besoin d'aide pour deux virus

[djoby23]

Bonjour,

Je viens de faire un scan virus avec panda qui m'a trouvé 3 trucs:
-Un virus inactif W32/Xor-encoded.A
-Un cheval de troie actif Trj/Cycbot.gen
-Un fichier suspect dans c:/documents and settings

J'aurais besoin d'un ptit coup de main pour retirer tout ça

Est-ce que quelqu'un saurait comment faire?

Merci beaucoup

[jeanmimigab]

Bonjour et bienvenue sur PC-Infopratique...

Tu peux donner plus de renseignements sur ces détections...(nom du fichier infectieux et son emplacement précis sur le PC ) ?

[djoby23]

Bonjour, le cheval de troie est dans 6 emplacements différents. Les voila

c:\system volume information\_restore{ef5617d5-ea9b-4658-9822-4f67041f0bd7}\rp440\a0135511.exe
c:\documents and settings\administrator\data aplikací\dwm.exe
c:\documents and settings\administrator\data aplikací\microsoft\conhost.exe
c:\documents and settings\administrator\local settings\temp\csrss.exe
c:\docume~1\admini~1\locals~1\temp\csrss.exe
c:\system volume information\_restore{ef5617d5-ea9b-4658-9822-4f67041f0bd7}\rp440\a0135512.exe


Et le W32 est dans 2 endroits:
c:\documents and settings\administrator\local settings\temp\housecall\log\73503f50-2db7-4b2e-b26c-6911b0a461e9\backup\5
c:\documents and settings\administrator\local settings\temp\housecall\log\73503f50-2db7-4b2e-b26c-6911b0a461e9\backup\1

Je ne sais pas trop quoi en faire

[jeanmimigab]

ha vi quand même, c'est du sérieux...

• télécharge Malwarebytes.
• Téléchargement et tuto de Danakil à lire avant le scan.
• Choisie "exécuter un examen rapide" et à la fin du scan , coche tous les éléments trouvés,et clique sur supprimer la sélection.
• Poste moi le rapport stp.

ensuite...

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

%temp%\smtmp\1\*.* /s
%temp%\smtmp\2\*.* /s
%temp%\smtmp\4\*.* /s
nslookup www.google.fr /c
SAVEMBR:0
NetSvcs
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
/md5start
dwm.exe
taskhost.exe
taskeng.exe
wscntfy.exe
ctfmon.exe
rdpclip.exe
volsnap.sys
sptd.sys
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command /s

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Copie et colle les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL

[djoby23]

Bonjour jeanmimigab,
Merci beaucoup pour ton aide.
J´ai essayé hier soir mais j´ai un ptit soucis, je n´arrive pas a télécharger Malwarebytes, le win32 m´empeche de le faire!
tu sais comment faire?

[jeanmimigab]

hello,
Si tu as un deuxième PC, Essais de télécharger sur ton bureau ce fichier..RogueKiller (de tigzy) renommé en "winlogon.exe"
http://jeanmimigab.perso.neuf.fr/winlogon.exe

Transfères-le sur le bureau du pc infecté, lance-le et fais le choix "2" (suppression)...
Ensuite sans faire redémarrer ton pc, essais de refaire la procédure avec Malwarebyte's

Si cela ne va pas on passera par un LiveCD