[Résolu] Virus Ihavenet

[Diver06]

%AllUsersProfile%\Application Data\~

%AllUsersProfile%\Application Data\~r

%AllUsersProfile%\Application Data\.dll ′

 

Application Data ... il me dit que je n'ai pas acces ???

Dans C:\Utilisateurs\ Le dossier "All Users" apparait avec un cadenas.

Que signifie (que ferait?) ~, ~r, et .dll ??

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings “CertificateRevocation” = ’0

 

Pas sur de ce qu'il faut faire ... la valeur de la clef binaire est " 0000 01 00 00 00 "

Dois-je la remplacer par " '0 "

 

J'ai eu un message d'erreur au démarrage (session Administrateur)

 

Est-que vous voyez l'image ??? Je crois que j'ai un soucis de procédure pour inserrer les images?

Modifié le 12 novembre 2012 par Diver06

[pear]

Suggestion d'un collègue;

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir(Choose File) pour trouver ces fichiers

c:\windows\system32\batmeterz.dll

et cliquez sur "envoyer le fichier"(Scan it)

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

[Diver06]

SHA256: 9213e55da854563e3a99369a4fad853c0a97241a4f6d93f98444c57adeef89c1

SHA1: 14e01f2477cd70a2ea3d50115c2faa99bee545bb

MD5: 67c1b58706b47eeba4e117ac197289e6

File size: 723.5 KB ( 740864 bytes )

File name: batmeter.dll

File type: Win32 DLL

Detection ratio: 0 / 42

Analysis date: 2012-11-12 11:48:44 UTC ( 0 minute ago )

[Diver06]

File name: batmeter.dll ... Pas le bon!!

 

J'ai activé les fichiers cachés.

batmeterz.dll apparait, mais il me dit que je n'ai pas l'autorisation pour l'ouvrir = impossible de le faire analyser par VirusTotal

[pear]

Fausse piste !

 

Application Data n'est pas un dossier réel, mais une jonction pour permettre aux applications existantes d'assurer l'interface avec la structure de dossier Windows 7.

 

Il pointe vers C: \ ProgramData

Y avez vous accès ?

 

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings "CertificateRevocation" = '0

 

Pas sur de ce qu'il faut faire ... la valeur de la clef binaire est " 0000 01 00 00 00 "

Dois-je la remplacer par " '0 "

N'y touchez bas.C'est 0 qui est mauvais.

 

Je n'avais pas vu votre dernier message.

 

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB…).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

 

File::

c:\windows\system32\batmeterz.dll

 

Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

 

Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

 

Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Modifié le 12 novembre 2012 par pear

[Diver06]

Dans C:\ProgramData\ il y a Application Data mais le dossier est vérouillé...

[pear]

Dans C:\ProgramData\ il y a Application Data mais le dossier est vérouillé...

 

Windows Vista/7 intègre une nouvelle commande DOS qui permet de régler ce problème.

Démarrez l'invite de commande DOS en administrateur

Tapez takeown /f "C:\chemin_du_dossier" (en remplaçant "C:\chemin_du_dossier" par votre dossier) (n'oubliez pas les guillemets si le nom du dossier contient des espaces) et validez par la touche "Entrée":

Une fois la commande terminée, vous obtenez ceci:

[Diver06]

CHE pas si je dois continuer sur Application Data.

 

J'ai fait COMBO. Non sans soucis...

1/ avec Avira = du mal a desactiver parce qu'icone disparue (message d'erreur dont j'ai parlé plus haut); j'ai refait le setup d'Avira pour retrouver l'icone et pouvoir le désactiver;

2/ avec le script (appelé Sscript, je m'y suis pris à 2 fois... http://forum.zebulon.fr/public/style_emoticons/default/doh.gif

NB : préciser dans ton protocole Combo que glisser le Script sur l'icone Combo lance le programme.

 

Avant de faire le rapport, Combo a redémarré l'ordi = redémarré Avira ... qui voulait bloquer Combo.. Avira sortait son message de blocage, m'empêchant de la désactiver, mais j'ai pu y arriver après plusieurs clics (fermé message -- clic droit pour accéder aux options).

 

Au final Combo a fini et édité son rapport.

 

Après, je n'avais plus internet (fait sauter la ref d'1 passerelle TCP/IP) et j'ai refait le setup d'Avira.

Le fichier ciblé a été supprimé ET (sous réserve de quelques clics de confirmation) le fameux IHAVENET n'apparait pas.

http://forum.zebulon.fr/public/style_emoticons/default/icon_Super.gif

Rapport COMBO = © CJoint.com, 2012

 

Je vais manger un sandwich........et vous retrouve après, ya du ménage à faire!

Modifié le 12 novembre 2012 par Diver06

[pear]

CHE pas si je dois continuer sur Application Data.

 

Moi non plus.

On verra si Ihavenet réapparait.

 

UN petit outil pour retrouver les permissions, si nécessaire:

 

Pour les "Noaccess", si besoin est:

Cet outil sert à lister les autorisations sur un/plusieurs fichier(s)/dossier(s) et à déverrouiller ces derniers.

 

 

Téléchargement:

Version]http://download.bleepingcomputer.com/farbar/GrantPerms.zip]Version 32bit:[/url]

 

Version 64bit:

 

1/ pour lister les autorisations

 

Pour les systèmes x86, télécharger GrantPerms.zip et enregistrer le fichier sur le Bureau.

Pour les systèmes x64, télécharger GrantPerms64.zip et enregistrer le fichier sur le Bureau.

Décompresser l'archive ainsi téléchargée, et en fonction du système lancer GrantPerms.exe ou GrantPerms64.exe

Faire un Copier/Coller de ce qui suit dans la zone de saisie du programme:

 

chemin du fichier/dossier à examiner p.ex: C:\WINDOWS\system32

chemin2 etc..

...

2/ pour déverrouiller des fichiers

 

Cliquer sur Unlock.

Lorsque l'outil a terminé, cliquer sur OK.

 

 

Cliquer sur List Permissions et envoyer en réponse le contenu du fichier Perms.txt qui s'est ouvert.

Le fichier Perms.txt est enregistré dans le dossier à partir duquel l'outil a été lancé.

[Diver06]

Re-moi, Appparemment je confirme I have no more Ihavenet, pourvu que cela dure!

Grand Merci! et bravo pour ta constance!

 

Oserai-je 2 questions :

1- nettoyage de cet ordi : que garder - que jeter (logiciels antivirus, rapports, ...)?

2- Ihavenet sur mon portable (sous XP) ... serait-ce le même fichier? possible ou différent de Windows7?

 

Subsidiaire : inserrer image dans les message du forum....

 

Bonne Aprem, très Cdlt, AP