Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Rogue - Fausse alerte de virus !

novass396

Par novass396
dans Analyses et éradication malwares

 Partager

Messages recommandés

novass396 Power Member

novass396

Posté(e)
Posté(e) (modifié)

salut

sur le nouveau pc de ma femme , depuis ce matin des tonnes de spams s'affiche pour me prevenir que ce pc est plein de virus.ca fait planter adobe flash player,m'empeche d'ouvrir spybot ou malwarebyte m'ouvre une page internet www.adult.com etc etc! pouvez vous m'aider a éradiquer ces saloperies svp...

d'avance merci

Modifié par novass396

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Si tu avais donné quelques infos sur le système, les protections (antivirus) présentes, voire un petit log Hijackthis, on pourrait mieux t'aider.

 

Ce que tu décris est un rien insuffisant.

 

1) Désinstalle MalwareBytes AM.

Après le redémarrage de la machine:

 

2)

 

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

Lien 1

Lien 2

Lien 3

Lien 4

 

http://download.bleepingcomputer.com/grinler/eXplorer.exe

http://download.bleepingcomputer.com/grinler/iExplore.exe

 

 

Enregistrer le fichier sur le Bureau.

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les six liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

Ne rédémarre pas le pc.

 

3) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Avant de l'enregistrer quand tu verras mbam-setup dans le champ nom de fichier, pense à renommer celui-ci en tonpseudo (je veux dire le pseudo que tu emploies ici mais sans accents!) Enregistre-le alors sur ton bureau.

 

mbamrenomm.jpg

 

Ce logiciel est à garder.

 

Connecte tes supports amovibles comme clés usb etc. avant de lancer le scan.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à être redémarré, redémarre le pc.

 

@++

novass396 Power Member

novass396

Posté(e)
  • Auteur
Posté(e)

ok merci beaucoup de ta réponse. Bon, en effet j'aurais du te faire un topo sur la machine au temps pour moi ! quant au rapport hijackthis , impossible de l'installer-mais c'est lié- .....Je vais suivre tes instructions et te tiens au courant..

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Re,

 

Un petit truc pour berner les infections qui neutralisent les outils: les renommer en n'importe quoi avant de les enregistrer lors du téléchargement ;)

 

au temps pour moi

 

Il est rare de voir cette expression écrite correctement :)

 

@++

novass396 Power Member

novass396

Posté(e)
  • Auteur
Posté(e)

salut a toi ,

 

voila, j'ai fait ca que tu m'as dit et le résultat est là ! Plus de problème !

voici les Logs ,

 

pour rkill

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as bleu et coquelicot on 13/09/2010 at 22:36:46.

 

 

Services Stopped:

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\Users\bleu et coquelicot\Desktop\rkill2.com

 

 

Rkill completed on 13/09/2010 at 22:36:49.

 

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4610

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

13/09/2010 23:13:48

mbam-log-2010-09-13 (23-13-48).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)

Elément(s) analysé(s): 226616

Temps écoulé: 23 minute(s), 52 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 1

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\wnxmal (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rppgwuoa (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\bleu et coquelicot\AppData\Local\ntsydpcud\ifgckyauqiw.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

C:\Users\bleu et coquelicot\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BF2EPCZN\cgbvd[1].htm (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

C:\Users\bleu et coquelicot\AppData\Local\Temp\cmtxmnqu.exe (Rogue.SecuritySuite) -> Quarantined and deleted successfully.

 

 

Encore merci beaucoup ; ce site est vraiment une référence et ses spécialistes hors du commun !

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Il reste des vérifications à faire pour voir si c'est complètement clean et les applications à jour.

Ne t'inquiète pas si je ne réponds pas très vite, je suis très occupé en ce moment.

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

  • Double-clique sur RSIT.exe afin de lancer RSIT.
     
    Important :
    * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
     
    * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
    Valide par Appliquer.
     
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

 

>>>Tu peux héberger les deux rapports de RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.

 

@++

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Tu pourras cette fois poster les rapports en clair sur le forum ;)

 

1)Si vous êtes sous Vista/seven:Désactiver provisoirement l'UAC

 

:arrow: Télécharge USBFix de El Desaparecido et C_XX et enregistre le sur ton bureau.

 

UsbFix

 

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus.

 

  • Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
    Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
     
  • Clique sur Recherche et laisse l'outil travailler
     
  • Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
    Branche le matériel puis clique sur OK pour poursuivre.
     
  • Patiente le temps d'exécution du scan.
     
  • A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.

 

------------------------------------------

 

2)On passe à la désinfection:

 

  • Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
    Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
     
  • Clique sur Suppression et laisse travailler l'outil.
     
  • Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
    Branche le matériel puis clique sur OK pour poursuivre.
     
  • USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
     
  • A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.

 

--------------------------------------------------------------

 

3)Vaccination: Lance USBFIX et clique sur Vacciner

 

4) Poste les deux rapports avant de désinstaller usbfix stp:

 

Lance USBFIX et clique sur Désinstaller

 

Réactiver l'UAC sous Vista/7.

 

5) Télécharge HijackThisV2 dans un nouveau dossier créé sur C:\ nomme-le HJT.

  • Double-clique sur HJTInstall.exe et suis les instructions d'installation.
    --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur
  • Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  • Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  • A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  • Poste le rapport généré sur le forum.

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...