Grave infection de mon PC !

[Mark]

Bonjour vous deux

 

Petite intrusion rapide de ma part. OMthebest ; j'ai besoin d'un petit service !

 

Va sur ce forum :

 

http://www.thespykiller.co.uk/forum/index....1&board=1.0

 

...et clique sur "New Topic" (en haut à droite de l'index des discussions). Pas nécessaire de t'enregistrer sur ce forum pour poster. Tape ton pseudo et adresse email. Comme titre ("Subject") de discussion, mets "File for AndyManchesta", et dans le post, colle le lien vers cette discussion-ci, soit :

 

http://forum.zebulon.fr/index.php?showtopic=111010&st=60

 

Maintenant; clique sur le bouton "Parcourir", au bas de la fenêtre de message, et recherche ce fichier:

 

C:\SDFix\backups\backups.zip

 

...double-clique dessus, et clique sur le bouton "Post" afin de soumettre ton message (et fichier joint).

 

Merci

===================

 

Suite au upload du fichier, prière de poursuivre avec les manips de Bruce

 

@+

Modifié le 4 janvier 2007 par Qc001

[OMthebest]

Salut Bruce Lee,

 

J'en suis à la dernière partie de ce que tu m'a demandé de faires mais une fois que j'essaie d'analyser mon PC avec Panda Activescan on m'affiche le message d'erreur suivant :

 

"Erreur survenue au cours de l’installation

 

Une erreur s'est produite lors du téléchargement de Panda ActiveScan. Recommencez l'opération. Si l'erreur se produit de nouveau, redémarrez votre ordinateur et essayer une nouvelle fois

 

Les raisons de l’erreur peuvent être:

 

Ne pas autoriser le téléchargement du contrôle ActiveScan de l’application.

 

Des problèmes avec la connexion Internet.

 

Une erreur est survenue au cours de l’installation d’ActiveScan. Merci de vérifier que votre connexion Internet fonctionne puis cliquez sur 'Réessayer'."

 

 

J'ai déjà redémarré 2 fois mon ordi mais ca ne change rien!

Modifié le 4 janvier 2007 par OMthebest

[bruce lee]

salut OMthebest Qc001,

 

OMthebest fais tu bien le scan avec internet explorer? as tu bien suivis le tuto?

[OMthebest]

Ben non ca marche pas!

[bruce lee]

re,

 

avec firefox:

 

http://fr.trendmicro-europe.com/consumer/h...call_launch.php

[OMthebest]

Salut,

 

On doit avoir un rapport à la fin du scan? Parceque j'ai laissé l'ordi faire le scan et quand je suis revenu toutes les fenêtres internet étaient fermées donc j'ai pas pu voir si y a eu un rapport ou si c'était un problème et depuis quand j'essai de faire un nouveau scan ca ne marche plus ca bloque à un moment et ca fait plus rien!

[bruce lee]

bonjour OMthebest,

 

Télécharge FindAWF.exe (par Noahdfear) sur ton Bureau.

 

- Double-clique FindAWF.exe

- Un fichier texte sera produit et s'affichera à l'écran (awf.txt)

- Copie/colle le contenu du fichier dans ta prochaine réponse.

[Mark]

Bonsoir vous deux, et désolé pour le délai de réponse.

 

Merci pour l'upload du fichier, OMthebest En regardant les fichiers captés pas SDFix, j'espérais que l'un d'entre eux puissent nous donner une piste quant à la méthode d'encryption. Ce n'était pas le cas. Cependant, certains experts aimeraient bien analyser l'un de ces fichiers encryptés..

 

Pourrais-tu, s'il te plaît, refaire un upload chez TheSpyKiller, mais cette fois-ci avec l'un de tes fichiers .mp3 qui possèdent la double extension .mp3.exe ? Ça serait vraiment chouette..

