Trojan Win32/Mebroot.mbr

Question

Bonsoir,

Je viens à votre rencontre pour un problème que je n'arrive pas à résoudre, après une infinité d'essais. 

Nod32 a détecté récemment un Trojan Win32/Mebroot.mbr . J'ai regardé dans les fichiers journaux, j'aurais celui-ci sur ce PC depuis hier soir. 

Je suis plutôt inquiet, car j'ai vu sur le net qu'il capte des données très importantes : mot de passe, données de compte bancaire. 

Je cherche à vaincre au plus vite ce trojan,

je vous remercie par avance,

à bientôt ! 

PS : S'il vous faut de plus amples informations, faites moi signes ! ;)


Configuration: Windows XP / Firefox 3.6.3

verni29 · Answer

Bonsoir, 

la dénomination de nod32 signifie plutot que c'est un rootkit de boot.
Il a infecté le secteur d'amorçage du PC.


* Télécharge mbr.exe  sur le Bureau
http://www2.gmer.net/mbr/mbr.exe

Désactive toutes tes protections résidentes à l'exception du pare-feu (Antivirus, protection du registre etc...),

* Double-clique sur mbr.exe et édite le rapport mbr.log généré.

A+

Tarsk · Answer

Merci bien de s'occuper de "mon cas" ;)

Voici le rapport demandé.

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x01749DDC1 
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !

verni29 · Answer

Tarsk,  

démarrer --> Exécuter --> tape cmd et copie/colle le texte suivant : 

 "%userprofile%\Bureau\mbr" -f
Pour coller le texte dans la fenêtre MS-Dos, click droit et choisis coller. 

Un rapport mbr.log est généré. Edite-le. 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

Tarsk · Answer

J'ai bien réalisé la manipulation. Seulement, où puis je trouver le rapport mbr.log ?

verni29 · Answer

Tarsk, 

C'est le même fichier que la première fois mais qui a été réécrit.
Il doit se trouver sur le bureau.

A+

Tarsk · Answer

Toujours le même rapport :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x01749DDC1 
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !

verni29 · Answer

OK, 

Bon, cela ne va pas être si simple.
Il y a actuellement beaucoup d'infections avec des rootkits et parfois ils sont couplés avec des infections plus complexes.

Supprime le fichier mbr.log sur ton bureau
Relance mbr.exe et poste le rapport mbr.log.

On avisera ensuite.

A+

Tarsk · Answer

Saleté de virus... :/

J'ai refait la procédure, voici le rapport :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 
copy of MBR has been found in sector 0x01749DDC1 
malicious code @ sector 0x01749DDC4 !
PE file found in sector at 0x01749DDDA !

verni29 · Answer

Bon, 

On va creuser mais j'ai un doute sur le rapport de mbr.

Il me semble que lors de ce type d'infection, ce rootkit, lorsqu'il s'est installé la première fois, a installé une copie dans un autre secteur sur le DD. 

Ce que détecte mbr est cette copie de l'infection.
Où elle se trouve, cette copie est inactive.
je vais demander à d'autres personnes pour le vérifier.

----------------------------------------------------------------------------------

1/ Télécharge OTL (de OldTimer) sur ton Bureau.  
http://oldtimer.geekstogo.com/OTL.scr 

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.  

* Double-clique sur  OTL.scr  pour le lancer.  
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.  
* Dans la partie  Personnalisation, copie/colle la liste suivante. 

 netsvcs  
Drivers32 
%SYSTEMDRIVE%\*.exe  
/md5start  
eventlog.dll  
scecli.dll  
netlogon.dll  
cngaudit.dll  
sceclt.dll  
ntelogon.dll  
logevent.dll  
iaStor.sys  
nvstor.sys  
atapi.sys  
IdeChnDr.sys  
viasraid.sys  
AGP440.sys  
vaxscsi.sys  
nvatabus.sys  
viamraid.sys  
nvata.sys  
nvgts.sys  
iastorv.sys  
ViPrt.sys  
eNetHook.dll  
ahcix86.sys  
KR10N.sys  
nvstor32.sys  
ahcix86s.sys  
nvrd32.sys  
/md5stop  
%systemroot%\*. /mp /s  
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide.  

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)  

Utilise un site comme http://cijoint.fr pour les déposer.  
indique ensuite les deux liens crées. 

