conficker ? Fermé

Question

Bonjour, 



Configuration: Windows XP / Internet Explorer 8.0
j'ai un problème sur mon ordi depuis quelque temps je pensais l'avoir résolut mais non toujours pas. 
Infection de virus, j'ai essayer pleins de trucs mais rien n'y fait et là je suis a bout de solutions. 
J'ai souvent une fenètre qui s'ouvre me disant que Host generique process win32 a cesser de fonctionner puis plus de son. Je n'ai plus accès a windows update non plus. 
Après avoir voulut passer ma clé sur l'ordi d'un ami, suprise son avira a detecté Conficker. 
J'ai donc essayer ce qu'il y avait sur le site mais sa change pas mon non accès a update, Voici ce que le scan sur onecare safety m'a dit ( j'ai recopier ) :

3 severes issues found
exploi:win32/pidief.BM  c:/documents and settings/propriétaire/local settings/temporary internet files/content.ie5/eaib796d/xua89f46e4h3f78b00fv0100f080006rea2abc54102t929966dj14000601201l000c326[1].pdf
deleted
rogue:HTML/FakeRean	c:/documents and settings/all users/application data/78fe042/protector.html
deleted
virus:Win32/alureon.H
unable to clean
compbatt (deteted)

j'ai téléchargez avira aussi qui ma trouver un virus  : 

Recherche débutant dans 'C:\'
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\EAIB796D\xUa89f46e4H3f78b00fV0100f080006Rea2abc54102T9f29966dJ14000601201l000c326[1].pdf
[0] Type d'archive: PDF Stream
  [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
--> Object
  [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Piedief.3496.A

Début de la désinfection :
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\EAIB796D\xUa89f46e4H3f78b00fV0100f080006Rea2abc54102T9f29966dJ14000601201l000c326[1].pdf
    [RESULTAT]  Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
    [AVERTISSEMENT] Impossible de déplacer le fichier dans le répertoire de quarantaine !
    [AVERTISSEMENT] Le fichier n'existe pas !
    [REMARQUE]  Le fichier a été repéré pour une suppression après un redémarrage.
Les instructions de réparation ont été écrites dans le fichier 'C:\avrescue\rescue.avp'.

(jai mis que la partie intéréssente ) 

donc voila quelqu'un peut il m'aider parce que là je suis carrément perdue.
merci

jlpjlp · Answer

slt,


Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

gwen · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijg3t9Cbu.txt 
voici le lien du scan ( j'espère ne pas m'être trompé dans les manip) 
il y avait aussi ce bloc qui s'est ouvert ( sous le nom de extras ) 

http://www.cijoint.fr/cjlink.php?file=cj201011/cij2VxWNKO.txt 

voila

jlpjlp · Answer

sur un ordi un seul antivirus alors désinstalle avast ou antivir comme ceci :
https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces

puis



télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

gwen · Answer

tout d'abord merci de m'aider :D
ensuite désolé si je ne reponds que maintenant j'ai pas pu hier soir. 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijgrQKY38.txt 

voici le rapport de combo fix.
néanmoins chaque fois que je branché mon chargeur ( car je sui sur un ordi portable ) , il me disait  : 
combo fix a detecté un rootkit et doit redémarrer votre pc. 
une fois tout débrancher. jai reussi a faire tout bien comme il faut. 
alors que puis je faire maintentant ?

jlpjlp · Answer

ok   


analyse les 3 fichiers suivants sur virus total et colle nous les rapports:    

https://www.virustotal.com/gui/   

c:\windows\system32\alkB.tmp   
c:\windows\system32\alkA.tmp   
c:\windows\system32\drivers	yufpv.sys  

__________________   

puis   
Télécharges SystemLook à partir d'un des liens ci dessous sur ton Bureau.   
Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe   
Download Mirror #2:: http://images.malwareremoval.com/jpshor ... emLook.exe   


* Double-click SystemLook.exe pour le lançer.   
* Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:   
Code: Tout sélectionner   

:filefind   
tyufpv.sys   

Click le bouton Look pour commencer le scan.   
* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche   

Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

________________

Téléchargez TDSSKiller sur votre bureau

https://support.kaspersky.com/downloads/utils/tdsskiller.zip
Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

