Sality : Comment dit-on ? bienvenue au club ? lol...

[ByOpHaZ]

Tout d'abord, bonjour a tous
Comme dans toute histoire commençons d'abord par poser le contexte

Ce week-end, réseau de 5 jours chez moi lorsqu'au milieu j'ai le malheur de désactiver Kaspersky avant une partie...
Qu'es ce que je n'avais pas fait la...
Redémarrage suivant, kaspersky m'annonce que sont exe est corrompu ainsi que les bases de données antivirus.
Dès lors il est complètement inutilisable et j'ai du faire 2 jours sans aucune protection... ce qui a laissé a sality (ça ressemble fort a saleté vous ne trouvez pas ? ) le temps de s'installé confortablement ^^

J'ai rapidement ciblé le type de la bête car j'en avais déjà rencontrée une par le passé mais a l'époque je m'été contenté d'un bon formatage en bonne et due forme mais la je ne pouvais me le permettre

Voici le contexte posé.
Après quelque recherche je suis tombé ici et j'ai trouvé les diverses aides que vous aviez indiquées.

Je pense grâce a cela avoir réussir a éradiquer la bête, mais je vais quand même vous demander votre avis (comme vous avez appréhendé plusieurs foi la bête ^^) histoire d'entre sur quelle ne se soit pas seulement retranché dans un bunker

J'ai un peu galéré pour télécharger eScan et le mettre a jour car je suis en 56k ^^
Pareil pour l'analyse kaspersky en ligne.
Mais pour ce dernier j'ai finalement préféré reinstallé kaspersky sur mon pc. Mais dans ce cas il faut faire l'analyse juste après la mise a jour des bases et pas redémarrer sinon on revient au point de dépare avec exe et base corrompu.

Voili voilou ^^
Merci d'avance pour votre aide et bravo pour ce que vous faites. Bon boulot a ce que j'ai vu jusque ici =)

Voici les rapports dans l'ordre ou je les ai fait.
Il manque ma première analyse KAV car elle est trop grosse pour etre mise ici (112ko^^) et mon ftp est HS ce qui m'empeche de l'herberger.
(on vois juste deçu tout les fichier qui sont infecté et que la pluspart sont réparé.)

[synthexe]

Bonjour ByOpHaZ et bienvenue sur Futura

Pourrais-tu stp suivre la procédure de prénettoyage de Futura ...

As-tu installé un controle a distance sur ta machine ?? (r_server.exe permet a priori de prendre controle de ton Pc a distance ...)

J'attends tes prochains rapports, ewido et hijack

Bonne journée

[synthexe]

Pour Ewido, suis la procédure suivante, la version ayant changer il y a peu de temps, la procédure n'est pas a jour :

• Télécharge la version d'évaluation d'Ewido:
  http://www.ewido.net/en/download/
  Installe la et mets à jour.
  
• Démarre Ewido avec l'icône qui se trouve sur ton Bureau.
  Clique sur Update Now,
  attend la fin de cette mise à jour,
  puis ferme le programme.
  
• Redémarre en mode Sans Échec
  (au démarrage, tapote immédiatement la touche F8), puis tu verras un écran avec choix de démarrages :
  choisis Mode sans échec avec les flèches du clavier, puis valide avec Entrée .
  Choisis ton compte usuel (et non Administrateur).
  
• Relance Ewido et clique sur Scanner
  Puis sur l'onglets Settings, pour How to Act sélèctionne Quarantine.
  
• Reviens a l'onglet Scan cliques Complete system Scan.
  Le scan démarre.
  
• A la fin cliquer sur Apply all actions
  Puis sur Save report et pour finir Save report as enregistrer sur le Bureau.
  Redémarre en mode normal.
  poste le rapport dans ta réponse.

[ByOpHaZ]

Citation:

Envoyé par synthexe

Bonjour ByOpHaZ et bienvenue sur Futura

Merci!

Citation:

Pourrais-tu stp suivre la procédure de prénettoyage de Futura ...

Oki je vais y regarder
J'avais ici suivi une procédure que tu avait donner quand un de tes anciens post ^^
CF virus sality

Citation:

As-tu installé un controle a distance sur ta machine ?? (r_server.exe permet a priori de prendre controle de ton Pc a distance ...)

Oui =) C'est Remote Adminitrator. L'antivius le detect mais je ne me suis pas inquiété pour lui. Ca me permet de controler mon pc depuis un autre avec le client de ce même logiciel et un mot de passe

Citation:

J'attends tes prochains rapports, ewido et hijack

Le temp de télécharger ewido et CCleaner en 56k et je fait ça

Citation:

Bonne journée

De même

Sinon mon ftp remarche, j'ai mit mon 1er rapport ou l'on peu voir tout les fichiers qui été infecté et les diverses "wmimgr32.dll" mais kaspersky a fait du bon boulot la deçu =)

Rapport KAV Première Analyse
On peu voir en comparant au rapport ultérieur qu'il y a eu du progrès!

[ByOpHaZ]

Voici les 2 rapports que tu m'as demandé.