2/ Tu peux faire le scan avec Nod32 et poster le rapport.
Je ne connais pas nod32 et je ne peux donc pas t'indiquer la démarche pour sauvegarder le rapport d'analyse

A+

Il se fait tard. je regarderais cela demain.

Tarsk · Answer

Voici les deux rapports :

OTL.txt :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijUfzmTRi.txt

Extras.txt :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijXKaFGzd.txt

Je joindrai dans un second post l'analyse de Nod32. 

Un grand merci du temps que tu m'accorde,

Bonne fin de soirée et a demain,

++

verni29 · Answer

pas encore couché mais j'y vais. ZZZZZzzzz

A demain.

Tarsk · Answer

Yep !

Alors oui, j'ai pu utiliser Combofix, pour virer quelques désinfections.

J'ai réalisé tout ce que tu m'as demandé dans sa globalité.

Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijnDAkSNR.txt

++

verni29 · Answer

tarsk, 

Je vois que tu viens de répondre à un post que j'avais ensuite supprimé où je te demandais de passer gmer.
En fait, en postant cette réponse, je m'étias rendu compte que tu n'avais pas encore posté le rapport de Nod32.
Et j'avais donc supprimé dans la foulée cette réponse.

mais bon, tu as bien fait. le rapport de gmer ne montre pas de trace de rootkit.

le rapport de nod32 est important car je voudrais bien savoir ce que détecte cet antivirus pour l'infection mebroot.

peux-tu lancer ce scan et poster le rapport ?

Ensuite, je te donnerais mon avis sur la suite .
Il y a une infection YoogSearch mais cela semble être tout.

A+

verni29 · Answer

Tarsk, 

je viens de relire le rapport.
Tu as changé tes protections

Nod32 --> Antivir + comodo.

As-tu lancé un scan avec antivir ?

A+

Tarsk · Answer

Oui, j'ai changé de Nod32. On m'a dit qu'Antivir,  c'était pas mal pour chasser les rootkits. Oui j'ai fait le scan avec Antivir, rien trouvé.

J'ai analysé les secteurs d'amorces, rien non plus.

verni29 · Answer

Re, 

On m'a dit qu'Antivir, c'était pas mal pour chasser les rootkits. Oui j'ai fait le scan avec Antivir, rien trouvé. Oui, c'est vrai. Antivir détecte très bien ce type d'infection.

J'ai analysé les secteurs d'amorces, rien non plus.Comme je te le disais hier, ce que trouve mbr est une copie de l'installation de ce rootkit. 
Sans danger mais impossible a supprimé si ce n'est faire le formatage de la partition. :-(

-------------------------------------------------------------------------------------

Pour l'infection yoog, 

Télécharge Yoog_Fix de Batch_Man sur ton Bureau.
http://batchdhelus.open-web.fr/programme/Yoog_Fix.exe

# Ferme ton navigateur si il est ouvert.
# Double-clique dessus et choisis l'option 1 ( Recherche )
# Attend que le scan se fasse, un rapport va s'ouvrir.

Poste le dans ta prochaine réponse.

Note : S'il ne s'ouvre pas le rapport est à la racine de ton disque sous le nom de Yoog_Fix.txt

A+

Tarsk · Answer

Mais si MBR trouve qu'une copie sur le disque dur le plus important C:\ (là où j'ai installé mon système), ou est l'original ? Sachant que sur les autres disques dur, cela ne sert à rien. Fin je pense. 

Un reformatage + réinstallation de windows permettrait de tout rentrer dans l'ordre ? 

Voici le rapport de Yoog_Fix :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijnX1kChM.txt

++

verni29 · Answer

tarsk, 

Il y a ceci à la fin du rapport de Yoog_Fix.

Veuillez uploader le fichier C:\Yoog_Fix\Backups\Backup_04_05_2010_2.zip à l'adresse suivante : http://batchdhelus.open-web.fr/upload 
Aide en images : http://batchdhelus.open-web.fr/upload/procedure.html 
 
Si la procédure échoue, veuillez l'envoyer à l'adresse email suivante : yoog.fix.sav@gmail.com 
Peux-tu uploader le fichier indiqué au concepteur de l'outil ?
Merci d'avance.

---------------------------------------------------------------------------

Pour répondre à ta question, oui, évidemment cela remettra tout dans l'ordre puisque tu vas alors réécrire tous les secteurs du disque dur.

