Sujet Précédent Sujet Suivant

Security Essentials 2010

Résolu/Fermé
RastaRaquette - 22 mai 2010 à 00:02
 Utilisateur anonyme - 26 mai 2010 à 21:51
Bonjour,

Comme beaucoup, je viens de choper une variante avec la fameuse croix rouge qui nous indique être attaqué par un virus et demandant d'installer un Security Essentials 2010 et de désactiver l'antivirus résident.

J'ai cru comprendre qu'il y a une procédure mais dans le doute, je préfererai être guidé pour l'appliquer.
Merci pour votre aide.


A voir également:

61 réponses

Précédent
Réponse 21 / 61
RastaRaquette
22 mai 2010 à 19:16
Heu, je suis pas sur de savoir ce qu'est un rootkit...
Donc c'est grave docteur ?
Parce que là, c'est de pire en pire, PC super lent, programmes impossibles à lancer, etc.
Dans tous les cas, encore merci pour ton aide et pour ton temps concacré.
0
Réponse 22 / 61
Utilisateur anonyme
22 mai 2010 à 19:20

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Avant d'utiliser ComboFix :
________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.



0
Réponse 23 / 61
RastaRaquette
22 mai 2010 à 20:13
C'est la cata.
Combofix installé et lancé selon les instructions.
Au lancement (je n'ai même pas vu de scan débuter), le PC a rebooté de lui-même.
Depuis, Windows est incapable de se lancer, en mode normal comme en mode sans échec. Il reboot a chaque fois.

H.E.L.P !
0
Réponse 24 / 61
Utilisateur anonyme
23 mai 2010 à 00:52
avant le reboot tu as la possibilité de demarrer la console de recuperation ou sur windows avant le logo de windows
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 61
RastaRaquette
23 mai 2010 à 11:16
Message au démarrage de Windows :
"CD-Emulation drivers are running on this machine.
ComboFix needs to temporarily disable them".

Et quand on clique sur OK, le PC reboot et impossible de redémarrer. Windows normalement.
0
Réponse 26 / 61
RastaRaquette
23 mai 2010 à 12:33
Bon finalement PC redémarrer je-ne-sais-pas-comment.

Voici le rapport de Combo 1/2 :

ComboFix 10-05-22.01 - Compaq_Propriétaire 23/05/2010 11:35:23.1.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.959.428 [GMT 2:00]
Lancé depuis: c:\documents and settings\Compaq_Propriétaire\Bureau\Nicolas.exe
AV: avast! antivirus 4.8.1368 [VPS 100522-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf

Une copie infectée de c:\windows\system32\drivers\redbook.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty had a snack :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-23 au 2010-05-23 ))))))))))))))))))))))))))))))))))))
.

