Bonjour,
 
Je vous explique la situation:
 
Config de mon PC:
Processeur: Intel P. E8500 à 3.00Ghz
OS: Windows XP Pro SP3
Carte mère: Asus P5E SE2
DD: WD 230 go 7200tr/m
CG: Asus GTS 250 DK 512 mo
Mémoire: 2 Go Corsair dominator PC 8500
Alim: Herzter 480w
Antivirus: Avast ( version gratuite)
 
Hier, malheureusement, je fut infecté par un "rogue" (antimalware doctor et antivirus suite) après bien un combat acharné et dégoulinant de sueur ( je raconte bien hein???...^^) j'ai installé "malewarebytes-antimalware" pour enfin me supprimer les 120 fichiers (trojan, rogue, cookie...) qu'il avait détecté. Je redémarre enfin le PC normalement pour me rendre compte que certains logiciel que j'avais ne fonctionne plus ou sont caremment supprimer (ex: MSN...) et Avast n'apparait plus et ne fonctionner plus... Donc j'ai supprimer les dernier fichier Avast et je le réinstalle, puis au redémarrage du PC tout plante au bout de 1 min...
 
Je reviens avec une restauration de système avant la réinstallation de avast et je me rend compte avec le gestionnaire de tache, l'UC vacille à environs 50% alors que je ne fais rien. je soupçonne un "ver" donc j'ai télécharger "Ad Aware" pour analyser mais il n'a pas l'air de trouver quelque chose ( je referai une analyse)...
 
Donc pourriez-vous me dire comment réinstaller un antivirus gratuit ( Avast ou AVG7) car je ne veut pas aller sur internet sans antivirus actif malgré que j'ai maleware bytes et ad aware?
 
Comment remettre mon UC à la normale sachant qu'avant je tourner à 1% en faisant rien?
 
P.S: Je ne suis pas tres bon en Pc, si vous pouvez m'aider un peu dans les manip...
 
Merci d'avance de vos réponse qui me seront tres utile.
 
Cordialement
 
Walker 638

Ce sujet a été déplacé de la catégorie Hardware vers la categorie Windows & Software par DraCuLaX

bonjour
 
tu peux aller sur internet sans antivirus à condition de ne pas aller n'importe où et de ne pas télécharger n'importe quoi    
 
Pour voir ce qui est présent comme infection dans ton système nous allons faire un diagnostic complet,si tu veux bien:
 

• Télécharge ZHPDiag
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Pour le site ci(joint cela ne marche pas pour le .txt ni .doc, mais j'ai fais un test avec .rar et cela marche:
 
Coici le lien: http://www.cijoint.fr/cjlink.php?f [...] UECwS9.zip
 
Par contre maintenant j'ai 100% de UC utilisé et le programme svchost.exe qui apparait plusieurs fois et me prrend des fois 1.4 go de memoire!!!
 

bizarre le .txt est accepté sur cijoint.fr ainsi que le .doc le .log ne l'est pas par contre
 

le svchost qui apparait plusieurs fois c'est normal ,les 100% non.
 => il va falloir trouver quelle infection en est la cause, j'analyse le rapport et je te dis la suite

bien ,voilà ce que tu vas faire pour continuer.
 
pour stopper les processus parasites:
 

• Télécharge Rkill de "grinler" sur ton bureau      
• Double-clique sur l'icône pour le lancer.

 
laisse l'outil travailler cela dure un certain temps, une fois terminé il se ferme  tout seul.
 

• il se peut que Rkill soit signalé comme malveillant par ton Antivirus si c'est le cas désactive l'antivirus et exécute Rkill

note:   il est important de ne pas redémarrer le PC à ce stade.
 
ensuite refais un scan complet avec Malwarebytes Antimalware ,ne pas oublier de le mettre à jour (onglet mise à jour)
je te remets la procédure ,ne tiens pas compte du téléchargement si tu l'as toujours
 

• Télécharge Malwarebytes antimalware  
• Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
• Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et cliques sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc note... héberge le sur "cijoint.fr" avant de me poster les liens
• Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

voici la réponse de Rkill, sa a pris 10 sec...
 
This log file is located at C:\rkill.log.  
Please post this only if requested to by the person helping you.  
Otherwise you can close this log when you wish.  
Ran as Walker on 14/04/2010 at 16:39:49.  
 
 
Processes terminated by Rkill or while it was running:  
 
 
C:\Documents and Settings\Walker\Mes documents\Téléchargements\rkill.com
 
 
Rkill completed on 14/04/2010  at 16:39:52.
 
Je continue la suite???

 
oui

Analyse en cours, je posterai un rapport avant de redémarrer le PC
 
A tout suite

n'oublie pas de supprimer la sélection et de poster le rapport généré après la suppression
 
A+

voici le rapport de malware, par contre apres j'ai fait un scan rapide car il détecter encore 2 fichier et j'ai refait la même manip puis seulement j'ai redémarrer...
 
Toujours autant de 100% UC utilisé...
 
Faut -il d'abord réinstaller un antivirus?
 
le lien: http://www.cijoint.fr/cjlink.php?f [...] mojzcz.txt
 
j'attend la réponse avec hate parce que là je commence à désesperer
 
Par contre merci à toi Glops31 pour ton aide, c'est super sympa  

il va falloir passer un cran au dessus
 
 
(!) Le logiciel qui suit peut faire des dégâts s'il est mal utilisé ! Ne pas l'utiliser sans contrôle
 
Important: Désactive tous tes logiciels de protection
 

• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.

• Il va te demander d'installer la console de récupération : accepte.

• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse ou mieux héberge le sur cijoint.fr et poste moi le lien fourni.

Tutoriel officiel de Combofix :

ne tkt pas si c long c'est que je supprime du registre le reste de avast qui me bloque combofix
 
Par contre je viens de découvrir dans le gestionnaire des tache " GTK1E.tmp" c'est pas le virus?
 
j'attend avec de faire combofix...

dsl pour le double post
 
Alors j'ai voulue activer combofix mais il detecte avast! anitvirus 4.8.1698 [100312-o] alors que je l'ai désinstaller et que j'ai fait un max de suppression de le registre ( regedit)
 
dite moi ce que je dois faire?
 
Sinon mon pere, me conseille qu'on fasse un formatage complet, est-ce une solution?
 
Merci d'avance

pour désactiver Avast il suffit de désactiver la protection résidente à partir de son icône dans la barre des tâches
 
si tu as commencé à le désinstaller (ce que je n'ai pas demandé) il vaut mieux le faire proprement et pour cela il existe un utilitaire fournit par Avast
regarde cette page => http://www.avast.com/fr-fr/uninstall-utility

c'est bon combofix est en train de marcher, et pour avast je l'avais désintaller ( pas correctement je te l'accorde) avant mon premier post, car il ne marcher plus a cause de malwarebytes, qui avait supprimer une partie du logiciel.
 
Je t'écris d'un autre Pc et te tien au courant des que l'analyse est fini...

Tien voici le lien: http://www.cijoint.fr/cjlink.php?f [...] UY1N9G.txt
 
par contre toujours les meme probleme...
 
Bon courage

il y a un rootkit dans le MBR apparemment
 
fais ceci:
 

•  Télécharge mbr.exe de Gmer sur le Bureau :
• Désactive toutes tes  protections et coupe la connexion.
• Sous Windows XP : double-clique sur mbr.exe / Sous Windows Vista ou Seven, fais un clic-droit sur mbr.exe et choisis "Exécuter en temps qu'administrateur"
• Un rapport sera généré : mbr.log
• En cas d'infection, le message MBR rootkit code detected va apparaître dans le rapport. Si c'est le cas, cliquez sur le Menu démarrer --> Exécuter, et tapez la commande suivante :

         o Sous XP : "%userprofile%\Bureau\mbr" -f
 
          o Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
 

• Dans le mbr.log cette ligne apparaîtra : original MBR restored successfully !
• poste le rapport  

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
 
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK  
 
 
 voilou

bonjour,
 
comme c'est écrit dans le rapport, il n'y a pas d'infection apparente...
 
Que dois-je faire???

bonjour
 
nous allons faire une recherche de rootkit avec "gmer"
 
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

bonjour,
 
Alors pdt le scan, il y a eu un probleme, ou mon ordi à  redemarrer pour installer les derniere mise à jour window. le Pc à redmarrer tout seul et me lance tout une liste de logiciel malveillant qui ont été supprimé. Et la maintenant mon UC est normale (0%) et dans processus cela à l'air bon, il y a processus inatif à 28ko qui me dit qui prend 99 processeur, mais mon UC est normale....
 
Je fais le scan parce que sa ne coute que du temps est apres je vous post le rapport...

Voici le rapport: http://www.cijoint.fr/cjlink.php?f [...] eURTev.doc
 
Dite moi ce que je dois faire???
 
Et puis-je réinstaller Avast?

non ,tu ne réinstalle pas Avast,il nous gênerait plutôt qu'autre chose
je te dirais quand ce sera le moment
 
/!\ désactive tous tes log de protection /!\
 
Télécharge tdsskiller de "loup_blanc" sur le bureau. Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lance "load_tdsskiller" en double-cliquant dessus: (si tu es sous Windows Vista ou Windows 7, fais un clic-droit dessus → Exécuter en temps qu'administrateur)

l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan

• Un message dans la fenêtre noire d'invite de commande te demandera d'appuyer sur une touche pour continuer
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse

(le fichier est également présent ici : C:\tdsskiller\report.txt

• Redémarre le PC

DSL je ne sais pas si c'est le bon rapport mais le voila...
 
 
http://www.cijoint.fr/cjlink.php?f [...] GOVFrd.txt
 
dite moi le reste et pardon du retard j'été au ciné...
 
