pc devenu incontrolable

[Apollo]

Oui, c'est bon comme analyse.

 

Il y a un dossier qui reste de Norton/Symantec, il aura été mal désinstallé.

 

Pour nettoyer les restes de Norton, utiliser cet outil et suivre les consignes:

 

Remover Symantec/Norton

 

Le pc devra sûrement être redémarré.

 

===============

Je voudrais que tu fasses analyser quelques fichiers si tu les trouvais encore:

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\g.e.exe
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Fais de même avec les fichiers suivants stp:

 

c:\windows\system32\rjFbu.vbs

c:\windows\system32\6R96S.vbs

 

@+tard.

[roghof]

Fichier g.e.exe reçu le 2009.05.14 17:59:08 (CET)Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.05.14 -

AhnLab-V3 5.0.0.2 2009.05.14 -

AntiVir 7.9.0.166 2009.05.14 -

Antiy-AVL 2.0.3.1 2009.05.14 -

Authentium 5.1.2.4 2009.05.13 -

Avast 4.8.1335.0 2009.05.13 -

AVG 8.5.0.327 2009.05.14 -

BitDefender 7.2 2009.05.14 -

CAT-QuickHeal 10.00 2009.05.14 -

ClamAV 0.94.1 2009.05.14 -

Comodo 1157 2009.05.08 -

DrWeb 5.0.0.12182 2009.05.14 -

eSafe 7.0.17.0 2009.05.14 -

eTrust-Vet 31.6.6505 2009.05.14 -

F-Prot 4.4.4.56 2009.05.13 -

F-Secure 8.0.14470.0 2009.05.14 -

Fortinet 3.117.0.0 2009.05.14 -

GData 19 2009.05.14 -

Ikarus T3.1.1.49.0 2009.05.14 -

K7AntiVirus 7.10.735 2009.05.14 -

Kaspersky 7.0.0.125 2009.05.14 -

McAfee 5614 2009.05.13 -

McAfee+Artemis 5614 2009.05.13 -

McAfee-GW-Edition 6.7.6 2009.05.14 -

Microsoft 1.4602 2009.05.14 -

NOD32 4075 2009.05.14 -

Norman 6.01.05 2009.05.14 -

nProtect 2009.1.8.0 2009.05.14 -

Panda 10.0.0.14 2009.05.13 -

PCTools 4.4.2.0 2009.05.13 -

Prevx 3.0 2009.05.14 Medium Risk Malware

Rising 21.29.34.00 2009.05.14 -

Sophos 4.41.0 2009.05.14 Troj/BadCab-A

Sunbelt 3.2.1858.2 2009.05.14 -

Symantec 1.4.4.12 2009.05.14 -

TheHacker 6.3.4.1.325 2009.05.13 -

TrendMicro 8.950.0.1092 2009.05.14 -

VBA32 3.12.10.5 2009.05.14 -

ViRobot 2009.5.14.1735 2009.05.14 -

 

Information additionnelle

File size: 17277624 bytes

MD5...: a09dc08834cd6fa4d95dfa29e90f465e

SHA1..: 78f736d1bd730b21e07e865f593fe834980fabce

SHA256: cd4b7209062dea76b9545d6491a4667541f86a5c6790e2489525bea46cbfcc08

SHA512: 146ff2445677a3c452de4c1bf4e2e688f6bf280a27b85573060178580500e06b<BR>7ef25a3715e91e40de4c2300eb7cc03ff36960e4c71234ce2b354b5a2235d249

ssdeep: 393216:lNyastvRdweMeHZ4DrE1dkLYJXVQUUfanrdLAEjRkTBEOzaQU:jstv/w1<BR>QZldVQ0RLzjMEB<BR>

PEiD..: -

TrID..: File type identification<BR>Win32 Executable Generic (68.0%)<BR>Generic Win/DOS Executable (15.9%)<BR>DOS Executable Generic (15.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set<BR>-

<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=718BB364B87F1CDAA2860718ECBC050151B42A67' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=718BB364B87F1CDAA2860718ECBC050151B42A67</a>

[Apollo]

Ok,

 

pense à faire la même chose avec ces deux-là:

 

c:\windows\system32\rjFbu.vbs

c:\windows\system32\6R96S.vbs

 

@++

[roghof]

voici le rapport pour rjFbu, je pars à la recherche de 6R96S

 

 

Fichier rjFbu.vbs reçu le 2009.05.15 09:09:33 (CET)Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.05.15 -

