Sujet Précédent Sujet Suivant

Au secours, virus conficker!

camiille30 Messages postés 43 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Je m'explique rapidement, depuis quelques jours j'ai le virus conficker sur mon ordi, n'y connaissant presque rien en informatique, je ne sais pas comment l'enlever (j'ai beau eu me renseigner, il faut avoir des bases solides en informatique pour le virer). Le problème c'est que depuis je ne peux pas accéder à ma boite professionnelle outlook (c'est un énorme handicap), et j'ai avant hier été victime d'un virus qui se faisait passer pour la police nationale (comme quoi mon ordi était bloqué pour activité illégale etc.) heureusement j'ai eu la bonne idée de redemarrer mon ordi et du coup j'ai pu m'apercevoir que c'était juste une tentative pour me prendre mes coordonnées bancaires.

J'aurai besoin d'aide, si quelqu'un serait assez gentil pour me guider pas à pas et virer cette saleté.

Je vous remercie infiniment.

Camille

A voir également:

50 réponses

Précédent
Réponse 21 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Pardon ?
Tu peux faire une capture d'écran ?

Tu as bien nommé le fichier texte CFScript ?
ComboFix se trouve bien sur ton bureau ?
0
Réponse 22 / 50
camiille30 Messages postés 43 Statut Membre
 
Tiens les captures d'écrans:

http://ww38.toofiles.com/fr/oip/images/jpg/capture1.html

http://ww38.toofiles.com/fr/oip/images/jpg/capture2.html
0
Réponse 23 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Le nom de ta session c'est Pierre Alain ou temp ?
0
Réponse 24 / 50
camiille30 Messages postés 43 Statut Membre
 
Pierre Alain
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
bizarre ça
Ce répertoire existe-t-il ? :

C:\User\Pierre Alain\Desktop
0
Réponse 26 / 50
camiille30 Messages postés 43 Statut Membre
 
Le repértoire pour mon bureau est :

C:\Users\Pierre alain\temp\Desktop
0
camiille30 Messages postés 43 Statut Membre
 
Donc je m'excuse, le nom de ma session doit etre temp
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
justement, le mot temp n'est pas apprécié par combofix à mon avis.

il n'aime pas être lancé depuis un répertoire temp(oraire) :)
0
camiille30 Messages postés 43 Statut Membre
 
Lol, dans ce cas comment faire ?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
soit c'est un symptome de confinker

soit c est vraiment le nom de ta session

tu n'en a pas d'autre?
0
camiille30 Messages postés 43 Statut Membre
 
Non, je n'ai jamais su comment faire. Si je crée une autre session, ça pourrait marcher?
0
Réponse 27 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
on va essayer autre chose !

telecharge ici : Load_KidoKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage

l'outil va télécharger automatiquement la derniere version puis

le scan se lancera ensuite

à la fin Kido.txt se mettra sur ton bureau

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il risque d'être trop long)

clic droit dessus , envoyer vers , dossiers compressés

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.
0
Réponse 28 / 50
camiille30 Messages postés 43 Statut Membre
 
Tu vas vraiment me prendre pour un sujet difficile lol....

Impossible d'ouvrir le logiciel, le nom de repertoire est incorrect
0
Réponse 29 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
mdr attend j'en fais part à l'auteur il est connecté
0
Réponse 30 / 50
Utilisateur anonyme
 
salut il est possible d'avoir une capture d'ecran du message d'erreur ?

aucune sandbox est activée ? (celle d'avast par exemple)
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Réponse 31 / 50
camiille30 Messages postés 43 Statut Membre
 
Bonsoir,

Alors j'ai maintenant réussi à ouvrir le logiciel load_kidokiller, je ne sais pas pourquoi l'autre jour il ne voulait pas s'ouvrir, c'est bizarre.

Ci joint le compte rendu

http://www.cijoint.fr/cjlink.php?file=cj201110/cijfe7YICa.zip
0
Réponse 32 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Salut !