Par contre, pour ce qui est de l'infection initiale, je ne sais pas ce que tu avais pu faire auparavant.
En tout cas, elle n'est plus présente.

Tu me dis avoir utilisé ComboFix.
Était-ce dans le cadre d'une désinfection sur un forum ?

Cet outil est très puissant et nettoie automatiquement beaucoup d'infections.
Il est en effet préconisé sur les forums de désinfection mais de façon encadré. ;-).

Qu'en penses-tu ?

j'aimerais en tout cas repasser Combofix

A+

Tarsk · Answer

J'ai uploader le fichier indiqué au concepteur de l'outil ;)

Donc s'il n'y plus d'infection initiale, je ne cours plus de risque ? Un reformatage est-il nécessaire du coup ? 

En ce qui concerne l'origine de l'infection, je n'en ai point idées. :/ Un fichier piégé je pense. 

J'avais utilisé Combofix sans recommandations. Je l'ai utilisé après avoir étudié mes rapports d'analyse (Nod32) puis j'ai voulut vraiment tout erradiquer. Mais peut-être que maintenant, avec tes dire, c'est peut-être une erreur d'executer Combofix comme ça. 

"j'aimerais en tout cas repasser Combofix "

Tu voudrais que je relance un scan avec Combofix ?

verni29 · Answer

Re, 

Donc s'il n'y plus d'infection initiale, je ne cours plus de risque ? Un reformatage est-il nécessaire du coup ? 
Non, pas nécessaire en effet.

Oui, on va réutiliser ComboFix et on va aussi réécrire le secteur d'amorçage du disque dur.
mais on va commencer par poursuivre le nettoyage.

-------------------------------------------------------------------

1/ Une infection que je n'avais pas repéré mais que le rapport de Yoog_Fix a mis en évidence. Ce n'est pas bien grave, uniquement le détournement de page de navigateur  Firefox --> hxxp://y.lo.st

Ouvre Firefox --> Outils --> Options --> général --> change la page d'accueil du navigateur.

2/ Il y a des traces d'une installation de Norton.

Relance OTL.exe.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL

PRC - [2007/09/26 11:56:14 | 000,554,352 | ---- | M] (Symantec Corporation) -- C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
SRV - File not found [On_Demand | Stopped] --  -- (LiveUpdate)
O2 - BHO: (no name) - {1C2DA439-4680-4E85-A22D-EB2385FABF80} - No CLSID value found.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (no name) - {AFDF17A7-0C81-40E3-BF95-21D0D14E2F02} - No CLSID value found.
O2 - BHO: (no name) - {CA2F6EE1-C89E-1FF8-6759-269EDA5AC1F3} - No CLSID value found.
O2 - BHO: (no name) - {F1C6D59E-2AFB-4449-9EA8-3448917D7B73} - No CLSID value found.
O2 - BHO: (no name) - {F829D492-6D5C-45DB-81EC-6D159BF9DEAB} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - No CLSID value found.
[2010/04/26 15:58:12 | 000,256,512 | ---- | M] () -- C:\WINDOWS\PEV.exe
[2010/01/01 21:58:00 | 000,000,000 | ---D | M] -- D:\Documents and Settings\lulu\Application Data\EoRezo
@Alternate Data Stream - 498 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:05EE1EEF
@Alternate Data Stream - 182 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9
@Alternate Data Stream - 116 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:64217CD0
@Alternate Data Stream - 1158 bytes -> D:\Documents and Settings\lulu\Cookies:k6rvRklkw8FPOkbCfMY
@Alternate Data Stream - 112 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:A73B0434
@Alternate Data Stream - 104 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2
@Alternate Data Stream - 101 bytes -> D:\Documents and Settings\All Users\Application Data\TEMP:8A73166A

:Commands
[emptytemp]
[emptyflash]

*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler, le PC va redémarrer.  

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le après redémarrage.  

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log  

A+

Tarsk · Answer

1/ -> OK

2/ -> Réalisé avec succès, voilà le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijeo0u6al.txt

verni29 · Answer

Tarsk,  

1/ Pour enlever ce qui reste comme trace de ComboFix. 

Supprime le fichier C:\WINDOWS\PEV.exe 

Puis Démarrer --> exécuter --> tape : 

ComboFix /uninstall
Puis valide par entrée.

