Bonjour,
J'ai récupéré un visiteur indésirable dont j'ignore l'origine exacte, mais il a passé mes firewalls et trompé mon antivirus qui me l'a cependant signalé sous le nom de new Win32.
Les symptômes ne sont pas très clairs. Apparemment il m'a détruit quelques .exe comme notepad.exe ou néro.exe par exemple et quelques .dll. Cependant le système reste stable.
Ci-joint les fichiers demandés.
D'avance, je vous remercie pour votre aide.
Pour compléter les symptômes pas clairs auxquels je faisais allusion dans mon post précédent, voici un exemple précis.
Si je veux accéder à Démarrer --> Programmes --> Accessoires --> Paint un message m'avertit que le raccourci n'est plus valide et si je demande à le réparer, on me propose mspaint.exe dans C:\WINDOWS\ServicePackFiles. Si je copie le fichier de ce répertoire et le colle dans C:\WINDOWS\system32,le raccourci fonctionne à nouveau dans le menu.
J'ai le même problème et la même solution avec rundll32.exe qui m'empêchait d'accéder à Panneau de Configuration --> Affichage. Et là je constate que mon économiseur d'écran préféré à disparu.
Très subtil ce p... de malware !!!!
Merci pour votre aide.
Bonsoir
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).
- Redémarre en mode sans échec :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).
- Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
- Une fois le scan terminé,clique sur "Supprimer la sélection".
Bonjour Igor,
Merci pour ton aide.
Ci-joint le log de mbam demandé.
Bonsoir
Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix
Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.
Bonjour,
Impossible de télécharger ComboFix.exe depuis ma machine qui me signale que je n'ai pas les droits pour écrire sur le bureau. McAfee me signale un trojan Generic Artemis. Un nouvel essai m'affiche une page Fichier non trouvé.
Finalement, j'ai téléchargé ComboFix depuis une machine sous Linux (sans problèmes) et je l'ai transféré par le réseau local sur le bureau Windows. Désactivé le firewall Windows puis McAfee. Double-click, le fenêtre de chargement s'affiche puis plus rien.
McAfee vient de m'isoler : xccdfb16_090131.dll, nom de détection GenericPWS.y. J'ai réinstallé quelques applications qui ont l'air de tenir le coup et le système est toujours stable.
Je ne sais pas si ça vaut le coup de perdre notre temps, surtout le tien. J'ai l'impression que cela va se terminer par un formatage. Qu'en penses-tu ?
Bonjour,
je pense que tu peux quand même passer COmbofix si tu comptes garder ton système comme cela. Si tu veux formater, alors oui ça ne sert à rien de passer combofix^^
La comme ça, je ne sais pas trop ce que tu as et le scanne avec combofix pourrait m'en apprendre plus.
Bonjour,
Désolé, je ne peux pas passer ComboFix. Seule la fenêtre de chargement s'affiche puis plus rien. A moins que je n'ai loupé une étape.
Si tu as une autre solution, je suis prêt à essayer.
Bonjour,
On va essayer autrement alors :
Télécharge Dr Web Cure it
- Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
- Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
- Une fois cela fait, clique sur Tous les disques durs.
- Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
- Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
- Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
- Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
- Une fois cela fait, fait Fichier - Enregistrer le rapport.
- Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
- Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
- Poste le contenu du rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).
Bonjour,
On va essayer autrement alors :
Télécharge Dr Web Cure it
- Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
- Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
- Une fois cela fait, clique sur Tous les disques durs.
- Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
- Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
- Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
- Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
- Une fois cela fait, fait Fichier - Enregistrer le rapport.
- Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
- Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
- Poste le contenu du rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).
Bonsoir,
Le log demandé.
Bonsoir
As-tu encore les alertes pour ce Malware ? Si oui, est-ce que tu as le chemin du fichier infectieux ?
Bonsoir,
Non plus d'alerte.
Le fichier infectieux se trouvait dans System32.
Bonjour,
Une analyse de mon disque C: de cette nuit me donne le résultat ci-joint
Bonsoir
Est-ce que tu cliquais sur le premier item de ce que te trouve ton antivirus ? ( Programme potentiellement dangereux je pense )
Pour le reste pas d'inquiétude, on le supprimera dès que tu m'auras répondu ( ils ne sont pas dangereux )
Bonsoir,
Je suppose que tu parles de RemAdm-ProcLauch!171.
Vu sa localisation, je ne pense pas avoir cliqué dessus.(cf. : fichier joint)
Bonsoir
Vivi je parlais bien de celui-la :
[/B] Télécharger OTMoveIt3 par OldTimer.Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
- Enregistrer ce fichier sur le Bureau.
- Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
- Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
Code:C:\32788R22FWJFW\psexec.cfexe- Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
- Cliquer sur le bouton rouge Moveit!.
- Fermer OTMoveIt3
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.
Bonsoir,
Le log demandé
Bonsoir
Clique sur Démarrer, Exécuter et tape : Combofix /u
Code:Et voila, un nouveau point de restauration qui est a priori propre
- Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
- Coche la case "Désactiver le système de restauration..."
- Clique sur « Appliquer »
- Décoche la case "Désactiver le système de restauration..."
Discours de Prévention
Tu peux maintenant supprimer/désinstaller les outils que nous t'avons fait utiliser. Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés et mis à jour.
Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.
Est-ce que tu as encore des problèmes ?
Bonsoir,
En lançant Combofix McAfee m'envoie toujours l'alerte :
Nom: RemAdm-ProcLaunch!171
Emplacement: C:\32788R22FWJFW\psexec.cfexe
Mais c'est normal n'est-ce pas ? A part cela tout semble aller pour le mieux
Encore merci pour ton aide.
Bonsoir
Non ce n'ets pas normal.
Est-ce que tu as essayé de supprimer à lamain ce fichier ?
Copie C:\32788R22FWJFW\, ouvre l'explorateur windows et colle le en haut dans la barre de navigation. Puis supprime le fichier en question
Bonjour,
Bon, j'ai supprimé ce fichier à la main.
J'ai dans l'idée qu'il est généré par ComboFix puisqu'il réapparait dès que j'essaie de lancer CF et McAfee le détecte comme potentiellement indésirable. D'ailleurs McAfee est capable de le supprimer.
Ceci dit, j'ai essayé de repasser ComboFix en suivant scrupuleusement les indications du mode d'emploi sans plus de succès : la petite fenêtre de chargement puis plus rien, enfin si le fichier potentiellement indésirable réapparaît.
Etonnant non !
Bonjour,
J'avais programmé, cette nuit, une analyse de C:\. Le résultat est en PJ.
Bonsoir
C'est ComboFix, pas de de soucis, pour le supprime Démarrer-> Exécuter tape
Combofix /u
Voila
Bonjour,
Merci Igor51.
