infection inattendue

[invite40b9bc0f]

voila j'ai du télécharger un petit logiciel et je l'ai installé sans faire attention j'été pris par le temps et apparement c'est un malware ou un trojan par ailleurs je sais que sur le coup il a desactivé mon mon antivirus nod32 et quand je voulais le réinstaller il me mit que je dois vérifier si j'ai l'accés au chemin du fichier nod32\eamon\eamon.sys , aprés d'autres antivirus meme probleme j'ai essayé avec cc cleaner ou meme avec atf cleaner qd je clique sur son icone pour l'excuter il s'excute dans une fraction de seconde et s'éclipse et je sens que me machine est surmené le malheur que j'ai trop de travaux et s'il tombe c'est la galére aider moi s'ils vous plait merci je vous laisse ci joint les 2 rapports generée aprés l'analyse


Rappel de la charte que tu as acceptée en t'inscrivant ici:

La courtoisie est de rigueur sur ce forum : pour une demande de renseignements bonjour et merci devraient être des automatismes.

Merci d"en tenir compte à l'avenir

Pour la modération,

yoda1234.
-----

[b marlow]

Salut et Bienvenue sur FS,
Merci à yoda1234 pour ce rappel de la charte. Il est vrai aussi qu'un sujet sans Bonjour ni salut
cela ne donne pas envie d'y répondre.

naelo ton ordi est bien infecté par Bagle suite au téléchargement et à l'utilisation d'un crack.
Supprime cet élément infectieux avant d'appliquer la procédure sinon il réinfectera la machine
au prochain redémarrage.

Fais un clic-droit sur un des liens ComboFix (de sUBs) ci-dessous:

Ici>>là<< ou >>Là<<. Clic-droit sur un de ces liens

Important : le renommer avant qu'il touche le Bureau en cequetuveux.exe
- Enregistre-le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme.

[invite40b9bc0f]

bonjour à tous
salut yoda et merci pour le rappel , salut marlow et merci pour le coup de main ca fait plaisir
voila j'ai essayé tes 3 liens successivement l'un aprés autre et a chaque fois je renommé avec un nom différent (popo.exe/fofo.exe/dodo.exe) effectivement c''est combofix (2.9mo) avec une icone rouge en tete de tigre, le malheur quand je clique dessous 2fois il ne s'execute mais me donne une fenetre d'erreur sur lequel ecris ceci
c:\documents and settings\user\bureau\popo.exe n'est pas une application Win32 valide
par la suite je suis toujours avec une machine infectée sur le dos.
vraiment c'est un fardeau !!!
merci de donner suite à ma requete je vous suis reconnaisasnt pour l'aide que vous puissiez m'apporter merci bcp a vous
j'attend avec impatience la solution a mon probleme

abeintot

[b marlow]

tu as bien essayé de le renommer avant qu'il n'atterrisse sur le Bureau comme ici:



Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
Puis essaie d'enchainer avant le reboot avec un des ComboFix renommé.

[A voir en vidéo sur Futura]

[invite40b9bc0f]

bonjour
salut marlow merci tout d'abord
en faite j'utilise IDM pour les telechargements masi j'ai modifié le nom du fichier et le chemin avant qu'il attiré sur le bureau comme tu me l'as recommandé mais il me donne le message d'erreur application Win32 non valide .
actuellement je suis entrain de faire un scan avec le malwarebyte une fois terminé je tiendrais au courant merci

[invite40b9bc0f]

bonjour
le malware a terminé je vous laisse son rapport et avant de rebooter j'ai essayer avec combofix fix toujours la meme galere j'ai essayer de le retelecahrger a partir de tes liens et de le renommer toujours meme resultat .
je vais rebooter et essayer aprés le reboot et je vous dirais qsq cava donner encore une fois merci

[b marlow]

Tu n'es pas obligé d'utiliser systématiquement ton gestionnaire de téléchargement.
fais un clic-droit sur le lien du combofix a télécharger et puis
Enregistrer la cible du lien sous (pour firefox)
Enregistrer la cible sous (pour IE)
Si ton gestionnaire s'ouvre tu le fermes et tu vas retrouver le téléchargement normal
à ce moment là tu renommes Combofix en portnawak.exe ou ce que tu veux.exe avant
qu'il ne touche le bureau, pour tromper Bagle.
Si tu le fais après, Bagle à le temps de lui tordre le cou.

