Virus backdoor et Worm + bug fichier script
Résolu
Max
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
A voir également:
- Virus backdoor et Worm + bug fichier script
- Fichier bin - Guide
- Fichier epub - Guide
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
- Fichier .dat - Guide
17 réponses
Salut,
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
ETAPE 1 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 2 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
ETAPE 1 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 2 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Voilà déjà le rapport de MBAM :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6092
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
19/03/2011 10:04:15
mbam-log-2011-03-19 (10-04-15).txt
Type d'examen: Examen complet (C:\|D:\|G:\|)
Elément(s) analysé(s): 337590
Temps écoulé: 38 minute(s), 11 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
d:\Max\documents\Phoenix\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\ss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\Emus\Rev\steamclient.dll (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
d:\Max\Jeux\jeux gameboy\emulateurs\Nosgba\No$gba 2.6a\herramientas\nds top system 0.2\nds top system.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Users\Max\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
c:\Users\Max\AppData\Roaming\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Max\AppData\Local\Temp\svhost.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6092
Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005
19/03/2011 10:04:15
mbam-log-2011-03-19 (10-04-15).txt
Type d'examen: Examen complet (C:\|D:\|G:\|)
Elément(s) analysé(s): 337590
Temps écoulé: 38 minute(s), 11 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
d:\Max\documents\Phoenix\Phx_data\Res\EmuCfg.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\GCFMgr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\RICO.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\ss.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
d:\Max\documents\Phoenix\Phx_data\Res\Emus\Rev\steamclient.dll (Trojan.Dropper.PGen) -> Quarantined and deleted successfully.
d:\Max\Jeux\jeux gameboy\emulateurs\Nosgba\No$gba 2.6a\herramientas\nds top system 0.2\nds top system.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\Users\Max\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
c:\Users\Max\AppData\Roaming\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Max\AppData\Local\Temp\svhost.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
OK change tes mots de passe....
car on te les a volé.
Ce soir ou demain, tu mets à jour Malwarebyte et tu fais un scan complet avec et tu postes le rapport ici.
car on te les a volé.
Ce soir ou demain, tu mets à jour Malwarebyte et tu fais un scan complet avec et tu postes le rapport ici.
Merci.
Comment t'as vu que je m'étais fait voler mes mots de passes?
Malwarebyte je l'ai déjà mis à jour ce matin.
Comment t'as vu que je m'étais fait voler mes mots de passes?
Malwarebyte je l'ai déjà mis à jour ce matin.
Aucune idée, MSE me le détecte seulement au démarrage si j'ai la connections internet, et il me dit pas où il se localise. Si je réalise un scan de l'ordi, il me détecte rien. J'ai juste quand je fais "voir les détails" quand j'ai le message d'alerte, ça me dit que c'est grave, et dans éléments y'a "process:pid:3976". Si j'essais de le mettre en quarantaine, ça me dit que ça réussit mais je le vois pas dans la quarantaine.
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:files
C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rundll32 .exe
* redemarre le pc sous windows et poste le rapport ici
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:files
C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rundll32 .exe
* redemarre le pc sous windows et poste le rapport ici
Voilà le rapport :
========== FILES ==========
C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rundll32 .exe moved successfully.
OTL by OldTimer - Version 3.2.22.3 log created on 03192011_143233
========== FILES ==========
C:\Users\Max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\rundll32 .exe moved successfully.
OTL by OldTimer - Version 3.2.22.3 log created on 03192011_143233
Ca me détecte à nouveau Backdoor:Win32/VB.LU au (démarrage windows + internet).
Ca se situe dans:
file:C:\Users\Max\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\F3VNPH4M\java[1].exe
file:C:\Users\Max\AppData\Local\Temp\75290.exe
Ca se situe dans:
file:C:\Users\Max\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\F3VNPH4M\java[1].exe
file:C:\Users\Max\AppData\Local\Temp\75290.exe
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Voilà le rapport de combofix.
http://pjjoint.malekal.com/files.php?id=283b26a54a9813
Par contre toutes les applications faut que je les exécute en tant qu'administrateur, sinon ça me marque ""Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression". Et quand j'essais d'ouvrir des documents, ça marche pas puisque je peut pas les ouvrir en tant qu'administrateur, et ça me met le message que je viens de te préciser...
http://pjjoint.malekal.com/files.php?id=283b26a54a9813
Par contre toutes les applications faut que je les exécute en tant qu'administrateur, sinon ça me marque ""Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression". Et quand j'essais d'ouvrir des documents, ça marche pas puisque je peut pas les ouvrir en tant qu'administrateur, et ça me met le message que je viens de te préciser...
