angelique

ça serait bien hein! si svchosts\netsvcs est pas touché comme sur le 1er *S2 uxturvzrp;nelry;c:\windows\system32\svchost.exe -k netsvcs [2007-10-29 14336] *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs uxturvzrp *HKEY_LOCAL_MACHINE\System\ControlSet001\Services\uxturvzrp] "ServiceDll"="c:\windows\system32\nevimh.dll" http://blogs.technet.com/mathieum/archive/...-conficker.aspx je pense que tu as pigé le truc...

Via un forum , avec plusieurs PC en réseau infectés Conficker , ç'est pas le plus evident , CE pc qu'on a traité n'a plus Conficker , la visualisation des 6 images etant maintenant effective et non pas au départ. Conficker:: http://mad.internetpol.fr/archives/11-Conf...blications.html heu! il t'avertit plutot qu'il essaie de passer , non. je ne sais pas quoi te dire de plus .

ok ,merci pour le zip[Malekal te remercie] , Bye \o_ ...ton sujet a été édité [resolu]. http://forum.malekal.com/viewtopic.php?f=62&t=18777

si tu le debranches du reseau , t'auras plus ! c'est le principe de Conficker qui est éliminé sur ce post mais pas des autres. http://www.sophos.com/support/knowledgebas...icle/51416.html

• supprime le dossier backups de ton bureau : C:\Documents and Settings\Geoff\Bureau\HiJackThis.exe\backups • tu as bien uploadé le zip comme demandé??? si oui , uniquement , supprime alors C:\_OTMoveIt • le dropper a sauté , tu ne dois plus avoir d'alerte d'avast ?? » avast bof!! http://forum.malekal.com/ftopic4192.php lien de dl de la version 9 d'antivir si tu veux changer: http://dlce.antivir.com/package/wks_avira/...personal_en.exe une video de comment doivent etre cochées les cases dans sa configuration: http://www.malekal.com/fichiers/antivir/Co...onAntivirV9.avi • Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924

• relance hijackThis " do a system scan only" , coche uniquement les lignes ci dessous et clic Fixchecked: O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows Manager System] cmdd.exe O4 - HKLM\..\RunServices: [Windows Manager System] cmdd.exe ==> clic Fixchecked • Télécharge OTMoveIt3 de OldTimer http://oldtimer.geekstogo.com/OTMoveIt3.exe * Enregistre-le sur ton bureau * Double-clique sur OTMoveIt3.exe pour le lancer (l'extension peut ne pas apparaître) * Copie-colle l'entièreté de ceci, le contenu du cadre uniquement à partir de :processes; dans la partie "Paste Instructions for Items to be Moved" (en-dessous de la barre jaune) : :processes explorer.exe :files C:\WINDOWS\system32\cmdd.exe :reg [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify] "IconStreams"=- "PastIconsStream"=- :commands [zipfiles] [emptytemp] * Clique sur le bouton rouge Moveit! pour lancer le nettoyage, accepte le redemarrage. * Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log) » tu trouveras un fichier zippé là: Le zip est placé ici : C:\_OTMoveIt\MovedFiles folder , que tu uploaderas à cette adresse: http://upload.malekal.com/ tuto:: http://www.malekal.com/tuto_upload_fichiers.php et reposte avec un nouveau rapport hijackthis

Vas sur le site http://virusscan.jotti.org/ Clique en haut à droite sur "Parcourir", navigue dans les dossiers et sélectionne ce fichier : C:\WINDOWS\system32\cmdd.exe Clique sur submit toujours en haut à droite Le scan va se lancer, ça va prendre un petit instant A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte Poste ce fichier dans ta prochaine réponse ATTENTION de bien prendre le résultat du scan de ton fichier (le nom du fichier apparaît en haut) et non le scan fait avant le tiens! Aide : http://www.malekal.com/scan_Av_en_ligne.html#mozTocId662799