[invite40b9bc0f]

bonour marlow
voila en suivant tes conseils j'ai bel et bien arriver a fare un scan avec combo fix et voila avec son rapport
qsq je dois faire aprés ? merci

[invite40b9bc0f]

bonjour
maintenant j'esaye de réinstaller mon nod32 il commence l'installation puis il arrete en me disant rolling back donc le bagle est toujours la je veux l'anéantir une fois pour toute et je veux retrouver mon antivirus et tout s'il vous plait c'set quoi la procédure que je dois la suivre maintenant merci

[invite40b9bc0f]

bonjour
j'ai du oublier quelque chose en telechargant l'autre fois le crack je ne sais ou il est passé sur mon disque dur alors c 'est pour qu'il reviens existe un logiciel pour le trouver sur mon disque et le supprimer car je ne sais pas ou chercher sur mon disque dur ; par ailleurs j'ai vérifié sur download dossier qui contient tous mes telechargements mais hélas je me rappel pas aussi du nom de ce crack tout ce que je sais que cété un fichier winrar je l'ai decompressé et je l'ai cliqué 2fois ce qui a causé toute la sauce par la suite ; donc que dois je faire dans ce cas ? comment procéder ?
merci

[invite40b9bc0f]

bonjour
aprés j'ai essayé de redémarrer en mmode sans echec mais il me laisse pas ce qui fait qu'il est toujours present sur ma machine
qsq je fais ???????????

[b marlow]

Ne pas se précipiter et vouloir mettre la charrue avant les bœufs.
Mettre Malewarebytes à jour, puis faire un scan Rapide,à la fin
coche les éléments trouvés et clique sur Supprimer la sélection.
à la fin poste le rapport .

Ensuite télécharge Lop S&D de Eric71 sur le bureau.
Double-clique dessus pour lancer l'installation
Puis double-clique sur le raccourci Lop S&D présent sur le bureau
Sélectionne la langue souhaitée
* Choisis l'Option 2 (Suppression)
* Ne ferme pas la fenêtre lors de la suppression !
Patiente jusqu'à la fin du scan
Poste le rapport généré en C:\lopR.txt

Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr,onglet Fichier,
Nouvelle tâche,tape explorer.exe et valide.

[invite40b9bc0f]

bonjour
dsl marlow, bon voila j'ai fais ce que tu m'a demandé voila la rapport du scan rapide de malwarebyte apré mise sa mise a jour bien sur
----------Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2345
Windows 5.1.2600 Service Pack 3

28/06/2009 13:23:27
mbam-log-2009-06-28 (13-23-27).txt

Type de recherche: Examen rapide
Eléments examinés: 95193
Temps écoulé: 3 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\documents and settings\user\Application Data\drivers\downld (Worm.Bagle) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
----------------------------------------------------------------

[invite40b9bc0f]

bonjour
oui marlow j'ai fais un scan avec lop s&d et voila son rapport

merci beaucoup

[b marlow]

voici la liste des éléments à supprimer de ton ordi:

Code:

