Virus non identifié

dubitoph · 27/09/2011, 15h57

Bonjour,

J'ai voulu installer un programme de fax, et apparemment, malgré le scan via AVG, je me suis chopé un virus qui me bloque complètement. La poisse, c'est que je ne parviens pas à savoir de quel virus il s'agit.

J'ai installé "HijackThis", mais lorsque je clique dessus, ça m'indique "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément.".

J'ai tenté de faire un scan antivirus en ligne par "Secuser.com" via "Internet explorer", mais depuis, j'ai le même message d'erreur lorsque j'essaie d'accéder à Internet Explorer.

Dans la configuration d'AVG, l'identity protection a été désactivée, et impossible de la réactiver. J'obtiens le message "Une erreur s'est produite au cours de l'enregistrement de la configuration. Une erreur innatendue s'est produite dans le composant "IDP".

J'ai tenté de faire une restauration XP à une date antérieure, mais à chaque fois la restauration n'a pu se faire.

J'ai également fais un scan complet avec Spybot et nettoyé tout ce qui était possible avec CCleaner, mais rien y fait.

Maintenant, l'UC du pc est non stop à 100%.
Merci d'avance de toute l'aide que vous pourrez m'apporter, car mon pc est quasiment inutilisable.

hackoofr · 28/09/2011, 16h40

Citation:

Envoyé par dubitoph

Bonjour,

J'ai voulu installer un programme de fax, et apparemment, malgré le scan via AVG, je me suis chopé un virus qui me bloque complètement. La poisse, c'est que je ne parviens pas à savoir de quel virus il s'agit.

J'ai installé "HijackThis", mais lorsque je clique dessus, ça m'indique "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément.".

J'ai tenté de faire un scan antivirus en ligne par "Secuser.com" via "Internet explorer", mais depuis, j'ai le même message d'erreur lorsque j'essaie d'accéder à Internet Explorer.

Dans la configuration d'AVG, l'identity protection a été désactivée, et impossible de la réactiver. J'obtiens le message "Une erreur s'est produite au cours de l'enregistrement de la configuration. Une erreur innatendue s'est produite dans le composant "IDP".

J'ai tenté de faire une restauration XP à une date antérieure, mais à chaque fois la restauration n'a pu se faire.

J'ai également fais un scan complet avec Spybot et nettoyé tout ce qui était possible avec CCleaner, mais rien y fait.

Maintenant, l'UC du pc est non stop à 100%.
Merci d'avance de toute l'aide que vous pourrez m'apporter, car mon pc est quasiment inutilisable.

Téléchargez sur le bureau Malwarebyte's Anti-Malware

=> double-clic sur mbam-setup pour lancer l'installation
=> Installer simplement sans rien modifier
=> Faites les mises à jour (Clic sur "Mise à jour" puis "Recherche de mises à jour").
=> si la mise à jour a échoué, la faire après execution du logiciel => onglet "Mise à jour"
=> Quand le programme lancé ==> Cocher Exécuter un examen complet
=> Clic Rechercher
=> Eventuellement décocher les disques à ne pas analyser
=> Clic Lancer l'examen
=> En fin de scan ( 1h environ), si infection trouvée
=> Clic Afficher résultat
=> Fermer vos applications en cours
=> Si MalwareByte's n'a rien détecté, cliquez sur OK Un rapport va apparaître fermez-le.
=> Si MalwareByte's a détecté des infections, cliquez sur Afficher les résultats ensuite Vérifier si tout est coché et clic Supprimer la sélection.
=> Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, acceptez en cliquant sur "OK".