• t'as installé un logiciel pié gé Live-Player : http://www.malekal.com//Adware.Magic_Control.php passe l'option 2 de navilog1 , poste le rapport puis : creer un nouveau dossier en c:\ nommé HJT telecharger HijackThis.exe dans ce nouveau dossier crée:: http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe lDouble-clique dessus . Accepte la licence qui va apparaître par "I agree" . Puis clique sur "Do a system scan and save a logfile" fais un copier-coller du rapport Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport Colle le rapport que tu viens de copier sur ce forum Ferme HijackThis ton sujet est déplaçé dans la bonne section.

sujet de 2001 http://forum.malekal.com/viewtopic.php?f=4...59&p=116237 Closed!

peut etre: ............. http://www.informatruc.com/forum/topic21768.html

Donc Conficker n'est plus là. Franchement je sais pas pourquoi! consulte la page de Gof à ce sujet: http://forum.zebulon.fr/index.php?s=&s...t&p=1109846 • tu peux desinstaller USBFix • Finir le nettoyage : - Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!): telecharge sur ton bureau: - AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1 ATF Cleaner Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected Patiente le temp du nettoyage NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé. • naviguer avec FireFox http://www.mozilla-europe.org/fr/firefox/ , JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries http://www.certa.ssi.gouv.fr/site/CERTA-20...-001/index.html http://imagesup.org/images/1237009714-jsff.jpg • Configurer FireFox pour vider cache, cookies ...... à sa fermeture: http://imagesup.org/images/1237009855-clrff.jpg • Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php - Désactive puis réactive la restauration du système : - Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/INTER...020830101856924 • desinstalle ComboFix en copiant|collant la ligne cidessous du cadre dans executer et valide: ComboFix /u supprime apres la disparition de l'icone ComboFix sur ton bureau , le dossier restant c:\combofix ================================= Tu crées un nouveau sujet pour un autre pc , tu appliques le patch , balances ComboFix et poste le rapport.

ok quarantine , on va bien voir , le nom du fichier a changé deja ........ lol retourne là voir si tu vois toutes les images ????? : http://www.confickerworkinggroup.org/infec...cfeyechart.html tu verras à reessayé de desactiver l'autorun automatique sur tous les lecteurs comme je t'ai dis precedemment voir si tu peux maintenant le faire via gpedit.msc , puis insere toutes tes clés usb sans les ouvrir surtout puis: Télécharge UsbFix (de Chiquitine29) sur ton Bureau : http://sd-1.archive-host.com/membres/up/12...5653/UsbFix.exe --> Lance l'installation avec les paramètres par défaut. --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir. --> Double-clique sur le raccourci UsbFix sur ton Bureau. --> lance "nettoyage" --> Le PC va redémarrer. --> Après redémarrage, poste le rapport UsbFix.txt Note : le rapport UsbFix.txt est sauvegardé à la racine du disque. Une page sur ton truc à 250.000$ : http://forum.malekal.com/viewtopic.php?f=3...=150455#p150455

bon tu as appliqué la maj microsoft , y'a plus de hidden et la dll est quarantaine , ça devrait plus revenir là??

tu as bien appliqué la mise à jour de microsoft ?? http://fr.wikipedia.org/wiki/Conficker le soucis c'est que si les autres pc du reseau ont aussi conficker , il cherche de nouveau à rentrer. • tu copies la detection d'antivir stp • bizarre que catchme ne montre rien, tu as bien remplaçé l'ancien catchme par le nouveau?, supprime catchme.log de ton bureau , et regenere un nouveau rapport hidelook.bat situé dans diaghelp stp. ok tu as édité ton message precedent , la dll est en quarantaine , elle revient ???

ouawouu , tu redemarres le pc stp! as tu toujours des detections par antivir , la dll revient ??

ok le rapport catchme.log generé avec hidelook.bat(dans le dossier diaghelp avec le nouveau catchme.exe remplaçé) stp!

ok il a été viré?? hidden : file c:\windows\system32\nevimh.o • continue avec CFScript et hidenlook.bat , poste les rapports respectifs

à part rechercher google la methode pour un hard reset marque de ton routeur.

j'ai oublié : supprime le precedent cachme.log de ton bureau avant de cliquer hidelook.bat dans le dossier Diaghelp , tu remplaces catchme.exe dans le dossier Diaghelp par celui ci stp: http://www2.gmer.net/catchme.exe