C:\DOCUME~1\user\Bureau\Cue_Club_Game+Crack+extras
   C:\DOCUME~1\user\Bureau\Cue_Club_Game+Crack+extras\cc104crk.exe
   C:\DOCUME~1\user\Bureau\Cue_Club_Game+Crack+extras\cueclub.exe
   C:\DOCUME~1\user\Bureau\Cue_Club_Game+Crack+extras\e_cc104crk.zip
   C:\DOCUME~1\user\Bureau\Cue_Club_Game+Crack+extras\File_id.diz
   C:\DOCUME~1\user\Bureau\Cue_Club_Game+Crack+extras\member1.dat
   C:\DOCUME~1\user\Bureau\Cue_Club_Game+Crack+extras\read and learn.txt
   C:\DOCUME~1\user\Bureau\Cue_Club_Game+Crack+extras\release.nfo
   C:\DOCUME~1\user\Bureau\nod32+username\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania
   C:\DOCUME~1\user\Bureau\nod32+username\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania
   C:\DOCUME~1\user\Bureau\nod32+username\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\eav_nt32_fra.msi
   C:\DOCUME~1\user\Bureau\nod32+username\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch
   C:\DOCUME~1\user\Bureau\nod32+username\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\PROC?D~1.TXT
   C:\DOCUME~1\user\Bureau\nod32+username\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch\nod32_reset.exe
   C:\DOCUME~1\user\Bureau\nod32+username\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania
   C:\DOCUME~1\user\Bureau\nod32+username\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\eav_nt32_fra.msi
   C:\DOCUME~1\user\Bureau\nod32+username\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch
   C:\DOCUME~1\user\Bureau\nod32+username\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\PROC?D~1.TXT
   C:\DOCUME~1\user\Bureau\nod32+username\nod32.3.0.650.frcrack.maj.by.filou69.only.for.wawa-mania\NOD32.3.0.650.FR+CRACK.MAJ.by.Filou69.Only.For.WaWa-Mania\Nod32.working.patch\nod32_reset.exe
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\3 screen-savers_Marine Aquarium Time (le plus belle ‚cran d~1.st\Marine Aquarium 2\core Keygen.exe
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)\3D Aquarium Registration Code.exe
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)\3D Aquarium with serial
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)\Aquarium 3D + crack (‚cran de veille screensaver)
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)\3D Aquarium with serial\3D Aquarium Registration Code.exe
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)\3D Aquarium with serial\FISH.SCR
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)\Aquarium 3D + crack (‚cran de veille screensaver)\3D Aquarium Registration Code.exe
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)\Aquarium 3D + crack (‚cran de veille screensaver)\3D Aquarium with serial
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)\Aquarium 3D + crack (‚cran de veille screensaver)\3D Aquarium with serial\3D Aquarium Registration Code.exe
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\Aquarium 3D + crack (‚cran de veille screensaver)(1)\Aquarium 3D + crack (‚cran de veille screensaver)\3D Aquarium with serial\FISH.SCR
   C:\DOCUME~1\user\Bureau\Nouveau dossier (3)\LECTEUR GOM PLAYER 2.1.1.3401\winamp 5.05 fr\key\Keygen Winamp Pro 5.x.exe
   C:\DOCUME~1\user\Mes documents\Downloads\Compressed\Papyrus 1.108.0\Keygen.exe
   C:\DOCUME~1\user\Mes documents\Downloads\Compressed\ProfiMail 2.40.0\Keygen.exe
   C:\DOCUME~1\user\Mes documents\Downloads\Compressed\S60v3.39._Part_2_Programs\Papyrus 1.108.0\Keygen.exe
   C:\DOCUME~1\user\Mes documents\Downloads\Compressed\S60v3.39._Part_2_Programs\ProfiMail 2.40.0\Keygen.exe]

tous ces fichiers sont potentiellement dangeureux. certains doivent abriter des bestioles plus
destructrices que Bagle. Si tu chopes Virut tu n'as plus qu'à formater ton ordi.

tu voulais installer nod32 je te déconseille d'utiliser un antivirus cracké. si tu installes un antivirus
dont tu ne sauras jamais s'il n'abrite pas lui un rootkit ou autre backdoor....alors que son rôle
c'est d'être le gardien de ton ordi...

