Bonjour,
Je suis infecté par un malware "sality" qui attaque tous mes .exe
J'avais Antivir mais je l'ai desintallé car il etait infecté. actuellement je suis sans antivirus.
cijoint mes rapports RSIT
merci de votre aide
-----
Bonjour,
Je suis infecté par un malware "sality" qui attaque tous mes .exe
J'avais Antivir mais je l'ai desintallé car il etait infecté. actuellement je suis sans antivirus.
cijoint mes rapports RSIT
merci de votre aide
Salut,
Pour avoir une chance de nettoyer le système correctement commence par ceci:
Clique-droit sur le Bureau>>Nouveau>>Dossier.
Nomme-le sality fix
Rends-toi à cette adresse et télécharge http://free.avg.com/virus-removal.ndi-67769
rmsality.exe
rmsality.nt
rmsality.dos
que tu enregistreras dans le dossier que tu as crée: (sality.fix)
Ouvre ce dossier puis double-clique sur rmsality.exe
sauvegarde ce rapport (VirusRemover.log) puis poste-le ici.
Ensuite copie-colle cette procédure dans le bloc-notes ou word puis enregistre-la sur le Bureau pour pouvoir y avoir accès facilement.
Important : branche tous disques externes, clés USB et autres ressources externes au pc.
Télécharge Dr.Web CureIt sur ton Bureau:
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
* Redémarre ton ordinateur
* Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
* A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
* Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
* Choisis ton compte.
* Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
* Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ;
s'il trouve des processus infectés,clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; tu peux quitter en cliquant le "X"
* Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
* Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
* De retour à la fenêtre principale : clique pour activer "Analyse complète";
* Clique le bouton avec flèche verte sur la droite, et le scan débutera.
* Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
* Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés
* Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
* Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
* Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
* Ferme Dr.Web Cureit
* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Suite au redémarrage, poste le contenu du rapport Dr.Web dans ta prochaine réponse.
Bonjour,
Je vous remercie beaucoup pour votre aide.
Veuillez trouver ci joint les logs.
Je voulais aussi vous demander:
1) Quelles sont les logiciels gratuits que vous me conseillé pour avoir la meilleur protection possible?
2) J'ai un PC fixe qui a été aussi infecter par sality (étant donné les transferts entre les 2 pc). J'ai donc essayé de faire la même procédure mais cela n'a pas marché car il y a dessus windows xp pro 64. L'effet de sality est tout de même beaucoup moi prononcé que sur mon PC portable (que vous m'avez aider à désinfecter. Qu'est ce que je peux faire pour les désinfecté aussi?
Merci encore pour votre aide.
Ouvre le bloc-notes et fais un copier-coller de ce qui est en citation ci-dessous (copie tout d'un trait) :
Puis "fichier"/"enregistrer sous" :Code:REGEDIT4 [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\system32\sessmgr.exe"=- "E:\jope.pif"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\dcws.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\winyrfge.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\asue.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\winduexs.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\lwdpks.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\xlirgy.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\wccjx.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\ymsodp.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\wintvdksv.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\winqwprev.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\winkekf.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\mddb.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\winfgebm.exe"=- "C:\WINDOWS\system32\NOTEPAD.EXE"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\winvnycti.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\chcow.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\winbvtnue.exe"=- "C:\DOCUME~1\Sai\LOCALS~1\Temp\sgfwwj.exe"=- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "AlcWzrd"=- "Alcmtr"=-
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"
L'icône de fix.reg doit ressembler à cela
quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message
"voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui".
/!\ Il est recommandé après ce type d'infections d'opérer à un changement de tous mots de passe enregistrés ou utilisés à partir des ordis infecté par Sality /!\
Télécharge et installe >UsbFix< de C_XX & Chiquitine29
Branche tes sources de données externes à ton PC : clé USB,
disque dur externe etc, susceptibles d'avoir été infectés mais sans les ouvrir
- Double clique sur le raccourci UsbFix présent sur ton bureau .
- Choisis l'option 2 ( Suppression )
- Ton bureau va disparaitre et le pc redémarrera,c'est normal.
- Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
- A la fin poste le rapport UsbFix.txt qui apparaitra.
- Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )
Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Pour le second pc nous verrons après, finissons d'abords avec celui-ci
Quant à la "meilleure protection" pour les ordis, un antivirus à jour, un antispyware avec protection
en temps réel à jour, un parefeu actif (on peut activer en sus le routeur de sa box).
et par dessus tout un comportement responsable et prudent sur internet.
Bonjour,
Désolé, je pensais que c'était terminé avec le premier PC.
Veuillez trouver ci joint le fichier usbfix.
Je n'ai pas compris votre note sur processus.exe:
"Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool."
Finalement pouvez vous me donner la meilleure combinaison d'antivirus,antispyware et parefeu, si ce n'est pas bien sur interdit par la charte du forum.
Merci encore,
perso, j'ai trois ordis, deux sont couverts par Microsoft Security EssentialsFinalement pouvez vous me donner la meilleure combinaison d'antivirus,antispyware et parefeu, si ce n'est pas bien sur interdit par la charte du forum.
et MBAM, le dernier par AntiVir et MBAM, parefeu de Windows pour les trois et routeur de la freebox activé.
MBAM n'est pas gratuit dans sa version en temps réel, tu peux utiliser SpywareTerminator.
Pour le parefeu tu as OnlineArmor. AntiVir est excellent.
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt
met AntiVir à jour, fais un scan puis poste le rapport final.
