26 réponses
- 1
- 2
Suivant
Bonjour,
C'est un virus, nous allons regarder ça de plus près :
--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)
--> Clique sur Continue à l'écran Disclaimer.
--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : les rapports sont sauvegardés dans le dossier C:\rsit.
C'est un virus, nous allons regarder ça de plus près :
--> Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
--> Double-clique sur RSIT.exe afin de lancer le programme.
(Sous Vista, il faut cliquer droit sur RSIT.exe et choisir Exécuter en tant qu'administrateur)
--> Clique sur Continue à l'écran Disclaimer.
--> Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
--> Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).
Note : les rapports sont sauvegardés dans le dossier C:\rsit.
Merci, je m'en doutais.
J'ai déjà posté un message sur le forum Virus/Sécurité mais je vais également tes instructions.
J'ai déjà posté un message sur le forum Virus/Sécurité mais je vais également tes instructions.
J'ai lu ce topic :
http://www.commentcamarche.net/forum/affich-14158562-worm-palevo
Mieux vaut que tu suives mes manip' ;)
http://www.commentcamarche.net/forum/affich-14158562-worm-palevo
Mieux vaut que tu suives mes manip' ;)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Très bien,
Voici le deux rapports :
http://www.cijoint.fr/cj200908/cijkRMZf6x.txt : Log.txt
http://www.cijoint.fr/cj200908/cijwz0VSlO.txt : Info.txt
Il y a également un autre fichier : mcdrive32.exe
Voici le deux rapports :
http://www.cijoint.fr/cj200908/cijkRMZf6x.txt : Log.txt
http://www.cijoint.fr/cj200908/cijwz0VSlO.txt : Info.txt
Il y a également un autre fichier : mcdrive32.exe
1/
--> Démarre Spybot, clique sur Mode, coche Mode avancé.
--> A gauche, clique sur Outils, puis sur Résident.
--> Décoche la case devant Résident "TeaTimer" :
http://sd-1.archive-host.com/membres/up/3288717712384394/TeaTimer.jpg
--> Quitte Spybot.
2/
---> Télécharge OTM (OldTimer) sur ton Bureau.
---> Double-clique sur OTM.exe afin de le lancer.
---> Copie (Ctrl+C) le texte suivant ci-dessous :
:processes
explorer.exe
:services
qggem
:reg
[-HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Driver Setup"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Microsoft Driver Setup"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"12CFG214-K641-12SF-N85P"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rgadta.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rgadta.sys]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\Temp\tnwvrevdok.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\010.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\236.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\227.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\879.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\816.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\651.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\955.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\372.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\558.exe"=-
:files
C:\WINDOWS\mcdrive32.exe
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\WINDOWS\Temp\tnwvrevdok.exe
C:\Program Files\SpywareDetector
C:\WINDOWS\tasklist.exe
C:\WINDOWS\system32\drivers\lvfawrhxmwuray.sys
:commands
[purity]
[emptytemp]
[reboot]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt! puis ferme OTM.
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
--> Démarre Spybot, clique sur Mode, coche Mode avancé.
--> A gauche, clique sur Outils, puis sur Résident.
--> Décoche la case devant Résident "TeaTimer" :
http://sd-1.archive-host.com/membres/up/3288717712384394/TeaTimer.jpg
--> Quitte Spybot.
2/
---> Télécharge OTM (OldTimer) sur ton Bureau.
---> Double-clique sur OTM.exe afin de le lancer.
---> Copie (Ctrl+C) le texte suivant ci-dessous :
:processes
explorer.exe
:services
qggem
:reg
[-HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Driver Setup"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"Microsoft Driver Setup"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"12CFG214-K641-12SF-N85P"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rgadta.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\rgadta.sys]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\Temp\tnwvrevdok.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\010.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\236.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\227.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\879.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\816.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\651.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\955.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\372.exe"=-
"C:\DOCUME~1\Nowaki\LOCALS~1\Temp\558.exe"=-
:files
C:\WINDOWS\mcdrive32.exe
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe
C:\WINDOWS\Temp\tnwvrevdok.exe
C:\Program Files\SpywareDetector
C:\WINDOWS\tasklist.exe
C:\WINDOWS\system32\drivers\lvfawrhxmwuray.sys
:commands
[purity]
[emptytemp]
[reboot]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt! puis ferme OTM.