Gen-Hackman n'est pas très présent ces derniers jours, servabat non plus, je vais donc finir avec toi !

Peux-tu réessayer USBFix stp ?

▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes périphériques externes sans les ouvrir (MP3, MP4, clé USB, disque dur externe, GSM, ...)

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

~~

▶ Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

▶ Double-clique sur OTM.exe pour le lancer.

▶ Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved. 

 
:Files
c:\users\Pierre alain\AppData\Local\Temp\xqkpvfgl.sys
c:\users\Pierre alain\AppData\Local\iyvhkgku   

:Reg
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"MsnMsgr"=-
"QfnTugtl"=-

:Services
Micorsoft Windows Service

:commands 
[emptytemp]


▶ Clique sur MoveIt! puis ferme OTM.

▶ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

▶ Accepte en cliquant sur YES.

▶ Poste le rapport situé dans C:\_OTM\MovedFiles.

▶ Le nom du rapport correspond au moment de sa création : date_heure.log
0
Réponse 33 / 50
camiille30 Messages postés 43 Statut Membre
 
Bonjour, j'ai oubliée ma clé usb chez une amie depuis plus d'un mois (bien avant l'apparition de ce virus) et je n'ai pas branché mon disque dur externe depuis cet été, j'ai voulu le faire récemment mais étant donné que j'avais ce virus, je n'ai pas voulu le brancher histoire de ne pas le contaminer, par conséquent je suis sûre à 100% qu'aucun de mes périphériques n'est contaminés. Dois-je quand même brancher mon disque dur externe et faire une analysé usb fix? Ou passer directement à la suite?
0
Réponse 34 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
fais usbfix :-)
0
Réponse 35 / 50
camiille30 Messages postés 43 Statut Membre
 
Rapport usbfix:

############################## | UsbFix 7.036 | [Suppression]

Utilisateur: Pierre alain (Administrateur) # PC-DE-PIERREALA [Hewlett-Packard HP Pavilion dv5 Notebook PC]
Mis à jour le 20/12/10 par El Desaparecido / C_XX
Lancé à 16:38:19 | 29/10/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU T5800 @ 2.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 7.0.6001.18000

Pare-feu Windows: Désactivé /!\
RAM -> 3068 Mo
C:\ (%systemdrive%) -> Disque fixe # 224 Go (58 Go libre(s) - 26%) [] # NTFS
D:\ -> Disque fixe # 9 Go (2 Go libre(s) - 18%) [HP_RECOVERY] # NTFS
E:\ -> CD-ROM
G:\ -> CD-ROM
H:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-1811367947-999971932-2560446051-1000
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-1811367947-999971932-2560446051-1000

