Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Cheval de Troie j'en peux plus...

Unlucky

Par Unlucky
dans Analyses et éradication malwares

 Partager

Messages recommandés

Unlucky Junior Member

Unlucky

Posté(e)
Posté(e)

Bonsoir,

 

Voilà maintenant quelques semaines que je me bat avec un virus franchement embêtant, au début la situation était critique, infection de partout partout ect... Vraiment pas sympa quoi, je n'ai pas ce PC depuis très longtemps et je sais que les softwares sont nuls questions protections j'attendais qu'un de mes amis me propose un antivirus, ( et comme par hasard un d'eux l'a fait, mais juste quand j'avais le virus ) bref donc j'ai téléchargé Avast Pro, qui a fait tout le ménage, ( j'avais mit avira qui détectait tout mais pas efficace ) Avast m'a dès lors proposer un reboot et une analyse lors du démarrage, je me suis executé et avast à rendu mon ordinateur un peu plus propre.

 

Cependant Avast n'a pas finit le boulot, malheureusement le virus revient bien moins puissants et commence et essaye de se dresser contre moi, je ne peux plus vraiment désigner beaucoup de symptômes et tout mes rapports ont étés supprimés car après le scan d'avast plus signe d'aucun virus pendant une semaine. Cependant les symptomes d'aujourd'hui sont:

 

-Apparition de sys32_nov.exe dans mon répertoire system32, document and settings/nom de session et sur C:/, ce virus est un barbare...

J'ai également remarqué que certains .exe ne s'appelait pas toujours sys32_now.exe mais parfois des noms bizarres du genre atd.exe portant la même icône que le sys32_nov, cependant avast ne les détecte pas comme étant infecté, ce qui fait que je dois les retirer à la main, à force de travaille j'ai constaté que celui du system32 ne pouvait pas être supprimé, il est "utilisé" qu'ils disent, j'ai vite compris que cela venait du processus.

 

( J'ai omis de dire que dans document and setting l'executable et souvent accompagné parr un fichier étrange avec un nom très long dans le genre de " oashaoashash ect ect... )

 

J'ai beau supprimé tout ce beau monde il revient dès que je suis ammené à rebooter mon ordinateur.

Ma solution consiste donc à couper net le processus dès le démarrage car sinon Avast pleure 10-15 minutes plus tard, et ça m'évite d'avoir le navigateur couper ( oui cette saloperie me coupe le navigateur un certain temps après le reboot, coriace le truc. )

 

J'avais déja soumis mon problème sur le forum de commentçamarche, mais il y a beaucoup de monde et c'est des vents à la pelle, en cherchant sur google pour mon problème je suis tombé sur ce forum beaucoup moins fréquenté mais décidemment plus vivable. Alors je tente ma chance ici. ^^

 

Merci d'avance.

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonsoir Unlucky ;

 

Edit : je te souhaite la bienvenue sur notre forum :P

 

On connait bien cette infection, effectivement, avec les alertes "Total Security", et tout et tout. Le problème de regénération provient d'un fichier système injecté et, de plus, un processus bloque les antivirus donc ils ne peuvent désinfecter correctement (ou pas du tout).

 

Deux trucs avant de débuter :

 

1) Si ton Avast! Pro n'est pas légitime, vire-le s'il te plaît. Si tu as une licence valide, ne lis pas ma phrase précédente :P

2) Ne réponds pas sur CCM, si quelqu'un passe par là. Il est dangereux de suivre les instructions de deux bénévoles pour un même problème.

 

Je t'invite à télécharger puis lancer l'outil ComboFix, selon les instructions du guide officiel que tu trouveras là :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

 

** Il y a un détail important qui n'est pas dans le guide (seulement pour quelques infections) : lorsque tu téléchargeras l'outil ComboFix, tu devras le renommer avant de le sauvegarder sur ton Bureau. Fais un clic droit sur le lien de téléchargement (dans le guide) et choisis "Enregistrer la cible du lien sous..." puis renomme l'outil en Unlucky.exe avant la sauvegarde. Pour le reste des instructions, tout est là, et permets surtout à ComboFix d'installer la Console de Récupération, qui devrait normallement être proposée au lancement de l'outil (tout est dans le guide).

 

Après le passage de ComboFix, reviens nous mettre le rapport ici pour examen.

 

Bon succès...

Unlucky Junior Member

Unlucky

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

Et désolé pour le temps de réponse, je finis très tard en ce moment.

D'autre part merci pour ton aide Mark, un internaute m'avait déjà pris en charge sur CCM, ( gen hackman ) qui me semblait être un bon aideur celui-ci ayant 40 000 et quelques messages derrière lui, j'ai donc était amené à téléchargé des outils tel que Listem.exe, Killem.exe, Findykill ( si ça te parle ) cependant suite à des soucis chez lui il a dû arrêter la prise en charge, j'ai donc du faire un doublon ou justement j'ai reçu nombre de vents.

