virus sality Résolu/Fermé

Question

Bonjour, 
J'ai un virus sur mon pc , transmit d'un HDD externe , Qui les mêmes symptômes d'un  Agobot (désactiver le Regedit/gestionnaire de tâches/restauration système ...) .J'ai essayé donc de téléchargé Hijackthis , et Dr.Spyware pour le neutraliser , mais il les "endommage avant même que je puisse le lancer ... (Une fenêtre console s'affiche pour quelque fractions de secondes avec le texte : "Programme too big to fit memory" que j'ai pu lire à l'aide d'un screen au bon moment :D ) J'ai fait un scan avec Microsoft security essentials mais il ne détecte que des win32/Sality.AT un peu partout sur mon pc , voila le rapport : 
Security Essentials a rencontré l'erreur suivante : Code d'erreur : 0x80508023. Le programme n'a pas trouvé de logiciel malveillant ou d'autres logiciels potentiellement dangereux sur cet ordinateur. 

Catégorie : Virus

Description : Ce programme est dangereux et il se réplique en infectant d'autres fichiers.

Action recommandée : Supprimer immédiatement ce logiciel.

Éléments : 
file:C:\Program Files\Macromedia\Flash MX\Players\Release\Install Flash Player 6 AX.exe
file:C:\Windows\System32\igfxtray.exe
process:pid:3484
regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\IgfxTray
runkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\IgfxTray
file:C:\Program Files\Common Files\DeviceHelper\DeviceManager.exe
process:pid:1748
service:DeviceManager
file:C:\Program Files\HSPA USB MODEM\ModemListener.exe
process:pid:3776
regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ModemListener
runkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ModemListener
file:C:\Windows\System32\hkcmd.exe
process:pid:3496
regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\HotKeysCmds
runkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\HotKeysCmds
file:C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
service:MozillaMaintenance
file:C:\Program Files\Macromedia\Flash MX\Players\SAFlashPlayer.exe
file:C:\Program Files\Macromedia\Flash MX\VSetupT.exe
file:C:\Program Files\Macromedia\Flash MX\Players\Release\Install Flash Player 6.exe


Je sais que ce n'est pas un bon antivirus , mais c'est le seul qui marche (j'ai essayé de télécharger et installer Avira , avast , kasparsky ... mais il affiche le même message que Hijackthis)
Merci d'avance pour vos réponses , 


Configuration: Windows 7 / Firefox 17.0

juju666 · Accepted Answer

Salut sinon tu peux essayer ça :

telecharge ici : Load_SalityKiller

Desactive tes protections

lance-le , clique sur lancer le nettoyage 

à la fin SalityKiller.txt se mettra sur ton bureau

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clic droit dessus , envoyer vers , dossiers compressés

ensuite :

envoies l'archive sur FEC Upload et copie/colle le lien obtenu en échange

Utilisateur anonyme · Answer

Bonjour 
win32/Sality.AT   
T'es mal barré 

Utilise le moins possible ton pc, car plus tu l'utilises, plus tu l'infectes.

 Télécharge Dr Web CureIt sur ton Bureau : 

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe 

- Double clique drweb-cureit.exe et ensuite clique sur Analyse; 

- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui. 
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". 
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok. 
- De retour à la fenêtre principale : clique pour activer Analyse complète 
- Clique le bouton avec flèche verte sur la droite, et le scan débutera. 
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter. 
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable. 
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv 
- Ferme Dr.Web Cureit 
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). 
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.  
  
Ancienne contributrice sécurité sous le pseudo jawaryinti

Utilisateur anonyme · Answer

Installe ANtimalware Bytes pour voir et faire un scan complet , ou alors un bon vieux SpyBot , tu fais une grosse analyse aussi ^^.

Envoi moi la réponse des que tu auras fait tout sa ^^

Utilisateur anonyme · Answer

Bonjour Takahashi
Il a attrapé un virus type PE Infector, qui se propage très vite, et Malwarebytes n'y fera rien, car ce virus est trop coriace

Utilisateur anonyme · Answer

... tu va quand même pas dire qu'on ne peut rien faire pour lui ?? ..

Utilisateur anonyme · Answer

On peut essayer, en espérant qu'il ne soit pas trop tard

Utilisateur anonyme · Answer

Et quel logiciel tu préconiserais ? :o

Utilisateur anonyme · Answer

https://forums.commentcamarche.net/forum/affich-27605082-virus-sality#1
Je suis dans le domaine, j'ai fait des formations, donc, je connais très bien ce domaine.

Anonyme · Answer

Re ,
Merci pour votre réponse  :) , et voila le lien du rapport :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130416_x15t713b7l15

Utilisateur anonyme · Answer

Bon, je comprends pourquoi ton gestionnaire des tâches et l'accés à regedit sont désactivés, car il y a eu des modifications dans le registre. Il y a eu des restrictions de créés par le virus.   

