FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

[Résolu] SOS - VIRUS PERTURBANT

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
 Sujet verrouillé
  • Avatar du membre
  • Avatar du membre
  • Avatar du membre
Avatar du membre

[Résolu] SOS - VIRUS PERTURBANT

par rija_noro
 jeu. 29 août 2013 14:36 #58512
Bonjour,

je suis nouvelle ici, je voudrai de l'aide car je me retrouve avec un virus malin dans mon pc.
Il crée un fichier autorun dans chacun des lecteurs et crée ensuite un fichier .exe qui apparemment ralentie mon pc et perturbe le réseau tout entier.

le contenu de l'autorun semble être crypté, je vous met ici un exemple du lecteur D:

[AutoRun]
;omWcHSTbr
;
ShEll\opEn\coMmand= ppbka.exe
;
sHelL\oPeN\DefAuLt=1
;AarsFqNiOmW dlfsjRNbMw qqonN gdatGjDacbt pypgr
SHell\eXplorE\ComManD=ppbka.exe
;qQiScNipRodtkvKV
opEN= ppbka.exe
;Crge wuiqdwOvIctgUythJPqNq TpXmOqgi
sHell\AuToplay\Command = ppbka.exe

Si j'arrive à supprimer le fichier autorun ainsi que l'exe correspondant via live cd ou en demontant le disque à la prochaine redemarrage un autre autorun sera crée avec un nouveau .exe

Pls, HELP ME , SOS !!!!!!!!

J'ai posté en tant qu'invité ac pseudo "pita" puis j'ai vu que c'est mieux si on s'incrit alors je me suis inscrite en tant que "rija_noro".... c est la mm personne qui vous veut de l'aide !!!! merciiiiiiiiiii!!!!!!!!!!!!!!
Avatar du membre

Re gabrielle

par rija_noro
 ven. 30 août 2013 10:15 #58615
Merci pr votre prompt réponse;

pour info j'arrive pas à ouvrir le site http://www.virustotal.com/fr/ via le pc infecté.Du coup j'ai copié le fichier autorun.inf et le .exe crée et je vaias analyser sur un autre poste, je vs tiendrai au courant....

A+
Avatar du membre

SOS - VIRUS PERTURBANT

par rija_noro
 ven. 30 août 2013 10:38 #58617
Pour le fichier autorun.inf , voici le lien de virustotal :


https://www.virustotal.com/fr/file/126f ... 377850636/

et voici le rapport,

Antivirus Résultat Mise à jour
Agnitum INF.Autorun.Gen 20130829
AhnLab-V3 20130829
AntiVir 20130830
Antiy-AVL 20130829
Avast 20130830
AVG Worm/AutoRun 20130829
BitDefender Trojan.AutorunINF.Gen 20130830
ByteHero 20130814
CAT-QuickHeal 20130830
ClamAV 20130830
Commtouch IS/AutoRun 20130830
Comodo 20130830
DrWeb 20130830
Emsisoft Trojan.AutorunINF.Gen (B) 20130830
ESET-NOD32 20130829
F-Prot IS/AutoRun 20130830
F-Secure Trojan.AutorunINF.Gen 20130830
Fortinet INF/AutoRun!tr 20130830
GData Trojan.AutorunINF.Gen 20130830
Ikarus Virus.Worm.AutoRun 20130830
Jiangmin 20130830
K7AntiVirus EmailWorm 20130830
K7GW EmailWorm 20130830
Kaspersky 20130830
Kingsoft 20130829
Malwarebytes 20130830
McAfee W32/Autorun.worm!inf 20130830
McAfee-GW-Edition W32/Autorun.worm!inf 20130829
Microsoft VirTool:INF/Autorun.gen 20130830
MicroWorld-eScan Trojan.AutorunINF.Gen 20130830
NANO-Antivirus 20130830
Norman AutoRun.BI 20130830
nProtect Trojan.AutorunINF.Gen 20130830
Panda BAT/Autorun.JUM 20130829
PCTools 20130830
Rising 20130830
Sophos Mal/AutoInf-A 20130830
SUPERAntiSpyware 20130830
Symantec 20130830
TheHacker Trojan/autorun.gen 20130830
TotalDefense INF/Frethog 20130829
TrendMicro Mal_Otorun1 20130830
TrendMicro-HouseCall Mal_Otorun1 20130830
VBA32 20130829
VIPRE INF.Autorun (v) 20130830
ViRobot 20130830
Avatar du membre

SOS - VIRUS PERTURBANT

par g3n-h@ckm@n
 ven. 30 août 2013 10:51 #58620
salut pour avancer

c'est le lien de la page virus total qu il faut , pour l'exe pour l envoyer via cjoint.com , clic droit , envoyer vers , dossiers compressés puis envoie l archive
Avatar du membre

SOS - VIRUS PERTURBANT

par rija_noro
 ven. 30 août 2013 12:07 #58630
ok, salitykiller est en train de nettoyer, tous les ports usb sont connectés par soit clé soit DD externe....

