spyware antivirus 2008/virus alert ! Besoin d'aide (RESOLU)

[Falkra]

Tu sais faire un ZIP ou RAR d'un dossier ? (je demande, pour récupérer des fichiers infectés, pas pour évaluer ton niveau informatique ^^)

[u44]

Tu sais faire un ZIP ou RAR d'un dossier ? (je demande, pour récupérer des fichiers infectés, pas pour évaluer ton niveau informatique ^^)

 

Ha!ha! Bonne question ! J'ai un logiciel qui s'appelle WINRAR et je sais dézpippé un fichier ! Par contre pour faire un Zip moi-même, je n'ai jamais fait ! Tu peux peut-être me l'expliquer ?!

[Falkra]

Si tu as winrar déjà installé, c'est facile.

 

Ouvre le poste de travail, puis le disque C par double clic.

Fais un clic droit sur le dossier Qoobox et choisis "Add to Qoobox.rar" ou "Ajouter à Qoobox.rar" suivant la langue de winrar.

Ca créera un RAR contenant les fichiers infectés que j'aimerais récupérer pour analyse. Vérifie ensuite simplement que le fichier est bien créé et donne moi sa taille (clic droit dessus, puis propriétés). ensuite je te dis comment me l'envoyer et on retire combofix et ça (procédure spéciale : pas à la main).

[u44]

Si tu as winrar déjà installé, c'est facile.

 

Ouvre le poste de travail, puis le disque C par double clic.

Fais un clic droit sur le dossier Qoobox et choisis "Add to Qoobox.rar" ou "Ajouter à Qoobox.rar" suivant la langue de winrar.

Ca créera un RAR contenant les fichiers infectés que j'aimerais récupérer pour analyse. Vérifie ensuite simplement que le fichier est bien créé et donne moi sa taille (clic droit dessus, puis propriétés). ensuite je te dis comment me l'envoyer et on retire combofix et ça (procédure spéciale : pas à la main).

 

Alors, j'ai donc créé le Qoobox.rar , taille 308 ko, taille sur le disque : 312 ko ! Ca te va comme ça ? J'attends la suite! Thanks ! Par curiosité : Pourquoi tu veux analyser ces bestioles ?

[Falkra]

Impeccable. Je te MP la procédure.

On a besoin de faire remonter des fichiers infectieux aux développeurs d'outils spéciaux (comme ComboFix, SmitFraudFix, SDFix, etc...) et il faut des échantillons de ces fichiers pour faire progresser les logiciels, affiner la détection, etc... les rendre plus efficaces.

[u44]

Impeccable. Je te MP la procédure.

On a besoin de faire remonter des fichiers infectieux aux développeurs d'outils spéciaux (comme ComboFix, SmitFraudFix, SDFix, etc...) et il faut des échantillons de ces fichiers pour faire progresser les logiciels, affiner la détection, etc... les rendre plus efficaces.

 

Ca y est ! Je t'ai envoyé le RAR ! Si ça peut servir à quelque chose au moins ! Merci beaucoup pour ton aide si précieuse! Tu m'indiques la suite maintenant ! J'adore l'informatique! C'est vraiment un gouffre à temps !

[Falkra]

Merci, je l'ai bien reçu.

 

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore : C:\QooBox et aussi le Rar qu'on a fait, c'est bon.

 

Tu as été victime d'un faux logiciel, consulte ce site en cas de doute pour éviter les plus actifs :

http://bharath-m-narayan.blogspot.com/

Ne retombe pas dans le même panneau.

 

Tu as Nod32, ok. Je te propose en complément un antimalware performant : MalwareBytes' Anti-malware.

Site officiel : http://www.malwarebytes.org/

Le module résident (qui tourne à l'arrière plan) est payant, mais cela reste gratuit, ce module ne s'active simplement pas, sauf paiement). Du coup dans sa version gratuite il cohabite avec tout.

 

Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, simple à utiliser, gratuit et efficace, un très bon compromis : http://www.personalfirewall.comodo.com/

Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php

(N'installe pas les toolbars proposées par l'installateur, décoche)

 

Il faudra mettre IE à jour aussi, là c'est IE6. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici :

http://www.microsoft.com/windows/products/...ie/default.mspx

(bouton "get it now")

 

De manière générale le système doit être parfaitement à jour, et les logiciels aussi (Java notamment), pour éviter pas mal d'infections.