Bonjour,
Malheureusement la désinfection n'a pas marcher je pense.
Veuillez trouver ci joint le log de toolscleaner et de antivir dans lequel il y a 252 virus.
Sality comme Virut est une infection que l'on éradique pas en une passe, il faut etre patient
et persévérant quand on commence la procédure de nettoyage. en général après avoir appliqué
le Sality-Fix il faut faire au moins deux à trois scans de nettoyage des fichiers, tels ceux du Dr Web CureIt
et/ou kaspersky.
dans ton cas l'infection se relance , on voit le fichier qui change de nom dans le répertoire temporaire:
nous allons utiliser un autre outil.C:\DOCUME~1\Sai\LOCALS~1\Temp\sgfwwj.exe
C:\DOCUME~1\Sai\LOCALS~1\Temp\iopr.exe
etc...
Le scan va s'effectuer en Mode Sans Échec: comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.
• Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL en cliquant sur cette image:
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
choisir ta session habituelle,pas celle Administrateur ou autres.
• Connecte éventuellement tes clés USB et disques externes.
• Passe à deux ou trois reprises ATF-Cleaner, jusqu'à nettoyage complet
• Double-clique une fois encore sur rmsality.exe
sauvegarde ce rapport (VirusRemover.log)
• Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus
• Réponds "Oui" à la question "Do you want to continue installation?"
• Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
• Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...)
• L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
• Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image:
• Valide avec "Apply" puis "OK"
• L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
• A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Delete" ou "Disinfect" selon ce que propose la fenêtre:
• Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"
• Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
• Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
• Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES"
• Un message d'alerte indiquera que le PC doit être redémarré pour finir la désinstallation:
A la question "Would you like to restart now", réponds "OUI" et redémarre ton ordinateur en Mode normal.
Redémarre normalement et poste les deux rapports, AVPTool et Sality(VirusRemover.log).
Bonjour,
Je voulais vous dire que depuis le début je n'ai pas accès au mode sans echec je ne sais pas pourquoi. Il reboot à chaque fois et n'accepte de rentrer que en mode normal. Par contre en passant par msconfig je peux le faire rentrer en mode diagnostic. Donc j'ai fais toute la procédure dans ce mode.
Je n'ai pas pu joindre le log de AVPtool car le fichier .txt fais environ 100Mb et même en zip il dépasse les 5Mb.Il représente plus de 4000 pages.Voici le résumé je pense:
Scan
----
Scanned: 759819
Detected: 0
Untreated: 0
Start time: 08/11/2009 00:28:50
Duration: 06:03:10
Finish time: 08/11/2009 06:32:00
(bonne nouvelle )
Veuillez trouver ci joint le log de sality
Merci,
ceci peut réparer les clés de ton mode sans échec, si elles sont corrompus.
Télécharge SafeBoot-for-Windows-XP-SP3.txt renomme-le en SafeBoot.reg puis double-clique dessus et accepte la fusion avec le registre.
Ensuite télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt
Cela supprimera les tools qui nous ont servi à nettoyer l'ordi. Tu vireras manuellement les
residus tels que les fichiers reg.
Tu feras aussi un nettoyage avec CCleaner, lien et tuto ici http://b.marlow.free.fr/ccleaner.html
Bonjour,
Je n'ai pas réussi à télécharger le fichier:
SafeBoot-for-Windows-XP-SP3.txt
Le forum me dit que je n'ai pas la permission alors que je suis identifié et avec le clique droit "enregistrer la cible sous" j'enregistre un fichier html.
J'ai fais le scan avec toolscleaner, il ne m'a pas donné de rapport mais il n'a rien trouvé.
Par contre, j'ai fais le tuto de ccleaner et là j'ai plein d'erreurs mais il ne m'a non plus pas donné de rapport.
Que dois-je faire maintenant?
Merci,
nul besoin de rapport avec CCleaner l'essentiel étant de passer l'outil à deux trois reprises
dans l'onglet Nettoyeur ainsi que dans celui de Registre .
(pour ToolsCleaner normal qu'il ne te trouve rien, je te l'avais déjà fait utiliser)
Télécharge http://jokuhech.free.fr/securite/SafeBoot.zip
Dézippe-le. Exécute SafeBoot-for-Windows-XP-SP3.reg
Bonjour,
J'ai executé le fichier .reg. C'est fini ou pas encore?
Est ce que ca pose un problème si j'ai toujours des erreurs dans registre de CCleaner?
Merci,
Parfois il peut arriver qu'une ligne ou deux persistent dans CCleaner, ce n'est pas un soucis majeur.
Tu peux à présent désactiver la restauration du système, redémarrer l'ordinateur, réactiver
la restauration et créer de suite un point de restauration neuf.
Pour cet ordi c'est fini, si tu veux désinfecter l'autre il faut créer un nouveau sujet pour ne pas se
prendre les pieds dans les divers rapports.
Les étapes à suivre seraient dans l'ordre, sality-fix et les scans Dr Web et Kaspersky.
Un compte limité accroit la sécurité
Les mises à jour des programmes aussi
Comment reconnaitre et éviter les programmes piégés
Bonjour,
J'ai environ une quarantaine d'erreurs qui persistent dans le registre de CCleaner.Que dois-je faire?
Pour le second PC j'ouvre de suite un nouveau sujet ''sality me bousille la vie 2"
Merci infiniment,
Le mode sans échec marche à nouveau
Merci!!!!!!!!!
ajoute 64bits dans le titre de ton second sujet...