un rapport s'ouvre le copier et le coller dans la réponse

Puis vous pouvez exécuter ce vbscript en l'enregistrant sous ListProcessCmdLine.vbs pour afficher tous les processus en cours d'exécution puis coller le résultat généré par ce dernier dans la réponse aussi :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
'Les éléments à démarrage automatique + ListProcessCmdLine.vbs © Hackoo © 2011
Set fso = CreateObject("Scripting.FileSystemObject")
Set Ws = CreateObject("WScript.Shell")
Set ProcessEnv = Ws.Environment("Process")
NomMachine = ProcessEnv("COMPUTERNAME") 
NomUtilisateur = ProcessEnv("USERNAME") 
NomFichierLog="Liste_Processus.txt"
temp = Ws.ExpandEnvironmentStrings("%temp%")
PathNomFichierLog = temp & "\" & NomFichierLog
Set OutPut = fso.CreateTextFile(temp & "\" & NomFichierLog,2)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _ 
& strComputer & "\root\cimv2") 
Set colProcesses = objWMIService.ExecQuery ("Select * from Win32_Process")
count=0 
'Dim StartTime : StartTime = Timer
Call Infosys
OutPut.WriteLine String(14,"*")& "Liste des Processus en cours d'exécution le " & date & " à " & time & " sur Le PC "& NomMachine &" connecté en tant que " & NomUtilisateur & String(14,"*")& vbNewline & String(143,"*")
For Each objProcess in colProcesses
ProcessName = objProcess.Name
ProcessID = objProcess.ProcessID
CommandLine = objProcess.CommandLine	
count=count+1
Texte = "Numéro PID = "& objProcess.ProcessID & VbNewLine & "Nom du Processus = " & objProcess.Name & VbNewLine &"Ligne de Commande = "& objProcess.CommandLine &_
VbNewLine & String(120,"*")
OutPut.WriteLine Texte
Next
 
OutPut.WriteLine  "Il y a "& Count &" Processus en cours d'exécution le " & date & " à " & time & " sur Le PC "& NomMachine &" connecté en tant que " & NomUtilisateur & vbNewline
Call StartupCommand
'OutPut.WriteLine FormatNumber(Timer - StartTime, 0) & " seconds."
Function StartupCommand()
strComputer = "."
resultat=""
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colStartupCommands = objWMIService.ExecQuery ("Select * from Win32_StartupCommand")
 
For Each objStartupCommand in colStartupCommands
resultat=resultat & "Nom: " & objStartupCommand.Name & vbNewline
resultat=resultat & "Description: " & objStartupCommand.Description & vbNewline
resultat=resultat & "Emplacement: " & objStartupCommand.Location & vbNewline
resultat=resultat & "Commande: " & objStartupCommand.Command & vbNewline
resultat=resultat & "Utilisateur: " & objStartupCommand.User & vbNewline
resultat=resultat & String(120,"*") & vbNewline 
Next
OutPut.WriteLine String(50,"*") &" Les éléments à démarrage automatique "& String(50,"*")
OutPut.WriteLine resultat
end Function
 
Explorer(PathNomFichierLog)
 
Function Explorer(File)
    Set ws=CreateObject("wscript.shell")
    ws.run "Explorer "& File,0,True
end Function
 
Function InfoSys
strComputer = "."
strMessage=""
Set objWMIService = GetObject("winmgmts:"  & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colSettings = objWMIService.ExecQuery  ("Select * from Win32_ComputerSystem")
Set colSettings2 = objWMIService.ExecQuery ("Select * from Win32_BIOS")
Set colSettings3 = objWMIService.ExecQuery ("Select * from Win32_OperatingSystem")
For Each objBIOS in colSettings2 
      strMessage=strMessage & "BIOS " & objBIOS.Version & vbNewline & vbNewline
Next
For Each objComputer in colSettings 
      strMessage=strMessage & "Nom de l'ordinateur : " & objComputer.Name & vbNewline & "Fabriquant: " & objComputer.Manufacturer & vbNewline & "Modèle : " & objComputer.Model & vbNewline & vbNewline
 