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

[u44]

Merci, je l'ai bien reçu.

 

Tu peux désinstaller combofix : entre combofix /u dans la boite exécuter du menu démarrer.

Après cela, efface ce dossier s'il existe encore : C:\QooBox et aussi le Rar qu'on a fait, c'est bon.

 

Tu as été victime d'un faux logiciel, consulte ce site en cas de doute pour éviter les plus actifs :

http://bharath-m-narayan.blogspot.com/

Ne retombe pas dans le même panneau.

 

Tu as Nod32, ok. Je te propose en complément un antimalware performant : MalwareBytes' Anti-malware.

Site officiel : http://www.malwarebytes.org/

Le module résident (qui tourne à l'arrière plan) est payant, mais cela reste gratuit, ce module ne s'active simplement pas, sauf paiement). Du coup dans sa version gratuite il cohabite avec tout.

 

Un "vrai" pare-feu est une nécessité, je te conseille Comodo v3, simple à utiliser, gratuit et efficace, un très bon compromis : http://www.personalfirewall.comodo.com/

Tu trouveras ici un tuto en français : http://www.malekal.com/tutorial_COMODO_Firewall.php

(N'installe pas les toolbars proposées par l'installateur, décoche)

 

Il faudra mettre IE à jour aussi, là c'est IE6. Même si on ne l'utilise pas, son moteur peut être utilisé par d'autres logiciels et IE6 n'est plus suffisant côté sécurité. On trouve encore des failles, qui ne seront pas corrigées. IE7 s'installe librement, même sur les windows non authentiques, tout le monde devrait avoir au minimum IE7 donc. Il arrivera par les mises à jour de windows update, sinon on peut le télécharger ici :

http://www.microsoft.com/windows/products/...ie/default.mspx

(bouton "get it now")

 

De manière générale le système doit être parfaitement à jour, et les logiciels aussi (Java notamment), pour éviter pas mal d'infections.

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

 

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

 

Ouf ! Merci pour tous ces conseils ! J'ai donc désinstallé combofix et je prendrai le temps de m'intéresser un peu plus à tous ces détails ! C'est vrai qu'une bonne protection peut faire gagner du temps finalement ! Mais heureusement qu'il y a des "spécialistes" comme toi pour nous sortir d'affaire ! Une dernière question : Tu me parles de la mise à jour de IE. Est-ce nécessaire, même si mon navigateur est Mozilla firefox ? Ah oui , il me reste encore un document texte sur C, du nom de Bug, je le supprime aussi ? C'est quoi ça encore ? Tu vois, je n'hésiterai pas à poser des questions !

 

PUSHD "C:\327882R2FWJFW\"

 

IF NOT EXIST C:\WINDOWS\system32\cmd.exe GOTO Not_NT

 

VER | FIND.exe "Microsoft Windows [Version 5.2.3790]" 1>nul

 

IF NOT ERRORLEVEL 1 GOTO Not_NT

 

VER | FIND.exe "Windows XP" 1>nul

 

PV -o"%i\t%l" | SED "/\t.*\\nircmd\.inf$/!d; s///; s/./@pv -kfi &/" 1>temp00.bat

 

CALL temp00.bat

 

DEL temp00.bat 2>nul

 

=============================================

 

ALLUSERSPROFILE=C:\Documents and Settings\All Users

APPDATA=C:\Documents and Settings\gael\Application Data

CFLDR=327882R2FWJFW

CLIENTNAME=Console

CommonProgramFiles=C:\Program Files\Fichiers communs

COMPUTERNAME=XPSP2-0FF4B59B6

ComSpec=C:\WINDOWS\system32\cmd.exe

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Documents and Settings\gael

KMD=CF26209.exe

LOGONSERVER=\\XPSP2-0FF4B59B6

NUMBER_OF_PROCESSORS=1

OS=Windows_NT

Path=C:\327882R2FWJFW;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem

PATHEXT=.cfexe;.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 10, GenuineIntel

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=080a

ProgramFiles=C:\Program Files

PROMPT=$

SESSIONNAME=Console

sfxname=C:\Documents and Settings\gael\Bureau\ComboFix.exe

SYSTEM=C:\WINDOWS\system32

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOCUME~1\gael\LOCALS~1\Temp

TMP=C:\DOCUME~1\gael\LOCALS~1\Temp

USERDOMAIN=XPSP2-0FF4B59B6

USERNAME=gael

USERPROFILE=C:\Documents and Settings\gael

windir=C:\WINDOWS

 