Cochez les et cliquez sur "Delete/Repair Selected".
Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

collez nous le rapport obtenu

Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350

gwen · Answer

euh désolé mais je suis pas forte du tout en informatique .
ma question va paraître surement nulle mais comment on se sert de virus total ?

jlpjlp · Answer

tu clique sur Parcourir
puis tu cherches les fichiers en gras donnés (afficher les fichiers cachés si besoin : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/ )

puis tu cliques sur send (envoyer)77et tu auras des rapports à nous transmettre

a plus

jlpjlp · Answer

il faut parfois attendre un peu une ou deux minutes
ou tente ici  pour l'analyse https://virusscan.jotti.org/fr
sinon passe au fichier suivant puis , à la suite

a plus

gwen · Answer

bon je ne trouve pas le derniers des fichiers ( celui dans drivers ) 
malgrès que j'ai bien séléctionner les fichiers cachés.
ensuite quand je scan les deux autres , 
on me dit taille 0 bytes fichiers vide .

c'est normal ?

gwen · Answer

Vu que y'avait pas je suis donc passé direct à l'etape tdsskiller.
il ma vu un super virus et ma demandé de redemarrer.
et la miracle j'ai acces a windows update.
ce qui je peu le dire est troooop bien. 
j'ai refait un deuxième tours et la c'est bon plus rien de trouver. 
est ce que cela signifie que le méchant vient de mourir au combat ? 
et surtout que j'en sui bien débarrassé?
par contre où est ce que se trouve le rapport ?

jlpjlp · Answer

tu peux nous coller le rapport de tdsskiller 
suivi d'un nouveau rapport combofix ?

gwen · Answer

bien sure je vous l'enverrai ce soir mais ou est ce qu'il se trouve ? 
parce qu'il ne s'est pas affiché à la fin du scan comme les autres, et je ne sais pas où il se trouve. 
merci beaucoup. je fais sa ce soir.
dois-je toujours me déconnecté d'internet pour combo fix?

jlpjlp · Answer

Le rapport de TDSSKiller se trouve en SystemDrive\TDSSKiller.Version _Date_Heure_log.txt 
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]


en gros :   C/tdsskiller

gwen · Answer

bon alors voici les rapports du premier passage de tdsskiller:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijDNVeERg.txt 

et celui du second : 
http://www.cijoint.fr/cjlink.php?file=cj201011/cijzJIM6Tr.txt 

je vous envoi le scan de combo fixe dès qu'il sera fait .

gwen · Answer

voici le rapport de combo fix : 
http://www.cijoint.fr/cjlink.php?file=cj201011/cijZ3tZuvd.txt 

alors est-ce de bonne augure ?

jlpjlp · Answer

c'est pas encore cela ...


analyse ces 3 fichiers sur virus total et colle les rapports 


c:\documents and settings\Propriétaire\yeahuec.exe 
c:\documents and settings\Propriétaire\waigef.exe 
c:\documents and settings\Propriétaire\vaahes.exe

gwen · Answer

euh encore une fois, 
je les ai pas trouvé. Même avec les fichiers cachés affichés.

jlpjlp · Answer

ok

télécharge malwarebyte antimalware , mets le à jour et colle une analyse rapide avec

a plus

gwen · Answer

voici mon rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijGWlenVN.txt

gwen · Answer

y avait un message pour dire qu'il y avait un truc d'infecté. 
je lai supprimé. 

C'est bon maintenant ? 
Qu'est ce que je peux faire ?

gwen · Answer

euh jai ad aware sur mon pc 
jai fait un scan puis ce que j'y étais et voici mon rapport . 
si sa vous aide ? 


http://www.cijoint.fr/cjlink.php?file=cj201011/cijj5yCc5D.txt

gwen · Answer

suite au scan ad aware, 
j'ai effacé les fichiers méchants. 
ils m'ont demandé de redémarrer et là mon pc a pas voulut le faire. 
je pouvais aller sur windows live messenger mais pas internet car la station de travail allé fermer. du coup j'ai fait la technique du bouton ( appuyer sur le bouton pour tout fermer ) donc est ce que c'est normal ? 
et qu'est ce que je peux faire ?

jlpjlp · Answer

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant) 

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : 





