Virus security tool

Fermé
rpas - 3 août 2010 à 11:36
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 5 août 2010 à 10:48
Bonjour,
Je suis infecté par le virus SECURITY TOOL. Merci de me donner la méthode a suivre pour le tuer et pouvoir de nouveau me servir de mon ordi.


A voir également:

22 réponses

jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
3 août 2010 à 11:37
slt

* Téléchargez rkill depuis l'un des liens ci-dessous :



http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe

* Enregistrez le fichier sur le Bureau.
* Désactivez le module résident de l'antivirus et celui de l'antispyware.
* Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
* Pour Vista et seven, faire un clic droit sur le fichier [b]rkill/b téléchargé puis choisir "Exécuter en tant qu'administrateur" pour lancer l'outil.



--> Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

* Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.



Note :
Si vous redémarrez votre ordinateur, Rkill aura perdu son utilité et il vous faudra recommencer cette étape.



___________________________

puis
télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
0
je n'arrive a télécharger ce programme car sécurity tool me bloque tout
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
3 août 2010 à 16:11
0
nous avons réussi avec le mode sans echec à télécharger rkill puis avons installé combofix. A la fin il nous a produit un rapport mais impossible de remettre le parfeu ou de démarrer Mozilla Firefox, un message d'erreur apparait:

"Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression."

Je vous écrit d'un 2nd ordianteur
Que faire?
0
en fait tous les programmes refusent de s'ouvrir et affichent ce message! On ose pas redémarrer!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 août 2010 à 10:04
restaure sinon le pc avant l'utilisation de combofix
http://www.infoprat.net/astuces/windows2k_xp/astuces/divers_004.php


et passe alors malwarebyte antimalware et colle un rapport avec (analyse rapide ) après l'avoir mis à jour
0
Est ce que cette description pour restaurer le PC fonctionne de la meme manière sur vista?
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 août 2010 à 10:42
0
en fait qd je commence la démarche avec l'outil système de restauration j'ai le même message d'erreur. Dois-je redémarrer mon rodinateur? Je suis tjrs en mode ss échec et je n'ai pas oser redémarrer l'ordi depuis hier.
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 août 2010 à 15:12
passe malwarebyte en mode sans echec
0
En fait je n'ai pas pu le télécharger puisque je ne peux plus démarrer aucun programme. je viens de redémarrer mon ordinateur, je vais voir.
0
Voilà je viens de redémarrer l'ordinateur et de l'ouvrir en mode normal. Je n'ai plus de blocage apparemment. Dois je restaurer le pc avant combofix ou je passe à l'étape malwarebyte?
0
d'ailleurs malewarebyte, c'est en mode sans echec qu'il faut le passer?
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 août 2010 à 16:27
bon ok
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
0
rapport combofix sur ce lien:

http://www.cijoint.fr/cjlink.php?file=cj201008/cijiJCc7Jk.txt
0
rapport malwarebyte, dois je supprimer les 4 clés du registre infectées?:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4388

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

04/08/2010 17:52:21
mbam-log-2010-08-04 (17-52-21).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 144256
Temps écoulé: 12 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{8ad9ad05-36be-4e40-ba62-5422eb0d02fb} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{aebf09e2-0c15-43c8-99bf-928c645d98a0} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{cdca70d8-c6a6-49ee-9bed-7429d6c477a2} (Adware.ShopperReports) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{d136987f-e1c4-4ccc-a220-893df03ec5df} (Adware.ShopperReports) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 août 2010 à 18:34
oui vire les


puis pour vérifier ton pc colle le rapport d'un antivirus en ligne
comme kaspersky ou panda ou bitdefender
0
J'ai supprimé et voici le rapport du scanner en ligne bitdefender:

http://www.cijoint.fr/cjlink.php?file=cj201008/cij9r6Fsky.txt
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 août 2010 à 18:52
analyse ces deux fichiers sur virus total et colle nous les rapports
https://www.virustotal.com/gui/

c:\users\paganica\AppData\Local\kkqwy.bat
c:\windows\system32\MpSigStub.exe

_________________

sinon comment va ton pc?
encore des soucis?
0
Fichier kkqwy.bat reçu le 2010.08.04 16:55:42 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 0/42 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 52 et 75 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Formaté
Impression des résultats Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:

Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2010.08.04.02 2010.08.04 -
AntiVir 8.2.4.32 2010.08.04 -
Antiy-AVL 2.0.3.7 2010.08.03 -
Authentium 5.2.0.5 2010.08.04 -
Avast 4.8.1351.0 2010.08.04 -
Avast5 5.0.332.0 2010.08.04 -
AVG 9.0.0.851 2010.08.04 -
BitDefender 7.2 2010.08.04 -
CAT-QuickHeal 11.00 2010.08.04 -
ClamAV 0.96.0.3-git 2010.08.04 -
Comodo 5645 2010.08.04 -
DrWeb 5.0.2.03300 2010.08.04 -
Emsisoft 5.0.0.36 2010.08.04 -
eSafe 7.0.17.0 2010.08.04 -
eTrust-Vet 36.1.7764 2010.08.04 -
F-Prot 4.6.1.107 2010.08.04 -
F-Secure 9.0.15370.0 2010.08.04 -
Fortinet 4.1.143.0 2010.08.04 -
GData 21 2010.08.04 -
Ikarus T3.1.1.84.0 2010.08.04 -
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.04 -
McAfee 5.400.0.1158 2010.08.04 -
McAfee-GW-Edition 2010.1 2010.08.04 -
Microsoft 1.6004 2010.08.04 -
NOD32 5340 2010.08.04 -
Norman 6.05.11 2010.08.04 -
nProtect 2010-08-04.01 2010.08.04 -
Panda 10.0.2.7 2010.08.04 -
PCTools 7.0.3.5 2010.08.04 -
Prevx 3.0 2010.08.04 -
Rising 22.59.02.02 2010.08.04 -
Sophos 4.56.0 2010.08.04 -
Sunbelt 6684 2010.08.04 -
SUPERAntiSpyware 4.40.0.1006 2010.08.04 -
Symantec 20101.1.1.7 2010.08.04 -
TheHacker 6.5.2.1.331 2010.08.04 -
TrendMicro 9.120.0.1004 2010.08.04 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.04 -
VBA32 3.12.12.8 2010.08.04 -
ViRobot 2010.8.4.3971 2010.08.04 -
VirusBuster 5.0.27.0 2010.08.04 -
Information additionnelle
File size: 91 bytes
MD5...: 4f00d3fd6c9823d1449a2d1d262d2a9b
SHA1..: 5f98e320335798d9b416905c01d646a5474e8b43
SHA256: 738f3d30bd5808ef517fe3b483103172a27801a850b97cc7f2915a2dcd1d8392
ssdeep: 3:mwnEsLLkuPvHLQE/CE5iGLVyHj:HEsLL9HMEH4cQD
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
0
Fichier MpSigStub.exe reçu le 2010.08.04 03:21:28 (UTC)
Situation actuelle: terminé
Résultat: 0/42 (0.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2010.08.04.00 2010.08.03 -
AntiVir 8.2.4.32 2010.08.03 -
Antiy-AVL 2.0.3.7 2010.08.03 -
Authentium 5.2.0.5 2010.08.04 -
Avast 4.8.1351.0 2010.08.03 -
Avast5 5.0.332.0 2010.08.03 -
AVG 9.0.0.851 2010.08.03 -
BitDefender 7.2 2010.08.04 -
CAT-QuickHeal 11.00 2010.08.04 -
ClamAV 0.96.0.3-git 2010.08.04 -
Comodo 5638 2010.08.04 -
DrWeb 5.0.2.03300 2010.08.04 -
Emsisoft 5.0.0.36 2010.08.04 -
eSafe 7.0.17.0 2010.08.03 -
eTrust-Vet 36.1.7759 2010.08.03 -
F-Prot 4.6.1.107 2010.08.04 -
F-Secure 9.0.15370.0 2010.08.04 -
Fortinet 4.1.143.0 2010.08.02 -
GData 21 2010.08.04 -
Ikarus T3.1.1.84.0 2010.08.04 -
Jiangmin 13.0.900 2010.08.03 -
Kaspersky 7.0.0.125 2010.08.04 -
McAfee 5.400.0.1158 2010.08.04 -
McAfee-GW-Edition 2010.1 2010.08.04 -
Microsoft 1.6004 2010.08.03 -
NOD32 5338 2010.08.03 -
Norman 6.05.11 2010.08.03 -
nProtect 2010-08-03.01 2010.08.03 -
Panda 10.0.2.7 2010.08.03 -
PCTools 7.0.3.5 2010.08.04 -
Prevx 3.0 2010.08.04 -
Rising 22.59.01.04 2010.08.03 -
Sophos 4.56.0 2010.08.04 -
Sunbelt 6681 2010.08.04 -
SUPERAntiSpyware 4.40.0.1006 2010.08.04 -
Symantec 20101.1.1.7 2010.08.04 -
TheHacker 6.5.2.1.330 2010.08.04 -
TrendMicro 9.120.0.1004 2010.08.03 -
TrendMicro-HouseCall 9.120.0.1004 2010.08.04 -
VBA32 3.12.12.7 2010.08.02 -
ViRobot 2010.8.3.3969 2010.08.03 -
VirusBuster 5.0.27.0 2010.08.03 -
Information additionnelle
File size: 221568 bytes
MD5 : b2c19b2be2a8c467f2b5c6d63574d9f6
SHA1 : b1b677fac184e5903583312a50fd04f34cbab3b1
SHA256: 76029d99dca04a6e3130afa983f4efbf4ba612cf0a022077e69dcb29e34f03a7
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1893F
timedatestamp.....: 0x4BE0AB5A (Wed May 5 01:18:50 2010)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2F828 0x2FA00 6.45 9a705618c96c659706b44f229e9a8d4e
.data 0x31000 0xDF8 0xA00 5.44 a9ca35d1eaee30a24bca7eb8f7054a96
.rsrc 0x32000 0x5F0 0x600 4.13 3363c9dfaec9cd44fe16e2a20f00ad9a
.reloc 0x33000 0x3A40 0x3C00 3.81 810db713585d747c444c239144611bee

