Forum d'Entraide Informatique (FEI)

Bonjour,

je suis nouvelle ici, je voudrai de l'aide car je me retrouve avec un virus malin dans mon pc.
Il crée un fichier autorun dans chacun des lecteurs et crée ensuite un fichier .exe qui apparemment ralentie mon pc et perturbe le réseau tout entier.

le contenu de l'autorun semble être crypté, je vous met ici un exemple du lecteur D:

[AutoRun]
;omWcHSTbr
;
ShEll\opEn\coMmand= ppbka.exe
;
sHelL\oPeN\DefAuLt=1
;AarsFqNiOmW dlfsjRNbMw qqonN gdatGjDacbt pypgr
SHell\eXplorE\ComManD=ppbka.exe
;qQiScNipRodtkvKV
opEN= ppbka.exe
;Crge wuiqdwOvIctgUythJPqNq TpXmOqgi
sHell\AuToplay\Command = ppbka.exe

Si j'arrive à supprimer le fichier autorun ainsi que l'exe correspondant via live cd ou en demontant le disque à la prochaine redemarrage un autre autorun sera crée avec un nouveau .exe

Pls, HELP ME , SOS !!!!!!!!

J'ai posté en tant qu'invité ac pseudo "pita" puis j'ai vu que c'est mieux si on s'incrit alors je me suis inscrite en tant que "rija_noro".... c est la mm personne qui vous veut de l'aide !!!! merciiiiiiiiiii!!!!!!!!!!!!!!

Bonsoir,

1/ Passe le fichier en question sur VirusTotal et donne moi le lien de l'analyse : http://www.forum-entraide-informatique. ... l-tutoriel

2/ Passe UsbFix en Recherche et poste le rapport : http://www.forum-entraide-informatique. ... utoriel#36

PS : Je verrouille l'autre sujet.

Gabriel.

Merci pr votre prompt réponse;

pour info j'arrive pas à ouvrir le site http://www.virustotal.com/fr/ via le pc infecté.Du coup j'ai copié le fichier autorun.inf et le .exe crée et je vaias analyser sur un autre poste, je vs tiendrai au courant....

A+

Pour le fichier autorun.inf , voici le lien de virustotal :


https://www.virustotal.com/fr/file/126f ... 377850636/

et voici le rapport,

Antivirus Résultat Mise à jour
Agnitum INF.Autorun.Gen 20130829
AhnLab-V3 20130829
AntiVir 20130830
Antiy-AVL 20130829
Avast 20130830
AVG Worm/AutoRun 20130829
BitDefender Trojan.AutorunINF.Gen 20130830
ByteHero 20130814
CAT-QuickHeal 20130830
ClamAV 20130830
Commtouch IS/AutoRun 20130830
Comodo 20130830
DrWeb 20130830
Emsisoft Trojan.AutorunINF.Gen (B) 20130830
ESET-NOD32 20130829
F-Prot IS/AutoRun 20130830
F-Secure Trojan.AutorunINF.Gen 20130830
Fortinet INF/AutoRun!tr 20130830
GData Trojan.AutorunINF.Gen 20130830
Ikarus Virus.Worm.AutoRun 20130830
Jiangmin 20130830
K7AntiVirus EmailWorm 20130830
K7GW EmailWorm 20130830
Kaspersky 20130830
Kingsoft 20130829
Malwarebytes 20130830
McAfee W32/Autorun.worm!inf 20130830
McAfee-GW-Edition W32/Autorun.worm!inf 20130829
Microsoft VirTool:INF/Autorun.gen 20130830
MicroWorld-eScan Trojan.AutorunINF.Gen 20130830
NANO-Antivirus 20130830
Norman AutoRun.BI 20130830
nProtect Trojan.AutorunINF.Gen 20130830
Panda BAT/Autorun.JUM 20130829
PCTools 20130830
Rising 20130830
Sophos Mal/AutoInf-A 20130830
SUPERAntiSpyware 20130830
Symantec 20130830
TheHacker Trojan/autorun.gen 20130830
TotalDefense INF/Frethog 20130829
TrendMicro Mal_Otorun1 20130830
TrendMicro-HouseCall Mal_Otorun1 20130830
VBA32 20130829
VIPRE INF.Autorun (v) 20130830
ViRobot 20130830

