Attaque Win32:MalOb-EA

[invitea321aefd]

Bonjour,
Je vous contacte à travers ce forum car j'ai malheureusement été ciblé par un ( ou plusieurs ) Virus dont je ne parviens pas à me défaire.
C'est bien-sur en cherchant quelles procédures vous demandiez pour le support que j'ai appris que mon Avast ne valait en faite presque rien.

J'ai donc, pour vous situer les faits, assisté à une LAP-party entre amis jusqu'à dimanche, après là-quelle j'ai subit de plus en plus de ralentissements, de bugs au démarrage et autres joies tel que la désactivation forcée de mon centre de sécurité windows ( je suis sous seven )
J'ai donc fait des analyse spybot, avast ( en analyse au démarrage ) avant de me rabattre, vaincus, vers vous.
Et c'est en cherchant un forum où je pourrais avoir une réponse que Avast m'a appris l'existence de mon malware Ngeqoa.exe, identifié "Win32:MalOb-EA"


En fichier joins, donc, les fichiers d'analyse demandés, que je ne sais pas trop comment analyser ( d'ailleurs, si vous êtes d'humeur à m'expliquer, je dis pas non )

Je précise, parce que mon PC est vraiment un bazars sans noms, j'ai un Windows XP fonctionnel sur le disque C, mon seven est sous F, et un disque dur qu'on m'a prêté est le D.


Merci d'avance de votre aide,
Cordialement,
Olbaid
-----

[invite4c6c2965]

Salut,
Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan Complet à la fin clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final en P-J.

NB: sur le tuto c'est le scan Rapide, faire le scan Complet, plus long mais ...complet.

Aide en images.

[invitea321aefd]

Bon ba voila.
N'ayant pas eu de rapport après le redémarrage, voici celui pris avant.
( Est-ce normal les "No action taken" ? )

[yoda1234]

( Est-ce normal les "No action taken" ? )

Non !

Salut,

Fait un scan Complet à la fin clique sur Supprimer la sélection

[A voir en vidéo sur Futura]

[invitea321aefd]

Bon ... ba je vois pas d'explications autres qu'une erreur de manip de ma pars, mais je vois pas trop là-quelle.

J'ai refais un scan, et il m'affiche que je n'ai pas d'infection.
( rapport en joint )
Donc bon ...

[invite4c6c2965]

le premier rapport MBAM était surement le rapport avant reboot de l'ordi.



Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E2A7BD67-0EAF-497f-B05B-748D7BF3C421}] 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]    
"scmxonawre.exe"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]  
"Metropolis"=-
"XBV6RD5SZF"=-
"JP595IR86O"=-
"H3O8CABBPI"=- 
"NtWqIVLZEWZU"=-
 
:Files
F:\Windows\Ngeqob.exe      
F:\Windows\system32\nlsfunch.dll      
F:\Windows\system32\dmvdsitfo.dll      
F:\Windows\D56B0E274A3E46C9B5C1D93D580C099C.TMP      
 
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
[Reboot]

Ferme ton navigateur ainsi que les applications ouvertes sauf OTM.
Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)



Ensuite Fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[invitea321aefd]

Bon ba voila, c'est fait.

J'ai été un peu stupide pendant le scan de Nod32, j'ai arrêté par réflexe le PC alors que c'était pas terminé, donc j'ai re-lancé un scan.
Et n'ayant pas de fichiers au nom que vous indiquez, le log du scan sera log.txt
Visiblement, il y a les deux scans dedans ( et il m'a vraiment supprimé nimporte quoi à certains endroits ) vu qu'au second il n'affichait qu'une erreur à la fin du scan.

( Le scan en ligne NOD32 a changé de forme ( et de version ) par rapport à votre tutoriel )


Voilou,
Et puis, Joyeux noël !

[invite4c6c2965]

Ceci va supprimer les outils ayant servi à la procédure:
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista/Seven l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

[invitea321aefd]

voici donc le rapport

[invite4c6c2965]

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

@+