malware en tout genre !

[invite205acdbe]

Bonjour ! je suis attaqué de partout par des malwares ! j'ai essayé plein de truc mais à chaque redemarrage de mon ordi tout il y a des messages d'erreur sur system32 etc .. sans parler des pop up et de la lenteuuuur indescriptible ! bref que du bonheur ! j'ai lu le postit sur les premiers gestes et tout j'ai tout bien fais sauf que le premier logiciel j'ai pas réussi à le télécharger.

bon alors je met les deux rapports et j'éspère un peu d'aide pour éviter de


-----

[invite275db609]

Bonsoir

Tu es effectivement très infecté par une des dernieres variantes de Vundo/Virtumonde.

Voila ce qu'on va faire :

Tout d'abord, tu as des restes de Norton, supprime les en te servant de ce lien : http://service1.symantec.com/SUPPORT...50414110429924

========================

Un peu de lecture pour te faire prendre conscience des lacunes d'avast du moment.

========================

Tu n'as pas de Firewall, c'est la 1ere des protections à installer pour un minimum de sécurité...
Le parefeu windows ne bloque QUE LES ENTREES, il ne bloque aucune sortie, ce qui fait que lorsque l'on est infecté, toutes les infos récupérées par les éditeurs de malwares peuvent sortir en douce sans que tu ne les apercoives, ce qui n'est pas le cas des parefeux suivants, qui bloque les entrées ET les sorties.

Tu DOIS ABSOLUMENT installer un FIREWALL, en voila 4, gratuits et performants :
Zone alarm, parefeu gratuit et performant :

• Téléchargement de ZoneAlarm : http://www.zonelabs.com/store/conten...&ctry=&lang=fr
• Tutorial de configuration : http://speedweb1.free.fr/frames2.php?page=tuto1

Kerio Personnal Firewall très bon et gratuit aussi :

• Téléchargement de Kerio : http://telechargement.zebulon.fr/kerio.html
• Tutorial de configuration : http://www.vulgarisation-informatique.com/kerio.php

Jetico, que je n'ai pas testé mais dont j'ai eu de très bons échos :

• Téléchargement de Jetico : http://www.jetico.com/download.htm
• Tutorial de configuration : http://www.malekal.com/tutorial_JeticoFirewall.php

Outpost

• Téléchargement d'Outpost : http://www.agnitum.com/products/outp...e/download.php
• Tutorial de configuration : http://c.rosu.free.fr/Conf_outpost.htm

========================

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

========================

Suite à une demande expresse de sUBs, developpeur de ComboFix, nous devons passer par le tutorial de BleepingComputer :
Suis stp, la procédure indiquée sur cette page et reviens ensuite ici poster le rapport généré (en pièce jointe).

========================

Poste les rapports demandés : MBAM et ComboFix (en pièces jointes).

Bonne soirée

[invite275db609]

Reu

Fais également ceci :

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
• Rends toi jusque sur ce fichier si tu le trouves :

• C:\WINDOWS\System32\drivers\qvE74.sys

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans ta prochaine réponse.
  Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

Bonne soirée

[invite205acdbe]

hello ! merci beaucoup beaucoup pour l'aide

je suis sur l'ordi de mon popa qui est parti en voyage alors je me voyais mal reformater l

alors alors bon j'ai pas le fichier qvE74.sys (je l'ai peut être plus.. c'est grave doc ? )

sinon mbam a fait ça petite analyse en 2h ... j'ai beaucoup de fichier et combofix à pas mal déconné m'enfin j'ai quand même les rapports

encore merci pour l'aide !!

[A voir en vidéo sur Futura]

[invite205acdbe]

j'ai plus les pop up intempestifs (comme on dit) et j'ai l'impression que l'ordi va beaucoup mieux

[Cyrrus]

Bonjour,

Ce n'est pas pour autant que l'infection est terminé, elle ne l'est malheuresement pas.

[invite275db609]

Bonjour à tous les 2

XaN :
Tu n'as pas suivi la procédure ComboFix indiquée dans mon message précédent correctement.
Il est important que tu installes la console de récupération comme demandée dans le lien indiquée précédemment, reprends cette étape stp.

Une fois la console de récupération installée :

• Crée un fichier avec le bloc-note, saisie le contenu de la boite ci-dessous :

Code:

Collect::
C:\WINDOWS\system32\ljJDTjiI.dll
C:\WINDOWS\system32\pmnoPgdE.dll

File::
C:\WINDOWS\system32\WinCtrl32.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9673F57D-44CC-4B63-AF7B-91450A790407}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B9FFE2BB-E851-4DFD-A49B-43CA7783AA87}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Syslog"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{9673F57D-44CC-4B63-AF7B-91450A790407}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJDTjiI]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aeK66.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\heU64.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jcv12.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\msJ24.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ofX23.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Omb36.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\qvE74.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\shT17.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sjB17.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tqO26.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\trR50.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vpQ50.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\wkO52.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\xdR55.sys]

Driver::
aeK66
Jcv12
ofX23
Omb36
shT17
trR50
xdR55
gtermddo

• Sauvegarde le fichier avec le nom suivant : CFScript.txt
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

================

Tu as également un reste d'infection Video Access Codec (attention à ne pas abuser des sites de .... fesses, ils sont de grands vecteurs d'infections :

• Télécharge SmitfraudFix de S!Ri.
• Double-clique sur SmitfraudFix.exe.
• Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée"; un texte va apparaitre, qui liste les fichiers infectés si présent.
• Poste le rapport dans ta prochaine réponse, en pièce jointe.

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
http://www.beyondlogic.org/consulting/proc...processutil.htm

===================

• Fais un scan en ligne Kaspersky (avec Internet Explorer, IMPORTANT)
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

===================

Comment se comporte ta machine ? As-tu encore des dysfonctionnements ??

Poste les rapports demandés : ComboFix, SmitFraudFix option1 et KasperskyOnline.

Bonne fin de journée

[invite205acdbe]

j'ai encore des virus

bon alors je crois que j'ai tout bien fait cette fois donc j'ai :

- rapport combofix fait avec la console (enfin je pense )
- rapport combofix fait avec le cfscript (j'avais pas tout lu donc j'ai fais le combofix avec cfscript en 2eme analyse)
- rapport smit
- raport karspersky (qui m'a trouvé plein de trucs )

(il me fait délirer ce smiley)

En éspérant ne pas être une cause perdu ....

[invite205acdbe]

oublié les fichiers

[invite205acdbe]

encore oublié lol (sinon mise à part le rapport alarmant de kaspersky mon pc tourne bien ^^ )

[invite275db609]

Bonjour

Bon boulot, tu as juste oublié de posté le rapport SmitFraudFix option1, tu as, à la place, reposté celui de MBAM. Poste le dans ta prochaine réponse stp.

Ne t'affole pas pour Kaspersky, il ne t'a trouvé que des Risktools (outils à risque qui sont utilisés dans les outils de désinfection) et des traces dans le système de restauration que l'on nettoiera lorsque l'on aura fini la désinfection.

On continue :
Recrée un CFScript.txt comme précédemment avec ce code :

Code:

File::
C:\WINDOWS\system32\rqRHbYsr.dll
C:\WINDOWS\system32\opnonllk.dll
C:\WINDOWS\system32\ssqPhHyX.dll
C:\WINDOWS\epfg.exe

Procède comme précédemment et poste le rapport.

As-tu encore des dysfonctionnements ? Des fenêtres de pubs ?

Bonne fin de journée

[invite205acdbe]

bonjour bonjour !

alors oui je suis un peu étourdit j'ai switché les rapports bref voila deux beaux nouveaux rapports ! de plus mon ordi marche à merveille (enfin je crois ^^ ) plus de pubs et d'une manière générale rien à signaler

merci beaucoup pour l'aide ! sans elle j'allais droit dans le mur

[invite275db609]

Saloute

Super, beau boulot.
Pour SmitFraudFix, il n'a rien trouvé, car ce n'était qu'un reste que l'on a sauté avec ComboFix.
L'infection Vundo/Virtumonde a apparemment bien été éradiquée.

Supprime ComboFix en faisant ceci :
Menu Démarrer --> Exécuter --> saisie ensuite ceci et valide :

Code:

"%userprofile%\Bureau\combofix.exe" /u

Supprime/désinstalle SmitFraudFix, Navilog1, DiagHelp et Hijackthis ainsi que leur dossiers et leur rapport associé.

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre.

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autres Infections
Ton infection était Vundo/Virtumonde, Trojan-Downloader.Win32.Mutant.yf, Trojan-Dropper.Win32.Agent.ror

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne fin de journée

[invite205acdbe]

Merci beaucoup synthexe pour ton aide précieuse ! promi j'ouvre plus des .exe n'importe comment

bye