2010-05-22 13:14 . 2010-05-22 13:14 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-21 22:27 . 2010-05-22 08:17 -------- d-----w- C:\Kill'em
2010-05-21 22:12 . 2010-05-22 11:37 -------- d-----w- c:\program files\List_Kill'em
2010-05-21 21:41 . 2010-05-23 09:41 741376 ----a-w- c:\windows\system32\drivers\chjry.sys
2010-05-21 21:35 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\drivers\lbrtfdc.sys
2010-05-21 21:35 . 2008-04-13 18:40 34688 ----a-w- c:\windows\system32\dllcache\lbrtfdc.sys
2010-05-21 21:34 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\drivers\i2omgmt.sys
2010-05-21 21:34 . 2008-04-13 18:41 8576 ----a-w- c:\windows\system32\dllcache\i2omgmt.sys
2010-05-21 20:33 . 2008-04-13 18:45 2944 ----a-w- c:\windows\system32\drivers\drmkaud.sys
2010-05-21 20:33 . 2008-04-13 18:45 2944 ----a-w- c:\windows\system32\dllcache\drmkaud.sys
2010-05-21 20:33 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\drivers\changer.sys
2010-05-21 20:33 . 2008-04-13 18:40 8192 ----a-w- c:\windows\system32\dllcache\changer.sys
2010-05-08 09:35 . 2010-05-08 09:35 411368 ----a-w- c:\windows\system32\deployJava1.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-23 09:34 . 2008-08-01 16:28 -------- d-----w- c:\program files\DNA
2010-05-21 21:29 . 2010-05-21 21:29 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\qvjsge.dat
2010-05-13 11:08 . 2006-01-04 07:39 -------- d-----w- c:\program files\Google
2010-05-08 09:37 . 2006-01-04 07:10 -------- d-----w- c:\program files\Fichiers communs\Java
2010-05-08 09:35 . 2006-01-04 07:10 -------- d-----w- c:\program files\Java
2010-04-17 10:12 . 2010-04-17 10:12 -------- d-----w- c:\program files\LG Electronics
2010-04-05 15:29 . 2010-04-05 15:28 -------- d-----w- c:\program files\DAEMONTools
2010-04-05 15:28 . 2010-04-05 15:28 691696 ----a-w- c:\windows\system32\drivers\sptd.sys
2010-04-05 15:27 . 2010-04-05 15:27 -------- d-----w- c:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2010-03-30 09:22 . 2004-11-23 14:26 85396 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-30 09:22 . 2004-11-23 14:26 511874 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-10 06:16 . 2004-08-05 11:00 420352 ----a-w- c:\windows\system32\vbscript.dll
2010-02-25 06:17 . 2004-08-05 11:00 916480 ----a-w- c:\windows\system32\wininet.dll
2010-02-24 13:11 . 2004-08-05 11:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2006-10-08 02:03 . 2006-10-08 02:03 0 --sh--r- c:\windows\SMINST\NPC.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-01 68856]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-11-15 323392]
"DrvMon.exe"="c:\windows\system32\DrvMon.exe" [2004-09-10 53248]
"BitTorrent"="c:\program files\BitTorrent\bittorrent.exe" [2010-03-14 654648]
"DAEMON Tools Lite"="c:\program files\DAEMONTools\DTLite.exe" [2009-10-30 369200]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-01-04 180269]
"RTHDCPL"="RTHDCPL.EXE" [2005-10-14 14864384]
"Reminder"="c:\windows\Creator\Remind_XP.exe" [2004-12-13 663552]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]
"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"HP Software Update"="c:\program files\HP\HP Software Update\HPwuSchd2.exe" [2005-02-16 49152]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-13 344064]
"WinampAgent"="c:\program files\Winamp\Winampa.exe" [2003-04-02 12288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-03-28 413696]
"Monitor"="c:\windows\Philips\SPC220NC\Monitor.exe" [2006-11-03 319488]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"BJCFD"="c:\program files\BroadJump\Client Foundation\CFD.exe" [2003-01-27 376912]
"Motive SmartBridge"="c:\progra~1\CLUB-I~1\LECOMP~1\SMARTB~1\MotiveSB.exe" [2006-04-21 438359]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

c:\documents and settings\Compaq_Propri'taire\Menu D'marrer\Programmes\D'marrage\
wwwzuc32.exe [2008-4-14 30720]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
LE COMPAGNON CLUB.lnk - c:\program files\Club-Internet\Le Compagnon Club\bin\matcli.exe [2009-10-25 217088]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
TrayMin220.lnk - c:\program files\Philips\Philips SPC220NC Webcam\TrayMin220.exe [2008-3-5 278528]
0
Réponse 27 / 61
RastaRaquette
23 mai 2010 à 12:47
Rapport 2/2 :


[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\PPMate\\ppmate.exe"=
"c:\\Program Files\\PPMate\\ppmnet.exe"=
"c:\\Program Files\\PPMate\\ppamnet.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"c:\\Program Files\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [31/03/2008 22:04 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [31/03/2008 22:04 20560]
R3 AF9035BDA;Cinergy T-Stick service;c:\windows\system32\drivers\AF9035BDA.sys [18/11/2009 20:03 245720]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [16/12/2009 20:32 135664]
S3 SPC220NC;Philips SPC220NC Webcam;c:\windows\system32\drivers\SPC220NC.SYS [05/03/2008 15:47 507136]
S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05/04/2010 17:28 691696]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - chjry
.
Contenu du dossier 'Tâches planifiées'

2010-05-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-16 18:32]

2010-05-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-16 18:32]