 

J'étais donc retissant à l'idée de t'en parler et j'ai préféré lancer le scan quand même sous ComboFix, voici le lien:

 

http://www.cijoint.fr/cjlink.php?file=cj20.../cijdsjXoQv.txt

 

( Sinon pas de soucis pour l'antivirus. )

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonsoir Unlucky ;

 

Merci de m'informer pour CCM ; j'apprécie :P

 

Ça m'a l'air pas mal comme rapport ; la machine se comporte bien ?

 

Avant de te faire passer quoique ce soit, j'aimerais consulter ton topo sur CCM, pour me mettre au parfum. J'attends donc le lien vers le sujet et j'examinerai ça de près.

 

Merci à l'avance, et @+

 

Mark

Unlucky Junior Member

Unlucky

Posté(e)
  • Auteur
Posté(e)

Mmm je précise que lors du rapport j'avais quand même supprimé les executables à la mains et fermer le processus mrslv32.exe ( dans ce genre là ) justement car ma soeur qui avait démarré sa session s'est rendu compte du soucis, actuellement je peux donc dire que la machine se porte bien, sinon je peux reboot en laissant le processus du virus tourner et refaire le scan avec ComboFix.

 

Pour Ccm voici le lien du topic, je pense que les rapports sur cijoint.fr sont encore tous disponibles.

 

http://www.commentcamarche.net/forum/affic...e-aidez-moi-t-t

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Merci Unlucky ; je crois tout avoir. J'ai pas tout pris, mais l'essentiel. Je regarde ça lorsque j'ai 15 minutes et je te fais signe.

 

@+

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour Unlucky ;

 

Ben dis donc, t'as eu un peu de veine, finalement. Tu pourrais même changer ton pseudo et mettre "Lucky" :P

 

ComboFix t'a viré ce mslsrv32.exe, mais je croyais qu'il aurait eu beaucoup plus de boulot à faire... Tu as mentionné sys32_nov.exe dans ton premier message et lui, quand il s'installe, c'est la galère assurée. Tant mieux, c'est terminé là.

 

Dans ton dernier message, tu mentionnes ceci :

actuellement je peux donc dire que la machine se porte bien, sinon je peux reboot en laissant le processus du virus tourner et refaire le scan avec ComboFix.

Moi je constate qu'il n'est plus là, alors je te prie de me faire signe si tu le vois toujours.

 

Je te fais passer un dernier outil, non prescrit jusqu'à maintenant (je crois), juste pour voir si des restes traînent derrière :

 

Télécharge Malwarebytes' Anti-Malware du lien suivant :

 

http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 

  • Installe-le puis lance-le
  • De l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche" ;
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse sera lancée ;
  • Lorsque complétée, un message s'affichera indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
  • Ferme tes navigateurs
  • Si des malwares ont été détectés, leur liste s'affichera.
    En cliquant sur Suppression (ou équivalent) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta réponse.

 

@+

Unlucky Junior Member

Unlucky

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir Mark,

 

Ca fait un petit moment, journée chargée, toutefois j'ai eu le temps de faire ce que tu m'as dit et je dois dire que tout va très bien même après un reboot, je passe donc te remercier. ^^

 

Quand à l'examen avec Malwarebytes, rien d'anormal.

Merci encore.

Modifié par Unlucky
Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour Unlucky :P

 

Ça m'a l'air tout propre à présent. Faisons du ménage dans les outils utilisés :

=============

 

- Supprime List'em et Kill'em

 

- Lance FindyKill et choisis l'option #3 - Désinstallation.

 

- Clique sur le bouton "Démarrer" >> "Exécuter..." puis copie/colle la ligne suivante dans la boîte et clique "OK" :

 

ComboFix /u

 

> Ceci désinstallera ComboFix proprement. C'est rapide et tu auras confirmation à l'écran. Si jamais tu sentais le besoin de passer ComboFix sur ta machine à nouveau, passe nous voir pour des conseils :P

 

- Lance OTL.exe et clique sur le bouton "CleanUp"

> L'outil t'invitera à redémarrer la machine : accepte.

 

~~~~~~~~~~~~~~~~~~~~~~~

 

Voilà pour le ménage. Quelques consignes toutes simples : fais les MAJ de ton antivirus et de Windows régulièrement. Prudence lors du surf surtout ; évite les sites et programmes à haut risque (P2P, Torrents, cracks et autres).

 

Si questions, pas de gêne surtout :P

 

Bon surf.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...