Qd tt sera fini j'aimerai que tu m'explique un peu car non seulement je dois réparer mais j'aimerai bien aussi comprendre et apprendre ??? c ok ?
Avatar du membre

SOS - VIRUS PERTURBANT

par g3n-h@ckm@n
 ven. 30 août 2013 13:09 #58641
pas de soucis

il en est où ?

dommage j'y ai pas pensé mais j'aurais bien récupéré un fichier infecté.......:/
Avatar du membre

SOS - VIRUS PERTURBANT

par rija_noro
 ven. 30 août 2013 15:06 #58657
zut, je ne savait pas ce qui s'est passé mais la fenêtre de SalityKiller s'est refermée toute seule, j'ai pensé alors que l'analyse est finie, je cherchais le log en question mais il n'y avait pas, du coup j'étais obligé de repasser l'analyse et le log est devenu très court et simple car tout est presque désinfecté peut-être ?????

14:35:08:156 0440 scanning threads ...
14:35:09:390 0440
14:35:09:390 0440 scanning processes ...
14:35:09:390 0440
14:35:09:390 0440 Restoring show hidden and system files
14:35:09:390 2196
Monitoring thread started
14:35:09:390 0440
14:35:09:390 0440 restoring SafeBoot registry node
14:35:09:390 0440 Restoring safe/network boot registry branches for windows XP
14:35:09:875 0440
14:35:09:875 0440 fixing registry ...
14:35:09:875 0440 SalityRegCure: Restoring general registry keys
14:35:10:031 0440 SalityRegCure: Fixing system.ini
14:35:10:031 0440
14:35:10:031 0440 scanning drives ...
14:35:10:062 0440 scanning C:\ ...
14:43:33:468 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061070.exe infected Virus.Win32.Sality.ag ...14:43:33:468 0440 cured
14:43:47:656 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061072.exe infected Virus.Win32.Sality.ag ...14:43:47:656 0440 cured
14:43:49:828 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061073.exe infected Virus.Win32.Sality.ag ...14:43:49:828 0440 cured
14:44:02:640 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061076.exe infected Virus.Win32.Sality.ag ...14:44:02:640 0440 cured
14:44:10:984 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061078.exe infected Virus.Win32.Sality.ag ...14:44:10:984 0440 cured
14:44:21:000 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061080.exe infected Virus.Win32.Sality.ag ...14:44:21:000 0440 cured
14:44:26:296 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061081.exe infected Virus.Win32.Sality.ag ...14:44:26:296 0440 cured
14:44:40:640 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061084.exe infected Virus.Win32.Sality.ag ...14:44:40:656 0440 cured
14:44:55:703 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061086.EXE infected Virus.Win32.Sality.ag ...14:44:55:703 0440 cured
14:47:36:171 0440 scanning D:\ ...
14:47:46:234 0440 scanning E:\ ...
14:47:49:328 0440 scanning F:\ ...
14:55:51:468 0440 scanning G:\ ...
14:56:19:078 0440 scanning H:\ ...
14:56:23:312 0440 scanning I:\ ...
15:03:32:296 0440 scanning J:\ ...
15:03:44:140 0440
15:03:44:140 2196
Monitoring thread stopped
15:03:44:171 0440
completed
15:03:44:171 0440 Infected files: 9
15:03:44:171 0440 Infected processes: 0
15:03:44:171 0440 Infected threads: 0
15:03:44:171 0440 Cured files: 9
15:03:44:171 0440 Will be cured on reboot: 0
15:03:44:171 0440 Executed registry scripts: 1

J'attends la suite, pour l'instant j'ai juste essayé de supprimer tous les .inf suspects et les .exe générés et je vois qu'ils ne se recréent plus....je sais pas si.... c'est déjà le signe de la victoire:lol3: 
Avatar du membre

SOS - VIRUS PERTURBANT

par rija_noro
 ven. 30 août 2013 15:33 #58663
T'en fais pas, tu en auras un fichier infécté...fais moi signe quand c fini car dans mon parc info, il y 4 pc infectés de la mm façon alors....

on va revoir tout cela ensemble dès que celui ci est ok...
Avatar du membre

Re: [Résolu] SOS - VIRUS PERTURBANT

par 2011N2
 ven. 30 août 2013 19:17 #58678
Salut,

Je reprends la suite, merci à g3n d'avoir fait avancé le sujet.

