Conficker ?
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
j'ai un problème sur mon ordi depuis quelque temps je pensais l'avoir résolut mais non toujours pas.
Infection de virus, j'ai essayer pleins de trucs mais rien n'y fait et là je suis a bout de solutions.
J'ai souvent une fenètre qui s'ouvre me disant que Host generique process win32 a cesser de fonctionner puis plus de son. Je n'ai plus accès a windows update non plus.
Après avoir voulut passer ma clé sur l'ordi d'un ami, suprise son avira a detecté Conficker.
J'ai donc essayer ce qu'il y avait sur le site mais sa change pas mon non accès a update, Voici ce que le scan sur onecare safety m'a dit ( j'ai recopier ) :
3 severes issues found
exploi:win32/pidief.BM c:/documents and settings/propriétaire/local settings/temporary internet files/content.ie5/eaib796d/xua89f46e4h3f78b00fv0100f080006rea2abc54102t929966dj14000601201l000c326[1].pdf
deleted
rogue:HTML/FakeRean c:/documents and settings/all users/application data/78fe042/protector.html
deleted
virus:Win32/alureon.H
unable to clean
compbatt (deteted)
j'ai téléchargez avira aussi qui ma trouver un virus :
Recherche débutant dans 'C:\'
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\EAIB796D\xUa89f46e4H3f78b00fV0100f080006Rea2abc54102T9f29966dJ14000601201l000c326[1].pdf
[0] Type d'archive: PDF Stream
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
--> Object
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
Début de la désinfection :
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\EAIB796D\xUa89f46e4H3f78b00fV0100f080006Rea2abc54102T9f29966dJ14000601201l000c326[1].pdf
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
[AVERTISSEMENT] Impossible de déplacer le fichier dans le répertoire de quarantaine !
[AVERTISSEMENT] Le fichier n'existe pas !
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
Les instructions de réparation ont été écrites dans le fichier 'C:\avrescue\rescue.avp'.
(jai mis que la partie intéréssente )
donc voila quelqu'un peut il m'aider parce que là je suis carrément perdue.
merci
48 réponses
- 1
- 2
- 3
Infection évoquée sur un système Windows XP avec Internet Explorer 8, bloquant Windows Update et provoquant des alertes répétées; la détection Conficker coexiste avec des traces d’exploits et de rootkits. Plusieurs intervenants recommandent d’utiliser TDSSKiller et Combofix, de comparer les rapports via VirusTotal, puis de désactiver temporairement les protections avant l’exécution des outils afin de produire des journaux explicites. D’autres proposent des rapports détaillés (C:\ComboFix.txt, logs TDSSKiller, résultats zHPDiag) et des scans complémentaires (avira, Avast) pour confirmer l’étendue des infections et cibler les éléments à nettoyer. En cas de persistance, une révision des sources et une éventuelle réinstallation propre peuvent s’imposer, notamment lorsque les outils de décontamination ne restaurent pas les mises à jour ou les fonctions critiques.
-
slt,
Télécharge OTL de OLDTimer ici :
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant "scan all users"
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse. -
http://www.cijoint.fr/cjlink.php?file=cj201011/cijg3t9Cbu.txt
voici le lien du scan ( j'espère ne pas m'être trompé dans les manip)
il y avait aussi ce bloc qui s'est ouvert ( sous le nom de extras )
http://www.cijoint.fr/cjlink.php?file=cj201011/cij2VxWNKO.txt
voila -
sur un ordi un seul antivirus alors désinstalle avast ou antivir comme ceci :
https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces
puis
télécharge combofix (par sUBs) ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
et enregistre le sur le bureau.
déconnecte toi d'internet et ferme toutes tes applications.
désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
double-clique sur combofix.exe et suis les instructions
à la fin, il va produire un rapport C:\ComboFix.txt
réactive ton parefeu, ton antivirus, la garde de ton antispyware
copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.
Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.