Redémarre l'ordinateur
zip le dossier c:\qoobox
envoie le zip sur http://upload.malekal.com
Est-ce que tu as encore des alertes?
zip le dossier c:\qoobox
envoie le zip sur http://upload.malekal.com
Est-ce que tu as encore des alertes?
Ça y est, je t'ai envoyé le dossier zippé qoobox.
J'arrive à nouveau à tout ouvrir sans besoin de le faire en tant qu'administrateur (grâce au redémarrage du pc) et pour le moment j'ai pas eu de nouvelles alertes, que ce soit par MSE automatiquement à l'ouverture de la cession ou par scan de MSE et MBAM que j'ai réalisés.
Tu crois que je peut brancher mes disque dur périphériques pour les nettoyer? Car je les ait branché plusieurs fois depuis que j'ai le virus depuis 3 jours, ils risquent donc d'être contaminés.
J'arrive à nouveau à tout ouvrir sans besoin de le faire en tant qu'administrateur (grâce au redémarrage du pc) et pour le moment j'ai pas eu de nouvelles alertes, que ce soit par MSE automatiquement à l'ouverture de la cession ou par scan de MSE et MBAM que j'ai réalisés.
Tu crois que je peut brancher mes disque dur périphériques pour les nettoyer? Car je les ait branché plusieurs fois depuis que j'ai le virus depuis 3 jours, ils risquent donc d'être contaminés.
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur cijoint.fr et donne les adresses.
L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur cijoint.fr et donne les adresses.
L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/
Rapport pour ma clef usb :
http://pjjoint.malekal.com/files.php?id=f55145e1911488
Rapport pour un disque dur externe:
http://pjjoint.malekal.com/files.php?id=46fcf4f1fe91115
Rapport pour un autre disque dur externe:
http://pjjoint.malekal.com/files.php?id=fbb50ed50651215
J'ai besoin de les nettoyer?
http://pjjoint.malekal.com/files.php?id=f55145e1911488
Rapport pour un disque dur externe:
http://pjjoint.malekal.com/files.php?id=46fcf4f1fe91115
Rapport pour un autre disque dur externe:
http://pjjoint.malekal.com/files.php?id=fbb50ed50651215
J'ai besoin de les nettoyer?
Pas d'autres alertes graves pour le moment, seuls quelques logiciels type crack ou keygen détectés comme malveillant dans mes disques durs. Mais pas de nouvelle de backdoor et autres worm.
Merci pour ton aide très précieuse.
Tu dis que t'as envoyé mon fichier aux AV, c'est quoi?
Vu comme tu m'as suivit et les liens que tu m'as donnés pour poster, télécharger, les didactitiels...je me demandais si c'est ton job de porter secours aux informaticiens du dimanche ou si t'es un simple particulier au grand coeur?
Voilà encore merci beaucoup pour ton assistance.
Merci pour ton aide très précieuse.
Tu dis que t'as envoyé mon fichier aux AV, c'est quoi?
Vu comme tu m'as suivit et les liens que tu m'as donnés pour poster, télécharger, les didactitiels...je me demandais si c'est ton job de porter secours aux informaticiens du dimanche ou si t'es un simple particulier au grand coeur?
Voilà encore merci beaucoup pour ton assistance.
Tu dis que t'as envoyé mon fichier aux AV, c'est quoi?
yep.
C'est un bot : https://forum.malekal.com/viewtopic.php?t=31926&start=
Change tes mots de passe.
Fais plus attention à l'avenir....
Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese
Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1
Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus
Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
yep.
C'est un bot : https://forum.malekal.com/viewtopic.php?t=31926&start=
Change tes mots de passe.
Fais plus attention à l'avenir....
Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese
Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1
Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus
Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
Le mauvais grains du bon grain..