Aide pour supprimer malware

[invitea11f0f0c]

Bonjour,

J'aurais besoin d'aide pour me débarasser d'un malware W32/Katusha.BN.

J'ai téléchargé et installé malwarebyte's mais lorsque je lance le scan, le programme se ferme brusquement au bout de 3 secondes.

Merci d'avance.
-----

[invitec04351b8]

Bonjour,

que donne ceci :

Avec Internet Explorer - Télécharge ça : http://www.sur-la-toile.com/RogueKiller/
Tu le renommes en winlogon ou iexplore s'il est bloqué.
Lances en option 2 (nettoyage).
Poste le rapport ici.

@+

[invitea11f0f0c]

Merci pour ton aide,

J'ai télécharger rogueKiller mais apres que je choisisse l'option (recherche ou suppression) il se fait bloqué et se ferme subitement. Apres impossible de le relancer j'ai un message "windows ne peut accéder au périphérique". J'ai beau le re télécharger et le renomer comme indiqué mais le résultat et le meme. C'est du coriace on dirait.

merci

[invitec04351b8]

Re,

il faut que tu le renommes avant de l'enregistrer sur le Bureau.

Sinon, essaye d'ouvrir ce lien et de faire ce qui est en dessous de Réparer le système infecté :

http://support.kaspersky.com/fr/faq/?qid=208280685

===

Sinon, le gestionnaire des tâches s'ouvre ?

Tu as un processus au nom bizarre ?

Si oui, clic droit et Supprimer le processus.

@+

[A voir en vidéo sur Futura]

[invitea11f0f0c]

Salut,

J'ai essayé avec kapersky, il me trouve un threat, j'ai fais "cure" et après "reboot" mais rien n'a changé une fois redémarré.


J'ai bien identifié un process bizarre mais quand je fais terminer le processus, rien ne passe non plus.

[invitec04351b8]

Re,

poste le rapport de Kaspersky.

Quel est le nom de ce processus bizarre ?

@+

[invitea11f0f0c]

Le process est

1251523966:2168612789.exe

Voici le rapport en PJ (celui de kapersky et celui obtenu avec activescan)

[invitec04351b8]

Re,

le rapport de TDSSKiller donne une très mauvaise nouvelle, tu es infecté par ZeroAcces.

Un formatage peut être une solution "plus simple" que la désinfection.

Mais il faut que tu ais l'original de Windows et une sauvegarde de tes fichiers personnels.

===

Sinon, on va voir ce que on peut faire.

Relance TDSSKiller.

Si il trouve 7ebd984a, choisis 'delete'.

Si il trouve safeboot.sys, choisis "cure".

Dans tous les cas, fais redémarrer l'ordi.

Regarde si le processus 1251523966:2168612789.exe (ou équivalent) est encore lancé.

Si oui, essaye de tuer le processus puis de supprimer le fichier C:\windows\1251523966:21686127 89.exe

Supprime ta version de RogueKiller et essaye de le retélécharger, de le renommer avant son enregistrement et d'exécuter l'option 2.

Ensuite

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invitea11f0f0c]

RE,

J'avais bien l'impression que c'était un truc coriace...

Si je pouvais ne pas reformater cela m'arrangerait.

Au lancement de TDSSKiller j'ai bien eu des alertes pour

7ebd984a, et j'ai choisis 'delete'.

safeboot.sys, et j'ai choisis "quarantaine" car "cure" n'étais pas proposé.

Apres le reboot, le process est toujours là et je ne peux pas l'arréter via la console. Par contre j'ai pu supprimer le fichier dans c:\windows

Pour ZHP, je lance la recherche mais il se ferme subitement apres la fin de la recherche, pas possible d'avoir le rapport. J'ai seulement pu obtenir une partie (ci joint) en faisant un copier coller mais il semble que je n'ai pas tout.

Merci

[invitec04351b8]

Re,

relance TDSSKiller et poste le rapport.

@+

[invitea11f0f0c]

le voici

merci

[invitec04351b8]

Re,


On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix


* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

@+

[invitea11f0f0c]

Il semble que ce soit meme combat avec combofix, la fenetre s'ouvre bien "recherche de fichier infectés" mais rien ne se passe, et pas de fichiers générés. J'ai bien pourtant désinstallé tout anti spyware et anti virus.

[invitec04351b8]

Re,

MBAM continue à bloquer ?

@+

[invitea11f0f0c]

oui pareil

[invitec04351b8]

Re,

supprime RogueKiller et recommence le téléchargement.

Choisis l'option 2 à l'exécution.

Poste le rapport.

@+

[invitea11f0f0c]

toujours pareil, la fenetre se ferme avant d aboutir.

Merci

[invitec04351b8]

Bonjour,

on va voir si c'est moi qui ne suis pas assez vigilant.

Télécharge DeFogger de Jpshortstuff sur ton Bureau,

http://www.jpshortstuff.247fixes.com/Defogger.exe

Double-clique sur DeFogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista ou Windows 7),
La fenêtre de DeFogger apparait,
Clique sur Disable pour désactiver les drivers d'émulateurs CD,
Clique sur Yes pour continuer,
Un message "Finished" apparaîtra,
Clique sur OK,
DeFogger va demander de redémarrer le pc,
Ne réactive pas les drivers avant que te le demande.

===

Après le redémarrage du pc, relance Combofix avec les précautions classiques (déconnexion d'Internet, désactivation des gardes de l'antivirus, ...).

Il se passe quoi ?

@+

[invitea11f0f0c]

Après beaucoup d'agacement sur ce virus j'ai manqué de vigilance et j'ai supprimé un fichier système infecté via kapersky.