• le 7 avril 2009 tu as utilisés un outils de suppressions d'infections sur supports amovibles USB ?? 2009-04-07 13:36 . 2009-04-07 13:36 -------- d-sha-r C:\autorun.inf • elle est relou ton infection lol , on va y aller à taton lol • tu as installé le correctif microsoft?? • telecharge dans le dossier Diaghelp à coté de catchme.exe comme tout à l'heure , HideLook.bat : http://senduit.com/918da9 ne clic pas encore dessus!! • telecharge sur ton bureau : http://downloads.sophos.com/dp/conficker/s...ool_107_sfx.exe et execute le pour l'installer , suis les instructions . il est là si Conficker t'empeche de le telecharger:: http://senduit.com/fb4ef2 je connais pas le toolfix aussi si tu as un rapport qui s'affiche , poste le moi. • ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Registry:: [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\kseznj] [-HKEY_LOCAL_MACHINE\system\ControlSet001\Services\poof] RootKit:: c:\windows\system32\nevimh.dll [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt • double clic sur Hidelook.bat que tu as mis dans le dossier DiagHelp comme expliqué precedemment et post le contenu du rapport catchme.log qui se trouve sur ton bureau.

• Installe ce correctif : http://www.microsoft.com/downloads/details...76-2067b73d6a03 • desactive tes executions automatiques sur tous tes lecteurs comme sur la capture via executer----> gpedit.msc http://imagesup.org/images/1240216766-gpedit.jpg et continue quand meme. pas certaine que tu puisses telecharger le correctif microsoft , donc au cas ou il est là: http://senduit.com/2974c9

tu mets le fichiers kill.bat là : c:\Documents and Settings\Administrateur\Bureau\DiagHelp\DiagHelp\catchme.exe , juste à coté de catchme.exe et tu continues comme je te dis.

voila donc ConFicker, RootKit , fait dans l'ordre la suite.

y'a une grosse vilaine bébette Dans l'ordre indiqué tu fais ça : 1• rend toi sur cette page :: http://www.confickerworkinggroup.org/infec...cfeyechart.html Vois tu les 6 images ??? 2• tu recharges ComboFix sur ton bureau (¯`·._.·[ ..... ]·._.·´¯) » Télécharge combofix.exe (par sUBs) » et sauvegarde le sur ton bureau , pas ailleurs!!!!! http://download.bleepingcomputer.com/sUBs/ComboFix.exe http://www.forospyware.com/sUBs/ComboFix.exe http://subs.geekstogo.com/ComboFix.exe http://imagesup.org/images/1238940640-cfdl.jpg http://imagesup.org/images/1240127722-cfsave.jpg Les Antivirus couinent sur ComboFix (Nircmd ....), faut autoriser ou désactiver temporairement son AV , ainsi que la demande d'access à la zone sure si le firewall couine , il faut autoriser \o/ NE LE LANCE PAS MAINTENANT!!!!!!! 3• telecharge dans le dossier Diaghelp , met à coté de tous les autres fichiers et pas ailleurs!!!! kill.bat: http://senduit.com/6d6ff8 » double clic sur kill.bat » un fichier catchme.log va apparaitre sur ton bureau , copie_colle dans ta prochaine reponse le contenu du rapport » un fichier zippé catchme.zip est aussi sur ton bureau , tu l'envoies à cette adresse: http://upload.malekal.com/ tuto:: http://www.malekal.com/tuto_upload_fichiers.php 4• ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: Driver:: kseznj File:: C:\autorun.inf C:\WINDOWS\system32\nevimh.dll registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\kseznj] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\kseznj [*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> [*]Choisis "Enregistrer sous" et choisis "Bureau" [*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript [*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" [*]Quitte le Bloc Notes. [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture * suis les instructions * Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal! Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu. * Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

le lien de telechargement de Diaghelp est dans mon message précedent , cependant c:\windows\system32\nevimh.dll n'apparait pas dans le rapport d'antivir, la dll revient ou pas ???repond à ça avant de lancer Diaghelp.