Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection de mon ordinateur

Yannoo

Par Yannoo
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e)
Dois je aller le récuperer aussi, le brancher et ensuite desinfecter en meme temps que le DD interne ? (je fais réference à la partie avec Mbam)

Oui, c'est indispensable.

Yannoo Junior Member

Yannoo

Posté(e)
  • Auteur
Posté(e) (modifié)

Ok, bien noté.

 

Par contre, très mauvaise blague en cours, puisque après les avoir demandé d'isoler leur DD externe et la clé usb qui avaient été en contact avec le portable infecté, ils m'ont dit les avoir branché sur un autre de leur portable (pour pouvoir continuer à bosser :P ). Bref pour faire court

 

-> le second portable risque t il d'être infecté ? (il ne présente actuellement aucun des symptomes, à savoir lenteur et redirection porno)

-> comment faire pour m'assurer qu'il ne présente pas l'infection ? (analyse Gmer selon le meme process que précedemment, ca suffit?)

 

A savoir que le second portable doit etre lui aussi sous AVGfree (et non Antivir ;( ), avec maj windows ok sauf IE 7 ... Bref meme config que le premier.

Modifié par Yannoo
pear Devil Member !

pear

Posté(e)
Posté(e)
analyse Gmer selon le meme process que précedemment, ca suffit?

 

Oui, et non.

Gmer et la manipulation précédente(gmer del etc..)s'il y a rootkit.

Mais dans tous les cas, ensuite ,un scan avec Mbam, :

Yannoo Junior Member

Yannoo

Posté(e)
  • Auteur
Posté(e)
Oui, et non.

Gmer et la manipulation précédente(gmer del etc..)s'il y a rootkit.

Mais dans tous les cas, ensuite ,un scan avec Mbam, :

 

 

Ok alors pour résumer et dans l'ordre, je fais

 

1/

 

Créez un sur C:\ un dossier nommé Gamer

Vous allez Renommer gmer

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

clic droit sur http://www.gmer.net/gmer.zip

Choisir "Enregistrer la cible du lien..sous...."

Choisir pour destination le fichier C:\gamer

En bas, à Nom du Fichier:

tapez gamer.exe

Cliquez enfin sur -> Enregistrer sous

Entrez dans C:\gamer

Lancez gmer en double cliquant sur gamer.exe

Déconnectez internet si possible et fermez tous les programmes.

 

Si une alerte de l' antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laissez le s'executer.

Clic sur l'onglet "rootkit"

Clic sur Scan

A la fin du scan->Clic sur copie

Collez le résultat dans un prochain message

 

2/ puis SI infection détéctée comme ci dessus

 

Menu Démarrer-> executer

et taper : cmd puis clic sur OK.

Taper chacune de ces commandes en appuyant sur la touche entrée à chaque fois pour valider la commande :

gmer.exe -del service UACd.sys

gmer.exe -delReg "HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys"

gmer.exe -delReg "HKLM\SYSTEM\ControlSet002\Services\UACd.sys"

gmer.exe -delFile "C:\WINDOWS\system32\drivers\UACcocjwjtk.sys"

gmer.exe -reboot

 

3/ Et ensuite (qu'il y ait infection détecté au 2/ ou pas), un coup de Mbam :

 

Renommer Mbam

Dans certains cas, il peut être nécessaire de renommer Mbam ,avant le téléchargement pour traiter l' infection.

Désinstallez Mbam, s'il est installé

 

Attention, par défaut, Firefox ne permet pas le renommage avant sauvegarde, utiliser plutôt IE

Pour le renommer:

Clic droit sur http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Choisir "Enregistrer la cible du lien..sous...."

Choisir le bureau

En bas, à Nom du Fichier:

tapez karcher.exe

Cliquez enfin sur -> Enregistrer

Lancez Mbam par karcher.exe

En cas de problème, :

méthode illustrée

 

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

 

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

 

Je suis désolé de vous infliger tout çà, mais je préfère être sur de mon coup :P :P

Yannoo Junior Member

Yannoo

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour

 

Je reviens vers vous car je suis en train d'essayer de traiter le PC qui est infécté, en appliquant la méthode indiquée au post 19. Seulement voilà souci, quand je suis dans le cmd.exe et que je tappe gmer.exe -del service UACd.sys (ie la première commande du log), ca m'affiche le message d'erreur suivant :

 

'gmer.exe' n'est pas un programme reconnu en tant que commande interne ou externe, un programme exécutable ou un fichier de commandes.

 

J'ai essayé en changeant par gamer.exe -del blabla, puisque le fichier s'appelle gamer.exe dans le C:\gamer, sans succès. J'ai aussi gardé la meme commande mais en changeant le nom de gamer.exe en gmer.exe dans le C:\gamer, sans effet.

J'ai aussi essayé tout cela en me ramenant dans l'invite de commande à juste c:\>gmer ...., pareil sans effet.

 

J'ai désinstallé gmer, reinstaller proprement à la racine de C:\ dans un ficher gamer, etc ..., tout recommencé, pareil, meme message d'erreur

 

Je bloque :P :P help plz :P

 

 

 

[EDIT : je pense avoir trouvé, puisque ca me donne plus de message d'erreur, mais est ce bon ? :

Dans l'invit de commande, je me rammène à la racine de la ou est gmer, ie C:\Gamer> puis je tappe les commande avec le nom réel du programme, à savoir donc gamer.exe -del service UACd.sys Plus de message d'erreur, on peut supposer que çà marche donc ? :P ]

Modifié par Yannoo
pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

[EDIT : je pense avoir trouvé, puisque ca me donne plus de message d'erreur, mais est ce bon ? :

Dans l'invit de commande, je me rammène à la racine de la ou est gmer, ie C:\Gamer> puis je tappe les commande avec le nom réel du programme, à savoir donc gamer.exe -del service UACd.sys Plus de message d'erreur, on peut supposer que çà marche donc ? :P ]

 

oui, c'est bon.Bien vu.

Yannoo Junior Member

Yannoo

Posté(e)
  • Auteur
Posté(e) (modifié)

Arf nouveau souci, quand je rentre la 4eme ligne de

 

gmer.exe -del service UACd.sys

gmer.exe -delReg "HKLM\SYSTEM\CurrentControlSet\Services\UACd.sys"

gmer.exe -delReg "HKLM\SYSTEM\ControlSet002\Services\UACd.sys"

gmer.exe -delFile "C:\WINDOWS\system32\drivers\UACcocjwjtk.sys"

gmer.exe -reboot

 

ie celle en rouge, ca me donne un pop up de GMER disant DeleteKey : paramètre incorrect avec juste un ok...

 

 

[EDIT : c'est bon, faute de typo, c'est corrigé je suis nul, c'était un delFile et non un delReg, par contre ca m'a balancé un gros écran bleu de plantage pendant une demi seconde puis reboot automatique du PC, c'est normal ca? ]

[EDIT bis : au reboot, antivir s'excite comme un fou et me trouve dix fois le fichier sus-nommé, j'ai mis supprimer à chaque fois .... Je suis retourné dans l'invit de cmd, refais la commande -delFile, ca m'indique que le fichier n'existe plus, et j'ai pu faire un gamer.exe -reboot]

Modifié par Yannoo
Yannoo Junior Member

Yannoo

Posté(e)
  • Auteur
Posté(e) (modifié)
Eh bien bravo.

J'admire vos excellents réflexes.

 

La machine va mieux ?

 

Merci je suis flatté.

 

L'analyse Malware a déjà trouvé pas mal de choses, c'est encore en cours. Je posterais les logs quand ca sera terminé.

Modifié par Yannoo

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...