virus extrêmement persistant lumivexdopag.exe Résolu/Fermé

Question

Bonjour, 

je viens vous demander de l'aide car mon ordinateur a contracté un virus persistant. 
Son principal effet est d'empêcher antivir et malwarebyte de fonctionner correctement. Du moins, c'est la partie visible de son action

j'ai tenté roguekiller (en changeant son nom). il le repère bien mais il ne peut le supprimer
j'ai également tenté combofix qui m'a supprimer quelques fichiers ma n'a pas réussi à supprimer celui qui cause ces soucis
roguekiller comme combofix me repère le même fichier mais ne parviennent pas à le supprimer. il s'appelle "lumivexdopag.exe"

pouvez-vous m'aider à éradiquer cette saloperie ?

d'avance merci






Configuration: Windows 7 / Internet Explorer 8.0

kalimusic · Answer

Bonjour,

ComboFix est un outil puissant à ne pas utiliser à la légère.
A partir de quel lien l'as tu téléchargé ? 

Ne relance pas l'outil, retrouve son rapport à la racine de C:\ et héberge le  sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

Je te répondrai sans doute en fin de journée, A +

groumfhaha · Answer

tout d'abords, merci de t'occuper de mon cas
d'une manière générale je peux accéder à mon ordi que de 18h à n'importe quelle heure de la nuit. Comme ça tu sais qu'il est inutile d'attendre de me voir te répondre avant 18h

voici le lien  :

https://textup.fr/30857iW

groumfhaha · Answer

ah oui, j'oubliais
voici le lien où j'ai téléchargé combofix :
https://www.bleepingcomputer.com/download/combofix/dl/12/

kalimusic · Answer

Bonjour,

Ton lien de téléchargement est bien le site officiel de l'outil. 
Dans un premier temps, on va tenter de le supprimer avec cet outil puisqu'il est déjà présent sur ton système. Si ComboFix échoue, il y aura d'autres solutions.

Déplace impérativement ComboFix.exe sur ton Bureau.

Ouvre le bloc-note et copie/colle les instructions en citation :     

KillAll::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"lumivexdopag"=-

Rootkit::
c:\users\greg\lumivexdopag.exe   
Sauvegarde le fichier sous le nom CFScript.txt  impérativement sur ton Bureau.     

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!        

&#x25CF;  Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img     
&#x25CF; Patiente pendant le travail de l'outil et la création du rapport.
&#x25CF; Héberge le et poste le lien.

A +

groumfhaha · Answer

voilà c'est fait
voici le lien :

https://textup.fr/30864zz

kalimusic · Answer

Il est super ton malware, Combofix a réussi a supprimer la clé de registre mais pas le fichier.

Disposes tu d'un CD vierge ? Le pc infecté  a t-il un lecteur CD ?
Ou disposes tu d'une clé USB ?
 
A +

groumfhaha · Answer

il est mignon hein ?
j'ai des cd's vierges et une clef usb

kalimusic · Answer

oui, j'adore :)

Nous allons créer un CD bootable qui va nous permettre dans un premier temps d'effectuer une analyse du PC.

Il est préférable d'imprimer ces instructions, afin de faciliter les manipulations sur le pc malade. Suivant ton type de connexion, tu auras accès au net depuis l'environnement du CD, la clé usb n'est pas indispensable.


1. Télécharge OTLPENet.exe sur le Bureau

&#x25CF;  Insère un CD vierge dans le graveur
&#x25CF; Double-clique sur OTLPENet.exe, imgburn s'ouvre pour graver le fichier .iso sur CD, suis les indications afin de réaliser la gravure.

2. Redémarre en utilisant le CD que nous avons créé.

Aide : comment configurer ton ordinateur pour démarrer à partir d'un CD 

    Comme le CD doit détecter le matériel et charger le système d'exploitation, le démarrage est parfois plus long.

&#x25CF;  Il doit maintenant afficher un Bureau REATOGO-X-PE
&#x25CF;  Double-clique sur l'icône jaune OTLPE.
&#x25CF; Sélectionne le dossier Windows du disque infecté si un emplacement est demandé.
&#x25CB;  A la question "Do you wish to load the remote registry", répond Yes
&#x25CB;  A la question  "Do you wish to load remote user profile(s) for scanning", Yes
&#x25CB;  Vérifie que la case "Automatically Load All Remaining Users" soit cochée, OK
&#x25CF;  L'interface s'ouvre, vérifie que les paramètres soient identiques à cette l'image. 
&#x25CF; Clique sur le bouton Run Scan, patiente pendant le balayage du système.   
&#x25CF; Un rapport va s'ouvrir au format bloc-note, sauvegarde le sur ta clé USB.