 

edite ton message précédent et efface le rapport il ne faut pas poster directement sur le forum
passe par cijoint.fr comme pour les autres rapports

voi c éditer, pardon encore une fois
 
Par contre il me dit que j'ai plus de périphérique audio, est-ce normale????

TdssKiller a réparé le fichier ATAPI.sys
 
comment se comporte ton PC?

Mon Pc se comporte normalement a par:
 
   - dans le gestionnaire des taches, svchost.exe me prend bcp de RAM ( la je suis à 918mo, mais c le moindre programee qui prend bcp de RAM
 
    - et j'ai l'ai de plus avoir de périphérique audio... j'ai des bruit de soouris ou de dossier, mais pas de musique....

Bonjour
 
un fichier n'a pas encore été réparé => nous allons essayer un autre outil spécifique
 

• Télécharge TDSS Remover sur ton bureau

• par le clic droit, Crée un "nouveau dossier" sur ton bureau puis Décompresse l'archive dedans

• Lance le programme en cliquant sur Remover.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

• Coche les et clique sur "Delete/Repair Selected".

• Un message ensuite apparait demandant de redémarrer le pc (reboot) pour finir le nettoyage => appuie sur YES

Bonjour,  
 
il ne trouve rien, malgré 3 scan...
 
Par contre a mon demarrage de PC, il y a un message comme quoi le systeme a bloqué le lancement d'un service host process d'un Win 32 pour me protéger est-ce utile?

je dois vérifier une chose,tu vas refaire un Gmer stp?
 
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
 

voici le lien:
 
http://www.cijoint.fr/cjlink.php?f [...] tvRgid.zip
 
par contre c'est encore en .zip car ya un prob avec le site...
 
J'attend ce que je dois faire...

tu ne peux pas le mettre sur cijoint en .log il faut copier le rapport en .txt avant de l'héberger sur cijoint.fr
 
mais il y a plus embêtant les deux fichiers infectés sont toujouirs là
soit tdsskiller n'a pas réparé le Atapi.sys soit l'infection dse régénère
je penche plutôt pour la deuxième hypothèse.
 
voici ce que tu vas faire pour continuer
 
• Télécharge SEAF (de C_XX) sur ton Bureau.
• Lance SEAF
• Dans les options => règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".
• Tape atapi.sys,termdd.sys dans le champ de recherche => clique sur "Lancer la recherche" et patiente.
• Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche.
 
toujours en passant par cijoint.fr

voila le rapport: http://www.cijoint.fr/cjlink.php?f [...] dqRlw6.txt

Pour continuer nous allons faire deux manipulations  
une copie de fichier sain à la racine de C: à l'aide d'un script puis un remplacement des fichiers infecté par cette copie à l'aide de "The Avenger"
 
Sauvegarde tes données importantes, on est pas à l'abri d'un plantage!
 
Voilà la suite des opérations,nous allons avec le script copier une copie des fichiers sains à la racine de C: et the Avenger remplacera ensuite les fichiers infectés par cette copie
 
1/ Télécharge The Avenger par Swandog46 sur ton Bureau.
 
http://swandog46.geekstogo.com/avenger.zip
 
l'extraire sur le bureau
 
 
2/ Télécharge ce fichier.zip à ton nom et dézippe le sur le bureau
 
tu dois voir un fichier .batch et un fichier .txt
 
=> exécute le script_batch.bat
 
Si tout va bien ça te doit te dire que la copie a réussi =>il doit y avoir les messages "la copie du fichier atapi.sys a reussi" et "la copie du fichier termdd.sys a reussi"
 
 
3/ Lance The Avenger  puis Copier coller tout le texte du cadre ci dessous sauf le motcode:=> (c'est ce qu'il y a dans le fichier .txt téléchargé)
 

 
puis clic droit => coller dans la fenêtre d'Avenger sous input script here, comme sur la capture
 

 
et clic execute.
 
/!\ Note Importante: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur. (Walker638)
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système. /!\
 
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine réponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
 
4/ redémarre ton ordinateur
 
5/ repasse GMER, désactive bien ton antivirus et montre moi le rapport
 
si tu n'as pas compris quelque chose demande moi ,n'hésite pas.
 
Bonne chance

script_batch.bat  m'indique 2 fois que le chemin spécifié est introuvable

 
oups
 
désolé une erreur dans le script
 
télécharge ce nouveau fichier zip et recommence la manip

Voila déjà le rapport Avenger (dsl je pense qu'il est assez petit pour ne pas le mettre en ci-joint.fr...
 
Script file opened successfully.
Script file read successfully.
 
Backups directory opened successfully at C:\Avenger
 
*******************
 
Beginning to process script file:
 
Rootkit scan active.
No rootkits found!
 
File move operation "c:\atapi.sys|c:\WINDOWS\system32\drivers\atapi.sys" completed successfully.
File move operation "c:\termdd.sys|c:\WINDOWS\system32\drivers\termdd.sys" completed successfully.
 
Completed script processing.
 
*******************
 
Finished!  Terminate.

bonjour
 
as tu un souci avec Gmer?