2010-05-23 c:\windows\Tasks\User_Feed_Synchronization-{4CD6027D-3189-46A8-A976-5B97D7C90E49}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = 127.0.0.1;*.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000
Trusted Zone: digital-supply.com
Trusted Zone: download-soft-package.com
Trusted Zone: download-software-package.com
Trusted Zone: get-key-se10.com
Trusted Zone: is-software-download.com
Trusted Zone: digital-supply.com
Trusted Zone: get-key-se10.com
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} - hxxp://f001.mail.caramail.lycos.fr/app/uploader/FileUploader.cab
FF - ProfilePath - c:\documents and settings\Compaq_Propriétaire\Application Data\Mozilla\Firefox\Profiles\x5bnk9nr.default\
FF - prefs.js: browser.search.selectedEngine - Yahoo
FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll
FF - plugin: c:\program files\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npbittorrent.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-ljJAQJAT - ljJAQJAT.dll



**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet004\Services\chjry]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-05-23 11:43:05
ComboFix-quarantined-files.txt 2010-05-23 09:43

Avant-CF: 13 652 504 576 octets libres
Après-CF: 13 766 823 936 octets libres

Current=4 Default=4 Failed=2 LastKnownGood=5 Sets=,1,2,3,4,5
- - End Of File - - 37C7BCF851FE1D66D41FC8EEDCADC39E
0
Réponse 28 / 61
Utilisateur anonyme
23 mai 2010 à 13:08
tu peux me le faire passer entier en un seule fois via cijoint.fr et donner le lien obtenu en change ?

http://www.cijoint.fr
0
Réponse 29 / 61
RastaRaquette
23 mai 2010 à 13:13
http://www.cijoint.fr/cjlink.php?file=cj201005/cijFWsnrs3.txt
0
Réponse 30 / 61
Utilisateur anonyme
23 mai 2010 à 13:19
desactive ton emulateur de disque (daemon tools je presume)c'est lui qui t'as planté le pc pendant le passage de combofix

je te prepare une procedure
0
Réponse 31 / 61
Utilisateur anonyme
23 mai 2010 à 13:29
télécharge ceci et enregistre-le sur ton bureau :

http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/CFScript.zip

clic droit /extraire ici

tu auraus un documents texte du nom de CFScript.txt à l interieur

fais glisser ce document texte sur l'icone de Combofix que tu as renommé Nicolas.exe

Combofix va demarrer et effectuer les commandes indiquées sur le txt

laisse travailler l outil puis remets le rapport
0
Réponse 32 / 61
RastaRaquette
23 mai 2010 à 14:08
Rapport après la manip (pour info, mon PC a redémarrer en plein Combo) :

http://www.cijoint.fr/cjlink.php?file=cj201005/cij9CMWyIq.txt
0
Réponse 33 / 61
Utilisateur anonyme
23 mai 2010 à 14:14
ok meme chose avec CE CFScript

http://sd-1.archive-host.com/membres/up/829108531491024/Mes_Tools/CFScript.zip
0
Réponse 34 / 61
RastaRaquette
23 mai 2010 à 14:21
Tu ne t'es pas trompé de lien, c'est le même que la dernière fois ?
0
Réponse 35 / 61
Utilisateur anonyme
23 mai 2010 à 14:31
le document oui mais ce qu il contient non :)
0
Réponse 36 / 61
RastaRaquette
23 mai 2010 à 22:35
Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201005/cijDLWOS6O.txt

Et toujours merci ;-)
0
Réponse 37 / 61
Utilisateur anonyme
23 mai 2010 à 23:00
▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

c:\windows\SMINST\NPC.sys


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
0
Réponse 38 / 61
RastaRaquette
23 mai 2010 à 23:20
0 bytes size received / Se ha recibido un archivo vacio
0
Réponse 39 / 61
RastaRaquette
24 mai 2010 à 10:27
Pas de news ?
0
Réponse 40 / 61
Utilisateur anonyme
24 mai 2010 à 11:48
salut tu peux le supprimer manuellement ?
0

Discussions similaires

Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Security boot fail lors du démarrage
Steu -
NBK -

4 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse
SecurityHealth est a désactiver ou pas au démarrage de W10 Pro 64 ?
Walti55 -
Walti55 -

2 réponses