File:: 
c:\windows\system32\alkB.tmp 
c:\windows\system32\alkA.tmp 
c:\windows\system32\alk9.tmp 
c:\windows\system32\alk8.tmp 
c:\documents and settings\Propriétaire\yeahuec.exe 
c:\documents and settings\Propriétaire\waigef.exe 
c:\documents and settings\Propriétaire\vaahes.vexe 
c:\documents and settings\Propriétaire	sreok.exe 
c:\documents and settings\Propriétaire	omov.exe 
c:\documents and settings\Propriétaire\saafon.exe 
c:\documents and settings\Propriétairevloz.exe 
c:\documents and settings\Propriétaireigin.exe 
c:\documents and settings\Propriétaireaamon.exe 
c:\documents and settings\Propriétaire\pvlud.exe 
c:\documents and settings\Propriétaire\lxvun.exe 
c:\documents and settings\Propriétaire\jeaki.exe 
c:\documents and settings\Propriétaire\hilij.exe 
Registry:: 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"Skype"="c:\program files\Skype\Phone\Skype.exe" [N/A] 
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080] 
"yeahuec"=- 
"waigef"=- 
"vaahes"=- 
"tsreok"=- 
"tomov"=- 
"saafon"=- 
"rvloz"=- 
"rigin"=- 
"raamon"=- 
"pvlud"=- 
"lxvun"=- 
"jeaki"=- 
"hilij"="- 


Enregistre ce fichier sous le nom CFscript 


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe 

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer. 

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide. 

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal! 

Ne touche à rien tant que le scan n'est pas terminé. 

Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 



Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt 


_____________  

c'est un pc de marque ? il y a une restauration d'usine prévue sur ton pc? 

_____________ 

puis 



Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic) 

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " ) 

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

gwen · Answer

bon alors j'ai fait le scan de combo fixe. 
pas de fenetre bleu mais voici le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijhDXWbzj.txt 

je fais celui de Zhp diag ( j'avais dejà hijack )

gwen · Answer

voici le rapport de zhpdiag : 

http://www.cijoint.fr/cjlink.php?file=cj201011/cij052keWD.txt

jlpjlp · Answer

je suis un peu occupé en ce moment pour avancer colle le rapport d'un antivirus en ligne (<= ici) avec un des 4 premiers

gwen · Answer

coucou, 
j'ai fait un scan en ligne avec bitdefender.
il n'a rien détecté mais j'ai pas trouvé de rapport. 
cela signifie - t - il que tout va bien ? 
et que je n'ai plus aucun virus ? 
:D

jlpjlp · Answer

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)  

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :  



  

File::  
c:\windows\system32\dlo5.tmp  
c:\windows\system32\dlo4.tmp 
C:\Documents and Settings\Propriétaire\hilij.exe  
c:\documents and settings\Propriétaire\hilij.exe  
Registry::  
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"hilij"=-  
  


Enregistre ce fichier sous le nom CFscript  


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe  

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.  

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.  

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!  

Ne touche à rien tant que le scan n'est pas terminé.  

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  



Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt  


_________________

c:\program files\iTunes\iTunesHelper .exe
c:\program files\QuickTime\qttask      .exe
c:\program files\QuickTime\qttask     .exe
c:\program files\Skype\Phone\Skype .exe



a p^lus
analyse ces fichiers sur virus total en faisant attention aux espaces avant le .exe si plusieurs fichiers sont présents

gwen · Answer

voici le scan combo fixe : 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijrTHWrSO.txt 

je fais virus total : 

iTunesHelper .exe 
MD5: e840a9aea5d59a5e9c1c4f1ab24d197a 
Date first seen: 2010-07-20 09:38:29 (UTC) 
Date last seen: 2010-11-08 14:04:47 (UTC) 
Detection ratio: 0/43 

quicktime/qttask      .exe
MD5: cc065d46387e4a7e6ff99d7bb5c1769d 
Date first seen: 2010-06-03 18:40:55 (UTC) 
Date last seen: 2010-11-07 14:01:08 (UTC) 
Detection ratio: 0/43 


quicktime/qttask     .exe
MD5: 49385afee6edfa0a0177be6651aadd77 
Date first seen: 2010-08-13 00:27:02 (UTC) 
Date last seen: 2010-11-05 20:37:07 (UTC) 
Detection ratio: 0/42 

Skype .ex est trop grand pour etre analysé. 