3. Sous Windows (ou directement depuis le pc infecté si tu as accès au net)
&#x25CF; Héberge le rapport et poste le lien. 


A +

groumfhaha · Answer

content que le challenge te plaise...
excuse moi de m'y prendre si tard... un premier jour de boulot ça mérite bien un petit café avec ses potes...

je teste ça de suite

groumfhaha · Answer

déjà fini
et oui, j'ai une bête de compet comme ordi...
non, plus sérieusement, OTLPE ne se lance pas
j'arrive bien sur le bureau REATOGO-X-PE 
je lance alors le programme, sélectionne le dossier (documents and settings) et là OTLPE me dit : "target is not windows 2000 or later"
bizarre

groumfhaha · Answer

ok, voici les deux rapports


https://textup.fr/30876FS
https://textup.fr/30877Gw

kalimusic · Answer

re,


1. Double-clique sur l'icône jaune OTLPE.
&#x25CF; Sous  "Custom Scans/Fixes", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Run Fix, patiente pendant le travail de l'outil. 
&#x25CF; Un rapport va s'ouvrir au format bloc-note.
&#x25CF;  Héberge le rapport et donne le lien.

Redémarre sous Windows pour voir comment ça va maintenant.

A +

groumfhaha · Answer

je lance OTLPE en redémarrant avant le cd?

kalimusic · Answer

re,

Antivir ne montre rien d'anormal.
smitfraudfix est un outil qui n'est plus mis à jour depuis 2008 et qui était compatible jusqu'à XP. A ma connaissance, il n'est plus disponible au téléchargement.
Je ne sais pas où tu l'as trouvé et si tu l'as utilisé mais ce n'était pas une bonne idée.

Par contre les détections de Malwarebytes sont plus sérieuses, il faut regarder.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 


&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
SHOWHIDDEN
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +

groumfhaha · Answer

voilà voilà
https://textup.fr/30938ZF
https://textup.fr/30939qn

kalimusic · Answer

re,

1. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions en citation :

:OTL
[2012/02/22 15:12:52 | 000,000,312 | -H-- | C] () -- C:\ProgramData\~zGz0oQdyD2ZlJl 
[2012/02/22 15:12:52 | 000,000,192 | -H-- | C] () -- C:\ProgramData\~zGz0oQdyD2ZlJlr 
[2012/02/22 15:12:47 | 000,000,336 | ---- | C] () -- C:\ProgramData\zGz0oQdyD2ZlJl 
[2012/01/17 01:42:58 | 000,008,762 | ---- | C] () -- C:\Users\greg\AppData\Local\394d00e 
[1 C:\Windows\SysNative\*.tmp files -> C:\Windows\SysNative\*.tmp -> ] 
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles  

2. Relance Malwarebytes 
Effectue la mise à jour et lance un examen rapide.

3. Poste les 2 rapports.

A +

groumfhaha · Answer

les voici
https://textup.fr/30945uW
https://textup.fr/30946nE

kalimusic · Answer

Sous réserve que tu ne rencontres pas d'autres soucis.


 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Ouvre la commande Exécuter en pressant Windows + R 
&#x25CF; Dans la boite de dialogue, tape ComboFix /Uninstall 
&#x25CF; Valide par Ok puis suivre les invites à l'écran.
&#x25CF; Un message confirme que ComboFix a été désinstallé. 

2. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

3. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau

4. Pour des raison de sécurité, il est impératif de réactiver L'UAC , mettre à son niveau par défaut, lire : UAC : Pourquoi ne pas le désactiver 


== == == == == == == == == == MISES A JOUR == == == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html


 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

groumfhaha · Answer

ok c'est fait
merci pour tout
je termine avec un bon nettoyage ccleaner et une défragmentation
ça ne peut que faire du bien à l'ordi

je mets le sujet en résolu
merci encore

A+

Virus extrêmement persistant lumivexdopag.exe

19 réponses

Discussions similaires