C'est un peu désordonné alors j'ai crée un lien sue http://www.cijoint.com , le voici, toujors pour l'autorun.inf, je vais faire pareil avec l'exe,

http://cjoint.com/?CHEkQgjjLUN

 

salut pour avancer

c'est le lien de la page virus total qu il faut , pour l'exe pour l envoyer via cjoint.com , clic droit , envoyer vers , dossiers compressés puis envoie l archive

pour l'autorun.inf voici le lien de virustotal : https://www.virustotal.com/fr/file/126f…377850636/

pour le .exe : https://www.virustotal.com/fr/file/cb13 ... 377852426/

je re-envoie les liens virustotal, j'ignore si ce sont les bons :


autorun.inf : https://www.virustotal.com/fr/file/126f ... 377850636/



qd j'ai voulu revérifier le lien, ils ont dit qu'y a une analyse récente dont voici le lien : https://www.virustotal.com/fr/file/126f ... /analysis/

pour l'autre fichier

ppbka.exe : https://www.virustotal.com/fr/file/cb13 ... 377852426/

voici le lien sur cijoint du .exe compressé :

http://cjoint.com/?3HEliwUw0J5


merciiiii !!!!

mon dieu !!!! j'en étais sûr !!!!! t'es dans le caca !!!


branche tous tes peripheriques usb

je te fais passer cet outil en express :

http://security-helpzone.com/gen-hackma ... ed-speech/

ok, salitykiller est en train de nettoyer, tous les ports usb sont connectés par soit clé soit DD externe....

Qd tt sera fini j'aimerai que tu m'explique un peu car non seulement je dois réparer mais j'aimerai bien aussi comprendre et apprendre ??? c ok ?

pas de soucis

il en est où ?

dommage j'y ai pas pensé mais j'aurais bien récupéré un fichier infecté.......:/

zut, je ne savait pas ce qui s'est passé mais la fenêtre de SalityKiller s'est refermée toute seule, j'ai pensé alors que l'analyse est finie, je cherchais le log en question mais il n'y avait pas, du coup j'étais obligé de repasser l'analyse et le log est devenu très court et simple car tout est presque désinfecté peut-être ?????

14:35:08:156 0440 scanning threads ...
14:35:09:390 0440
14:35:09:390 0440 scanning processes ...
14:35:09:390 0440
14:35:09:390 0440 Restoring show hidden and system files
14:35:09:390 2196
Monitoring thread started
14:35:09:390 0440
14:35:09:390 0440 restoring SafeBoot registry node
14:35:09:390 0440 Restoring safe/network boot registry branches for windows XP
14:35:09:875 0440
14:35:09:875 0440 fixing registry ...
14:35:09:875 0440 SalityRegCure: Restoring general registry keys
14:35:10:031 0440 SalityRegCure: Fixing system.ini
14:35:10:031 0440
14:35:10:031 0440 scanning drives ...
14:35:10:062 0440 scanning C:\ ...
14:43:33:468 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061070.exe infected Virus.Win32.Sality.ag ...14:43:33:468 0440 cured
14:43:47:656 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061072.exe infected Virus.Win32.Sality.ag ...14:43:47:656 0440 cured
14:43:49:828 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061073.exe infected Virus.Win32.Sality.ag ...14:43:49:828 0440 cured
14:44:02:640 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061076.exe infected Virus.Win32.Sality.ag ...14:44:02:640 0440 cured
14:44:10:984 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061078.exe infected Virus.Win32.Sality.ag ...14:44:10:984 0440 cured
14:44:21:000 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061080.exe infected Virus.Win32.Sality.ag ...14:44:21:000 0440 cured
14:44:26:296 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061081.exe infected Virus.Win32.Sality.ag ...14:44:26:296 0440 cured
14:44:40:640 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061084.exe infected Virus.Win32.Sality.ag ...14:44:40:656 0440 cured
14:44:55:703 0440 C:\System Volume Information\_restore{76E10AE3-F951-47E8-BF26-97D1B0543002}\RP70\A0061086.EXE infected Virus.Win32.Sality.ag ...14:44:55:703 0440 cured
14:47:36:171 0440 scanning D:\ ...
14:47:46:234 0440 scanning E:\ ...
14:47:49:328 0440 scanning F:\ ...
14:55:51:468 0440 scanning G:\ ...
14:56:19:078 0440 scanning H:\ ...
14:56:23:312 0440 scanning I:\ ...
15:03:32:296 0440 scanning J:\ ...
15:03:44:140 0440
15:03:44:140 2196
Monitoring thread stopped
15:03:44:171 0440
completed
15:03:44:171 0440 Infected files: 9
15:03:44:171 0440 Infected processes: 0
15:03:44:171 0440 Infected threads: 0
15:03:44:171 0440 Cured files: 9
15:03:44:171 0440 Will be cured on reboot: 0
15:03:44:171 0440 Executed registry scripts: 1

J'attends la suite, pour l'instant j'ai juste essayé de supprimer tous les .inf suspects et les .exe générés et je vois qu'ils ne se recréent plus....je sais pas si.... c'est déjà le signe de la victoire:lol3: 

T'en fais pas, tu en auras un fichier infécté...fais moi signe quand c fini car dans mon parc info, il y 4 pc infectés de la mm façon alors....

on va revoir tout cela ensemble dès que celui ci est ok...