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Voici le rapport : http://www.cijoint.fr/cj200908/cijCIaiveb.txt
Sinon, une fois que OTM ait finit, j'ai eu plusieurs messages d'erreurs disant que des fichiers sont endommagés ou illisibles.
Sinon, une fois que OTM ait finit, j'ai eu plusieurs messages d'erreurs disant que des fichiers sont endommagés ou illisibles.
"j'ai eu plusieurs messages d'erreurs disant que des fichiers sont endommagés ou illisibles."
---> A quel moment ?
---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
---> A quel moment ?
---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
J'ai eu ces messages d'erreur après avoir cliqué sur MoveIt!.
Bon, j'ai fais ce que tu m'as dis, voila le rapport : http://www.cijoint.fr/cj200908/cijuuCnunl.txt
Seulement voila, il y a un gros problème :
A chaque scan de MBAM, il me détecte au moins une dizaine de nouvelles infections, et généralement c'est toujours les même qui refont surface, surtout Worm.Palevo sur le fichier mcdrive32.exe qui réapparait dans les processus à chaque redémmarage.
Et la fenêtre Dll32b.exe se réouvre toujours...:/
Bon, j'ai fais ce que tu m'as dis, voila le rapport : http://www.cijoint.fr/cj200908/cijuuCnunl.txt
Seulement voila, il y a un gros problème :
A chaque scan de MBAM, il me détecte au moins une dizaine de nouvelles infections, et généralement c'est toujours les même qui refont surface, surtout Worm.Palevo sur le fichier mcdrive32.exe qui réapparait dans les processus à chaque redémmarage.
Et la fenêtre Dll32b.exe se réouvre toujours...:/
Oui, il y a des rootkits, c'est pour ça que les infections reviennent.
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\
--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\
--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix
Non pas du tout, mais ces temps ci, les installations se font en espagnol oO
Bon, j'ai eu d'autres problèmes avec Combofix :
Au cours de l'analyse, il a détecté des rootkits, j'ai du redémarré. Seulement voila, après le redémarrage Antivire a bloqué l'accès à presque tous les programmes, y compris explorer.exe et ComboFix qui n'a pas pu continuer l'analyse...
J'ai désinstallé donc Antivire, et vais réessayer encore une fois avec ComboFix.
J'ai aussi remarqué que Dll32b.exe et mcdrive32.exe ne revenaient plus !
Bon, j'ai eu d'autres problèmes avec Combofix :
Au cours de l'analyse, il a détecté des rootkits, j'ai du redémarré. Seulement voila, après le redémarrage Antivire a bloqué l'accès à presque tous les programmes, y compris explorer.exe et ComboFix qui n'a pas pu continuer l'analyse...
J'ai désinstallé donc Antivire, et vais réessayer encore une fois avec ComboFix.
J'ai aussi remarqué que Dll32b.exe et mcdrive32.exe ne revenaient plus !
Encore désolé, mais j'ai un nouveau problème avec ComboFix :
Une fois téléchargé, je double clique sur l'icône, je vois une fenêtre de chargement et puis c'est tout. Rien ne se passe :/
Une fois téléchargé, je double clique sur l'icône, je vois une fenêtre de chargement et puis c'est tout. Rien ne se passe :/
Je viens de le faire, et incroyablement aucune infection n'a été détecté O_O
Merci infiniment ! Et merci à ComboFix =p
J'ai quelques autres problèmes qui n'ont pas un rapport avec un virus ou une infection, pourrais je t'en faire part ici ou dois-je refaire un topic ?
Merci infiniment ! Et merci à ComboFix =p
J'ai quelques autres problèmes qui n'ont pas un rapport avec un virus ou une infection, pourrais je t'en faire part ici ou dois-je refaire un topic ?
--> Installe AntiVir et mets-le à jour.
--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.
--> Dans AntiVir, choisis Outils puis Configuration.
--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.
--> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.
Tutoriel sur AntiVir
--> Double-clique sur l'icône d'AntiVir (Parapluie) dans la barre des tâches.
--> Dans AntiVir, choisis Outils puis Configuration.
--> Coche Mode Expert et coche Rech. Rootkit au dém. de la recherche à droite dans Autres réglages puis valide.
--> Fais un scan complet, clique sur Tout réparer si AntiVir trouve quelque chose et poste le rapport.
Tutoriel sur AntiVir
- 1
- 2
Suivant
