olmarik fait encore des ravages Fermé

Question

Bonjour, j'ai le même problème que malicia34  mais en pire puisque nod 32 (version d'évaluation) me trouve : fichier variante Olmarik.ADH chevale de Troie et win32/olmarik.TDL3 . logé dans la mémoire vive. mais mon problème est plus "grave" puisque olmarik me coupe internet, me remet XP est apparence windows 98, empêche d'exécuter des programme en .exe importé depuis une clé USB (j'ai testé combo fix, il ne s'exécute pas), et peu être d'autre problème que je n'ai pas remarqué encore.
l'ordinateur infecté est un asus portable XP home.
j'aimerais de l'aide je n'ai pas trouvé de solution dans les forums que j'ai visité.



Configuration: Windows XP / Safari 536.11

g3n-h@ckm@n · Answer

salut 

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

frederic881 · Answer

maintenant j'ai lancé le "kill scan" mais il y a autolt error (line 6040 (C:document and settings\utilisateur\bureau\winlogon.exe))je dois faire quoi? si je mais "X" ou "OK" ça quitte et je vois seulement mon bureau.

g3n-h@ckm@n · Answer

je m'y attendais  

fournis quand meme le rapport qui est dans c:\ , puis

suis ce tuto : 

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

frederic881 · Answer

quel rapport? je n'est eu aucun rapport formé. 

j'envoie si join le rapport dr.web 

afd.sys;C:\WINDOWS\system32\drivers;BackDoor.Tdss.2459;Désinfecté.;
A0009174.dll;C:\System Volume Information\_restore{EEA8D495-C16B-4E63-AB62-C7FB355B51D6}\RP40;Trojan.Inject.9856;Supprimé.;
A0009175.dll;C:\System Volume Information\_restore{EEA8D495-C16B-4E63-AB62-C7FB355B51D6}\RP40;BackDoor.Tdss.4246;Supprimé.;

pas de olmarik.

g3n-h@ckm@n · Answer

ok retelecharge pre_scan et lance-le

frédéric881 · Answer

quand j'essaie de télécharger pre_scan BitDefender me dit que c'est un virus. je le télécharge quand même qui je l'exécute et la erreur de Windows (avec un joli écran bleue) et qui l'ordi s'éteint. 
j'ai quand même fais un analyse avec nod32 qui ne détecte plus de virus donc je pense que le souci est réglé.
merci beaucoup de votre aide.

g3n-h@ckm@n · Answer

relance-le en mode sans echec

heureusement que je demande de desactiver les protections hein !!

frederic881 · Answer

pour le  télécharger j'utilise un autre ordinateur puisque je n'est pas internet.
j'ai lancé l'analyse en mode sans échec et ça à marché mais une fois l'ordinateur redémarré aucune nouvelle rien, pas de fichier texte créé. où doit être créé le fichier texte? il n'est ni sur le bureau ni dans ma clé usb?

g3n-h@ckm@n · Answer

planqué dans tes icones du bureau normalement...

frederic881 · Answer

et bien je n'est pas assez d'icônes pour le perdre...

g3n-h@ckm@n · Answer

attends je comprends pas tu as bitdefender et tu as installé NOD32 ?

regarde dans c:\ alors pour le rapport

frederic881 · Answer

non sur un autre ordinateur j'ai bitdefender mais sur "l'infecté" j'ai mis nod 32 version d'essais.
dans c:\ jai trois fichiers un .log un .txt et un autre . FRN c'est le quel?

g3n-h@ckm@n · Answer

si tu me donnes que les extensions je peux pas te dire..

frederic881 · Answer

puisque plus haut il est dit qu'il est grand je prend le plus grand drwtsn32.log
les autres sont de 1ko 
http://pjjoint.malekal.com/files.php?id=20120706_l13p7p9b9f5

voilà

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

frederic881 · Answer

j'ai (encore) deux problèmes peu être liés: combofix renommé (mouarf.exe) a besoin de internet pour effectuer la sauvegarde complète du système si il ne la fait pas il ne peut pas résoudre les infections profondes (c'est ce qui est marqué sur le message d'erreur) et 2eme problème combofix se bloque à la 50eme étape après quoi il y a écri suppression de dossier:
 c:\document and setting\utilisateur\WINDOWS

je dois faire quoi attendre encore (j'attend depuis 2h30) ?