Salut,

Je reprends la suite, merci à g3n d'avoir fait avancé le sujet.

À la fin de l'analyse, il n'y avait pas un "log.txt" présent sur le bureau ?

1/ Va dans C:\ Windows, et trouve explorer.exe
Copie-le et colle-le sur le bureau, zippe-le puis héberge-le sur cjoint. Poste le rapport obtenu stp.

2/ Puis, passe Dr.Web CureIt : http://www.forum-entraide-informatique. ... t-tutoriel
L'analyse risque d'être longue.

Gabriel.

bonjour,

voici le lien ci-joint de l'explorer.exe zippé :

http://cjoint.com/?3HFjANjLDdd

je télécharge drweb-cureit et vous tiens au courant:roll:   

Bonjour,

Ok pas de problème.

Gabriel.

SOS !!!!

j'ai pu télécharger Dr Web après un moment de coupure du site officiel.

Je lance l'analyse sur le pc infecté, puis écran noir comme d'hab avec Dr Web, l'écran disant que l'analyse a démarré en mode protection renforcée s'affiche...

Puis je dois cliquer sur OK pr continuer avec ce mode ... mais le bouton est comme inaccessible or je peux déplacer ma souris.

Puis peu de tps après il y a comme clignotement de l'écran...

est ce normal ????

SOS !!!!

j'ai pu télécharger Dr Web après un moment de coupure du site officiel.

Je lance l'analyse sur le pc infecté, puis écran noir comme d'hab avec Dr Web, l'écran disant que l'analyse a démarré en mode protection renforcée s'affiche...

Puis je dois cliquer sur OK pr continuer avec ce mode ... mais le bouton est comme inaccessible or je peux déplacer ma souris.

Puis peu de tps après il y a comme clignotement de l'écran...

est ce normal ????

Re,

Essaye en mode sans échec avec prise en charge réseau : http://www.forum-entraide-informatique. ... rge-reseau

Gabriel.

Finalemnt, j'ai rebooté et j'ai relancé Dr Web, pr l'instant il a detécté 4 .... humm ...

à suivre,

thks,

Le mode sans échec est inaccessible depuis pas mal de tps, si je vx le faire je suis obligée de lancer SMFixer à chq fois (Safe Mode Fixer) ...

bon pr l'instant ça passe alors , on laisse continuer non ???

Re,

Ok, on laisse tourner comme ça.

Gabriel.

Le scan est fini et il a demandé de neutraliser. Neutralisation ok, voici le rapport de cureit sur cjoint....
http://cjoint.com/?CHFo0kxmfhG

thks,

Re,

Ok, redémarre le PC si ce n'est déjà fait, puis :
Fais un examen complet avec MBAM. Tu supprimeras les éléments détectés et me posteras le rapport : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

Gabriel,

le pc en question se trouve ici au bureau.... malware est en train de sacnner, il trouve déjà 14, mais je pense que l'analyse sera ecr long.

Je dois rentrer et je ne serai au bureau que lundi peut-être.....

Merci , je posterai le logs de Malwre dès que !

Ciao,

Prisca

re

que personne n'utilise l'ordinateur et y connecte quoi que ce soit par les ports usb , cet ordinateur doit etre isolé des autres pour l instant

Re,

Ok d'accord, et effectivement sois vigilent sur ce que dit g3n.

Bon week-end,

Gabriel.

salut,

voilà le rapport malwarebyte : http://cjoint/?CIckcH9310j

thks,

Pri

oupsss,

je copie le lien manuellement car l'autre pc est isolé d'où pas de connexion réseau :

http://cjoint.com/?CIckcH9310j

dsl,

pri

Salut,

Ok, mais tu n'as pas supprimé les éléments détectés ?

Gabriel.

bjr,

si j'ai supprimé les éléments, je vais repasser mbam,

Pri

salut si tu es sure d'avoir supprimé avec mbam il est inutile de le repasser un seconde fois

==

pour avancer , fais plutot ca : http://security-helpzone.com/gen-hackma ... ed-speech/

J'ai cherché les logs d'hier. Peut être que c'est le logs après scan que je t'ai envoyé. Du coup j'ai un autre log dans application data/mbam celui d'hier :
http:cjoint.com/?CIdj12dmViu
celui d'aujourd'hui :
http://cjoint.com/?CIdkc6eW0yp

celui d'hier :
http://cjoint.com/?CIdj12dmViu

ok dans l attente du rapport demandé au dessus

Pre-scan téléchargé... winlogon.exe a donné un écran bleu; passage à pre-scan.scr

sinon en mode sans echec

voici le rapport de pre-scan.scr :

http://cjoint.com/?CIdlkqgluDr

thks,

userinit cherche à se relancer malgré tout ...y'a un souci quelque part

relance pre_scan , clique sur diag , heberge le rapport c:\pre_diag_xx_xx_xx.txt et donne le lien