2/ Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )  
http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )  
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.  

# Lance Combofix.exe et suis les invites.  
# Il te sera demandé d'installer la console de récupération.  
Important. Fais le absolument.  

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.   

# Une fois le scan fini, un rapport va apparaitre.  

Copie/colle ce rapport dans ta prochaine réponse.  

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.  

A+ 
Allez jusqu'au bout de la procédure de désinfection.

Tarsk · Answer

Je n'ai pas de PEV.exe dans C:\Windows\ . 

Est-ce grave ?

verni29 · Answer

Non, je le voyais dans un rapport d'OTL.

Tu peux passer à la suite.

A+

verni29 · Answer

Tarsk, 

On poursuivra cela demain.
Il reste quelques manips.

A+

Tarsk · Answer

Voici le rapport de combofix :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijSLwPOdU.txt

Aucun souci, 

bonne fin de soirée, bonne nuit par la suite,

encore un très grand merci ;)

++

verni29 · Answer

Tarsk, 

ComboFix a installé la console de récupération.
Tu peux le vérifier puisqu'au démarrage du PC tu dois avoir maintenant le choix entre démarrer Windows ou démarrer la console de récupération.

Redémarre le PC et choisis le mode avec la console.
Suis les invites.

Tu devrais avoir le message suivant :

1: C:\WINDOWS

Sur quelle installation de Windows XP voulez-vous ouvrir une session?
(Appuyez sur ENTRÉE pour annuler)  
Généralement, c'est 1 qu'on doit taper.

Copie le texte suivant car tu n'auras pas accès à windows. 
tape successivement : 

CD C:\Windows 
fixmbr \Device\HardDisk0 ( la dernière lettre est un chiffre, le zéro ) 

Tu auras un message comme quoi fixmbr peut endommager le secteur de démarrage. 
C'est normal car tu vas réecrire le boot. 
A la question "voulez-vous réécrie .... ". Accepte ( en tapant o ). 

Tape exit pour quitter la console. 
Le PC devrait redémarrer. 

2/ Sous windows, lance mbr.exe et poste le rapport obtenu. 

A+

Tarsk · Answer

Je n'arrive pas à accéder à la console de récupération. Quand je démarre l'ordi, en effet, j'ai le choix entre Démarrer Windows normalement ou Démarrer la console de récupération. Je sélectionne en faisant entrée, puis là, il se passe rien. Écran noir, avec dans le coin en haut à gauche, un petit tiret blanc qui clignote.

verni29 · Answer

OK, 

On va agir différement pour réecrire le boot .

1/ Télécharge le fichier suivant et enregistre-le sur ton bureau.
http://senduit.com/03a207

2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien 
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt


A+

Tarsk · Answer

Et voilà le rapport de Combofix ;)

http://www.cijoint.fr/cjlink.php?file=cj201005/cijsgj5HWE.txt

verni29 · Answer

Tarsk, 

Tu te demandais où était passé l'infection initiale sur ce rootkit mbr.
je pense que Combofix quand tu l'avais passé avait nettoyé le boot.

-------------------------------------------------------------

Une dernière analyse.

Tu vas faire un scan en ligne :
https://forum.pcastuces.com/default.asp

Et après; il restera des mises à jour et on terminera.

A+

Tarsk · Answer

J'ai un problème, pour réaliser l'analyse, il faut préparer le terrain. Dans une étape, il demande de contrôllait Active X. Malheureusement, quand je clique dans Options Internet < outils < IE, j'ai un message qui apparaît :

"cette opération à été annulé en raison des restrictions en vigueur sur cet ordinateur, veuillez contacter votre adminstrateur"

Que dois-je faire ?

Toujours un soucis :/

verni29 · Answer

Re, 

Cela arrive assez souvent avec ces scans en ligne.
Il faut plusieurs tentatives pour passer outre les différents problèmes.

Et dans ce cas, c'est l'installation de l'activeX qui coince.

C'est surprenant le message.
Tu peux essayer en passant par le panneau de configuration.

Panneau de configuration -> Options Internet

Ton compte utilisateur a bien des droits administrateur ?

Tu peux réessayer mais on ne va pas s'entêter.
Antivir n'a rien trouvé. Le scan en ligne est une vérification supplémentaire.
Et je pense que le PC est propre.