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |

################## | Listing |

[29/10/2011 - 16:41:20 | SHDC ] C:\$RECYCLE.BIN
[29/10/2011 - 16:35:57 | DC ] C:\32788R22FWJFW
[18/10/2011 - 22:11:08 | DC ] C:\6de2952ddfcdf9b776133d7baa0d
[02/07/2008 - 09:44:35 | C | 74] C:\autoexec.bat
[18/10/2011 - 22:13:38 | RADC ] C:\Autorun.inf
[08/04/2009 - 06:09:12 | DC ] C:\BlueByte
[02/07/2008 - 20:25:22 | D ] C:\boot
[21/01/2008 - 04:24:42 | RASH | 333203] C:\bootmgr
[02/04/2009 - 19:59:20 | C | 1042] C:\CDFE.log
[28/10/2011 - 14:03:45 | C | 11286] C:\ComboFix.txt
[18/09/2006 - 23:43:37 | C | 10] C:\config.sys
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[29/10/2011 - 16:25:36 | ASH | 3216224256] C:\hiberfil.sys
[24/10/2008 - 14:26:23 | D ] C:\HP
[23/09/2008 - 01:23:46 | D ] C:\Intel
[02/04/2009 - 20:07:26 | C | 0] C:\IO.SYS
[24/10/2008 - 14:26:23 | C | 375] C:\IPH.PH
[02/04/2009 - 19:59:17 | C | 0] C:\lxcdfire.csv
[02/04/2009 - 20:03:14 | C | 1192] C:\LXCDINST.csv
[02/04/2009 - 20:07:26 | C | 0] C:\MSDOS.SYS
[17/03/2010 - 23:33:33 | RD ] C:\MSOCache
[29/10/2011 - 16:25:34 | ASH | 3532079104] C:\pagefile.sys
[21/01/2008 - 04:32:31 | D ] C:\PerfLogs
[24/10/2011 - 21:33:40 | DC ] C:\plop
[26/10/2011 - 10:28:09 | DC ] C:\plop15195p
[28/10/2011 - 14:03:49 | DC ] C:\plop31007p
[21/10/2011 - 18:55:21 | D ] C:\Program Files
[16/10/2011 - 22:15:53 | D ] C:\ProgramData
[29/10/2011 - 16:14:54 | DC ] C:\Qoobox
[18/01/2009 - 18:45:53 | D ] C:\SwSetup
[28/10/2011 - 19:58:02 | SHD ] C:\System Volume Information
[24/10/2008 - 14:25:00 | D ] C:\System.sav
[13/10/2011 - 22:32:39 | DC ] C:\TeLLmeMore
[20/08/2010 - 20:44:48 | D ] C:\Temp
[02/03/2011 - 00:35:53 | C | 11] C:\trace.ini
[29/10/2011 - 16:41:20 | DC ] C:\UsbFix
[29/10/2011 - 16:38:20 | AC | 3107] C:\UsbFix.txt
[18/10/2011 - 22:13:39 | C | 9220] C:\UsbFix_Upload_Me_PC-DE-PIERREALA.zip
[24/10/2008 - 14:23:10 | D ] C:\Users
[29/10/2011 - 16:36:26 | D ] C:\Windows
[29/10/2011 - 16:41:20 | D ] D:\$RECYCLE.BIN
[18/10/2011 - 22:13:38 | RAD ] D:\Autorun.inf
[24/10/2008 - 14:23:38 | N | 13] D:\BLOCK.RIN
[13/10/2011 - 22:32:20 | D ] D:\boot
[04/10/2006 - 00:02:44 | SH | 438328] D:\bootmgr
[26/03/2008 - 17:08:32 | SH | 1089] D:\Desktop.ini
[10/09/2002 - 17:14:28 | N | 8134] D:\Folder.htt
[23/09/2008 - 01:48:25 | D ] D:\HP
[29/10/2011 - 16:37:23 | N | 151] D:\MASTER.LOG
[23/09/2008 - 01:48:00 | D ] D:\PRELOAD
[16/09/2002 - 15:37:48 | N | 181898] D:\protect.chinese hong kong
[16/09/2002 - 15:37:40 | N | 181916] D:\protect.chinese simplified
[16/09/2002 - 15:37:48 | N | 181898] D:\protect.chinese traditional
[27/04/2006 - 17:19:40 | N | 181865] D:\protect.czech
[03/11/2005 - 16:21:26 | N | 181726] D:\protect.danish
[10/09/2002 - 14:56:12 | N | 181605] D:\protect.dutch
[10/09/2002 - 14:50:18 | N | 181651] D:\protect.ed
[22/11/2004 - 16:28:30 | N | 181648] D:\protect.english
[03/11/2005 - 16:20:20 | N | 181673] D:\protect.finnish
[03/11/2005 - 16:19:52 | N | 181736] D:\protect.french
[03/11/2005 - 16:18:10 | N | 181669] D:\protect.german
[23/11/2005 - 16:56:46 | N | 182689] D:\protect.greek
[23/01/2006 - 10:18:00 | N | 182605] D:\protect.hebrew
[28/08/2007 - 15:58:08 | N | 181696] D:\protect.hungarian
[03/11/2005 - 16:17:00 | N | 181554] D:\protect.italian
[19/06/2007 - 16:22:10 | N | 182351] D:\protect.japanese
[24/11/2005 - 12:24:44 | N | 218295] D:\protect.korean
[03/11/2005 - 16:15:12 | N | 181578] D:\protect.norwegian
[25/04/2006 - 15:44:10 | N | 181789] D:\protect.polish
[03/11/2005 - 16:13:12 | N | 181624] D:\protect.portuguese
[27/10/2005 - 20:24:10 | N | 181882] D:\protect.portuguese brazilian
[28/06/2004 - 09:52:46 | N | 211936] D:\protect.russian
[03/11/2005 - 16:11:46 | N | 181586] D:\protect.spanish
[10/09/2002 - 15:15:06 | N | 181602] D:\protect.swedish
[12/08/2003 - 11:37:30 | N | 181783] D:\protect.turkish
[23/09/2008 - 01:47:48 | RD ] D:\RECOVERY
[23/09/2008 - 01:47:54 | D ] D:\SOURCES
[23/09/2008 - 01:50:31 | SHD ] D:\System Volume Information
[23/09/2008 - 01:48:15 | D ] D:\Tools
[23/09/2008 - 01:47:57 | D ] D:\WINDOWS
[01/01/1995 - 02:00:00 | R | 44] E:\Track01.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track02.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track03.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track04.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track05.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track06.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track07.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track08.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track09.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track10.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track11.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track12.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track13.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track14.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track15.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track16.cda
[01/01/1995 - 02:00:00 | R | 44] E:\Track17.cda

