Virus cybergate

jb0410 Messages postés 7 Statut Membre -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour,

un collègue m'a envoyé un petit fichier, j'ai eu confiance trop vite, il m'a dit que c'était un virus cybergate qu'il m'a envoyé pour delirer!
par contre il m'a dit de supprimer un fichier dans C:/windows/system32/windir/svchost
je trouve pas ce fichier windir
pouvez vous m'aider svp ?
jbn

12 réponses

  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut jb0410

    On va vérifier le PC :

    Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    - Quitte les applications en cours afin de ne pas interrompre le scan.
    - Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
    Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
    - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
    - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

    Ne modifie pas les autres paramètres !

    Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %SYSTEMDRIVE%\*.*
    %SYSTEMDRIVE%\*.exe
    %PROGRAMFILES%\*.*
    %PROGRAMFILES%\*.
    /md5start
    consrv.dll
    volsnap.sys
    hidserv.dll
    appmgmts.dll
    eventlog.dll
    winlogon.exe
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    wininet.dll
    wininit.exe
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    explorer.exe
    svchost.exe
    userinit.exe
    qmgr.dll
    ws2_32.dll
    proquota.exe
    imm32.dll
    kernel32.dll
    ndis.sys
    autochk.exe
    spoolsv.exe
    xmlprov.dll
    ntmssvc.dll
    mswsock.dll
    Beep.SYS
    ntfs.sys
    termsrv.dll
    sfcfiles.dll
    st3shark.sys
    winlogon.exe
    wininit.ini
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    SAVEMBR:0
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    c:\$recycle.bin\*.* /s


    - Clique sur le bouton Analyse.
    - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

    Utilise cjoint.com pour poster en lien tes rapports :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    Après fais de même avec l'autre rapport Extras.txt

    @++ :)
    0
  2. jb0410 Messages postés 7 Statut Membre
     
    merci bien je fais ça ce soir .
    merci ;)
    0
  3. jb0410 Messages postés 7 Statut Membre
     
    re bonsoir,

    j'essai de faire la manip mais OTL bloque et ne répond plus et en bas c'est écrit scanning modules...
    je comprend rien
    pouvez vous m'aider svp
    0
  4. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut jb0410

    On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
    http://images.malwareremoval.com/random/RSIT.exe

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur Continue dans la fenêtre
    - RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

    Utilise cjoint.com pour poster en lien tes rapports :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    Faire la même chose avec l'autre rapport C:\rsit\info.txt

    @++ :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jb0410
     
    bjr , merci pour votre aide
    voici les lien
    pour log.txt

    http://cjoint.com/?BEpmDnsLYBT

    pour info.txt
    http://cjoint.com/?BEpmDVt6wCO

    j'espere que ça à marché
    0
  7. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut jb0410

    Télécharge combofix.exe (de sUBs) sur le bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp

    ==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

    Double clique sur combofix.exe, clique sur OUI et valide par Entrée

    Il te sera demandé d'installer la console si elle n'est pas installer, clique sur Oui

    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

    @++ :)
    0
  8. jb0410
     
    les rapports avec ont'il marché? sinon fait aveccombifox
    0
  9. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut jb0410

    Faire le scan avec Combofix et poste le rapport...

    @++ :)
    0
  10. jb0410
     
    voici le lien

    http://cjoint.com/?BEqvaOXSCO7

    que pouvez vousme dire d'aprés ce rapport ??
    merci d'avance
    0
  11. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut jb0410

    Cela est bon, comment va le PC, d'autre souci?

    @++ :)
    0
  12. jb0410
     
    merci bien ça me rassure
    pour l'instant rien d'autre j'aijuste eu l'impression hier que le pc ramait un peu mais j'ai l'impression que c'est depuis le temps que j'ai installé avast
    aussi j'ai installé malwarebytes
    en ce qui concerne combofi/otl/rsit puis-je les désinstaller et comment?

    merci
    0
  13. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut jb0410

    On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau

    http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix

    Double-clique sur l'icône delfix0.exe située sur ton Bureau.
    (Vista/Seven - Faire un clique droit sur l'icône delfix0.exe située sur ton Bureau et choisir exécuter en tant qu'administrateur.)

    Sélectionne Suppression

    Copie/colle le contenu du rapport dans ton prochain message.

    Note : Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

    -----

    Important de mettre à jour Windows et tes logiciels :
    Mettre Windows à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

    Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
    https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

    Faire un ménage des fichiers inutiles et de la base de registre :
    Téléchargement de Ccleaner : https://www.ccleaner.com/ccleaner
    Tutorial : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/#tutoriel-ccleaner

    Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.

    @++ :)
    0