En attendant, plus d'alerte de la par de kaspersky depuis ce midi

Bonne soirée =)

[synthexe]

Bonsoir

Ewido a nettoyé ce qu'il a trouvé (bien travaillé, comme d'habitude, mais a priori tous ces fichiers sont des cr4cks, tu devrais arreter d'aller sur des sites warez, ceux-ci sont presque tous piégés) ...

Ton rapport hijackthis est propre ...

Si tu as le temps (je sais, c'est tres long) peux-tu mettre eScan a jour et me reposter un rapport, juste pour vérification ...

Cette bestiole est tenace, elle peut rapidement réapparaitre, fais un scan régulier sur Kaspersky Online (1 fois par semaine), lis aussi le dossier de Futura sur la protection d'un ordinateur personnel et surtout ne coupe plus ton firewall, autorise plutot tes programmes de jeux a passer au travers ...
Mets bien ton systeme a jour dès qu'un patch sort, et fais aussi bien attention a d'éventuels dysfonctionnements ...

Bonne soirée

[ByOpHaZ]

Citation:

Envoyé par synthexe

mais a priori tous ces fichiers sont des cr4cks, tu devrais arreter d'aller sur des sites warez, ceux-ci sont presque tous piégés

En effet sur les 4 netoyé par eScan yen avais un.. (c'est pas bien mais c'est utile parfoi.. ^^)

Citation:

Si tu as le temps (je sais, c'est tres long) peux-tu mettre eScan a jour et me reposter un rapport, juste pour vérification ...

Ma tour s'ennuie, donc je fait ca dans l'instant =)

Citation:

Cette bestiole est tenace, elle peut rapidement réapparaitre, fais un scan régulier sur Kaspersky Online (1 fois par semaine)

Oui ca j'ai cru remarqué aussi bien sur mon pc qu'a travers les divers post du forum.
Pour le scan, mon antivirus étant kaspersky c'est tout autant efficace et ca me corrige la majorité des probleme

Citation:

lis aussi le dossier de Futura sur la protection d'un ordinateur personnel

Je l'ai lu hier et j'ai trouver ca très interessant
J'appliquerai certain conseil quand j'aurais le temp de prendre les soft

Citation:

et surtout ne coupe plus ton firewall, autorise plutot tes programmes de jeux a passer au travers ...

C'est ce que je fait, je ne le coupe jamais... mais bon, faut dire que le parefeu de windows est quelque peu légé...
J'ai juste eu le malheur de coupé l'antivirus pour gagné de la mémoire pour game et allé ensuite dans le mauvais dossier partager d'un ami.. (et je ne sais même oas lequel pour lui dire qu'il est infecté lol...)
(firewall j'ai bien look'n'stop aussi mais pas évident a configurer! je vais essayé un des 2 donné dans le dossier)

Citation:

Mets bien ton systeme a jour dès qu'un patch sort, et fais aussi bien attention a d'éventuels dysfonctionnements ...

En général il est toujours a jours, ça fesait bien longtemp qu'un virus ne m'avais embété.
J'ai été négligent sur ce coup et ne me ferai plus avoir !
Mais la bête étant coriace je preferé etre sur de l'avoir éradiquer en demandant vos conseil avisé ^^

Allé bonne journée a toi, et je te repost un rapport eScan dans la journée ^^

PS: dsl pour le multi quote c'est une mauvaise manie

[synthexe]

Salut ByOpHaZ

Citation:

mais bon, faut dire que le parefeu de windows est quelque peu légé...

Il faut savoir que le firewall de XP bloque les entrées sur ton Pc mais laisse TOUT sortir, c'est a dire qu'un malware peut envoyer des infos sur toi sans que tu le saches ... essayes donc ZA ou Kerio qui sont gratuits et tres performants ...

Bonne journée
(pas de pb pour le multi quote, on sait toujours a quoi se rapporte les commentaires )

[ByOpHaZ]

Bon voici le dernier rapport d'eScan apparement tout va bien
Il me signal toujours les fichier de mon logiciel de controle a distance donc ca c'est rien ^^

Y a juste le cmdow.exe que je ne sais pas ce que c'est!

Merci encore et bonne journée a toi!

[synthexe]

Bonsoir

je ne connais pas du tout cet executable, voici ce que j'en ai trouvé :
http://www.commandline.co.uk/cmdow/
Apparemment c'est un utilitaire qui compile des fichiers batchs, si ce n'est pas toi qui l'a installé, tu peux l'effacer, en mode sans echec evidemment

Tiens moi au courant ...
Bonne nuitée

[ByOpHaZ]

Bonsoir ^^
Désoler j'ai été occupé les derniers jours, je n'ai pas pu repasser tout de suite

Je pense que je vais le laisser en attendant, je verrai bien =)

En tout cas plus aucune trace du virus!
Ma tour refonctionne nickel donc bah... c'est bien

Merci en tout cas !
Bonne continuation! =)

[synthexe]

Bonsoir ByOpHaZ

Applique le plus rapidement possible les conseils donnés dans le dossier sur la protection des ordinateurs ...

Refais un scan 1 fois par semaine avec eScan mis a jour pendant 2 semaines, et si tu n'as plus aucun probleme, tu seras bien parti ...

@u plaisir