Conficker ?
gwen
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
j'ai un problème sur mon ordi depuis quelque temps je pensais l'avoir résolut mais non toujours pas.
Infection de virus, j'ai essayer pleins de trucs mais rien n'y fait et là je suis a bout de solutions.
J'ai souvent une fenètre qui s'ouvre me disant que Host generique process win32 a cesser de fonctionner puis plus de son. Je n'ai plus accès a windows update non plus.
Après avoir voulut passer ma clé sur l'ordi d'un ami, suprise son avira a detecté Conficker.
J'ai donc essayer ce qu'il y avait sur le site mais sa change pas mon non accès a update, Voici ce que le scan sur onecare safety m'a dit ( j'ai recopier ) :
3 severes issues found
exploi:win32/pidief.BM c:/documents and settings/propriétaire/local settings/temporary internet files/content.ie5/eaib796d/xua89f46e4h3f78b00fv0100f080006rea2abc54102t929966dj14000601201l000c326[1].pdf
deleted
rogue:HTML/FakeRean c:/documents and settings/all users/application data/78fe042/protector.html
deleted
virus:Win32/alureon.H
unable to clean
compbatt (deteted)
j'ai téléchargez avira aussi qui ma trouver un virus :
Recherche débutant dans 'C:\'
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\EAIB796D\xUa89f46e4H3f78b00fV0100f080006Rea2abc54102T9f29966dJ14000601201l000c326[1].pdf
[0] Type d'archive: PDF Stream
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
--> Object
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
Début de la désinfection :
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\EAIB796D\xUa89f46e4H3f78b00fV0100f080006Rea2abc54102T9f29966dJ14000601201l000c326[1].pdf
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
[AVERTISSEMENT] Impossible de déplacer le fichier dans le répertoire de quarantaine !
[AVERTISSEMENT] Le fichier n'existe pas !
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
Les instructions de réparation ont été écrites dans le fichier 'C:\avrescue\rescue.avp'.
(jai mis que la partie intéréssente )
donc voila quelqu'un peut il m'aider parce que là je suis carrément perdue.
merci
j'ai un problème sur mon ordi depuis quelque temps je pensais l'avoir résolut mais non toujours pas.
Infection de virus, j'ai essayer pleins de trucs mais rien n'y fait et là je suis a bout de solutions.
J'ai souvent une fenètre qui s'ouvre me disant que Host generique process win32 a cesser de fonctionner puis plus de son. Je n'ai plus accès a windows update non plus.
Après avoir voulut passer ma clé sur l'ordi d'un ami, suprise son avira a detecté Conficker.
J'ai donc essayer ce qu'il y avait sur le site mais sa change pas mon non accès a update, Voici ce que le scan sur onecare safety m'a dit ( j'ai recopier ) :
3 severes issues found
exploi:win32/pidief.BM c:/documents and settings/propriétaire/local settings/temporary internet files/content.ie5/eaib796d/xua89f46e4h3f78b00fv0100f080006rea2abc54102t929966dj14000601201l000c326[1].pdf
deleted
rogue:HTML/FakeRean c:/documents and settings/all users/application data/78fe042/protector.html
deleted
virus:Win32/alureon.H
unable to clean
compbatt (deteted)
j'ai téléchargez avira aussi qui ma trouver un virus :
Recherche débutant dans 'C:\'
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\EAIB796D\xUa89f46e4H3f78b00fV0100f080006Rea2abc54102T9f29966dJ14000601201l000c326[1].pdf
[0] Type d'archive: PDF Stream
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
--> Object
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
Début de la désinfection :
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\EAIB796D\xUa89f46e4H3f78b00fV0100f080006Rea2abc54102T9f29966dJ14000601201l000c326[1].pdf
[RESULTAT] Contient le modèle de détection de l'exploit EXP/Piedief.3496.A
[AVERTISSEMENT] Impossible de déplacer le fichier dans le répertoire de quarantaine !
[AVERTISSEMENT] Le fichier n'existe pas !
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
Les instructions de réparation ont été écrites dans le fichier 'C:\avrescue\rescue.avp'.
(jai mis que la partie intéréssente )
donc voila quelqu'un peut il m'aider parce que là je suis carrément perdue.
merci
48 réponses
euh jai ad aware sur mon pc
jai fait un scan puis ce que j'y étais et voici mon rapport .
si sa vous aide ?
http://www.cijoint.fr/cjlink.php?file=cj201011/cijj5yCc5D.txt
jai fait un scan puis ce que j'y étais et voici mon rapport .
si sa vous aide ?
http://www.cijoint.fr/cjlink.php?file=cj201011/cijj5yCc5D.txt
suite au scan ad aware,
j'ai effacé les fichiers méchants.
ils m'ont demandé de redémarrer et là mon pc a pas voulut le faire.
je pouvais aller sur windows live messenger mais pas internet car la station de travail allé fermer. du coup j'ai fait la technique du bouton ( appuyer sur le bouton pour tout fermer ) donc est ce que c'est normal ?
et qu'est ce que je peux faire ?
j'ai effacé les fichiers méchants.
ils m'ont demandé de redémarrer et là mon pc a pas voulut le faire.
je pouvais aller sur windows live messenger mais pas internet car la station de travail allé fermer. du coup j'ai fait la technique du bouton ( appuyer sur le bouton pour tout fermer ) donc est ce que c'est normal ?
et qu'est ce que je peux faire ?
Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
c:\windows\system32\alkB.tmp
c:\windows\system32\alkA.tmp
c:\windows\system32\alk9.tmp
c:\windows\system32\alk8.tmp
c:\documents and settings\Propriétaire\yeahuec.exe
c:\documents and settings\Propriétaire\waigef.exe
c:\documents and settings\Propriétaire\vaahes.vexe
c:\documents and settings\Propriétaire\tsreok.exe
c:\documents and settings\Propriétaire\tomov.exe
c:\documents and settings\Propriétaire\saafon.exe
c:\documents and settings\Propriétaire\rvloz.exe
c:\documents and settings\Propriétaire\rigin.exe
c:\documents and settings\Propriétaire\raamon.exe
c:\documents and settings\Propriétaire\pvlud.exe
c:\documents and settings\Propriétaire\lxvun.exe
c:\documents and settings\Propriétaire\jeaki.exe
c:\documents and settings\Propriétaire\hilij.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [N/A]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"yeahuec"=-
"waigef"=-
"vaahes"=-
"tsreok"=-
"tomov"=-
"saafon"=-
"rvloz"=-
"rigin"=-
"raamon"=-
"pvlud"=-
"lxvun"=-
"jeaki"=-
"hilij"="-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
_____________
c'est un pc de marque ? il y a une restauration d'usine prévue sur ton pc?
_____________
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
c:\windows\system32\alkB.tmp
c:\windows\system32\alkA.tmp
c:\windows\system32\alk9.tmp
c:\windows\system32\alk8.tmp
c:\documents and settings\Propriétaire\yeahuec.exe
c:\documents and settings\Propriétaire\waigef.exe
c:\documents and settings\Propriétaire\vaahes.vexe
c:\documents and settings\Propriétaire\tsreok.exe
c:\documents and settings\Propriétaire\tomov.exe
c:\documents and settings\Propriétaire\saafon.exe
c:\documents and settings\Propriétaire\rvloz.exe
c:\documents and settings\Propriétaire\rigin.exe
c:\documents and settings\Propriétaire\raamon.exe
c:\documents and settings\Propriétaire\pvlud.exe
c:\documents and settings\Propriétaire\lxvun.exe
c:\documents and settings\Propriétaire\jeaki.exe
c:\documents and settings\Propriétaire\hilij.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [N/A]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
"yeahuec"=-
"waigef"=-
"vaahes"=-
"tsreok"=-
"tomov"=-
"saafon"=-
"rvloz"=-
"rigin"=-
"raamon"=-
"pvlud"=-
"lxvun"=-
"jeaki"=-
"hilij"="-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
_____________
c'est un pc de marque ? il y a une restauration d'usine prévue sur ton pc?
_____________
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
bon alors j'ai fait le scan de combo fixe.
pas de fenetre bleu mais voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijhDXWbzj.txt
je fais celui de Zhp diag ( j'avais dejà hijack )
pas de fenetre bleu mais voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijhDXWbzj.txt
je fais celui de Zhp diag ( j'avais dejà hijack )
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
je suis un peu occupé en ce moment pour avancer colle le rapport d'un antivirus en ligne (<= ici) avec un des 4 premiers
coucou,
j'ai fait un scan en ligne avec bitdefender.
il n'a rien détecté mais j'ai pas trouvé de rapport.
cela signifie - t - il que tout va bien ?
et que je n'ai plus aucun virus ?
:D
j'ai fait un scan en ligne avec bitdefender.
il n'a rien détecté mais j'ai pas trouvé de rapport.
cela signifie - t - il que tout va bien ?
et que je n'ai plus aucun virus ?
:D
Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
c:\windows\system32\dlo5.tmp
c:\windows\system32\dlo4.tmp
C:\Documents and Settings\Propriétaire\hilij.exe
c:\documents and settings\Propriétaire\hilij.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hilij"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
_________________
c:\program files\iTunes\iTunesHelper .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Skype\Phone\Skype .exe
a p^lus
analyse ces fichiers sur virus total en faisant attention aux espaces avant le .exe si plusieurs fichiers sont présents
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
File::
c:\windows\system32\dlo5.tmp
c:\windows\system32\dlo4.tmp
C:\Documents and Settings\Propriétaire\hilij.exe
c:\documents and settings\Propriétaire\hilij.exe
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hilij"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe
Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
_________________
c:\program files\iTunes\iTunesHelper .exe
c:\program files\QuickTime\qttask .exe
c:\program files\QuickTime\qttask .exe
c:\program files\Skype\Phone\Skype .exe
a p^lus
analyse ces fichiers sur virus total en faisant attention aux espaces avant le .exe si plusieurs fichiers sont présents
voici le scan combo fixe :
http://www.cijoint.fr/cjlink.php?file=cj201011/cijrTHWrSO.txt
je fais virus total :
iTunesHelper .exe
MD5: e840a9aea5d59a5e9c1c4f1ab24d197a
Date first seen: 2010-07-20 09:38:29 (UTC)
Date last seen: 2010-11-08 14:04:47 (UTC)
Detection ratio: 0/43
quicktime/qttask .exe
MD5: cc065d46387e4a7e6ff99d7bb5c1769d
Date first seen: 2010-06-03 18:40:55 (UTC)
Date last seen: 2010-11-07 14:01:08 (UTC)
Detection ratio: 0/43
quicktime/qttask .exe
MD5: 49385afee6edfa0a0177be6651aadd77
Date first seen: 2010-08-13 00:27:02 (UTC)
Date last seen: 2010-11-05 20:37:07 (UTC)
Detection ratio: 0/42
Skype .ex est trop grand pour etre analysé.