À la fin de l'analyse, il n'y avait pas un "log.txt" présent sur le bureau ?

1/ Va dans C:\ Windows, et trouve explorer.exe
Copie-le et colle-le sur le bureau, zippe-le puis héberge-le sur cjoint. Poste le rapport obtenu stp.

2/ Puis, passe Dr.Web CureIt : http://www.forum-entraide-informatique. ... t-tutoriel
L'analyse risque d'être longue.

Gabriel.
Avatar du membre

SOS - VIRUS PERTURBANT

par rija_noro
 sam. 31 août 2013 14:03 #58762
SOS !!!!

j'ai pu télécharger Dr Web après un moment de coupure du site officiel.

Je lance l'analyse sur le pc infecté, puis écran noir comme d'hab avec Dr Web, l'écran disant que l'analyse a démarré en mode protection renforcée s'affiche...

Puis je dois cliquer sur OK pr continuer avec ce mode ... mais le bouton est comme inaccessible or je peux déplacer ma souris.

Puis peu de tps après il y a comme clignotement de l'écran...

est ce normal ????
Avatar du membre

SOS - VIRUS PERTURBANT

par rija_noro
 sam. 31 août 2013 14:04 #58763
SOS !!!!

j'ai pu télécharger Dr Web après un moment de coupure du site officiel.

Je lance l'analyse sur le pc infecté, puis écran noir comme d'hab avec Dr Web, l'écran disant que l'analyse a démarré en mode protection renforcée s'affiche...

Puis je dois cliquer sur OK pr continuer avec ce mode ... mais le bouton est comme inaccessible or je peux déplacer ma souris.

Puis peu de tps après il y a comme clignotement de l'écran...

est ce normal ????
Avatar du membre

SOS - VIRUS PERTURBANT

par rija_noro
 sam. 31 août 2013 14:37 #58768
Finalemnt, j'ai rebooté et j'ai relancé Dr Web, pr l'instant il a detécté 4 .... humm ...

à suivre,

thks,
Avatar du membre

SOS - VIRUS PERTURBANT

par rija_noro
 sam. 31 août 2013 14:40 #58769
Le mode sans échec est inaccessible depuis pas mal de tps, si je vx le faire je suis obligée de lancer SMFixer à chq fois (Safe Mode Fixer) ...

bon pr l'instant ça passe alors , on laisse continuer non ???
Avatar du membre

SOS - VIRUS PERTURBANT

par rija_noro
 sam. 31 août 2013 15:57 #58777
Gabriel,

le pc en question se trouve ici au bureau.... malware est en train de sacnner, il trouve déjà 14, mais je pense que l'analyse sera ecr long.

Je dois rentrer et je ne serai au bureau que lundi peut-être.....

Merci , je posterai le logs de Malwre dès que !

Ciao,

Prisca
Avatar du membre

SOS - VIRUS PERTURBANT

par g3n-h@ckm@n
 sam. 31 août 2013 16:10 #58778
re

que personne n'utilise l'ordinateur et y connecte quoi que ce soit par les ports usb , cet ordinateur doit etre isolé des autres pour l instant
Avatar du membre

SOS - VIRUS PERTURBANT

par g3n-h@ckm@n
 mar. 3 sept. 2013 19:19 #59362
userinit cherche à se relancer malgré tout ...y'a un souci quelque part

relance pre_scan , clique sur diag , heberge le rapport c:\pre_diag_xx_xx_xx.txt et donne le lien
 Sujet verrouillé
 Retourner vers « Désinfection »
Logiciel 3D aménagement de jardin

Bonjour, Est-ce que l'un d'entre vous aurait un &[…]

FLTL_READ_MORE
Gestion des Pare-feu.

Bonjour, J'ai un petit réseau de 3 PC conn[…]

FLTL_READ_MORE
Hi all members

Hello. As far as I know, tomb of the mask is an […]

FLTL_READ_MORE
atteindre mon site web wordpress sur synology DSM via freebox revolution et serveur TENDA AS 3000

Configurez la redirection de port sur votre Freebo[…]

FLTL_READ_MORE
FLTL_VIEW_MORE_TOPICS