AhnLab-V3 5.0.0.2 2009.05.15 -

AntiVir 7.9.0.166 2009.05.15 -

Antiy-AVL 2.0.3.1 2009.05.15 -

Authentium 5.1.2.4 2009.05.14 -

Avast 4.8.1335.0 2009.05.15 -

AVG 8.5.0.336 2009.05.15 -

BitDefender 7.2 2009.05.15 -

CAT-QuickHeal 10.00 2009.05.15 -

ClamAV 0.94.1 2009.05.15 -

Comodo 1157 2009.05.08 -

DrWeb 5.0.0.12182 2009.05.15 -

eSafe 7.0.17.0 2009.05.14 -

eTrust-Vet 31.6.6506 2009.05.15 -

F-Prot 4.4.4.56 2009.05.14 -

F-Secure 8.0.14470.0 2009.05.15 -

Fortinet 3.117.0.0 2009.05.15 -

GData 19 2009.05.15 -

Ikarus T3.1.1.49.0 2009.05.15 -

K7AntiVirus 7.10.735 2009.05.14 -

Kaspersky 7.0.0.125 2009.05.15 -

McAfee 5615 2009.05.14 -

McAfee+Artemis 5615 2009.05.14 -

McAfee-GW-Edition 6.7.6 2009.05.15 -

Microsoft 1.4602 2009.05.15 -

NOD32 4077 2009.05.15 VBS/Disabler.NAB

Norman 6.01.05 2009.05.14 VBS/Smalltroj.XSV

nProtect 2009.1.8.0 2009.05.15 -

Panda 10.0.0.14 2009.05.14 -

PCTools 4.4.2.0 2009.05.15 -

Prevx 3.0 2009.05.15 -

Rising 21.29.40.00 2009.05.15 -

Sophos 4.41.0 2009.05.15 -

Sunbelt 3.2.1858.2 2009.05.15 -

Symantec 1.4.4.12 2009.05.15 -

TheHacker 6.3.4.1.326 2009.05.15 -

TrendMicro 8.950.0.1092 2009.05.14 -

VBA32 3.12.10.5 2009.05.15 -

ViRobot 2009.5.15.1736 2009.05.15 -

VirusBuster 4.6.5.0 2009.05.14 -

 

Information additionnelle

File size: 615 bytes

MD5...: 768466ea2059580a84f9c0e68d94c644

SHA1..: c9ad3cf2b59f4335e92a0640a51c4c52196f7836

SHA256: aa24f9656f6e05d6640100c4d263a6189efdbb102aff72fd8e69c366d8e69cc9

SHA512: 361d5807b3dd74c297689857724bdd8207ab1e8e7c2828ac99b4535f35f03189<BR>b6f888fd37e1789484f77b62bf8104df2445f33a9f93a6b2045c8bb97ce055f8

ssdeep: 12:tKT0GWo29iS7fwdRbXc6cw49iFMXFPYjW/QakgNOfwv1SvWdg4chZ:tKWo29i<BR>SbyNM9hyW/zh6JA3chZ<BR>

PEiD..: -

TrID..: File type identification<BR>Unknown!

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set<BR>-

[roghof]

voici le rapport de 6R96S

 

Fichier 6R96S.vbs reçu le 2009.05.15 09:22:26 (CET)Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.05.15 -

AhnLab-V3 5.0.0.2 2009.05.15 -

AntiVir 7.9.0.166 2009.05.15 -

Antiy-AVL 2.0.3.1 2009.05.15 -

Authentium 5.1.2.4 2009.05.14 -

Avast 4.8.1335.0 2009.05.15 -

AVG 8.5.0.336 2009.05.15 -

BitDefender 7.2 2009.05.15 -

CAT-QuickHeal 10.00 2009.05.15 -

ClamAV 0.94.1 2009.05.15 -

Comodo 1157 2009.05.08 -

DrWeb 5.0.0.12182 2009.05.15 -

eSafe 7.0.17.0 2009.05.14 -

eTrust-Vet 31.6.6506 2009.05.15 -

F-Prot 4.4.4.56 2009.05.14 -

F-Secure 8.0.14470.0 2009.05.15 -

Fortinet 3.117.0.0 2009.05.15 -

GData 19 2009.05.15 -

Ikarus T3.1.1.49.0 2009.05.15 -

K7AntiVirus 7.10.735 2009.05.14 -

Kaspersky 7.0.0.125 2009.05.15 -

McAfee 5615 2009.05.14 -

McAfee+Artemis 5615 2009.05.14 -

McAfee-GW-Edition 6.7.6 2009.05.15 -

Microsoft 1.4602 2009.05.15 -

NOD32 4077 2009.05.15 VBS/Disabler.NAB

Norman 6.01.05 2009.05.14 VBS/Smalltroj.XSV

nProtect 2009.1.8.0 2009.05.15 -

Panda 10.0.0.14 2009.05.14 -

PCTools 4.4.2.0 2009.05.15 -

Prevx 3.0 2009.05.15 -

Rising 21.29.40.00 2009.05.15 -

Sophos 4.41.0 2009.05.15 -

Sunbelt 3.2.1858.2 2009.05.15 -

Symantec 1.4.4.12 2009.05.15 -

TheHacker 6.3.4.1.326 2009.05.15 -

TrendMicro 8.950.0.1092 2009.05.14 -

VBA32 3.12.10.5 2009.05.15 -

ViRobot 2009.5.15.1736 2009.05.15 -

VirusBuster 4.6.5.0 2009.05.14 -

 

