Bonjour,
J'ai malleureusement attrappé un "Win32.Rbot".
En faisant une analyse avec Spybot-Search & Destroy, ce virus réapparaît en permanence et ne veut pas être corrigé après redémarrage de l'ordinateur.
J'ai fait un scan avec mes outils : Sophos Anti-Rootkit, SpywareBlaster, a-squared Free, CCleaner, Avira AntiVir Control Center et rien a faire il est toujours la !!!!
Je vous remercie pour votre aide
Bonjour,
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
http://www.bleepingcomputer.com/comb...liser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
@+
bonjour
Merci pour ton aide.
Voila le rapport
Bonjour,
il est revenu ?
===
Nettoyage un peu général.
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).
- Redémarre en mode sans échec :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).
- Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
- Une fois le scan terminé,clique sur "Supprimer la sélection".
@
Pourquoi me demande tu si il est revenu?????
Apparemment MAM n'a rien trouvé voila le log
Re,
il arrive que des processus de réinfection nous échappent. d'où ma question.
Une dernière vérification :
AIDE : Configurer le contrôle des ActiveX
- Fais un scan en ligne Kaspersky avec Internet Explorer :
- Clique sur
- Clique maintenant sur J'accepte.
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Clique sur Suivant.
- Choisis par la suite l'analyse du Poste de travail
- Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
@+
Mais je ne comprends pas ce que tu racontes. C'est la première fois que j'ai ce truc.
C'est une infection et pas une ré infection......
Bon voila le log de Kapersky qui dit qu'il n'y a rien
Mais avec Spyboot, Il est toujours la !!!!
Voila le de Spyboot message qui s'affiche
Win32.Rbot: [SBI $6938ABEB] Réglages (Clé du Registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton
Bon je pars en voyage pour la semaine et suisde retour vendredi pour la suite des opérations
Merci
Bonsoir,
à ton retour, tu feras ceci :
Ouvre le registre et navigue avec les + et les - jusqu'à la clé
HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton
Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).
Ferme le registre et ouvre l'explorateur Windows.
Clique droit sur le fichier et choisis Modifier.
Le bloc-notes s'ouvre avec le contenu de la clé.
Copie le dans ta réponse.
===
Pour ouvrir le registre :
démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK.
@+
Bonjour,
Je suis de retour.
Voila le contenu de la clef :
Code:Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Krypton\C:-PROGRA~1-RIAMVI~1-Enhancer.exe ] "K-Key"=hex:0d,89,16,b9,77,66,80,43
Dernière modification par yoda1234 ; 02/08/2009 à 11h02. Motif: Désactivation smyleys et mise en place balise code
Et hou hou.....il n'y a plus personne ????
Au secours !!!!!
Bonjour,
après étude, je pense à un faux positif;
on va vérifier.
Rends toi sur ce site :
http://www.virustotal.com/
Clique sur parcourir et cherche ce fichier : C:\Program Files\RIAM Video Enhancer\Enhancer.exe
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant.
@+
Bonjour,
Merci de ton retour.
Voila le rapport :
Bonjour,
ce n'était pas un faux positif !
On va changer de version de Combofix.
Commence par supprimer l'ancienne version :
Démarrer, Exécuter, tapedans la zone de saisie puis clique sur OK.Code:combofix /u
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le Bureau.
déconnecte toi d'internet et ferme toutes tes applications.
<gras>désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)</gras>
double-clique sur combofix.exe et suis les instructions
en particulier installe la Console de récupération.
à la fin, il va produire un rapport C:\ComboFix.txt
<gras>réactive ton parefeu, ton antivirus, la garde de ton antispyware</gras>
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
http://www.bleepingcomputer.com/comb...liser-combofix
@+
Bonjour,
Voile le log.
Pour info, il ne m'a pas demander d'installer la console de recup.
Bonsoir,
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Code:Driver:: MEMSWEEP2 File:: C:\Program Files\RIAM Video Enhancer\Enhancer.exe c:\windows\system32\8.tmp Registry:: [-HKEY_LOCAL_MACHINE\SOFTWARE\Krypton]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
<gras>Réactive ton parefeu, ton antivirus, la garde de ton antispyware</gras>
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
=====
Ouvre l'Explorateur Windows et cherche C:\reecmuxmkv.bat
Fais un clic droit et choisis Modifier.
Poste le contenu du contenu du fichier dans ta réponse.
Si, soit tu n'as pas l'option "modifier" soit, quand tu le choisis, on te demande si tu veux l'exécuter, tu réponds Non et tu fais ceci :
Clic droit et renomme et tu remplaces bat par txt. Tu ignores l'avertissement.
Tu refais clic droit et "Modifier".
@+
Bonjour,
Voila les résultats.
Coucou.....tout le monde est en vacance ????
Bon a plus
Coucou, il n'y a plus personne ?????
Bonjour,
pas toujours simple de reprendre le fil de la discussion.
Le fichier que je t'ai fait renommer semble lié au logiciel c:\program files\MKVtoolnix
Je suppose que tu l'as installé volontairement.
Si oui, tu peux lui redonner son nom d'origine.
====
Supprime Combofix.exe sur ton Bureau (la version est trop ancienne).
Télécharge la dernière version à partir d'ici :
http://www.bleepingcomputer.com/comb...liser-combofix
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
<gras>Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)</gras>
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Code:Driver:: MEMSWEEP2 SIWIO Rootkit:: C:\WINDOWS\system32\aadcaad.dllc:\windows\system32\8.tmp c:\windows\TEMP\SiwIo.sys
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
<gras>Réactive ton parefeu, ton antivirus, la garde de ton antispyware</gras>
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
@+
Bonjour,
Merci de ton retour.
Voila le scan :
Bonjour,
l'infection revient.
Tu connais xeo.com ?
Scanne avec ton antivirus et poste le rapport.
@+
Bon,jour,
Non je ne connais pas xeo.com
Voila le résultat du scan.
Cdlt
coucou tu es la ?
Bonjour,
désolé, je n'étais pas là hier.
• Télécharge Ad-remover ( de C_XX ) sur ton bureau :
http://sd-1.archive-host.com/membres...59868/AD-R.exe
! Déconnecte toi et ferme toutes applications en cours !
• Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .
• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "S" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé sous C:\Ad-report-scan.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
@+
Bonjour,
Merci de ton retour.
Voila le rapport
Cordialement
Re,
! Déconnecte toi d'Internet et ferme toutes applications en cours !
• Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
• Au menu principal choisis l'option "L" et tape sur [entrée] .
• Laisse travailler l'outil et ne touche à rien ...
--> Poste le rapport qui apparait à la fin , sur le forum ...
( Le rapport est sauvegardé sous C:\Ad-report-clean.log )
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
==
Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :
* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option 2 puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.
@+
Voila les scan
Cldt
Bonjour,
Spybot S&D te le détecte toujours ?
Où ?
@+
Bonjour,
Oui malheureusement !
Re,
où ?
@+