Installe >>>>AntiVir<<<< c'est un excellent antivirus, plusieurs fois mieux classé que nod32 dans les tests.
il est gratuit et très facile d'emploi.Configure-le comme sur le tuto puis fais un scan. poste le rapport
final.

[invite40b9bc0f]

bonjour
salut marlow merci infinement pour tout
mais dis comment procéder pour supprimer et ou puis je trouver antivir si t'as un lien valide passe car moi j'ai checher mais j'ai pas trouver un qui est gratuit ala fin quand je l'installe il me demande d'acheter c'etais le cas pour la version je crois 9 merci encore

[invite40b9bc0f]

bonjour
salut dis moi aussi comment prévenir ces invasions la prochaine qsq je dois faire ou installer pour ne pas tomber sur ces casses tetes une autre fois merci

[b marlow]

pour antivir il y avait le lien de la version gratuite sur la page de mon site



Pour les fichiers à supprimer il te suffit de supprimer les cracks contenu dans ces dossiers que tu
as sur le Bureau : Cue_Club_Game+Crack+extras
les dossiers complet : nod32+username , Nouveau dossier (3)
et dans le dossier Downloads se trouvant dans Mes Documents.

[invite40b9bc0f]

bonojur
merci bcp marlow pour tout le mal que tu donne pour m'expliquer et m'arriver en coup de main merci je vasi essayer antivir se trouvant sur ton site et je te donnerais donnerais suite
pour les dossiers infectés et les cracks je l'ai supprimé donc je risuqe plus rien mainteannt c ca ?

[invite40b9bc0f]

bonjour
quand je clique sur l'image que t'a laissé de antivir elle me redirige non vers ton site mais vers casimages que dois je faire ? merci

[b marlow]

c'était sur le lien de téléchargement et pas sur l'image qu'il fallait cliquer clique ici ce sera plus simple:
http://dlce.antivir.com/down/windows..._winu_fr_h.exe

[invite40b9bc0f]

bonsoir
mille et un merci marlow pour le lien je vais l'essayer une fois telecharger tu es fort merci

[b marlow]

n'oublie pas de poster le rapport.

[invite40b9bc0f]

bonsoir
je l'ai attendu tout ce temps plus que 4heures pour terminer le scan je te laisse le rapport de antivir

[b marlow]

AntiVir a bien travaillé sur ton ordi. Par contre tu as oublier de cocher la recherche
des Rootkits dans les options de scan. Tu cocheras cette case puis tu referas un scan
complet de tes disques par sécurité. Si tu ne veux pas rester à coté de l'ordinateur
pendant le scan (4h c'est long) tu peux le paramétrer pour qu'il supprime tout seul, automatiquement.








Nous allons supprimer tous les outils qui nous ont servi au nettoyage avec ceci:

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

[invite40b9bc0f]

bonjour
salut marlow voila j'ai effectuer que tu m'as dis sur antivir et je le laisse effectuer son scan une fois terminé je te posteré le rapport ; pour toolscleaner le leine me méné vers une fenetre ou elle disent error 404 not found je crois que le lien marche plus c 'est tout et merci une fois encore

[b marlow]

voici le lien de ToolsCleaner, celui-ci fonctionne:
http://pc-system.fr/TC/ToolsCleaner2.exe

[invite40b9bc0f]

bonjour
oui effectivement marlow ca marche, ok je vais suivre ta démarche et je te posteré son rapport dés que possible merci marlow

[invite40b9bc0f]

bonjour
salut marlow j'ai effectué un second scan avec antivir aprés els reglages que tu m'a recommandé de faire puis un scan avec toolscleaner2 et voil aussi son rapport et merci bcp

[b marlow]

supprime cet album manuellement:

Code:

D:\Maxi Priest - Fe Real [1992] - Mp3 - Album Cover - 192Kbps\Maxi Priest - Fe Real [1992] - Mp3 - Album Cover - 192Kbps.ace

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

@ et bon surf.

(évites les cracks et les keygens)