Next
For Each objOperatingSystem in colSettings3
      strMessage=strMessage &  objOperatingSystem.Name & vbNewline
      strMessage=strMessage &  "Version " & objOperatingSystem.Version & vbNewline
      strMessage=strMessage &  "Service Pack " & objOperatingSystem.ServicePackMajorVersion & "." & objOperatingSystem.ServicePackMinorVersion &vbNewline
      strMessage=strMessage &  "Dossier de Windows: " & objOperatingSystem.WindowsDirectory &vbNewline
Next
OutPut.WriteLine strMessage
end Function

tigzy · 29/09/2011, 17h48

Salut

C'est un rootkit ZAccess, aucun logiciel ne pourra faire quoi que ce soit.

Attention! Combofix ne doit pas être utilisé sans avis préalable, il peut aggraver l'état du PC, et ne s'utilise que dans des cas particuliers

Télécharger et enregistrer sur le bureau
Combofix

=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l’outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus

PS: Tu me fais rire avec ton scan des processus

ya 36000 payload qui ne s'afficheront pas la dedans. C'était bien il y a 7-8 ans, mais maintenant ça ne sert plus à rien...

tigzy · 04/10/2011, 17h41

A l'heure actuelle seul Combofix est capable de gérer cette infection

27/09/2011, 15h57	#1
dubitoph Membre habitué Inscription : mai 2004 Messages : 499 Détails du profil Informations forums : Inscription : mai 2004 Messages : 499 Points : 149 Points : 149	Virus non identifié Bonjour, J'ai voulu installer un programme de fax, et apparemment, malgré le scan via AVG, je me suis chopé un virus qui me bloque complètement. La poisse, c'est que je ne parviens pas à savoir de quel virus il s'agit. J'ai installé "HijackThis", mais lorsque je clique dessus, ça m'indique "Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément.". J'ai tenté de faire un scan antivirus en ligne par "Secuser.com" via "Internet explorer", mais depuis, j'ai le même message d'erreur lorsque j'essaie d'accéder à Internet Explorer. Dans la configuration d'AVG, l'identity protection a été désactivée, et impossible de la réactiver. J'obtiens le message "Une erreur s'est produite au cours de l'enregistrement de la configuration. Une erreur innatendue s'est produite dans le composant "IDP". J'ai tenté de faire une restauration XP à une date antérieure, mais à chaque fois la restauration n'a pu se faire. J'ai également fais un scan complet avec Spybot et nettoyé tout ce qui était possible avec CCleaner, mais rien y fait. Maintenant, l'UC du pc est non stop à 100%. Merci d'avance de toute l'aide que vous pourrez m'apporter, car mon pc est quasiment inutilisable.
	00

29/09/2011, 17h48	#3
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	Salut C'est un rootkit ZAccess, aucun logiciel ne pourra faire quoi que ce soit. Attention! Combofix ne doit pas être utilisé sans avis préalable, il peut aggraver l'état du PC, et ne s'utilise que dans des cas particuliers Télécharger et enregistrer sur le bureau Combofix =Desactiver l'antivirus =Double-clic sur Combofix = Presser 1 si demandé = Attendre la fermeture de l’outil ( 5 -10 mn ou plus si infection importante) =Copier/coller le rapport dans la réponse Un rapport dans C:\Combofix.txt à mettre dans la réponse Réactiver l'antivirus PS: Tu me fais rire avec ton scan des processus ya 36000 payload qui ne s'afficheront pas la dedans. C'était bien il y a 7-8 ans, mais maintenant ça ne sert plus à rien... __________________ Développeur de RogueKiller
	00

04/10/2011, 17h41	#4
tigzy Membre éclairé Inscription : mars 2010 Messages : 260 Détails du profil Informations personnelles : Âge : 25 Localisation : France, Loire Atlantique (Pays de la Loire) Informations forums : Inscription : mars 2010 Messages : 260 Points : 316 Points : 316	A l'heure actuelle seul Combofix est capable de gérer cette infection __________________ Développeur de RogueKiller
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email