Infecté par W32/blaster.worm

mathos33 Messages postés 125 Statut Membre -  
mathos33 Messages postés 125 Statut Membre -
Bonjour,

J'ai un PC infecté par W32/Blaster.worm. Dès que je veux ouvrir une application, j'ai un message d'erreur m'indiquant "votre application.exe est infectée par W32/Blaster.worm". Je ne peux donc rien ouvrir. A noter qu'il me lance à chaque démarrage une application "internet security.exe" que je ne connais pas et qui scan ma machine en me demandant d'acheter la licence pour corriger l'infection.
Savez-vous ce que s'est ? Pouvez-vous m'aider ?

Merci

6 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    C'est un faux antivirus : rogue/scareware
    qui affiche ces fausses alertes, le but étant de le faire acheter pour désinfecter l'infection imaginaire.

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...

    Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad

    Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
    Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
    Renomme RogueKiller.exe en RogueKiller.com

    D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Vérifei que quand tu fais une recherche Google et que tu clics sur un lien de résultat.
    Ca va bien dessus et pas sur un autre site (pub ou autres).

    et :
    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
    Poste le rapport ici.

    et :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    consrv.dll
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    1
    1. mathos33 Messages postés 125 Statut Membre
       
      Hello

      Y a t-il d'autres choses à faire ou est-ce que je peux rebrancher le PC ?

      Merci de ta réponse
      0
  3. mathos33 Messages postés 125 Statut Membre
     
    Merci pour la rapidité !

    Voici le rapport RogueKiller :

    RogueKiller V7.0.3 [06/02/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Emeline [Droits d'admin]
    Mode: Suppression -- Date : 07/02/2012 16:33:39

    ¤¤¤ Processus malicieux: 1 ¤¤¤
    [SUSP PATH] isecurity.exe -- C:\Documents and Settings\All Users\Application Data\isecurity.exe -> KILLED [TermProc]

    ¤¤¤ Entrees de registre: 7 ¤¤¤
    [SUSP PATH] HKCU\[...]\Run : Internet Security (C:\Documents and Settings\All Users\Application Data\isecurity.exe) -> DELETED
    [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0)
    [HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> REPLACED (0)
    [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [CHARGE] ¤¤¤
    SSDT[116] : NtOpenFile @ 0x8057A1A6 -> HOOKED (kl1.sys @ 0xB9D9F030)

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    127.0.0.1 www.newsleecher.com
    127.0.0.1 newsleecher.com

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ExcelStor Technology J8160S +++++
    --- User ---
    [MBR] 639e8443b0728a361fefb79a3f2f72c0
    [BSP] 56e66222fec156b080e095ccc8493277 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 29996 Mo
    1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 61432560 | Size: 127060 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: Kingston DataTraveler 2.0 USB Device +++++
    --- User ---
    [MBR] f733241f0edf3fe5946a162b189d6e4b
    [BSP] ec038f3ca5091360f60d743d6f1c7fdb : MBR Code unknown
    Partition table:
    0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 248 | Size: 959 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Supprime : C:\Documents and Settings\All Users\Application Data\isecurity.exe

    Ad-Aware tu peux le désinstaller.
    Il est pas super efficace.

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    0
  6. mathos33 Messages postés 125 Statut Membre
     
    OK merci ! Je m'occupe de tout ça.

    Ensuite je peux rebrancher la machine ?
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      comment ça rebrancher ?
      0
    2. mathos33 Messages postés 125 Statut Membre
       
      Rebrancher sur le net et l'utiliser à nouveau normalement. Pour l'instant il est isolée, j'utilise un autre PC.
      0
    3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      rebranche le, ça doit être bon.
      0
    4. mathos33 Messages postés 125 Statut Membre
       
      Un grand merci à toi, je suis en train de lire ta doc sur les exploit...
      0