Infection par Komodola Résolu/Fermé

Question

Bonjour,    

J'ai aujourd'hui appris que mon pc de boulot était infecté par Komodola. Cela, selon un rapport de "Symantec Endpoint Protection" qui dit ne pas pouvoir nettoyer ni supprimer le fichier incriminé (un .exe).   

J'ai bien entendu suivi la procédure de nettoyage préconisée par Symantec avec Symantec Power Eraser sans détection du-dit trojan.   

J'ai ensuite lancé des scan par Spybot, scanné et nettoyé la base de registre avec CCleaner, toujours rien détecté.    

Suite de la réflexion, en avant pour une suppression manuelle ! Mais quelle surprise alors lorsque les modifications de la base de registre (dont celles informées sur le site de Symantec) n'apparaissent pas sur mon ordinateur..   

Alors, me direz-vous faux positif ? Et bien il s'avère que lorsque je souhaite supprimer, ou simplement accéder aux propriétés du fichier infectés, je me trouve face à une barre de chargement épouvantablement longue... Qui finit par "vous ne pouvez pas supprimer ce fichier car il est actuellement utilisé dans System".  

Une solution que j'ai trouvé pour faire arrêter de hurler mon antivirus a été de bloquer tous les droits de ce fichier, mais j'ai peur que le mal ai déjà été fait.   

Je suis donc perplexe. Est-il possible que des modifications de la base de registre aient été effectuées tout en étant cachées ? Et auriez-vous un conseil quand à l'élimination, ou au moins à la détection de ce trojan ?    

Étant donné que c'est un PC de boulot, je ne peux pas changer d'antivirus..   

Merci pour vos précieux conseils.   

EDIT : Après avoir vu que nombre d'entre vous utilisent cette procédure, voici le lien vers mon rapport ZHPDIag 
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120522_i10y10l7t6m7 

Configuration: Windows 7 / Firefox 12.0

jlpjlp · Answer

slt 
c'est quel fichier ?

tu as son raccourci? 


sinon: 
pour le virer il faut passer en mode sans echec en général si il est encore actif 

pas besoin de changer d'antivirus, en général si tu veux vérifier ton pc avec un anture antivirus utilise simplement un antivirus en ligne

jlpjlp · Answer

tu peux analyser le fichier sur virus total pour voir et nous coller le rapport 


https://www.virustotal.com/gui/

jlpjlp · Answer

Simplement, pourrais tu me confirmer que supprimer ce fichier-ci va soit :
- Supprimer purement et simplement le trojan associé.
- Laisser la possibilité de nettoyer derrière s'il s'est déjà répandu.


oui  je confirme !!!



tu avais lancé le fichier ou norton a bloqué son lancement ?

Ylliasviel · Answer

Bon, j'ai rouvert les droits de lecture écriture... sur le fichier (ce qui a d'ailleurs instantanément fait ramer mon pc) mais il me dit néanmoins que je ne dispose pas des droits pour ouvrir le fichier lorsque je souhaite le scanner sur le site.  

Je viens de vérifier, tout est bien autoriser dans l'onglet sécurité.  

Le message exact est :  
" Craftback  
Vous n'avez pas les droits pour ouvrir ce fichier  
Consultez le propriétaire de ce fichier ou un administrateur pour obtenir cette autorisation"  

J'ai pourtant les droits admin sur cette machine puisque je peux tout installer / désintaller / ouvrir en tant qu'administrateur.

Ylliasviel · Answer

tu avais lancé le fichier ou norton a bloqué son lancement ?

Oui je l'ai utilisé plusieurs fois il y a un ou deux mois. Aucun signal, rien. Pas remarqué de ralentissement particulier de mon ordinateur non plus.

Mais j'ai vu sur le site de symantec que ce trojan est détecté depuis une mise à jour datant du 18 Mai. Donc je suppose qu'il était probablement actif auparavant mais non détecté..

jlpjlp · Answer

analyse le sur virus total ou avec un antivirus en ligne   cela peut être un faux positif

au boulot les ordi sont parfois bloqués par une personne informatique et risque de te bloquer


sinon tente de le virer avec unlocker

Ylliasviel · Answer

Bon, j'ai ramené le pc chez moi.

Virus total ne marchait toujours pas.
J'ai installé unlocker mais il n'apparait pas sur le cloc droit (sur mon autre pc non plus d'ailleurs)

Du coup j'ai relancé en mode sans échec et j'ai pu supprimer le fichier.

Souhaites-tu un nouveau rapport ZHPDiag ? 
En tout cas mon anti-virus ne hurle plus. Merci pour cette première victoire.

jlpjlp · Answer

non pour ZHpdiag c'etait bon sauf une clé de registre pour ask

lance l'option de suppression de adwcleaner pour finir de supprimer les reste de ask
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


ensuite tu peux passer nod 32 en ligne pour vérifier que tout est bon  ici: antivirus en ligne


pour supprimer ce qui a été utilisé utilise delfix

Ylliasviel · Answer

J'ai effectué l'ensemble des opérations et ça semble s'être déroulé parfaitement.

Je te remercie de tout coeur pour l'aide apportée. Si je comprend bien, c'était un faux positif, mais après avoir lu que ce trojan là servait notamment à espionner les mots de passes et les informations bancaires, j'avoue m'être inquiétée.

Encore merci vraiment pour ton aide.

jlpjlp · Answer

si tu l'as téléchargé sur un site officiel je pense que c'est un faux positif effectivement

Infection par Komodola

10 réponses

Discussions similaires

Newsletters