Alors c'est bon ? mon tit ordi est guérit ?
ou toujours pas ?
http://www.cijoint.fr/cjlink.php?file=cj201011/cijrTHWrSO.txt
je fais virus total :
iTunesHelper .exe
MD5: e840a9aea5d59a5e9c1c4f1ab24d197a
Date first seen: 2010-07-20 09:38:29 (UTC)
Date last seen: 2010-11-08 14:04:47 (UTC)
Detection ratio: 0/43
quicktime/qttask .exe
MD5: cc065d46387e4a7e6ff99d7bb5c1769d
Date first seen: 2010-06-03 18:40:55 (UTC)
Date last seen: 2010-11-07 14:01:08 (UTC)
Detection ratio: 0/43
quicktime/qttask .exe
MD5: 49385afee6edfa0a0177be6651aadd77
Date first seen: 2010-08-13 00:27:02 (UTC)
Date last seen: 2010-11-05 20:37:07 (UTC)
Detection ratio: 0/42
Skype .ex est trop grand pour etre analysé.
Alors c'est bon ? mon tit ordi est guérit ?
ou toujours pas ?
pour supprimer ce qui a été utilisé:
http://www.commentcamarche.net/faq/24877-supprimer-les-logiciels-de-desinfection
ensuite purge ta restauration sytème: pour cela désactive la puis redemarre ton pc puis réactive la:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
et voilà c'est bon!
tu peux passer avast pour vérifier que tout est ok
a plus
http://www.commentcamarche.net/faq/24877-supprimer-les-logiciels-de-desinfection
ensuite purge ta restauration sytème: pour cela désactive la puis redemarre ton pc puis réactive la:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
et voilà c'est bon!
tu peux passer avast pour vérifier que tout est ok
a plus
oki merci c'est super.
c'est pas plus simple de tout désinstaller à partir du panneau de config ?
plutot que d'installer un logicielle pour désinstaller qui faudra que je desinstalle a son tour?
en tout merci beaucoup pour tout ce que tu as fait!!
c'est pas plus simple de tout désinstaller à partir du panneau de config ?
plutot que d'installer un logicielle pour désinstaller qui faudra que je desinstalle a son tour?
en tout merci beaucoup pour tout ce que tu as fait!!
non car un logiciel de desinstallation permet de retirer de ton ordi les infections qui ont ete mises en quarantaine. De plus de tels logiciels s auto desinstallent pour le plupart
d'accord merci beaucoup.
je vais faire un scan avast dès que j'aurais désinstaller tout ça.
je vous préviens s'il y a quelque chose.
encore merci pour tout ce que vous avez fait .
je vais faire un scan avast dès que j'aurais désinstaller tout ça.
je vous préviens s'il y a quelque chose.
encore merci pour tout ce que vous avez fait .
que veux tu dire ?
tu parle de logiciel pour desinstaller ce qui a été utilié? si oui tu peux prendre delfix ou sinon tools cleaner
tu parle de logiciel pour desinstaller ce qui a été utilié? si oui tu peux prendre delfix ou sinon tools cleaner
merci c'était bien sa ma question.
il m'a desinstaller combofixe; otl ; hijack; zhpdiag.
il me reste tdsskiller, adaware, malwarebytes' antimalware.
est ce ke je les garde ou est ce qu eje peux les effacer a la main ?
sinon mon scan avast j'ai vraiment pu rien :D.
merci beaucoooooooooooooup
il m'a desinstaller combofixe; otl ; hijack; zhpdiag.
il me reste tdsskiller, adaware, malwarebytes' antimalware.
est ce ke je les garde ou est ce qu eje peux les effacer a la main ?
sinon mon scan avast j'ai vraiment pu rien :D.
merci beaucoooooooooooooup
garde malwarebyte et vire le reste
tu as utilisé delfix? si tu as le rapport sous la main pour vir pourquoi tdsskiller n'a pas été supprimé
a plus
tu as utilisé delfix? si tu as le rapport sous la main pour vir pourquoi tdsskiller n'a pas été supprimé
a plus