=============================================

 

 

IF NOT DEFINED sfxname GOTO END

 

IF /I "C:\327882R2FWJFW" NEQ "C:\327882R2FWJFW" GOTO Abort

 

IF EXIST "C:\DOCUME~1\gael\LOCALS~1\Temp\327882R2FWJFW327882R2FWJFW.log" DEL "C:\DOCUME~1\gael\LOCALS~1\Temp\327882R2FWJFW327882R2FWJFW.log"

SteelWerX Extended Configuration Access Control Lists

Written by Bobbi Flekman 2006 ©

Ownerchange for "C:\WINDOWS\system32\cmd.exe" to Administrators group was successful

 

COPY /y "C:\WINDOWS\system32\cmd.exe" "C:\WINDOWS\system32\CF26209.exe"

1 fichier(s) copi‚(s).

 

(

SET "FileName=ComboFix"

SET "FilePath=C:\Documents and Settings\gael\Bureau\"

)

 

SET FileName 1>FileName 2>nul

 

GREP -isqx "FileName=[-[:alnum:]@.]*" FileName || (

Nircmd infobox "You cannot rename ComboFix as ComboFix~n~nPlease use another name, preferbaly made up of alphanumeric characters" ""

GOTO END

)

 

DIR /ad/b C:\* | Findstr -IVX ComboFix 1>dirname00

 

Findstr -LIXC:"ComboFix" dirname00 1>nul && call :NameChk

 

IF EXIST dirname0? del /Q dirname0?

 

IF EXIST "\ComboFix" DIR /AD "\ComboFix" 1>nul && (

RD /s/q "\ComboFix"

IF EXIST "\ComboFix" (

PV -kf Findstr *.cfexe

RD /s/q "\ComboFix"

)

IF EXIST "\ComboFix" (

HANDLE "C:\ComboFix" | SED -r "/pid:/!d; s/.*: (.*): .*/\1/" 1>temp00

FOR /F "TOKENS=1,2" %g in (temp00) DO @ECHO.y | HANDLE -p %g -c %h

DEL /q temp00

RD /s/q "\ComboFix"

)

)

 

IF EXIST "\ComboFix" RD /s/q "\ComboFix"

 

IF EXIST "\ComboFix" GOTO :eof

 

GREP -sq "currentversion.* 6.0" osVer00 && (CALL :Vista ) ||

 

del osVer00 2>nul

 

CD ..

 

SET "comspec=C:\WINDOWS\system32\CF26209.exe"

 

(

ECHO.MD "\ComboFix"

ECHO.MOVE /y "\327882R2FWJFW\*" "\ComboFix"

ECHO.RD /S/Q "\327882R2FWJFW"

ECHO.START "." /d"C:\ComboFix" "C:\WINDOWS\system32\CF26209.exe" /k c.bat

ECHO.PV -kf cmd.exe

) 1>Start_.cmd

 

NirCmd exec hide "C:\WINDOWS\system32\CF26209.exe" /f:off /d /c call Start_.cmd

 

NirCmd execmd del "\327882R2FWJFW\prep.cmd"

 

EXIT

[u44]

Rebonjour,

Encore une question qui me turlupine : J'ai maintenant sur mon bureau une icone Internet Explorer que je n'avais pas avant ! puisque je passe par Mozilla !

Dans propriétés, pages de démarrage il y a ça : http://antivir--2008.com/buy.php?aff=1001?

Est-ce encore un "résidu" de cette saleté de pseudo-logiciel qui s'était installé ??

[Falkra]

C'est encore un résidu de cette bouse, change ta page d'accueil, elle ne devrait plus bouger et se remettre.

 

Pour IE6, même si tu ne l'utilises pas, il reste vulnérable, et bien des logiciels (qui ne sont pas des navigateurs) utilisent le moteur d'Internet Explorer quis e trouve sur la machine, pour afficher des pages web sans se fatiguer, ce qui expose aussi à d'autres risques, un malware peut utiliser IE à ta place, en fait. Vu qu'IE7 peut se télécharger même sur des windows non authentiques, tout le monde devrait l'avoir.

 

Je fais suivre pour le fichier bug, merci de l'avoir posté, je fais remonter l'info.