Win32 ? Sality ?

[invitef71fa7fb]

Bonjour à tous et merci à ce forum d’exister. Je galère depuis quelques jours pour essayer d’enlever un virus/malware sur mon ordinateur.

Les symptômes :
Impossible de lancer le gestionnaire de tâches
Impossible de lancer regedit
Impossible de démarrer en mode sans échec sauf en utilisant l’utilitaire safebootkeyrepair.exe.
Impossible d’installer avast, avg, antivir
Impossible d’aller sur les sites de scan en ligne de symantec et kaspersky

Le seul scan en ligne que j’ai pu lancer est celui de Command on Demand qui m’a trouvé Win32/Sality.AK sur un grand nombre de fichiers.

J’ai pu lancer :
a-squared free
ad-aware
malwarebytes

Ils m’ont trouvé des trojans mais ne peuvent les enlever.

Fichiers identifiés dans le répertoire \local settings\temp de mon nom d’utilisateur:
winwnpucw.exe
winkjtshw.exe
winkcsubb.exe
jnbxj.exe
winxphigd.exe

J’ai lancé ATFcleaner et suivi vos instructions.
J’ai exécuté DIAGHELP et envoyé le fichier C:\upload_moi_LDC.tar.gz.
J’ai exécuté Hijackthis.

Merci pour votre aide (mon épouse donne un cours à la fac dans deux jours).

Laurent
-----

[invitebf5cd8b2]

Bonsoir,

Vu l'état d'infection du pc, et le délais très restreint, tu auras mieux fait de formater. Rien ne tempêche de sauvegarder tes documents (pas les programmes) sur un CD/DVD. Tu retrouveras un pc exploitable plus rapidement.

On pourrait toujours tenter la désinfection, mais cela nous prendrait plus de 2 jours et serait assez éprouvant. Une fois ton pc réinstallé :

Discours de Prévention

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés et mis à jour.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

-----------

Bonne soirée
Cyrrus

[invitef71fa7fb]

Merci Cyrrus pour ta réponse.
Quelle est la procédure pour formater ?

Ceci dit, j'ai un problème. Windows était installé sur mon Packard Bell lorsque je l'ai acheté et je n'ai pas de CD d'installation (ou alors je l'ai perdu). Si je formate, comment réinstaller Windows ? Me conseilles tu de d'en profiter pour passer sur Linux ?

Pour la prévention, j'avais Avira et Sygate Firewall avec des mises à jour automatiques + balayage chaque semaine avec Ad-Aware.

Laurent

[invitef71fa7fb]

Bon, j'ai (apparemment, ne chantons pas trop tôt) réussi à m'en sortir.
J'ai restauré mon ordinateur à son état d'origine avec SmartRestore (Packard Bell)
J'ai installé un antivirus/firewall que j'avais téléchargé auparavant d'un autre poste et mis sur une clef USB.
Celui m'a encore trouvé des malwares mais n'a pas pu tout enlever.
J'ai réussi enfin à faire un scan en ligne sur le site de Panda. Il m'a trouvé 26 fichiers infectés par Sality et a pu, lui, me désinfecter.
J'ai également restauré regedit avec regtools.
Depuis, j'ai de nouveau accès à regedit et au gestionnaire de tâches.
Et je repars avec une situation qui semble saine avec :
Antivirus/Firewall COMODO.
Ad-aware
Navigateur Firefox
Thunderbird

Je vais aussi faire les mises à jour de sécurité Windows.

Je croise les doigts...

Laurent

[A voir en vidéo sur Futura]

[invitebf5cd8b2]

Bonsoir,

Et je repars avec une situation qui semble saine

Cela me parait improbable...

Pour Sality (à l'époque ou il était à la mode), cela marchait bien :

Étape 1:
Télécharge eScan Antivirus Toolkit Here. Sauvegarde-le sur ton Bureau.
Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:
Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ferme le programme ("Exit"). Ferme également toutes les fenêtres de l'Explorateur (ou du "Poste de Travail").

4.) *Important* : afin de compléter la mise à jour, il te faut maintenant faire ce qui suit :

- Via l'Explorateur Windows ou le Poste de Travail, navigue vers le répertoire C:\Downloads et Copie tout son contenu
- Colle tout le contenu dans le répertoire C:\Kaspersky
- Accepte le remplacement des fichiers existants
- Ferme l'Explorateur (ou le Poste de Travail).

Ne pas lancer le scan tout de suite !

Étape 3:
Redémarre en mode Sans Échec :

Durant cette phase, tu n'auras pas d'accès Internet. Je te conseille d'imprimer la procédure ( ou, événtuellement, de l'enregistrer dans un fichier texte ).

• Clique sur le bouton Démarrer
• Clique sur Arrêter l'ordinateur
• Dans la fenêtre qui s'ouvre : clique sur Redémarrer
• Appui sur la touche F8 ( ou F5 sur certains PC ) dès qu'un écran de texte apparaît ( puis disparaît ).
• Utilise les touches de direction pour sélectionner le mode sans échec voulu ("Mode sans échec")
• Appui sur la touche Entrée
• Attends la fenêtre avec le choix des sessions ( noms d'administrateurs ).
• Choisis ta session usuelle.
• Une nouvelle fenêtre s'affiche "Bureau" : clique sur OUI

Étape 4:
Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui activera All Local Drive (bouton rond) juste dessous; assure-toi que ce dernier est bien activé.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde-le. **L'outil ne te laissera pas faire un "Copier/Coller" avec sélection du texte avec la souris; tu devras cliquer une fois dans la fenêtre "Virus Log Information", puis presser les touches "CTRL" et "C" simultanément et ensuite "CTRL" et "V" pour coller le texte dans le fichier du Bloc-notes. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.


Cyrrus