A+.

Tarsk · Answer

Dans le panneau de configuration, il n'y a pas Options Internet. Ni en affichage normal, ni en affichage classique.

Oui, mon compte utilisateur a bien les droits administrateur.

verni29 · Answer

Re, 

Relance OTL.exe.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL

O7 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present


*  Puis clique sur le bouton Correction en haut de la fenêtre.  

Redémarre le PC.

Puis vérifie que tu as accès aux options internet dans le panneau de configuration.

A+

Tarsk · Answer

J'ai fait la manipulation, aucun résultat. :/

Est-ce grave de ne pas faire les manip envers ActiveX pour bitdefender ?

Tarsk · Answer

Je suis claqué, je file au lit.

On se recontacte demain,

bonne soirée ;)

++

verni29 · Answer

Re, 

Est-ce grave de ne pas faire les manip envers ActiveX pour bitdefender ?
le scan en ligne, c'était une analyse supplémentaire.
Non, ce qui m'embête plus, c'est que tu n'ai plus accès aux options internet.
Ce n'est pas nécessairement le fait d'une infection ( modification d'une clé de la base de registre ).
je recherche l'info et on verra pour ce problème.

--------------------------------------------------------------------

Mets à jour le PC.

1/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

Un rapport sera crée. Poste-le.

2/ Désinstalle adobe acrobat 4.0

Mets à jour Acrobat Reader. 
https://get2.adobe.com/fr/reader/otherversions/

A+

Tarsk · Answer

Bonjour ! 

Je suis désolé, je n'ai pas pu réaliser ces manipulations plutôt.

JavaRa a bien été mis à jour, le problème reste quand je fais "Effacer les anciennes versions" un rapport d'erreurs s'ouvre. 

Sinon, Adobe acrobat a bien été mis à jour.

Et j'ai refait un scan complet avec Antivir cette nuit, apparement, je ne l'avais pas fait au préalable, puisqu'il a trouvé 215 virus.

Le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cij714Wzcl.txt

++

verni29 · Answer

Tarsk, 

Antivir a détecté beaucoup de fichiers comme infectieux.
Le sont-ils ? J'ai un doute.

Les fichiers trouvés sont :
- dans un répertoire temporaire : D:\Documents and Settings\gwenaelle\Local Settings\Temp
Cela semble être des mises à jour Component Update XX

- dans un dossier de Norton : D:\Documents and Settings\All Users\Application Data\Symantec

et 
- dans la restauration système : C:\System Volume Information
Par contre, pour ces derniers, ceci indique que cette restauration système est infectée et donc inutilisable.
On va la nettoyer.

------------------------------------------------------------------------

1/ Supprime le dossier D:\Documents and Settings\All Users\Application Data\Symantec. 
Tu n'utilises plus cet antivirus.

2/ Pour Java, désinstalle via le panneau de configuration et Ajout/supp de programmes toutes les versions précédentes que tu trouveras :
Java(TM) 6 Update x ( x est un nombre ).
la dernière version que tu as installé est la version 20.

3/ Vide la quarantaine d'Antivir.
Ouvre Antivir --> Administration --> Quarantaine

4/ On va enlever les outils utilisés :
Ouvre OTL et clique sur Purge Outils.
Supprime Yoog_Fix sur ton bureau.

Vérifie que ComboFix a été supprimé ainsi que mbr.exe et gmer.

5/ Utilise CCleaner pour nettoyer les dossiers temporaires et la base de registre.

----------------------------------------------------------------------------

Pour Options Internet qui n'est pas accessible, il faut aller dans la base de registre :

# Démarrer --> exécuter --> tape : Regedit puis valide.
# Navigue jusqu'à la clé :

HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Internet Explorer\ Restrictions
Regarde si il y a une donnée NoBrowserOptions.
Double clique sur cette donnée et donne lui comme valeur 0.

Il est possible que ce soit aussi la clé suivante qu'il faille modifier.
HKEY_CURRENT_USER\ SOFTWARE\ Policies\ Microsoft\ Internet Explorer\ Restrictions 

---------------------------------------------------------------------------

On s'occupera de la restauration système ensuite.

A+

Tarsk · Answer

Bonsoir ! 

1/ -> Ok, manipulation réalisée avec succès.