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-PIERREALA.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |
0
Réponse 36 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
ok et maintenant OTM ;)
0
Réponse 37 / 50
camiille30 Messages postés 43 Statut Membre
 
Et voici OTM =)

All processes killed
========== FILES ==========
File/Folder c:\users\Pierre alain\AppData\Local\Temp\xqkpvfgl.sys not found.
c:\users\Pierre alain\AppData\Local\iyvhkgku folder moved successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\MsnMsgr deleted successfully.
Registry value HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\QfnTugtl deleted successfully.
========== SERVICES/DRIVERS ==========
Service Micorsoft Windows Service stopped successfully!
Service\Driver key Micorsoft Windows Service not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Flash cache emptied: 56504 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Pierre alain
->Temp folder emptied: 197236 bytes
->Temporary Internet Files folder emptied: 590446861 bytes
->Java cache emptied: 85148465 bytes
->FireFox cache emptied: 29394923 bytes
->Google Chrome cache emptied: 72963622 bytes
->Flash cache emptied: 29988799 bytes

User: Public
->Temp folder emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1266 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 14486419 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 7618981 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 792,00 mb

OTM by OldTimer - Version 3.1.19.0 log created on 10292011_164652
0
Réponse 38 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Ok :-)

Redémarre le pc, est-ce que tu as toujours les symptômes de conficker ?
0
Réponse 39 / 50
camiille30 Messages postés 43 Statut Membre
 
J'ai également une question, depuis quelques temps, dès que les services outlook et de microsoft en général sont inaccessibles, j'ai pris l'habitude d'utiliser ComboFix de moi même, seulement aujourd'hui, il ne marche plus, dès que je le lance il ne scanne pas et le logiciel disparait de mon ordi, je l'ai a nouveau telechargé, et ca fait la même chose. Est-ce embêtant pour la suite ?

Ps: OMT ne voulait pas se lancer depuis mon bureau, prétextant qu'il ne pouvait pas se lancer depuis une session temporaire (quelque chose du genre), du coup au lieu de l'enregistrer sur mon bureau, je l'ai enregistré dans la partie "Pierre Alain", et il n'y a pas eu de problèmes pour le lancer. Je me souviens la dernière fois, quand je n'avais pas pu faire glisser CFSscript sur ComboFix sous prétexte que j'étais sur une session temporaire, je suppose que maintenant en enregistrant tout sur "Pierre Alain" ca pourrait marcher
0
Réponse 40 / 50
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
oui ... mais le script OTM est celui de combofix adapté en fait ;)
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses