Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

RE!

 

 

Merci pour l'échantillon! C'est un simple worm qui se reproduit quand il est manipulé, relativement bien détecté par les éditeurs: avez-tu scanné TOUTES tes clés avec Malwarebytes?

 

Par ailleurs, ta licence de Norton Security est-elle encore valide? Il semblerait que ton antivirus ne soit pas à jour...J'ai aussi besoin de savoir

si ta version d'AdAware est la payante (il semblerait d'après les tâches planifiées de ton système): dans le cas contraire, désinstalle-la car elle ne sert à rien.

 

On continue!

 

 

flechedroitets2.pngDESACTIVER le TEA-TIMER

  • Ouvre Spybot
  • Va dans le Menu "Mode" --> "Mode avancé"
  • Confirme en cliquant sur le bouton "Oui".
  • Clique ensuite sur "Outil" dans la barre de navigation de Spybot (volet de gauche) puis sur "Résident"
  • Pour activer/désactiver Tea-Timer, il suffit de cocher/décocher dans le panneau central :
     
    CocheOn.png Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

 

 

 

 

flechedroitets2.pngCOMBOFIX

 

 

informationdl8.pngATTENTION informationdl8.png

ComboFix est un outil dangereux s'il est mal utilisé, et est réservé exclusivement aux helpers formés à son utilisation: lecteurs, ne pas reproduire cette procédure sur votre machine! Ce script est spécifique à la machine traitée ici !

 

Conseil: lis cette procédure en intégralité avant de te lancer.

 

  • Télécharge systemsr4.pngComboFix de sUBs SUR TON BUREAU en cliquant sur cette image:img-194628pwlir.jpg

 

** IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau

 

  • Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils
  • informationdl8.png Connecte tes clés USB et ton disque dur externe informationdl8.png
     
     
     
  • Fais un double clic sur combofix.exe & suis les invites.
     
     
  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage (ce qui est très rare!).
     
     
  • Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t' est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

 

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

 

RcAuto1.gif

 

 

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu devrais voir le message suivant:

 

 

whatnext.png

 

 

Clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

 

Lorsque l'outil aura terminé, il affichera un rapport. Copie le contenu de C:\ComboFix.txt dans ta prochaine réponse:

 

cf-log.jpg

 

Nota: il se peut que ComboFix endommage ta connection Internet: si tu ne peux plus te connecter après le scan de cet outil, redémarre ton PC. Si cela s'avère insuffisant, suis cette méthode:

  1. Clique sur le bouton Démarrer.
  2. Clique sur l'option de menu Paramètres.
  3. Clique sur l'option Panneau de configuration.
  4. Après l'ouverture du Panneau de configuration, fais un double clic sur l'icône Connexions réseau. Si ton Panneau de configuration est paramétré pour un affichage en catégories, fais un double clic sur Connexions réseau et Internet puis clique sur Connexions réseau tout en bas.
  5. Tu verras alors une liste de toutes les connexions réseau disponibles. Repère la connexion Réseau local (ou Sans fil si tu es en Wifi) et fais un clic droit dessus.
  6. Tu verras alors un menu similaire à celui de l'image ci-dessous. Clique simplement sur l'option de menu Réparer.

img-1738082eeto.png

Posté(e) (modifié)

J'ai du nouveau !

Je me suis souvenu que j'avais branché mon MP3 sur son ordi aussi, ce soir je l'ai branché et fait explorer et là BAM ! Encore le fameux "INVITé.exe" qui rapplique ...

Bon je suis reparti pour une analyse qui va durer deux heures mais bon...

Pour information, ça a crée 4 fichiers sur mon MP3 (qui n'y étaient pas avant) :"Documents" , "Passwords", "New folder", "Pictures", avec les icônes habituelles et en voulant les ouvrir (surtout le fameux passeport qui m'intrigue) j'ai la fenêtre "ouvrir avec" qui me demande avec quoi je veux ouvrir " weawa.scr" ce qui doit être son petit nom ...

Je pense que ça peut t'être utile ...

 

PS: Malwarebytes ne le détecte pas ...

Modifié par Aramisss
Posté(e)

OK : pourtant je leur ai envoyé le worm il y a quelques jours.

 

Scanne ensuite avec ComboFix, en laissant ton mp3 branché : il est efficace contre les worm autorun. Ensuite on finira le travail à coup de scripts.

Posté(e)

Par contre pourquoi dois-je désactiver Tea-Timer ? Je le trouve quand même assez bien (même si ,c'est vrai, il consomme pas mal de ressources .

Non ma version d'Ad-Aware n'est pas payante , et oui ma license de Norton est expirée, je comptis le remplacer par un antivirus gratuit ...

 

Par contre, la manip' avec combfix est-elle rapide ?C'est pour savoir si je peux la faire ce soir ...

 

En tout cas merci de ton aide :P ...

Posté(e)

La désactivation de tea-timer, c'est temporaire, pour ne pas gếner les outils.

 

Une fois le ménage fait on remplacera AdAware et Norton par des gratuits.

 

ComboFix ça va relativement vite, sauf en cas de problème ^^!

Posté(e) (modifié)

Bon voilà, enfin fini ! -_-"

Avant le rapport je tenais à te signaler que les quatre fichiers présents sur mon MP3 (du ver) , je les avaient mis à la corbeille (merci explorer). Cependant , au lieu de simplement vider la corbeille j'ai préféré l'ouvrir , donc ils ont disparus. Combofix en a supprimé 1 mais apparemment pas tous ...

Modifié par Aramisss
Posté(e)

Salut!

 

On poursuit, mais avant je te conseille de désinstaller la toolbar Google qui espionne ton surf à des fins statistiques (pas glop).

 

 

flechedroitets2.pngCREATION/EXECUTION D'UN CFSCRIPT

 

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

  • Télécharge ce CFSCript que j'ai codé pour ta machine:
     
    http://senduit.com/006ab2
     
     
  • Sauvegarde ce fichier sur ton Bureau
     
    ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser pour votre propre PC sous risque de plantage!!

     
     
  • Désactive ton antivirus et ton antispyware
     

  • Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
    ComboFix sera lancé.
    CFscript.gif
  • Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  • Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
  • Soumet le fichier en cliquant "OK"
  • Enfin, poste le rapport suivant dans ta prochaine réponse :
     
    - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)

 

 

flechedroitets2.pngMBR ROOTKIT DETECTOR

 

Télécharge MBR Rootkit Detector de gmer et enregistre-le sur le bureau.

 

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

 

Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

- Un rapport sera généré : mbr.log.

 

Copie/colle le résultat de ce log dans ta réponse.

 

 

 

 

Une fois la machine propre, on remplacera Norton par Antivir, et AdAware par Malwarebytes (ça c'est déjà fait !)

Posté(e) (modifié)

J'ai lancé combofix une première fois mais j'avais oublié d'enlever spybot.

Je donc relancer la manip' et la seconde fois il m'a trouvé une activité de rootkit, voici ce second log:

Modifié par Aramisss
Posté(e)

Ok.

 

J'ai besoin que tu me donnes le rapport que tu as eu en lançant ComboFix avec Spybot : il est ici :

C:\

 

et se nomme ComboFix2.txt

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...