 

Tu n'as qu'à suivre ma manip précédente ; cette fois-ci, comme titre, indique "Encrypted file for AndyManchesta - CurePCSolutions". En cliquant "Parcourir", cible l'un de ces fichiers encryptés (celui de plus faible taille, de préférence..). Ceci pourrait donner suite à une méthode de décodage.

 

==========================

 

Tu peux poursuivre avec l'outil FindAWF sans soucis.

 

Bonne continuation, et je vous tiens au courant..

 

@+

[OMthebest]

Voila le rapport :

 

 

Find AWF report by noahdfear ©2006

 

 

21504 byte files found

~~~~~~~~~~~~~

 

 

 

21504 byte files sorted with strings

~~~~~~~~~~~~~~~~~~~~~

 

 

 

25600 byte files found

~~~~~~~~~~~~~

 

25600 "C:\Documents and Settings\Romain\usbsermptxp.sys"

 

 

25600 byte files sorted with strings

~~~~~~~~~~~~~~~~~~~~~

 

 

 

26450 byte files found

~~~~~~~~~~~~~

 

 

 

26450 byte files sorted with strings

~~~~~~~~~~~~~~~~~~~~~

 

 

 

bak folders found

~~~~~~~~~~~

 

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\APPS\ACTIVB~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

03/05/2001 17:41 159ÿ744 MMKeybd.exe

1 fichier(s) 159ÿ744 octets

2 R‚p(s) 16ÿ379ÿ232ÿ256 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\ANTIVI~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

21/09/2006 18:15 241ÿ704 avgnt.exe

1 fichier(s) 241ÿ704 octets

2 R‚p(s) 16ÿ379ÿ232ÿ256 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\EZTHEM~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

0 fichier(s) 0 octets

2 R‚p(s) 16ÿ379ÿ228ÿ160 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\ITUNES\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

25/09/2006 13:54 229ÿ952 iTunesHelper.exe

1 fichier(s) 229ÿ952 octets

2 R‚p(s) 16ÿ379ÿ228ÿ160 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\QUICKT~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

24/09/2006 02:24 282ÿ624 qttask.exe

1 fichier(s) 282ÿ624 octets

2 R‚p(s) 16ÿ379ÿ228ÿ160 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\SOFTPE~1\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

15/07/2005 00:30 1ÿ328ÿ128 fw.exe

1 fichier(s) 1ÿ328ÿ128 octets

2 R‚p(s) 16ÿ379ÿ228ÿ160 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\WINDOWS\SYSTEM32\BAK

 

04/01/2007 23:41 <REP> .

04/01/2007 23:41 <REP> ..

0 fichier(s) 0 octets

2 R‚p(s) 16ÿ379ÿ228ÿ160 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\LOGITECH\VIDEO\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

12/02/2004 15:57 188ÿ416 ISStart.exe

12/02/2004 15:59 77ÿ824 LogiTray.exe

2 fichier(s) 266ÿ240 octets

2 R‚p(s) 16ÿ379ÿ228ÿ160 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\MOUSEW~1\SYSTEM\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

24/08/2001 08:40 35ÿ328 EM_EXEC.EXE

1 fichier(s) 35ÿ328 octets

2 R‚p(s) 16ÿ379ÿ228ÿ160 octets libres

Le volume dans le lecteur C s'appelle HDD

Le num‚ro de s‚rie du volume est F4E0-90A9

 

R‚pertoire de C:\PROGRA~1\JAVA\JRE15~1.0_0\BIN\BAK

 

28/10/2006 08:50 <REP> .

28/10/2006 08:50 <REP> ..

10/11/2005 12:03 36ÿ975 jusched.exe

1 fichier(s) 36ÿ975 octets

2 R‚p(s) 16ÿ379ÿ228ÿ160 octets libres

 

 

Duplicate files of bak directory contents

~~~~~~~~~~~~~~~~~~~~~~~

 

159744 3 May 2001 "C:\APPS\ActivBoard\bak\MMKeybd.exe"

262184 16 Dec 2006 "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe"