2/ -> Ok, désinstallation des versions précédentes réalisée avec succès.

3/ -> Ok, quarantaine vidée.

4/ -> Ok, outils précédemment utilisés nettoyés avec succès. Puis-je supprimer 

tous les rapports présent sur mon bureau ?

5/ -> Ok, nettoyage avec CCleaner réalisé avec succès.

Enfin, pour "Options Internet", je n'ai pas pu réalisé la manipulation.

En effet, arrivé ici HKEY_CURRENT_USER\ SOFTWARE\ Policies\ Microsoft\ je n'ai pas de dossier Internet Explorer. 

++

Tarsk · Answer

Un petit plus, un screenshot de regedit :

http://img340.imageshack.us/img340/223/registre.jpg

verni29 · Answer

Tarsk, 

Tu peux essayer ceci pour les options internet.
https://forums.commentcamarche.net/forum/affich-3203641-xp-options-internet-ne-s-ouvre-plus#13

A+

Tarsk · Answer

Bonsoir !

Options Internet est de nouveau accessible ! Super ça !

Un très grand merci ;)

Je m'occuperai de faire le scan en ligne d'ici une petite heure alors.

Encore merci,

je te tiens aux nouvelles,

++

verni29 · Answer

Tarsk, 

Il reste une chose ou deux à faire.
Si tu as réalisé un scan en ligne, dis moi ce qu'il en est.

A+

Tarsk · Answer

Bonsoir !

Je suis désolé, ces temps-ci, je n'ai pas le temps de me connecter, quand je rentre, c'est au lit directement. 

J'ai voulut réaliser le scan en ligne, malheureusement, en retournant sur le lien que tu m'avais précédemment donné, qui était un très bon tutoriel, j'ai constaté que le lien n'était plus valide en tombant sur la page d'accueil du forum.

Bonne soirée,

Tarsk

verni29 · Answer

re, 

au choix :

Eset :
https://forum.pcastuces.com/eset_online_scanner___nouvelle_version_du_scanner-f31s56.htm

Bitdfender :
https://forum.pcastuces.com/default.asp

Tarsk · Answer

Bonsoir !

Tes deux liens sont dead. 

++

verni29 · Answer

Tarsk,  

Cela m'étonne.  
Je viens de les tester. 

Pour eset : https://www.eset.com/

;-) 
Allez jusqu'au bout de la procédure de désinfection.

Tarsk · Answer

Bonsoir Verni ! 

Je suis désolé, cela fait un moment que je n'ai pas donner de nouvelles. 

J'ai réalisé ce scan cette nuit (5h36 et 33s, ça fait long), et voici le rapport :


D:\Documents and Settings\joséphine\Local Settings	emp\jar_cache7343241633556832321.tmp	une variante de Java/Exploit.Agent.F cheval de troie	supprimé - mis en quarantaine
D:\Documents and Settings\joséphine\Local Settings	emp\jar_cache8273518589046782649.tmp	une variante de Java/TrojanDownloader.Agent.NBA cheval de troie	supprimé - mis en quarantaine 


Bonne soirée,

++

verni29 · Answer

tarsk, 

Très bien.
On termine.

Il reste les points de restauration à nettoyer.

Il faut donc nettoyer la restauration système  et créer un point propre.

Les points de restauration : 

-  Panneau de configuration --> Système --> Restauration du système 

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- >  valider -- > cocher )
Une fenêtre va s'ouvrir pour t'avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

------------------------------------------------------------------------------------

Un peu de lecture : projet antimalwares : https://www.malekal.com/projet-antimalware-2/


----------------------------------------------------------------------------------

En te souhaitant bonne lecture, bon surf.

Salut et bonne continuation.

Tarsk · Answer

Bonjour !

Les manipulations dédiées aux points de restauration ont été effectué avec succès. 

J'ai télécharger le PDF sur le projet antimalwares, je n'ai pas encore lu, mais ça a l'air bien intéressant. Je le ferai tourner ;) 

Un grand merci pour tout le temps que tu m'as accordé, et pour le succès de cette longue opération de désinfection & mise à jour ! Je t'en suis très reconnaissant. 

Je te souhaite également une bonne continuation, 

Bonne fin de week-end, 

Tarsk

Trojan Win32/Mebroot.mbr

52 réponses

Votre réponse

Discussions similaires

Newsletters