Alors c'est bon ? mon tit ordi est guérit ? 
ou toujours pas ?

jlpjlp · Answer

pour supprimer ce qui a été utilisé:

http://www.commentcamarche.net/faq/24877-supprimer-les-logiciels-de-desinfection

ensuite purge ta restauration sytème: pour cela désactive la puis redemarre ton pc puis réactive la:

http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924


et voilà c'est bon! 

tu peux passer avast pour vérifier que tout est ok


a plus

gwen · Answer

oki merci c'est super. 
c'est pas plus simple de tout désinstaller à partir du panneau de config ? 
plutot que d'installer un logicielle pour désinstaller qui faudra que je desinstalle a son tour? 

en tout merci beaucoup pour tout ce que tu as fait!!

jlpjlp · Answer

non car un logiciel de desinstallation permet de retirer de ton ordi les infections qui ont ete mises en quarantaine. De plus de tels logiciels s auto desinstallent pour le plupart

gwen · Answer

d'accord merci beaucoup. 
je vais faire un scan avast dès que j'aurais désinstaller tout ça. 
je vous préviens s'il y a quelque chose. 

encore merci pour tout ce que vous avez fait .

jlpjlp · Answer

ok

gwen · Answer

ma question va surement etre bete , mais quel logiciel dois je utiliser pour desinfecter ? tous ?

jlpjlp · Answer

que veux tu dire ? 

tu parle de logiciel pour desinstaller ce qui a été utilié? si oui tu peux prendre delfix ou sinon tools cleaner

gwen · Answer

merci c'était bien sa ma question. 
il m'a desinstaller combofixe; otl ; hijack; zhpdiag.
il me reste tdsskiller, adaware, malwarebytes' antimalware. 
est ce ke je les garde ou est ce qu eje peux les effacer a la main ? 
sinon mon scan avast j'ai vraiment pu rien :D.
merci beaucoooooooooooooup

jlpjlp · Answer

garde malwarebyte et vire le reste


tu as utilisé delfix? si tu as le rapport sous la main pour vir pourquoi tdsskiller n'a pas été supprimé

a plus

gwen · Answer

oui j'ai utiliser delfix. mais dejà effacer. 
je les supprime a la main ? sa craint pas pour la quarantaine ?

jlpjlp · Answer

non c'est bon

gwen · Answer

coucou, 
désolé de remettre un message mais j'ai reçu cela en allumant mon pc 
voulais savoir si c'est normal ou si cela implique que c'est pas réparé? 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijqyVnUhk.jpg 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijqBjvc4e.jpg 

http://www.cijoint.fr/cjlink.php?file=cj201011/cij5nRcC0E.jpg 

http://www.cijoint.fr/cjlink.php?file=cj201011/cijFwsq89E.jpg

jlpjlp · Answer

je pense pas que cela soit un signe de persistance d'une infection


le message est revenu par la suite§?

gwen · Answer

quel message ? 
si c'est celui dont je vien de parler, 
c'est la deuxième fois qu'il apparait à l'allumage de l'ordi. 
donc je sais pas ce que c'est !

jlpjlp · Answer

cela vient de visual studio apparement:
réinstalle le pour voir 
https://www.bing.com/search?q=visual+studio&mkt=fr-FR&form=MIAWB1&toHttps=1&redig=7930564B1D1B45A4AE1955BDE0CD0B2E


si cela persisterépare windows pour voir si cela persiste:  

https://www.commentcamarche.net/informatique/windows/25-verifier-et-reparer-des-fichiers-systeme-avec-windows-10/ 

passe ton antivirus pour voir si il trouve des infections

gwen · Answer

désolé mais je vois pas ce que c'est visual audio et pour réparer windows, je suis sur un netbook et je n'ai pas de lecteur cd ou dvd donc je peux pas le réparer. 
aujourd'hui il ne m'a pas affiché le message.

jlpjlp · Answer

ok

passe ton antivirus pour vérifier mais je pense pas a une infection

a plus

gwen · Answer

merci c'est bon j'ai passé un coup d'avast et il a rien vu.

Si j'ai de nouveau ce message je repost le message mais serait ce possible que cela soit du à une erreur lors de la mise a jour ?

jlpjlp · Answer

oui cela est possible

a plus

Conficker ?

48 réponses

Discussions similaires