241704 21 Sep 2006 "C:\Program Files\AntiVir PersonalEdition Classic\bak\avgnt.exe"

256576 30 Oct 2006 "C:\Program Files\iTunes\iTunesHelper.exe"

229952 25 Sep 2006 "C:\Program Files\iTunes\bak\iTunesHelper.exe"

102400 5 Nov 2006 "C:\WINDOWS\Installer\{446DBFFA-4088-48E3-8932-74316BA4CAE4}\iTunesIco.exe"

1271816 13 Dec 2006 "C:\Documents and Settings\Romain\Mes documents\Ma musique\iTunes\iTunes Music Library.xml.exe"

108096 30 Oct 2006 "C:\Documents and Settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 7.0.2.16\iTunesSetupAdmin.exe"

1034852 28 Jul 2006 "C:\Documents and Settings\Romain\Local Settings\Temporary Internet Files\Content.IE5\0PAR4YF4\iTunesSetup[1].exe"

282624 25 Oct 2006 "C:\Program Files\QuickTime\qttask.exe"

282624 24 Sep 2006 "C:\Program Files\QuickTime\bak\qttask.exe"

1328128 15 Jul 2005 "C:\Program Files\SoftPerfect Personal Firewall\bak\fw.exe"

188416 12 Feb 2004 "C:\Program Files\Logitech\Video\bak\ISStart.exe"

77824 12 Feb 2004 "C:\Program Files\Logitech\Video\bak\LogiTray.exe"

35328 24 Aug 2001 "C:\Program Files\MouseWare\system\bak\EM_EXEC.EXE"

36975 10 Nov 2005 "C:\Program Files\Java\jre1.5.0_06\bin\bak\jusched.exe"

 

 

end of report

[Mark]

Rebonjour vous deux

 

Bon, nous avons une technique pour réparer les fichiers atteints par l'infection associée à ce CurePCSolutions. Merci à toi d'avoir uploadé les fichiers, tels que demandés. Pour l'infection AWF, nous pouvons attendre un brin ; il y aura quelques fichiers à déplacer. J'aimerais juste que tu nous dises si ton parefeu fonctionne, car l'exécutable de celui-ci semble avoir été détruit. Fais nous savoir dans ta prochaine réponse Ok la suite maintenant ;

===============================

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

• Double clique drweb-cureit.exe et accepte le lancement du "Express Scan"
  
• Ce scan rapide permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton "Yes" à l'invite.
  
• Lorsque le scan rapide est terminé, Clique sur Options >> Change settings ;
  
• Choisis l'onglet "Scan", et décoche "Heuristic analysis".
  
• De retour à la fenêtre principale : active (coche) les lecteurs qui doivent être scannés;
  
• Choisis tous les lecteurs. Un point rouge t'indiquera les lecteurs sélectionnés.
  
• Clique la flèche verte sur la droite, et le scan débutera.
  
• Clique Yes to all à l'invite de "cure/move" le fichier détecté.
  
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
  
• Si oui, alors clique dessus et ensuite clique sur l'icône "Next", au dessous, et choisis Move incurable, tel que présenté dans cette image :
  
  
• Du menu principal de l'outil, au haut à gauche, clique sur le menu File et choisis Save report list
  
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
  
• Ferme Dr.Web Cureit
  
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
  

Un tuto en images complet est disponible ici (merci à Malekal_morte) :

http://www.malekal.com/tutorial_DrWebCureIt.php

------------------------------------------------------------------------

 

Tu peux maintenant tenter de retirer les extensions .exe indésirables, manuellement. Pour le faire, tu n'as qu'à faire un clic droit sur le fichier >> "Renommer", puis enlève la double extension. Valide avec "Entrée", puis essaie d'ouvrir le fichier en le double cliquant.

 

Donc poste le rapport de CureIt, dis nous pour le parefeu et pour les fichiers réparés.

 

Bon succès...

 

@+

Modifié le 8 janvier 2007 par Qc001