Win32/Small.CA ainsi que Rootkit hidden service

[invitea93868fa]

Bonsoir ,

-Je viens de recevoir un message de Windows me disant que j'ai été infecté par Win32/Small.CA

-Par réflexe, je clique sur le lien de la solution que me propose Windows, et cela me conduit à télécharger Microsoft Safety Scanner. Je lance le scan, et il ne
m'indique aucune infection. Je lance Windows Defender, et pareil, rien du tout.

-Je décide de lancer un scan minutieux d'Avast, et à la fin de l'analyse, il me sort 5 infections dont la menace est Rootkit Hidden Service. Je tente une action, supprimer ou mettre en quarantaine, mais Avast me dit que ce n'est pas possible : "cette demande n'est pas prise en charge". Donc je n'arrive à rien faire...
Un des fichiers infectés s'appelle : SVC : mfeapfk > C :\Windows\system32\drivers\mfe apfk.sys
les 4 autres se ressemblent dans leur appellation.

- Puis j'ai suivi la procédure indiquée sur le site, et j'ai les deux rapports.

Merci

Bonne soirée
-----

[invite28e3abb9]

Bonjour et bienvenue sur Futura Sciences


Avast! détecte un pilote appartenant à McAfee.

L'alerte concernant Win32/Small.CA désigné quel fichier ?

A +

[invitea93868fa]

Bonjour,

Merci pour l'info sur les pilotes McAfee

Je ne suis pas sûr, mais je crois que pour le fichier infecté par le virus Win32/Small.CA

il y a marqué ceci :
Chemin d’accès de l’application défaillante : C:\Windows\System32\services.e xe

Merci

Cordialement

[invite28e3abb9]

re,



Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

• Lance OTL.exe, l'interface principale s'ouvre.
• Coche la case Tous les utilisateurs
• Laisse tous les autres paramètres par défaut
• Dans la partie "Personnalisation", copie/colle la liste en citation :

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.*
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.* /s
BASESERVICES
CREATERESTOREPOINT

• Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
• 2 rapports vont s'ouvrir au format bloc-note :
• OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
• Poste ces 2 rapports en PJ

Aide : Tutorial OTL (par Malekal)

A +

[A voir en vidéo sur Futura]

[invitea93868fa]

Voila le rapport Extras,

mais j'arrive pas à mettre le rapport OTL, il est trop volumineux : 39.8 Mo

A+

[invite28e3abb9]

ok,


Relance OTL, avec ces instructions :

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
CREATERESTOREPOINT

• Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
• Un nouveau rapport OTL.txt va s'ouvrir au format Bloc-note.
• Poste le en PJ

[invitea93868fa]

Le rapport OTL

[invite28e3abb9]

ok,


Tu devrais désinstallé aussi McAfee SiteAdvisor
Avec Avast!, tu as déjà ce même type de module de réputation des sites web.

Rien de particulier dans les rapports, mise à part l'activation de Microsoft Office


1. Relance OTL

Avis aux utilisateurs de l'antivirus Avast!, ne pas exécuter OTL dans la sandbox.

• Dans la partie "Personnalisation", copie/colle les instructions suivantes :
  
  

  :OTL
  IE - HKU\S-1-5-21-2550393193-1879968501-1177456469-1001\Software\Microsoft\Window s\CurrentVersion\Internet Settings: "ProxyOverride" = <local>;*.local
  O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\MSKAPB~ 1.DLL File not found
  O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\Common Files\McAfee\SystemCore\Script Sn.20120904164852.dll File not found
  O2 - BHO: (McAfee Phishing Filter) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\progra~1\mcafee\msk\mskapbh o.dll File not found
  O2 - BHO: (scriptproxy) - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files (x86)\Common Files\McAfee\SystemCore\Script Sn.20120904164852.dll File not found
  [1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
  :Files
  ipconfig /flushdns /c
  :Commands
  [emptytemp]

• Ferme impérativement les applications en cours.
• Clique sur le bouton Correction.
• Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
• Accepte en cliquant sur OK.
• Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque dans ce dossier C:\_OTL\MovedFiles


2. Télécharge Malwarebytes Anti-Malware et installe le selon l'emplacement par défaut (l'essai de la version pro est facultative).

• Laisse cochés les cases : Mettre à jour Malwarebytes Anti-Malware et Lancer Malwarebytes Anti-Malware, puis clique sur Terminer.
• Si une mise à jour est trouvée, il va télécharger et installer la dernière version.
• Une fois le programme chargé, sélectionne "Effectuer un examen rapide", puis clique sur le bouton Rechercher.
• Lorsque l'analyse est terminée, clique sur OK, puis Afficher les résultats.
• Vérifie que toutes les cases soient cochées, puis clique sur Supprimer la sélection.
• Quand la désinfection est terminée, un rapport s'ouvre dans le Bloc-notes.
• Si des éléments sont difficiles à supprimer, Malwarebytes l'indiquera, clique sur OK, laisse l'outil poursuivre la désinfection.
• Accepte de redémarrer l'ordinateur si nécessaire.

Les rapports sont automatiquement enregistrés par MBAM et peuvent être consultés en cliquant sur l'onglet rapports/logs.

Aide : Tutoriel MalwareByte's Anti-Malware


3. Poste les 2 rapports en PJ

A +

[invitea93868fa]

Bonjour,

Apparemment il n'y rien à signaler de particulier.

Je vous envoie en PJ les 2 rapports

Merci pour votre aide

[invite28e3abb9]

Bonjour,


Encore des soucis ?


Relance OTL

• Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
• Un nouveau rapport OTL.txt va s'ouvrir au format Bloc-note.
• Poste le en PJ

A +

[invitea93868fa]

Voila la rapport OTL

A+

[invite28e3abb9]

ok,



== == == == == == == == DÉSINSTALLATION DES OUTILS == == == == == == == ==

1. Lance OTL

• Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]

• Clique sur le bouton Correction

2. Relance OTL

• Clique sur le bouton Purge outils
• Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
• Supprime les outils et les rapports restants éventuellement sur ton Bureau.

== == == == == == == == == == MISES A JOUR == == == == == == == == == ==


Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour

ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

Désinstalle les anciennes versions de Java si tu en as encore installées.


== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation