Trojan Win32 qui efface tout - Page 2

Précédent
  • 1
  • 2
  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    rien !

    Je leur ai demandé de faire un scan, c'est le virus win32skiMorph-b (cryp) qui a été détecté. Une réparation est impossible car le fichier est devenu "introuvable"

    as tu un rapport de ca ou bien le nom et le chemin du fichier concerné
    0
  2. cora31
     
    oui, ils ont noté l'endroit où se situait le fichier. je vais leur demander.
    0
  3. cora31
     
    Le fichier infecté est le suivant :

    C:\documents and setting\hp administrateur\local settings\application data\etkhxgdb.exe est infecté par WIN32:SKiMorph-B(Cryp).
    0
  4. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    il faudrait télécharge navilog1 sur le bureau :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Certaines infections bloquent les téléchargements d' outils de désinfection utilisez ce lien alternatif:
    http://ww38.toofiles.com/fr/oip/documents/exe/yop3.html

    /!\ Utilisateur de VISTA: il faudrait désactiver l'UAC juste le temps de désinfection de votre pc, Vous le réactiverez plus tard :

    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    1°Double-clique sur navilog1.exe présent sur ton bureau
    2°Sélectionnez la langue désirée dans le menu puis valide le choix par la touche « entrer »
    3°Petit message d'avertissement, appuyez sur une touche pour passe à la suite
    4°un nouveau avertissement, appuie sur une touche pour suivre
    5°Vérification de l'installation de Navilog1 : si tout est bon, appuyez sur une touche pour continuer
    6°Choisir option 1 : recherche/désinfection automatique
    7°La recherche va se lancer automatiquement et peut durée quelques minutes, patientez
    8°Une fois l'analyse terminé, fermez et enregistrez votre travail en cours, puis appuiez sur une touche pour que votre pc puisse démarrer
    9°Au redémarrage du pc, Navilog va supprimer ce qu'il a trouvé, patientez quelques instants.

    Un rapport est gèneré par l'outil. Il se trouve à cette emplacement :
    XP : demarrer/poste de travail/c:/cleannavi.txt
    Vista : logo « demarrer »/ordinateur/c:/ cleannavi.txt

    postes le ici stp
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cora31
     
    Voici le rapport :

    Fix Navipromo version 4.0.9 commencÈ le 18/03/2011 23:37:29,82

    !!! Attention,ce rapport peut indiquer des fichiers/programmes lÈgitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exÈcutÈ depuis C:\navilog1

    Mise # jour le 24.11.2010 # 16h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 3.06GHz )
    BIOS : BIOS Date: 06/22/2006 Ver: 08.00.12
    USER : Administrateur ( Administrator )
    BOOT : Normal boot

    Antivirus : avast! Antivirus 5.0.100664296 (Activated)

    C:\ (Local Disk) - NTFS - Total:226 Go (Free:92 Go)
    D:\ (Local Disk) - FAT32 - Total:6 Go (Free:0 Go)
    E:\ (CD or DVD)
    F:\ (USB)
    G:\ (USB)
    H:\ (USB)
    I:\ (USB)
    J:\ (USB)

    Recherche executÈe en mode normal

    [b]Aucune Infection Navipromo/Egdaccess trouvÈe/b

    *** Scan terminÈ 18/03/2011 23:37:54,71 ***
    0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    il n' a rien ce pc...

    ils ont encore des soucis tes parents ?
    0
  8. cora31
     
    et bien toutes leurs données ont été effacées (photos, vidéos...). Et Avast détecte toujours le virus. L'imprimante est à réinstaller, les logiciels ont été effacés aussi.

    Il y aurait-il un moyen de vérifier où sont passées leurs données ?
    0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Télécharge OTL de OLDTimer

    http://oldtimer.geekstogo.com/OTL.scr

    enregistre le sur ton Bureau.

    Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.
    * Sous Custom Scan box copie_colle le contenu en gras ci dessous:

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    %SYSTEMDRIVE%\*.exe
    %PROGRAMFILES%\*.*
    %PROGRAMFILES%\*.
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    explorer.exe
    svchost.exe
    userinit.exe
    qmgr.dll
    ws2_32.dll
    proquota.exe
    imm32.dll
    kernel32.dll
    ndis.sys
    autochk.exe
    spoolsv.exe
    xmlprov.dll
    ntmssvc.dll
    mswsock.dll
    Beep.SYS
    ntfs.sys
    termsrv.dll
    sfcfiles.dll
    st3shark.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    c:\$recycle.bin\*.* /s


    * clic Run Scan pour démarrer le scan.
    * une fois terminé , le fichier se trouve là C:\OTL.txt
    * copie_colle le contenu dans ta prochaine réponse

    NE LE POSTE PAS SUR LE FORUM

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport

    Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message

    Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  10. coralie31
     
    Bonjour,

    je reviens sur le sujet... maintenant que je suis devant l'ordi !

    Alors, le problème étrange c'est que le windows xp family s'est transformé en windows xp media center apparemment...

    Il n'y a qu'un seul compte administrateur disponible dans le panneau de configuration mais pourtant lorsque je vais dans c:/documents and settings, il y a en tout et pour tout 3 administrateurs....

    2 HP administrateurs dont l'un est celui où sont tous les fichiers de mes parents et un autre nommé administrateur qui est celui utilisé actuellement.

    Pourquoi HP ? Tout simplement parce que l'ordinateur est un Hewlett Packard.

    Donc je me viens à me poser la question, comment un tel changement a-t-il pu se produire ??? une mise à jour windows ? l'installation de Silverlight ?

    est-il possible de faire fusionner les comptes utilisateurs administrateurs pour n'en avoir plus qu'un ? ou de rendre actif celui qui était utilisé auparavant ?

    merci de votre patience.
    0
  11. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide

    * puis l'option 6
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com

    0
  12. coralie31
     
    Apparemment il n'a rien trouvé, voici le rapport :

    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Suppression -- Date : 05/04/2011 01:12:24

    Processus malicieux: 0

    Entrees de registre: 0

    Fichier HOSTS:
    127.0.0.1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      fais l'option 6
      0
  13. coralie31
     
    Voici le rapport avec l'option 6 :
    Il m'a demandé plusiquers fois pour plusieurs lecteurs (des ports usb) j'ai fait annuler l'opération pour ces derniers car rien n'y est branché.

    RogueKiller V4.3.7 par Tigzy
    contact sur http://www.sur-la-toile.com
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 2) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Administrateur [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 05/04/2011 01:18:15

    Processus malicieux: 0

    Attributs de fichiers restaures:
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 0 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 7 / Fail 0
    Mes documents: Success 0 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 79 / Fail 4

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  14. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Bureau: Success 0 / Fail 0
    Lancement rapide: Success 0 / Fail 0
    Programmes: Success 0 / Fail 0
    Menu demarrer: Success 0 / Fail 0
    Dossier utilisateur: Success 7 / Fail 0 Mes documents: Success 0 / Fail 0
    Mes favoris: Success 0 / Fail 0
    Mes images: Success 0 / Fail 0
    Ma musique: Success 0 / Fail 0
    Mes videos: Success 0 / Fail 0
    Disques locaux: Success 79 / Fail 4

    tu as dû retrouver du monde
    0
  15. coralie31
     
    euh , je ne te suis pas, qu'est ce que tu veux dire ?
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      en gras sont inscrits à success les dossiers ou fichiers "disparus" et dont l'attribut a été rétabli pour être visible
      0
    2. coralie31
       
      ok. concrètement, je ne vois aucun changement.
      Les fichiers ne sont pas revenus dans la cession actuelle et il y a toujours les 3 cessions administrateurs dans c:/doc and settings.

      que penses-tu que je devrai faire ?
      0
  16. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ne pas céder...même si le pc a l'air plus touché que les autres

    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan
    http://dl.dropbox.com/u/21363431/Pre_scan.exe

    une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
    0
  17. coralie31
     
    Le scanfut très long, j'ai laissé tourné l'ordi et voici le rapport :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan by g3n-h@ckm@n 1.0.0.7 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤ XP | Vista | Seven - 32/64 ¤

    Mis à jour le 05/04/2011 | 00.55 par g3n-h@ckm@n
    Utilisateur : Administrateur (Administrateurs)
    Ordinateur : FAMILY

    Système d'exploitation : Microsoft Windows XP (32 bits)
    Internet Explorer : 6.0.2900.2180
    Mozilla Firefox : 3.6.16 (fr)

    Scan : 01:35:05 | 05/04/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [Ndisuio] | Start -> Aucune modification : 3 -> 3
    [EapHost] | Start -> Modification apportée : -> 2
    [Wlansvc] | Start -> Modification apportée : -> 2
    [SharedAccess] | Start -> Aucune modification : 2 -> 2
    [windefend] | Start -> Modification apportée : -> 2
    [wuauserv] | Start -> Aucune modification : 2 -> 2
    [wscsvc] | Start -> Aucune modification : 2 -> 2

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKCU | Main] | Start Page -> Modification apportée : http://r.orange.fr/r/Ohome_accueil?ref=O_toolbar32_hook_defaultPage -> http://www.google.com/
    [HKCU | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
    [HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    [HKLM | Main] | Start Page -> Modification apportée : http://fr.msn.com/ -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
    [HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
    [HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [exefile | command] : "%1" %*
    [comfile | command] : "%1" %*
    [scrfile | command] : "%1" /S
    [batfile | command] : "%1" %*
    [piffile | command] : "%1" %*
    [Firefox | Command] | @ -> Aucune modification : C:\Program Files\Mozilla Firefox\firefox.exe -> C:\Program Files\Mozilla Firefox\firefox.exe
    [IE | Command] | @ -> Modification apportée : "C:\Program Files\Internet Explorer\iexplore.exe" -> C:\Program Files\Internet Explorer\iexplore.exe

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    arservice.exe -> Processus stoppé
    RTHDCPL.EXE -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    scanning jobs ...

    scanning processes ...

    scanning threads ...

    scanning modules in svchost.exe...
    scanning modules in services.exe...
    scanning modules in explorer.exe...

    restoring services BITS, wuauserv, ERSvc, WerSvc
    Service BITS autorun restored
    Service wuauserv autorun restored
    Service ERSvc autorun restored

    restoring show hidden and system files

    restoring SafeBoot registry node
    Restoring safe/network boot registry branches for windows XP

    scanning C:\WINDOWS\system32 ...
    scanning C:\Program Files\Internet Explorer\ ...
    scanning C:\Program Files\Movie Maker\ ...
    scanning C:\Program Files\Windows Media Player\ ...
    scanning C:\Program Files\Windows NT\ ...
    scanning C:\Documents and Settings\Administrateur\Application Data ...
    scanning C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ ...
    scanning C:\ ...
    scanning D:\ ...
    scanning G:\ ...
    scanning H:\ ...
    scanning I:\ ...
    scanning J:\ ...

    completed
    Infected jobs: 0
    Infected files: 0
    Infected threads: 0
    Splices functions: 0
    Cured files: 0
    Fixed registry keys: 0

    Fin : 11:12:55

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
  18. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ? Télécharge ici :List_Kill'em
    http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

    et enregistre le sur ton bureau

    lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer

    enregistre le sur ton bureau et lance l'installation

    (entre temps poste "rapport.txt" avant la fin du scan apparu sur ton bureau)

    Laisse coché :

    => Executer List_Kill'em

    une fois terminée , clic sur "terminer"

    choisis l'option Search

    => laisse travailler l'outil

    Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan


    => Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

    NE LES POSTE PAS SUR LE FORUM


    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt


    est ajouté dans la page.

    Copie ces liens dans ta réponse.
    0
  19. cora31
     
    Bonjour,

    liens envoyés sur votre mail !!!
    0
Précédent
  • 1
  • 2