Information additionnelle

File size: 615 bytes

MD5...: 768466ea2059580a84f9c0e68d94c644

SHA1..: c9ad3cf2b59f4335e92a0640a51c4c52196f7836

SHA256: aa24f9656f6e05d6640100c4d263a6189efdbb102aff72fd8e69c366d8e69cc9

SHA512: 361d5807b3dd74c297689857724bdd8207ab1e8e7c2828ac99b4535f35f03189<BR>b6f888fd37e1789484f77b62bf8104df2445f33a9f93a6b2045c8bb97ce055f8

ssdeep: 12:tKT0GWo29iS7fwdRbXc6cw49iFMXFPYjW/QakgNOfwv1SvWdg4chZ:tKWo29i<BR>SbyNM9hyW/zh6JA3chZ<BR>

PEiD..: -

TrID..: File type identification<BR>Unknown!

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set<BR>-

 

 

@+

[Apollo]

Bonjour,

 

Avant de liquider ces saletés, pourrais-tu me rendre service stp?

Crée un nouveau dossier sur le bureau et nomme-le "Infected".

 

Cherche ces fichiers:

 

C:\g.e.exe

 

c:\windows\system32\rjFbu.vbs

 

c:\windows\system32\6R96S.vbs

 

Un à un, depuis l'endroit où ils se trouvent, tu cliques à gauche sur Copier et dans la fenêtre qui s'ouvre, tu choisis le dossier que tu viens de créer. (pas déplacer surtout! la manoeuvre avec ComboFix ne fonctionnerait pas.)

 

Cela va nous permettre de remonter des informations sur ces infections aux experts qui créent les outils de désinfection.

 

Compresse ce dossier et héberge-le ici: http://www.senduit.com/

 

Augmente le délai de 30 min à 1 week stp.

Donne-moi le lien par message privé ici sur zébulon. Merci.

 

Supprime les deux dossiers, celui que tu as créé et le dossier compressé. Vide ta corbeille.

 

==================

Une fois que tu m'auras donné le lien par message privé (si tu le veux bien), tu peux passer au nettoyage de ces affreux

 

Ce script a été rédigé spécialement pour cet utilisateur; ne pas l'utiliser sur une autre machine: dangereux!

 

1. Ferme tous les navigateurs ouverts.

2. Désactive provisoirement l'antivirus.

 

--> connecte les supports amovibles!

 

2. Ferme/désactive tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

 

3. Ouvre le Bloc-notes et fais un copier/coller du texte situé dans la boîte Code ci-dessous dans le Bloc-notes: (sans le mot code)!

 

File:: 

c:\windows\system32\scchost.exe
c:\g.e.exe 
c:\windows\system32\rjFbu.vbs 
c:\windows\system32\6R96S.vbs 
c:\windows\system32\rundll82.exe


Registry:: 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Hotfix-KB5504305"=-

 

Enregistre le fichier sous le nom CFScript.txt, au même endroit que ComboFix.exe

 

 

 

Comme sur l'image ci-dessus, fais glisser CFScript puis dépose-le sur ComboFix.exe

 

Lorsque l'outil aura terminé, il t'affichera un rapport nommé C:\ComboFix.txt que tu devras m'envoyer dans ton prochain message.

 

@++

[roghof]

j'ai envoyé le dossier compressé demandé chez l'hébergeur mais quel lien veux que je te donnes, explique-moi STP ?

je n'ai pas encore supprimé les deux dossiers concernés dans l'attente de ton info

[Apollo]

Re

 

Héberge le dossier compressé sur le site senduit.com:

• - 1 - Clique sur Parcourir et recherche le fichier sur ton disque dur
  
• - 2 - Choisis le temps pendant lequel le fichier sera accessible (1 semaine)
  
• - 3 - Clique sur Upload
   

  [align=center][/align]

   
  
• Lorsque l'upload est terminé, un lien t'est retourné.
  Copie-colle le dans ta prochaine réponse (Clic droit sur le lien puis Copier. Clic droit dans le message privé puis Coller)
   

  [align=center][/align]

 

 

C'est le lien généré (celui que tu vois ici en surbrillance) par Senduit que tu dois me faire parvenir.

Avec un peu d'habitude, cela devient très facile

 

@++

[roghof]

OK apollo, mais le mal est fait, je n'ai pas retenu ni copié le lien, il va falloir que je recommence les opérations, à moins que je puisse le récupérer

[Apollo]

Non, le lien doit être copié sinon il est perdu

 

Cela ne demande que queqlues secondes car ce n'est pas très lourd à héberger.

C'est important dans la mesure où cela servira à peaufiner les outils de désinfection, donc à mieux vous aider et plus vite.

 

 

Exemple: http://senduit.com/c9d7xx ne clique pas le lien c'est juste pour montrer ce que ça donne.

@++