Virus SACEM sur Win7 64 bits

[Résolu/Fermé]
Signaler
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012
-
 Utilisateur anonyme -
Bonjour à tous,

Comme beaucoup de personnes ces temps ci, mon pc (celui du boulot) a été infecté par le virus SACEM hier après-midi. En étant très rapide, j'ai réussi à lancer le gestionnaire de tâches avant que le virus ne se lance. J'ai tué le processus (le fichier s'appelait 1*.exe) puis lancé RogueKiller qui m'a nettoyé la base de registres (j'ai également supprimé manuellement tous les fichier 1*.exe que j'ai pu trouver sur la machine).

Je pense que tout n'est pas encore clean. Pour l'instant, je peux redémarrer la machine sans pb mais j'aimerai avoir de l'aide afin de m'assurer que tout est ok.

Si une âme charitable est libre (et elles sont nombreuses sur ce forum), je suis prêt à faire toutes les manip nécessaires.

Merci d'avance.
jleg.


21 réponses


salut

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

Bonjour g3n-h@ckm@n,

et merci d'avoir répondu si rapidement.

Voilà le fichier rapport de Pre_scan.

https://pjjoint.malekal.com/files.php?id=20120913_w11m7y14t7e6

Merci encore pour ton aide.

relance-le , clique sur Diag et fournis le rapport obtenu par le meme biais
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012


c'est un logiciel à toi ca ?

jmesoft
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

Oui, c'est le driver du clavier (lenovo)

desinstalle tout Java on va mettre la derniere version c'est à cause de ca que tu as chopé l'infection

==

<
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


▶ Télécharge ici :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)



====


Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

Le lien Malwarebytes arrive sur la version pro payante, je prends quand même ?

Je réinstalle java avant ou après passage de Malwarebytes ?

java avant , pour mbam , clique sur "download now"
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

Voici le rapport de MBAM. Tu remarqueras qu'il a viré ton Winlogon.exe du bureau !

Malwarebytes Anti-Malware (Essai) 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.13.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
jll :: CAPAX [administrateur]

Protection: Activé

13/09/2012 12:31:23
mbam-log-2012-09-13 (12-31-23).txt

Type d'examen: Examen complet (C:\|D:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 754347
Temps écoulé: 31 minute(s), 53 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoViewContextMenu (PUM.RightClick.Disabled) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Restrictions|NoBrowserContextMenu (PUM.RightClick.Disabled) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
D:\JLuc\Download\DelphiCodeToDoc_v0.24.0.930\DCTD_cmd.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\jll\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

Dois-je faire autre chose ?

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

Voici le rapport de ADWCleaner :

# AdwCleaner v2.001 - Rapport créé le 13/09/2012 à 15:01:19
# Mis à jour le 09/09/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : jll - CAPAX
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\jll\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Partner

***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
Clé Supprimée : HKLM\Software\Conduit

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

Restauré : [HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

-\\ Opera v [Impossible d'obtenir la version]

Fichier : C:\Users\jlegendre\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

Fichier : C:\Users\jll\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1143 octets] - [13/09/2012 14:45:50]
AdwCleaner[R2].txt - [1203 octets] - [13/09/2012 14:46:07]
AdwCleaner[S2].txt - [390 octets] - [13/09/2012 14:46:52]
AdwCleaner[S3].txt - [1782 octets] - [13/09/2012 15:01:19]

########## EOF - C:\AdwCleaner[S3].txt - [1842 octets] ##########

si t'as plus de soucis on peut faire le menage
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

Allons-y pour le ménage !
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

Voila, le rapport de DelFix,

# DelFix v8.9 - Rapport créé le 13/09/2012 à 15:45:52
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : jll - CAPAX (Administrateur)
# Exécuté depuis : C:\Users\jll\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\pre_scan
Supprimé : C:\Users\jll\Desktop\RK_Quarantine

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\Users\jll\Desktop\adwcleaner.exe
Supprimé : C:\Users\jll\Desktop\Pre_Scan_13_09_2012_10_23_25.txt
Supprimé : C:\Users\jll\Desktop\RKreport[1].txt
Supprimé : C:\Users\jll\Desktop\RKreport[6].txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [966 octets] - [13/09/2012 15:45:52]

########## EOF - C:\DelFix[S1].txt - [1089 octets] ##########

Sur ma lancée , je continue avec PureRa...

Nettoyage de PureRa : Total space cleaned: 1173.04 MB

:)
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

CClearner en cours... très lent à cause de la suppression avec 35 passages...mais si on veut être clean, il faut savoir patienter :)

c'est clair :) ^^
Messages postés
12
Date d'inscription
jeudi 13 septembre 2012
Statut
Membre
Dernière intervention
13 septembre 2012

Ouf ! Nettoyage complet du PC terminé.
Bien content d'en avoir terminé avec ce virus de m...e !

Un grand merci à toi g3n-h@ckm@n, t'es un chef !!!
Joli travail.

Super forum avec beaucoup d'helpers disponibles.