W32 BLASTER WORM

Caramel44 Messages postés 19 Statut Membre -  
Caramel44 Messages postés 19 Statut Membre -
Bonjour,

J'ai un pc de bureau contaminé par le vers w32/blaster.worm

J'ai tenté super antispyware et malwarebytes mais le vers les empeche de fonctionner.

Quelqu'un peut il me guider dans une procédure efficace d'erradication ?

Merci

21 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    Bonsoir

    En mode sans échec avec prise en charge réseau fait ceci:

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php

    http://pjjoint.malekal.com/

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\ZHP \ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    A+
    2
  2. Caramel44 Messages postés 19 Statut Membre
     
    J'ai téléchargé ZHPdiag comme indiqué puis lancé l'analyse. Le souci : une fenêtre avec le message suivant s'affiche :

    nslookup.exe ordinal introuvable

    l'ordinal 1108 est introuvable dans la bibliothèque de liaisons dynamique WSOCK32.dll
    0
  3. Caramel44 Messages postés 19 Statut Membre
     
    quelqu'un peut il m'aider ??
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, tu as télécharger zhpdiag , et tu le lance en mode normal ou en sans echec avec prise en charge réseau comme demandé !!
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Caramel44 Messages postés 19 Statut Membre
     
    en mode sans échec avec prise en charge réseau...
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      et il fonctionne pas ??

      essais de faire le diagnostique avec un autre outil comme otl !!

      Téléchargez OTL.exe

      Enregistrez le sur votre Bureau.

      Si vous avez XP => double cliquez

      Si vous avez Vista ou windows 7 => clic droit "exécuter en tant que administrateur"

      sur OTL.exe pour le lancer.

      Cochez les 2 cases Lop et Purity

      Cochez la case devant tous les utilisateurs

      Réglage du fichier sur "60 jours"

      Dans la moitié gauche, mettez tout sur "Tous",

      ne modifiez pas ceci :

      - "Fichiers créés"
      et
      - "Fichiers Modifiés"

      Cliquez sur "Analyse".


      A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

      Ce fichier est sur votre Bureau (en général C:\Documents and settings\le_nom_de_ta_session\Bureau\OTL.txt)
      NE LE POSTEZ PAS SUR LE FORUM car il est trop volumineux pour passer facilement dans un message, et ne le postez pas en plusieurs morceaux, ce n'est pas facile à analyser pour la personne qui vous viendra en aide.
      Pour le transmettre, rendez-vous sur le site de Cijoint.

      envoie-le sur : http://www.cijoint.fr/index.php ,

      fais parcourir recherche le rapport

      puis sélectionne le rapport en double cliquand dessus

      et puis sur " cliquer ici pour déposer le fichier "

      un lien bleu de cette forme va apparaitre :

      Veuillez noter le lien ci-dessous qui vous permettra d'accéder à ce fichier. 
      C'est ce même lien que vous devrez transmettre à vos correspondants
      http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 
      


      renvoie le lien tout frais dans ta prochaine reponse .



      et si problème passe par celui ci : http://cjoint.com/
      0
  6. Caramel44 Messages postés 19 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201108/cij71Mvt7a.txt
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bon normalement c'est guillaume qui suit ton sujet , j'espère qui ne se fachera pas de mon intervention il reprendra la main dés son retrour !!

      bon tu vas faire ce qui suit , merci

      1 ) passes adw-cleaner mode suppression

      Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
      Lance le, clique sur [Suppression] puis patiente le temps du scan.
      Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

      Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



      2) passes pré-scan

      desactive ton antivirus
      desactive Windows defender si présent
      desactive ton pare-feu

      Ferme toutes tes appilications en cours

      telecharge et enregistre ceci sur ton bureau : Pre_Scan

      si problème lien mirroir

      s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

      Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

      une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

      si l'outil est bloqué par l'infection utilise cette version :Version .pif

      si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

      si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

      Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler

      Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

      ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

      clique sur ce lien : http://www.cijoint.fr/

      ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

      ▶ Clique sur Ouvrir.

      ▶ Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

      est ajouté dans la page.

      ▶ Copie ce lien dans ta réponse.



      3) regarde si malwarebytes s'ouvres si oui fais lui la mises à jour et fais un examen complet , sinon désinstalles le et réinstalles le


      !! ATTENTION !!! près de 2 heures de scan !!!

      Télécharge Malwarebytes' Anti-Malware: http://www.malwarebytes.org/mbam/program/mbam-setup.exe

      si problème essais avec celui ci : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

      (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installation, alors télécharge le ici :COMCTL32.OCX

      . enregistres le sur le bureau
      . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
      . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
      . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
      . Une fois la mise à jour terminée
      . rend-toi dans l'onglet, Recherche
      . Sélectionnes Exécuter un examen complet
      . Sélectionnes tous les disques si proposés
      . Cliques sur Rechercher
      . Le scan démarre.
      . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
      . Cliques sur Ok pour poursuivre.
      . Si des malwares ont été détectés, cliques sur Afficher les résultats
      . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
      . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
      . redemarre le pc si il le fait pas lui même
      . une fois redémarré double-cliques sur malwarebytes
      . rends toi dans l'onglet rapport/log
      . tu cliques dessus pour l'afficher une fois affiché
      . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
      . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
      . tu cliques droit dans le cadre de la reponse et coller