Mon système ne redémarre plus et impossible de d'utiliser la réparation de système. Je crois que je n'ai plus que comme solution la réinstallation de windows.

Merci pour ton aide

[invitec04351b8]

Bonsoir,

tu as une sauvegarde de tes données persos ?

Si non, il faut que tu ais un DD externe et un ordi de secours pour graver un live CD.

@+

[invitea11f0f0c]

Non je n'ai pas de sauvegarde à jour, je vais m'équiper pour en faire une, j'espère que je vais pas sauvegarder le virus en même temps.

Sais tu si je suis obligé de monté mon DD dans un boitier pour faire cette sauvegarde ou s'il y a un moyen de faire autrement.

Merci

[invitec04351b8]

Re,

non, il est possible d'utiliser un live CD (donc un autre OS) pour copier de ton DD sur le DD externe USB.

Il en existe un qui "embarque" un outil qui permet de voir l'état du système et de traiter certains problèmes.

Il te faut un autre ordi avec un graveur de CD.

Je vais te donner la procédure complète.

Si tu ne fais graver le fichier et booter sur le CD gravé, tu pourras recopier tes fichiers persos.

Le reste de la procédure donnera un état de ton système.

Tu peux ajouter (si tu le(s) connais le(s) fichier(s) supprimé (sans le chemin)) les fichiers système manquants à la liste à mettre sur clé USB.

Ca permettra de voir si il existe des remplaçants.

Fais ça :

1) sur l'ordi sain

Télécharger OTLPEnet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

Enregistre le sur ton Bureau et exécute le (double clic sous Xp, clic droit et Exécuter en tant qu'administrateur sous Vista et Xp).

Mets un CD réinscriptible dans ton graveur.

Toujours sur le PC "bien portant", ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles




Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTLPE-1.txt
Fermer le Bloc-notes.


Copier ce fichier OTLPE-1.txt sur une clé USB de façon à pouvoir le transférer sur le PC "malade" via REATOGO.

2) sur l'ordi malade

Modifie le BIOS du PC malade afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici http://forum.telecharger.01net.com/...

Fair redémarrer le PC, qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE

Tu as des outils pour copier tes données (si le DD est lisible) sur un support externe.

Cherche aussi la commande Exécuter et tape

chkdsk c: /f

puis OK.

Répare les fichiers si nécessaire.

===

Faire un double clic sur l'icône OTLPE
A la demande "Do you wish to load the remote registry", répondre Yes
A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

L'écran principal de OTLPE s'affiche:


Vérifier que les paramètres sont identiques à ceux de l'image ci-dessous.

http://assiste.com.free.fr/m/nick/OTLPE-main.png

Sur le PC "malade", ouvrir le fichier OTLPE-1.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad).

Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes" http://assiste.com.free.fr/m/nick/OTL-Paste.png et choisir Coller.

Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".



Puis cliquer sur le bouton Run Scan:


Le fichier rapport est sauvegardé dans C:\OTL.txt

Poste le dans ta réponse (en le transférant via la clé USB si tu n'as pas accès à Internet).


@+

[invitea11f0f0c]

Re,

J'ai bien suivi ton mode op, je boot sur le cd rom, REATOGO-X-PE se charge mais au chargement de windows xp j'ai cet écran bleu bloquant. Impossible d'aller plus loin.

[invitec04351b8]

Re,

ça arrive, il peut y avoir des interférences entre les 2 windows et OTLPE plante.

Il reste les Cd linux.

Une distribution légére et simple d'emploi avec un tuto :

http://www.pc-infopratique.com/artic...tou-linux.html

Quand tu auras fais les sauvegardes, avant de formatter, on peut tenter une réparation de Windows.

@+

[invitea11f0f0c]

Ok j'ai pu faire ma sauvegarde avec toutoulinux.

Est ce que j'ai un moyen de récupéré le fichier système que j'ai supprimé via tdskiller? J'ai regardé dans le répertoire quarantaine mais pas de trace.

Je suppose que toute la procédure que tu m'avais indiqué précédement, le chkdisk c: -f, et tout le reste n'est pas possible sous linux.

Merci

[invitec04351b8]

Bonjour,

est ce que tu connais le nom du fichier supprimé ?

Si oui, tu dois avoir un outil de recherche dans Toutou linux sur le nom du fichier.

La quarantaine de TDSSKiller, si j'ai bien compris, a plusieurs sous-répertoires. Tu les a tous parcouru ?

===

Tu as un DVD original de Windows 7 ou tu as créé lors du premier démarrage ?

C'est un PC de marque ? Tu as une partition de Recovery ?

Est ce que tu accèdes au menu de démarrage en options avancées ?

Je suppose que le mode sans échec ne démarre pas non plus.

@+

[invitea11f0f0c]

Le fichier est 'SafeBoot.sys' mais impossible de remettre la main dessus.

J'ai un portable HP et normalement j'ai une partition de restauration et j'espère car je n'ai pas de cd d'installation ni de live cd.

En effet le mode sans echec en est bien un.

Merci

[invitec04351b8]

Bonsoir,

une recherche sur safeboot ne donne rien ?

Ta phrase sur le mode sans échec est incompréhensible.

L'ordi démarre dans ce mode, oui ou non.

L'aide de HP sur la récupération est ici :

http://h10025.www1.hp.com/ewfrf/wc/d...name=c01926028

Tu peux commencer à la consulter.

Mais on cherche d'abord safeboot.

@+

[invitec04351b8]

Double inutile.

@+

[invitea11f0f0c]

la recherche ne donne rien

Pas de reboot possible en mode sans echec (c est un echec)

je me lance dans la récup

merci