 Télécharge Adw Cleaner (de Xplode) sur ton bureau.   
      
Lance le (Sous vista/seven/8 clic droit dessus, et sur Exécuter en tant qu'administrateur),  puis clique sur Suppression.    
Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.   
      
Patiente le temps du nettoyage.   
      
Une fois le scan fini, il te sera proposé de redémarrer.   
      
Au redémarrage du PC, un rapport s'ouvrira.    
Poste moi son contenu dans ta prochaine réponse.   
      
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt   

Tu télécharges par le P2P, c'est comme ça que tu as attrapé ce virus.   


Ensuite,   
Copie ces lignes dans le presse-papier    

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusDisableNotify: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallDisableNotify: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center] UpdatesDisableNotify: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center] UacDisableNotify: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusOverride: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] AntiVirusDisableNotify: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallDisableNotify: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UpdatesDisableNotify: Modified   
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] UacDisableNotify: Modified   
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified   

    
Lance ZHPFix (icône sereingue), clique sur OK pour continuer 
Tu dois voir les lignes en gras que tu as copiées dans le presse-papier, dans le cadre de ZHPFix, vérifie bien que ce sont ces lignes.  
Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.    
Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt    



Ancienne contributrice sécurité sous le pseudo jawaryinti

Utilisateur anonyme · Answer

Salut
As-tu de nouveau bien accés au Registre ?
As-tu fait Windows Repair ? Cet outil permet de réparer pas mal de choses dans Windows, et supprime les restrictions.

Utilisateur anonyme · Answer

Anonyme
Répond à la suite
J'adresse tous mes remerciements à Juju666 pour son intervention

Anonyme · Answer

Le scann n'est pas encore fini , mais il semble qu'il gère la situation . Grand merci pour juju666 &  California50 Pour vos réponses . je posterai le rapport lorsqu'il serait prêt .
Merci encore .

juju666 · Answer

Fait une recherche de SalityKiller.txt
Il a supprimé des trucs ? 

===================

---> Désactiver vos protections (logiciel antivirus etc...)  

---> Téléchargez USBFix (créé par El Desaparecido) sur votre bureau.  

http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html  

---> Branchez toutes vos disques amovibles (clef USB, disque dur externe, etc...) sans les ouvrir !  

---> Lancez UsbFix et cliquez sur [Suppression]  

---> À la fin du scan, un rapport s'affichera, postez-le dans votre prochaine réponse sur le forum. 

---> Le rapport est aussi sauvegardé ici : C:\UsbFix.txt

juju666 · Answer

Oui on les recachera après.

Refais un coup de SalityKiller voir. 
 
Et comme il installe un service aussi fait :

&#9654 Télécharge ici :  RogueKiller 
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

juju666 · Answer

Re,

Clic DNS RAZ dans RogueKiller.

Pour SalityKiller essaie ici : http://support.kaspersky.com/fr/viruses/solutions?print=true&qid=208279889

Celui "SalityKiller.zip" :)

juju666 · Answer

Ah ben faut croire qu'ils l'ont enlevé.

Essaie celui d'avg : http://aa-download.avg.com/filedir/util/avgrem/avg_rem_slt_all_1_616.exe

juju666 · Answer

Super, en espérant que tout est bien nettoyé :)

Fais un scan en ligne avec nod32 : https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

g3n-h@ckm@n · Answer

c'est le rapport de salitykiller hebegre-le sur https://www.cjoint.com/ et donne le lien obtenu

juju666 · Answer

Ouais sality ça infeste tout ce qui est exe, php, html, ...

Mais en même temps tu l'as cherché :

D:\fasicule\?	ut hack web sites\shell\htc 28 dz script\htc 28 dz script\????? ????? ??????? ???? joomla\joomla admin.php	PHP/Obfuscated.F Application	 

D:\Hide my IP 5.3 Full + Crack.zip	une variante de Win32/Injector.OJG cheval de troie	

===============================

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.

&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique donc sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

juju666 · Answer

Ouais t'es un script kiddie toi :) ton RAT on le sent à 10 km à la ronde :)

D:\fasicule\Francais 2\UnderGroung2\server.dll (Virus.Ramnit) -> Mis en quarantaine et supprimé avec succès. 
 
Il en met partout lui ....
Mais là je crois que c'est bon.

J'ose espérer que ça t'ait servi de leçon et estime-toi heureux que l'infection n'était pas propagée aux fichiers système sinon tu serais passé par la case "formatage"!!

Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.

~~

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC ! 

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html  

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)

g3n-h@ckm@n · Answer

et mon rapport VT il é ou ?

Virus sality

22 réponses

Discussions similaires