      Si tu as besoin d'aide regarde ce tutoriel :
      https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
      0
  7. Caramel44 Messages postés 19 Statut Membre
     
    merci sympa de prendre le relais

    # AdwCleaner v1.301 - Rapport créé le 31/08/2011 à 23:29:28
    # Mis à jour le 28/08/11 à 21h par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Yoyo - MAISON-5REM3W72 (Administrateur)
    # Exécuté depuis : H:\Documents and Settings\Yoyo\Mes documents\Downloads\adwcleaner0.exe
    # Option [Suppression]

    ***** [KillNav] *****

    # chrome.exe [PID:1984] -> Tué

    ***** [Processus] *****

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : H:\Program Files\Ask.com
    Dossier Supprimé : H:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Ask.com
    Clé Supprimée : HKCU\Software\AskToolbar
    Clé Supprimée : HKCU\Software\AppDataLow\AskToolbarInfo
    Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd
    Clé Supprimée : HKLM\SOFTWARE\Classes\GenericAskToolbar.ToolbarWnd.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\GenericAskToolbar.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
    Clé Supprimée : HKLM\SOFTWARE\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{D4027C7F-154A-4066-A1AD-4243D8127440}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [3023 octets] - [31/08/2011 23:29:28]

    ########## EOF - H:\AdwCleaner[S1].txt - [3151 octets] ##########
    0
  8. Caramel44 Messages postés 19 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201108/cijnRXv4Tm.txt
    0
  9. Caramel44 Messages postés 19 Statut Membre
     
    impossible de lancer malwarebytes, il s'arrête tout seul en pleine analyse.

    De plus plus d'accès internet...

    Même topo en mode sans échec et en normal
    0
  10. Caramel44 Messages postés 19 Statut Membre
     
    OK merci j'essaye tout ça dès que je rentre du boulot ce soir.
    0
  11. Caramel44 Messages postés 19 Statut Membre
     
    Au fait, comment rétablir une connexion internet ??

    Pour télécharger, ce sera plus facile :-)
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      tu es en fillaire ou wifi ??

      sinon essais de voir si avec cela tu peux réparrer la connection

      Cliquez sur le bouton Démarrer.

      Cliquez sur l'option de menu Paramètres.

      Cliquez sur l'option Panneau de configuration.

      Après l'ouverture du Panneau de configuration, faites un double clic sur l'icône Connexions réseau. Si votre Panneau de configuration est paramétré pour un affichage en catégories, faites un double clic sur Connexions réseau et Internet puis cliquez sur Connexions réseau tout en bas.

      Vous verrez alors une liste de toutes les connexions réseau disponibles. Repérez la connexion vers votre adaptateur Sans Fil ou Réseau local et faites un clic droit dessus.

      Cliquez simplement sur l'option de menu Réparer.

      Réparer la connexion Internet

      Laissez le processus de réparation se dérouler, et lorsqu'il a terminé, votre connexion Internet devrait être de nouveau opérationnelle.


      Sinon, si une icône de votre réseau apparaît aussi dans la barre des tâches Windows, vous pouvez la réparer en faisant un clic droit sur l'icône et en choisissant Réparer
      0
  12. Caramel44 Messages postés 19 Statut Membre
     
    rien n'y fait pour internet. Je suis en connexion filaire, le réseau est détecté, 100 Mo mais aucun mouvement de données et connexion internet impossible...
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      la tu es sur un autre pc chez toi qui a internet sur la même box et lui il est comment en wifi ou filaire ??
      0
  13. Caramel44 Messages postés 19 Statut Membre
     
    oui en fait je suis en CPL, je viens d'inverser les branchements pour voir si ça provenait de là, je récupère internet sur mon portable et le PC de bureau ne veut toujours rien savoir.

    J'ai lancé l'outil de diagnostic depuis la ligne éxécuter,
    0
  14. Caramel44 Messages postés 19 Statut Membre
     
    ras, ne veut rien savoir...
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      tu veux dire que le pc sans internet est en cpl !! et si tu met le portable sur le cpl il fonctionne !!
      mais as tu déactiver le wifi pour être sur de passer par le cpl ?? car si un des récepteur cpl est HS et bien le portable il passes par le wifi !!!
      0
  15. Caramel44 Messages postés 19 Statut Membre
     
    ouais, tout testé, le portable a le wifi désactivé :-(
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      et wifi déconnecter sur le portable et connecter au cpl internet fonctionne ?
      dans ce cas possible que ta carte réseau du fixe soit hs dans le gestionnaire des périphérique tu as pas un ! ou ? jaune devant quelque chose !! mais pc connecter
      0
  16. Utilisateur anonyme
     
    Bonsoir

    Je vous laisse gérer...

    @+
    0
  17. Vent d'ouest Messages postés 714 Statut Membre 41
     
    Salut guillaume

    "Je vous laisse gérer... "

    Moi aussi !

    Un peu marre du king et de ses sbires.....
    0
  18. Caramel44 Messages postés 19 Statut Membre
     
    il y a juste un pc portable professionnel dont je me sers pour communiquer avec vous car l'autre ne peut plus...
    0
  • 1
  • 2