Tu as un tutoriel complet ici :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix -
tout d'abord merci de m'aider :D
ensuite désolé si je ne reponds que maintenant j'ai pas pu hier soir.
http://www.cijoint.fr/cjlink.php?file=cj201011/cijgrQKY38.txt
voici le rapport de combo fix.
néanmoins chaque fois que je branché mon chargeur ( car je sui sur un ordi portable ) , il me disait :
combo fix a detecté un rootkit et doit redémarrer votre pc.
une fois tout débrancher. jai reussi a faire tout bien comme il faut.
alors que puis je faire maintentant ? -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
ok
analyse les 3 fichiers suivants sur virus total et colle nous les rapports:
https://www.virustotal.com/gui/
c:\windows\system32\alkB.tmp
c:\windows\system32\alkA.tmp
c:\windows\system32\drivers\tyufpv.sys
__________________
puis
Télécharges SystemLook à partir d'un des liens ci dessous sur ton Bureau.
Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe
Download Mirror #2:: http://images.malwareremoval.com/jpshor ... emLook.exe
* Double-click SystemLook.exe pour le lançer.
* Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:
Code: Tout sélectionner
:filefind
tyufpv.sys
Click le bouton Look pour commencer le scan.
* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche
Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt
________________
Téléchargez TDSSKiller sur votre bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Cochez les et cliquez sur "Delete/Repair Selected".
Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").
collez nous le rapport obtenu
Informations complémentaires sur cet outil :
https://support.kaspersky.com/5350 -
euh désolé mais je suis pas forte du tout en informatique .
ma question va paraître surement nulle mais comment on se sert de virus total ? -
tu clique sur Parcourir
puis tu cherches les fichiers en gras donnés (afficher les fichiers cachés si besoin : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/ )
puis tu cliques sur send (envoyer)77et tu auras des rapports à nous transmettre
a plus -
il faut parfois attendre un peu une ou deux minutes
ou tente ici pour l'analyse https://virusscan.jotti.org/fr
sinon passe au fichier suivant puis , à la suite
a plus -
bon je ne trouve pas le derniers des fichiers ( celui dans drivers )
malgrès que j'ai bien séléctionner les fichiers cachés.
ensuite quand je scan les deux autres ,
on me dit taille 0 bytes fichiers vide .
c'est normal ? -
Vu que y'avait pas je suis donc passé direct à l'etape tdsskiller.
il ma vu un super virus et ma demandé de redemarrer.
et la miracle j'ai acces a windows update.
ce qui je peu le dire est troooop bien.
j'ai refait un deuxième tours et la c'est bon plus rien de trouver.
est ce que cela signifie que le méchant vient de mourir au combat ?
et surtout que j'en sui bien débarrassé?
par contre où est ce que se trouve le rapport ? -
tu peux nous coller le rapport de tdsskiller
suivi d'un nouveau rapport combofix ? -
bien sure je vous l'enverrai ce soir mais ou est ce qu'il se trouve ?
parce qu'il ne s'est pas affiché à la fin du scan comme les autres, et je ne sais pas où il se trouve.
merci beaucoup. je fais sa ce soir.
dois-je toujours me déconnecté d'internet pour combo fix? -
Le rapport de TDSSKiller se trouve en SystemDrive\TDSSKiller.Version _Date_Heure_log.txt
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
en gros : C/tdsskiller -
bon alors voici les rapports du premier passage de tdsskiller:
http://www.cijoint.fr/cjlink.php?file=cj201011/cijDNVeERg.txt
et celui du second :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijzJIM6Tr.txt
je vous envoi le scan de combo fixe dès qu'il sera fait . -
voici le rapport de combo fix :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijZ3tZuvd.txt
alors est-ce de bonne augure ? -
c'est pas encore cela ...
analyse ces 3 fichiers sur virus total et colle les rapports
c:\documents and settings\Propriétaire\yeahuec.exe
c:\documents and settings\Propriétaire\waigef.exe
c:\documents and settings\Propriétaire\vaahes.exe -
-
-
-
y avait un message pour dire qu'il y avait un truc d'infecté.
je lai supprimé.
C'est bon maintenant ?
Qu'est ce que je peux faire ?
- 1
- 2
- 3