( 5 imports )

> advapi32.dll: TraceEvent, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, RegisterTraceGuidsW, UnregisterTraceGuids, RegCloseKey, QueryServiceStatus, CloseServiceHandle, StartServiceW, OpenSCManagerW, OpenServiceW, CryptGenRandom, CryptReleaseContext, CryptAcquireContextW, AllocateAndInitializeSid, FreeSid, GetLengthSid, CopySid, CheckTokenMembership, RegCreateKeyExW, RegOpenKeyExW, RegNotifyChangeKeyValue, RegDeleteValueW, RegSetValueExW, RegQueryValueExW
> kernel32.dll: InterlockedIncrement, FindResourceW, LoadResource, LockResource, SizeofResource, WaitForMultipleObjects, DeleteCriticalSection, InitializeCriticalSectionAndSpinCount, GetLocalTime, FormatMessageW, CreateProcessW, GetFullPathNameW, ExpandEnvironmentStringsW, GetFileAttributesW, FindNextFileW, FindFirstFileW, CreateDirectoryW, SetFilePointerEx, GetFileSizeEx, ReadFile, WriteFile, CreateFileW, GetModuleFileNameW, GetSystemDirectoryW, WaitForSingleObject, CreateEventW, FindClose, GetLastError, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, RtlUnwind, OutputDebugStringA, GetStartupInfoW, InterlockedCompareExchange, Sleep, InterlockedExchange, LocalFree, LocalAlloc, GetModuleHandleW, GetProcessHeap, HeapFree, HeapAlloc, LoadLibraryExW, GetVersionExW, SetWaitableTimer, CreateWaitableTimerW, GetTempPathW, GetSystemWindowsDirectoryW, GetCurrentDirectoryW, CopyFileW, DeleteFileW, RemoveDirectoryW, MoveFileExW, GetTimeFormatW, GetDateFormatW, IsDebuggerPresent, OutputDebugStringW, LeaveCriticalSection, EnterCriticalSection, CloseHandle, GetCommandLineW, InterlockedDecrement, SetFileAttributesW, LoadLibraryW, GetProcAddress, FreeLibrary
> msvcrt.dll: _fileno, _read, __pioinfo, __badioinfo, realloc, wcstombs, wctomb, localeconv, isxdigit, isleadbyte, mbtowc, isdigit, calloc, _onexit, _lock, __dllonexit, _unlock, _controlfp, iswctype, memmove, _terminate@@YAXXZ, __1type_info@@UAE@XZ, __set_app_type, __p__fmode, __p__commode, __setusermatherr, _amsg_exit, _initterm, _wcmdln, exit, _XcptFilter, _exit, _cexit, __wgetmainargs, ungetc, free, __mb_cur_max, _vsnwprintf, _errno, __CxxFrameHandler, wcscmp, wcsrchr, wcschr, _wcsicmp, _filelength, _wfopen, wprintf, printf, fread, fwrite, fseek, fclose, iswspace, feof, fgetws, towlower, __RTDynamicCast, memset, malloc, memcpy, _purecall, __0exception@@QAE@XZ, wcsstr, wcslen, _CxxThrowException, __0exception@@QAE@ABV0@@Z, __1exception@@UAE@XZ, _what@exception@@UBEPBDXZ, __0exception@@QAE@ABQBD@Z
> rpcrt4.dll: UuidCreate
> version.dll: VerQueryValueW, GetFileVersionInfoW, GetFileVersionInfoSizeW

( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 3072:y7Xi+9mNoD+SjiQKacAJIN+b7IrL8AVXkS6Kg74a9BnBunkI7akn+M95:y7Xi+YODs4xJvg6Kg7h9BnBundas
sigcheck: publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft Malware Protection
description..: Microsoft Malware Protection Signature Update Stub
original name: MpSigStub.exe
internal name: MpSigStub.exe
file version.: 2.1.1112.0
comments.....: n/a
signers......: Microsoft Corporation
Microsoft Code Signing PCA
Microsoft Root Authority
signing date.: 1:21 AM 5/5/2010
verified.....: -
PEiD : -
RDS : NSRL Reference Data Set
0
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
4 août 2010 à 20:15
sinon comment va ton pc?
encore des soucis?
0