g3n-h@ckm@n · Answer

pas le choix...

frederic881 · Answer

deux jour d'attente 48h à la place de 20min je trouve ça un peu long...

g3n-h@ckm@n · Answer

effectivement....

redemarre le pc en mode sans echec et relance-le si au bout d'une demi heure c'est la meme chose on avisera

frederic881 · Answer

quand j'ai redémarré mon système en mode sans échec il y avait pre_scan... sur le bureau qui n'était pas en "normal" je le fourni si dessous
http://pjjoint.malekal.com/files.php?id=20120709_g9w10j7m9u14

sinon combofix ne donne pas plus de résultat en mode sans echec

g3n-h@ckm@n · Answer

ca veut dire que tu ne demarres pas sous la meme session en normal et en mode sans echec

frederic881 · Answer

d'accord du coup je vais continuer sur cette session avec combofix voir si ça bug moins 

et pour le rapport c'était bien le bon?

g3n-h@ckm@n · Answer

non je parlais pour pre_scan

frederic881 · Answer

oui du coup j'ai fais dr web pre_scan et combofix sur la même session maintenant mais combofix ne marche toujours pas maintenant il ne commence mais pas l'analyse il y a juste deux lignes rien d'autre et pourtant j'ai attendu 2h

g3n-h@ckm@n · Answer

drweb  c etait pas obligé il les fait toutes de toute maniere en complete...

t'as le dernier rapport de pre_scan ?

frederic881 · Answer

c'est celui envoyé plus haut  faut il que je refasse un scan?

g3n-h@ckm@n · Answer

non 

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

frederic881 · Answer

voilà j'ai fait 3 analyse une normal une antivirus (avast free) déactivé
et une en mode sans échec antivirus déactivé 

http://pjjoint.malekal.com/files.php?read=20120713_b6m6v7k9w6
http://pjjoint.malekal.com/files.php?read=20120713_q15s14l11r12t10
http://pjjoint.malekal.com/files.php?read=20120713_k7p8j12d6s5

g3n-h@ckm@n · Answer

change l'extension ".exe" de combofix en ".pif"

frederic881 · Answer

j'ai changé et exécuté combofix.pif aucun résultat après 1h de scan.

ça se bloque au même moment. j'ai fais un test pour la connexion internet et le problème se situe à la dns.

g3n-h@ckm@n · Answer

si tu relances Pre_Scan le menu apparait-t-il ?

si oui :

Selectionne ce texte (CTRL+A puis CTRL+C ou clic droit/copier) :

Kill::

DNS::

Reboot::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

frederic881 · Answer

pardon pour le retard j'ai eu un problème d'ordre personnel. 

après avoir fais la manip l'ordinateur se redémarre directement je sais que les trois commandes sont rapide mais là... en plus l'ordinateur s'éteint avec un jolie écran bleue pour s'allumer avec "modification du système fat32...." 
bref après l'analyse Windows je ne vois aucun fichier pre_script.txt sur le bureau donc je réessaie en mode sans échec mais l'ordinateur se redémarre aussi instantanément mais en plus de ça il passe en anglais et le démarrage est beaucoup plus long (au max 30secondes avant pour le mode sans echec et maintenant plus de 2min). 
encore mieux après le pseudo démarrage asus preload se lance et met  
"select the appropriate aption below 

¤recover windows to first partition only 

¤recover windows to entire HD 

¤recover windows to entire HD with 2 partition." 
                          <back  next>  cancel
je choisi le quel?

g3n-h@ckm@n · Answer

salut

recupère tes données avec un live cd 

formate ton disque dur complet avec killdisc puis reinstalle windows proprement

frederic881 · Answer

je veux bien mais j'ai pas de CD windows il y en a pas besoin?

g3n-h@ckm@n · Answer

recupère ta clé windows et fais-toi prêter un cd d'installation ensuite à l'installation tu rentres la clé de TON windows

frederic881 · Answer

OK et bien merci beaucoup pour votre aide !

g3n-h@ckm@n · Answer

pour formater dans les meilleures conditions :

https://forums.commentcamarche.net/forum/affich-37636608-formater-avec-killdisk

Olmarik fait encore des ravages

37 réponses