Clé USB et PC infectés!!! merci de m'aider [Résolu/Fermé]

Signaler
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014
-
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014
-
Salut à tous & merci d'avoir pris le temps de lire ce message.
Je passe directement au problème qui me saoul depuis plus de 3 semaines ^^"

D'abord le PC a été infecté (je n'sais comment peut être la clé de ma soeur) & il a infecté par la suite ma clé.
J'ai bon cherché sur le net & sur les forums, suivi les conseils & recommandations selon les virus & infections détectés... mais tous réapparait de nouveau :/ donc le PC n'est pas bien nettoyé.
J'ai AVG anti virus, j'ai scanné pas mal de fois & supprimé. J'ai utilisé flash disinfector, malwarebyte's en mode sans échec, j'ai formaté ma clé & installé Panda USB mais apparement ca ne sert à rien.

Les virus/ infections détectés à chaque fois: win32/heur ,trojan.agent ,worm.autorun, cheval de troie, hacktool.patcher je peux poster les rapport de malwarebyte's ou de AVG. J'n'ai pas encore utilisé hijackthis car j'y pigerai rien dans le rapport ^^"
AVG & mbam me détectent la plupart des infections dans un dossier nommé E_N4 dans les fichiers temporaires & que j'n'arrive pas à supprimer .Un autorun.inf (vide) sur ma clé qui ne veut pas se supprimer (sachant que j'ai mis flach disinfector sur ma clé aprés son formatage car d'aprés ce que j'ai lu ca évite l'infection autorun de la clé en créant un doss autorun.inf vide)

Problème av PC & clé: le curseur de la sourie qui file vers les bords, apparition d'erreur avec un "W" ou un "K" parfois, y'a aussi une petite fenêtre d'erreur incomprise! Ni mozilla ni ie ne voulaient marcher ce matin, les dossiers de ma clé sont remplacés par des dossiers du même nom avec l'extension .exe même aprés formatage

J'espère que j'ai tous dis, merci ENORMEMENT d'aider une désespérée mais qui reste tous de même optimiste ^^" merci merci!

Bonne journée à tous & à toutes ^^

25 réponses

Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Salut à toi !

Pourrais tu poster le rapport de MBAM et AVG ? Pour que je voye ou se situent les infections.

++
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

ok ^^ bon voilà le rapport de mbam & celui de AVG je l'posterai demain (là c'est 22:11 chez moi). Merci ^^

http://www.cijoint.fr/cjlink.php?file=cj201004/cijRFTzRi9.txt
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Salut

Tu n'est pas de France ? ( simple curiosité )

Après avoir posté le rapport d'AVG fait ceci pour établir un diagnostique :

▶ Télécharge ZHPDiag

▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

▶ Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

++
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

Non j'suis marocaine ^^

Pour AVG j'sais pas précisément où se trouve le rapport mais j'ai collé les résultats de la dernière analyse: http://www.cijoint.fr/cjlink.php?file=cj201004/cij2s5ZX0s.txt
Sachant que toutes ces infections sur ces rapports réapparaissent de nouveau même après le nettoyage avec AVG ou MBAM :/

Voilà pour ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201004/cijesCauWC.txt

J'attends ta (votre) réponse & merci
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Salut !

Bon y'a du boulot pour commencer :

1-

Supprime ceci : C:\Program Files\webserver

2-

? Télécharge mbr.exe de Gmer sur le Bureau

? Désactive toutes tes protections et coupe la connexion.

? Double clique sur mbr.exe et laisse l'outil travailler : un rapport nommé mbr.log sera généré

? Poste son rapport dans ta prochaine réponse
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

salut, tu pourrais m'expliquer ce que t'as trouvé dans le rapport? ^^ j'aimerai bien savoir(pas en détails bien sur), & pourquoi supprimer le dossier webserver en particulier? (y'a de icônes d'eMule dedans, sa suppression n'affectera pas eMule?? car mon frère l'utilise)
& voilà le rapport de mbr:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

donc y'a pas d'infection rootkit, c'est ca?
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Salut

Pour le dossier à supprimer, il fait parti de l'infection KoobFace

De plus tu avait un rootkit MBR ( dossier ) que MBR de Gmer a supprimé ;)

1-

> Rends toi sur VirusTotal

-> Affiche les fichiers et dossiers cachés

-> Upload ce fichier

C:\WINDOWS\system32\CD38DB\<gras>BA7894.exe

</gras>

-> Copie et colle le lien du rapport dans ta prochaine réponse.

++
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

Ah d'accord merci ^^

Pour la démarche j'arrive pas à l'effectuer, le dossier CD38DB est vide & quand j'fais la recherche pour BA7894 on me dis qu'il est introuvable (alors j'le supprime?)

& en fait, l'analyse d'aujourd'hui d'AVG m'a trouvé un cheval de troie dans un dossier caché qui se trouve aussi dans system32 nommé: B4D6B9 & en l'explorant j'ai trouvé quelques fichiers y compris 2 avec un W & un K (les erreurs dont j'avais parlé au début), donc j'en fais quoi à ton avis?

Voila le rapport de VirusTotal pour l'un des 2 (W): https://www.cjoint.com/?fbadWfDWk3
J'ai fais la même chose pour le reste du dossier & y'a qu'un fichier/6 qui est clean ^^"....:s Bonne nuit
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Salut

On va passer directement à cela :

/!\ Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
Ne pas utiliser en dehors de ce cas de figure : dangereux! /!\


* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC

▶ Télécharge Combofix de sUBs

▶ et enregistre le sur le Bureau.

désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware) et déconnecte toi d'internet.

Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Installer la console de récupération !!

héberge le rapport sur Ci-Joint


A+
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

C'est moitié fait, voilà le rapport de Combofix: http://www.cijoint.fr/cjlink.php?file=cj201005/cijMoihjJw.txt

J'ai téléchargé la console de récupération manuellement, j'voulais savoir si ca marchera pour une version non originale de windows, car c'est ce que j'ai ^^" quand je glisse le fichier vers combofix c'est ce dernier qui s'exécute, & puisque celui-ci me demande de redémarrer & désactiver mes DD temporairement (comme quand j'l'ai exécuté la 1ère fois) j'ai accepté mais le démarrage s'est passé comme d'habitude donc elle n'a pas été instalé , que faire? pourrais-je m'en passer?
sinon aprés instalation pourrai-je supprimer combofix?

(depuis que j'ai exécuté combofix, la connexion se déco toute seule de temps à autre)
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Salut !

Tu m'a dit que dans ce dossiers C:\WINDOWS\system32\B4D6B9 il y avait qu'un fichier sur 6 qui était clean. Peut tu m'indique le nom des fichiers ? Et le rapport de VirusTotal pour les 5 fichiers infectés ( ré-analyse les pour avoir un nouveau rapport ;) )

++
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

Slt, tu m'as pas répondu pour combofix, si j'n'installe pas la console de récupération y'aura aucun souci avec le PC?

Dans le dossier B4D6B9 y'a aussi:
-Z993FA4A.exe: http://www.cijoint.fr/cjlink.php?file=cj201005/cijhgJGxsi.txt
-WL77D2F8.exe: http://www.cijoint.fr/cjlink.php?file=cj201005/cij0qb0y2l.txt
-W779925F.exe: http://www.cijoint.fr/cjlink.php?file=cj201005/cijI38M48b.txt
-QT815D8E.exe: http://www.cijoint.fr/cjlink.php?file=cj201005/cij4wmwdKe.txt
-QB81AA9C.exe: http://www.cijoint.fr/cjlink.php?file=cj201005/cijDJKWyh6.txt
(maintenant ils sont tous infectés! -_-")
y'a un autre qui s'est ajouté: a7.ini mais il est clean: http://www.cijoint.fr/cjlink.php?file=cj201005/cijH47HIHt.txt

A+
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
salut

Pour la console de réparation, si un fichier systeme aurait été patché alors combofix ne l'aurait pas désinfecté.

Je te posterais la suite demain car là chuis à la bourre lol

++
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

ok (j'attends toujours ta réponse ^^")
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Désolé, j'attends confirmation pour passer à la suite ;)
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

Confirmation de qui??
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Désolé du retard, je demande confirmation pou script auprès d'un Helper.
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

Ah ok alors ^^ merci de me tenir au courant.
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
C'est bon lol voici le la suite :

Désactive la protection de ton antivirus, anti-spyware et ferme internet et tes applications

-> Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::

Folder::
c:\windows\system32\B4D6B9
c:\windows\system32\BFA5EB
c:\windows\system32\CD38DB
c:\windows\system32\F3AB5A

File::
c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\BA7894.lnk
c:\windows\system32\drivers\gtodne.sys

Driver::
ndwjoud

-> Enregistre ce fichier sous le nom CFScript

-> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

-> Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!

* Ne touche à rien tant que le scan n'est pas terminé.

-> Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

-> Si le fichier n'apparait pas, il se trouve ici dans C:\ sous le nom de ComboFix.txt

++
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

Merci ^^ voilà c'est fait, le rapport: http://www.cijoint.fr/cjlink.php?file=cj201005/cijUiouMRv.txt

(y'a un dossier Qoobox sur C où y'a des docs texte de combofix de quarantaine & plein d'autres. Si j'le supprime le PC n'aura rien? (faut que j'fasse de la place sur C))
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Salut

Combofix a fait du ménage, par contre ne supprime pas Qoobox on le fera à la fin. Je te poste la suite demain après-midi ;) bonne soirée !

++
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

d'acc ^^ bonne nuit & à demain!
Bon j'ai fais un scan avec MBAM & il ne détecte que les fichiers dans la quarantaine du dossier Qoobox : http://www.cijoint.fr/cjlink.php?file=cj201005/cijFLguQoe.txt que j'n'ai pas supprimé jusqu'à maintenant comme tu m'as demandé.
J'ferai un scan avec AVG et j'posterai son rapport aussi.
A+ ^^
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Ok, Poste le rapport d'AVG je pense que l'on pourra passer à l'optimisation ;)

++
Messages postés
104
Date d'inscription
mercredi 28 avril 2010
Statut
Membre
Dernière intervention
4 août 2014

voilà pour le rapport AVG: http://www.cijoint.fr/cjlink.php?file=cj201005/cijdBtalHb.txt
(PS. le problème du curseur st toujours le même, il va dans les bords de l'écran des fois)
Messages postés
1057
Date d'inscription
dimanche 6 décembre 2009
Statut
Contributeur sécurité
Dernière intervention
16 novembre 2011
71
Vu,

On va faire un scan généraliste

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent (car il est detecté a tort comme infection)

? Télécharge List&Kill'em et enregistre le sur ton bureau

? Branche clés usb , disques durs externes , mp3 , mp4 , etc..

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

coche la case "creer une icone sur le bureau"

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis la langue puis clic sur Search

? laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , mais ne le supprime pas pour l instant, le scan n'est pas fini.

? Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

tu peux supprimer le rapport catchme.log de ton bureau maintenant.

++