Virus SACEM sur Win7 64 bits

Résolu
jleg Messages postés 12 Statut Membre -  
 g3n-h@ckm@n -
Bonjour à tous,

Comme beaucoup de personnes ces temps ci, mon pc (celui du boulot) a été infecté par le virus SACEM hier après-midi. En étant très rapide, j'ai réussi à lancer le gestionnaire de tâches avant que le virus ne se lance. J'ai tué le processus (le fichier s'appelait 1*.exe) puis lancé RogueKiller qui m'a nettoyé la base de registres (j'ai également supprimé manuellement tous les fichier 1*.exe que j'ai pu trouver sur la machine).

Je pense que tout n'est pas encore clean. Pour l'instant, je peux redémarrer la machine sans pb mais j'aimerai avoir de l'aide afin de m'assurer que tout est ok.

Si une âme charitable est libre (et elles sont nombreuses sur ce forum), je suis prêt à faire toutes les manip nécessaires.

Merci d'avance.
jleg.

21 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut

    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe

    mirroirs :

    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
    http://www.archive-host.com

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
  2. g3n-h@ckm@n
     
    relance-le , clique sur Diag et fournis le rapport obtenu par le meme biais
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. g3n-h@ckm@n
     
    c'est un logiciel à toi ca ?

    jmesoft
    0
  5. jleg Messages postés 12 Statut Membre
     
    Oui, c'est le driver du clavier (lenovo)
    0
  6. g3n-h@ckm@n
     
    desinstalle tout Java on va mettre la derniere version c'est à cause de ca que tu as chopé l'infection

    ==

    <
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    ====

    0
  7. jleg Messages postés 12 Statut Membre
     
    Le lien Malwarebytes arrive sur la version pro payante, je prends quand même ?

    Je réinstalle java avant ou après passage de Malwarebytes ?
    0
  8. g3n-h@ckm@n
     
    java avant , pour mbam , clique sur "download now"
    0
  9. jleg Messages postés 12 Statut Membre
     
    Voici le rapport de MBAM. Tu remarqueras qu'il a viré ton Winlogon.exe du bureau !

    Malwarebytes Anti-Malware (Essai) 1.65.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.09.13.02

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    jll :: CAPAX [administrateur]

    Protection: Activé

    13/09/2012 12:31:23
    mbam-log-2012-09-13 (12-31-23).txt

    Type d'examen: Examen complet (C:\|D:\|Q:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 754347
    Temps écoulé: 31 minute(s), 53 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 2
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    D:\JLuc\Download\DelphiCodeToDoc_v0.24.0.930\DCTD_cmd.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\jll\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
    1. jleg Messages postés 12 Statut Membre
       
      Dois-je faire autre chose ?
      0
  10. g3n-h@ckm@n
     
    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    (Pour vista et seven => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste son rapport.

    0
  11. jleg Messages postés 12 Statut Membre
     
    Voici le rapport de ADWCleaner :

    # AdwCleaner v2.001 - Rapport créé le 13/09/2012 à 15:01:19
    # Mis à jour le 09/09/2012 par Xplode
    # Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
    # Nom d'utilisateur : jll - CAPAX
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\jll\Desktop\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\ProgramData\Partner

    ***** [Registre] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
    Clé Supprimée : HKLM\Software\Conduit

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    Restauré : [HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
    Restauré : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

    -\\ Opera v [Impossible d'obtenir la version]

    Fichier : C:\Users\jlegendre\AppData\Roaming\Opera\Opera\operaprefs.ini

    [OK] Le fichier ne contient aucune entrée illégitime.

    Fichier : C:\Users\jll\AppData\Roaming\Opera\Opera\operaprefs.ini

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [1143 octets] - [13/09/2012 14:45:50]
    AdwCleaner[R2].txt - [1203 octets] - [13/09/2012 14:46:07]
    AdwCleaner[S2].txt - [390 octets] - [13/09/2012 14:46:52]
    AdwCleaner[S3].txt - [1782 octets] - [13/09/2012 15:01:19]

    ########## EOF - C:\AdwCleaner[S3].txt - [1842 octets] ##########
    0
  12. g3n-h@ckm@n
     
    si t'as plus de soucis on peut faire le menage
    0
  13. jleg Messages postés 12 Statut Membre
     
    Allons-y pour le ménage !
    0
  14. jleg Messages postés 12 Statut Membre
     
    Voila, le rapport de DelFix,

    # DelFix v8.9 - Rapport créé le 13/09/2012 à 15:45:52
    # Mis à jour le 27/07/12 par Xplode
    # Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
    # Nom d'utilisateur : jll - CAPAX (Administrateur)
    # Exécuté depuis : C:\Users\jll\Desktop\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\pre_scan
    Supprimé : C:\Users\jll\Desktop\RK_Quarantine

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\AdwCleaner[R1].txt
    Supprimé : C:\AdwCleaner[R2].txt
    Supprimé : C:\AdwCleaner[S2].txt
    Supprimé : C:\AdwCleaner[S3].txt
    Supprimé : C:\Users\jll\Desktop\adwcleaner.exe
    Supprimé : C:\Users\jll\Desktop\Pre_Scan_13_09_2012_10_23_25.txt
    Supprimé : C:\Users\jll\Desktop\RKreport[1].txt
    Supprimé : C:\Users\jll\Desktop\RKreport[6].txt

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\Software\g3n-h@ckm@n
    Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [966 octets] - [13/09/2012 15:45:52]

    ########## EOF - C:\DelFix[S1].txt - [1089 octets] ##########

    Sur ma lancée , je continue avec PureRa...

    Nettoyage de PureRa : Total space cleaned: 1173.04 MB
    0
  15. jleg Messages postés 12 Statut Membre
     
    CClearner en cours... très lent à cause de la suppression avec 35 passages...mais si on veut être clean, il faut savoir patienter :)
    0
  16. jleg Messages postés 12 Statut Membre
     
    Ouf ! Nettoyage complet du PC terminé.
    Bien content d'en avoir terminé avec ce virus de m...e !

    Un grand merci à toi g3n-h@ckm@n, t'es un chef !!!
    Joli travail.

    Super forum avec beaucoup d'helpers disponibles.
    0
  • 1
  • 2