'ai re-téléchargé sur le site officiel, je l'ai lancé et sauver le rapport dans le fichier hijackthis.log et j'ai copier-coller tout le contenu ici.
Je peut t'assurer qu'il est entier, je peut même te faire des captures d'écrans si tu doute encore.
Y'a encore un problème avec cet ordi ? Parce que là, il tourne pas trop mal on va dire.
Marsh Posté le 09-06-2006 à 11:01:38
ReplyMarsh Posté le 09-06-2006 à 11:04:33
Anthony10 a écrit : Re. |
Tout à fait, il est bel et bien entier celui-là.
J'ai scanner plusieurs fois et ca ne change rien...
Je peut te faire des caps si tu doute.
Marsh Posté le 09-06-2006 à 11:06:16
Re.
Bizarre car quand on compare celui la avec celui posté le 08-06-2006 à 22:10:03, il y a une grande difference.
Je veux juste nettoyer ton Pc car il a l'air assez infecte.
Marsh Posté le 09-06-2006 à 11:12:02
Anthony10 a écrit : Re. |
Oui, c'est vrai c'est bizarre. Mais je n'ai gardé que ewido au démarrage, je n'ai rien d'autre qui se lance au démarrage, comme d'habitude.
C'est vrai que part rapport à l'ancien log, c'est étonnant.
Mais quand on y regarde de plus près, grâce aux passages de spybot, de ad-aware et enfin d'ewido (surtout celui-là), ça s'est grandement amélioré !
Donc en fait ça va mieux pour l'instant mais je surveille. Je vous tiens au courrant sur ce topic si ca recommence.
Mais je te remercie de ton aide quand-même.
Marsh Posté le 09-06-2006 à 11:45:06
Re.
* Fais un scan en ligne avec Panda : http://www.pandasoftware.com/activ [...] ncipal.htm
Tutorial a suivre ( provenant du site a Malekal_Morte ) :
http://www.malekal.com/scan_Av_en_ [...] ocId237368
* Apres, colle le rapport ici.
Marsh Posté le 10-06-2006 à 12:49:08
Ne poste pass ton log HijackThis en Mode sans échec Essaies panda comme t'a di Anthony10.
Citation : |
Les rootkits c'est pas le boulot de Blacklight la ?
Marsh Posté le 10-06-2006 à 15:20:38
med365 a écrit : Ne poste pass ton log HijackThis en Mode sans échec |
Je ne l'ai pas fait en mode sans échec...
J'étais en mode normal quand j'ai fait les scans HijackThis
Merci de vos conseils, je vais essayer ce que vous avez dit, mais comme je vous l'ai dit apparament ça s'est calmé grâce à ewido.
Marsh Posté le 10-06-2006 à 16:42:31
on va vérifier la présence de rootkits grace à RootkitRevealer, mai en effet, ewido semble avoir tout viré
Marsh Posté le 08-06-2006 à 00:52:59
Bonsoir à tous.
Je viens de me chopper un bon virus/spy.
J'ai besoin de votre aide pour le virer. Je suis sous XP. Pas de SP, pas de maj, j'utilisais ce PC en attendant d'en recevoir un neuf. Oui je sais, c'est pas bien.
Le firewall très très basique de XP sans SP est activé quand même.
Certains symptomes faisaient penser à Sasser.
Mais j'ai beau faire le scan avec l'outil anti-sasser et anti-blaster de chez symantec et f-secure, rien de mieux.
Voici les symptômes :
Bref, c'est le beau bordel tout ça.
J'ai lancé Avast, mis à jour et fais un scan, ca n'a rien donné.
Idem avec Ad-aware, mis à jour et scan, rien de concluant.
Comment rétablir l'ordre ? Merci beaucoup !
(avez-vous remarqué les noms bidons de softs dans la clé run ?)
Message édité par ixtrem84 le 08-06-2006 à 18:42:49