Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Virus Ihavenet

Diver06

Par Diver06
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

1- nettoyage de cet ordi : que garder - que jeter (logiciels antivirus, rapports, ...)?

Ce logiciel peut désinstaller les outils utilisés pour la désinfection:

 

Télécharger DelFix de Xplode

11021711155244442.jpg

Lancez-le.

Cliquez [Recherche]

puis [suppression]

 

Un rapport va s'ouvrir à la fin, à coller dans la réponse

 

Enfin cliquer [Désinstallation]

 

2- Ihavenet sur mon portable (sous XP) ... serait-ce le même fichier? possible ou différent de Windows7?

Peut-être.

 

Recherchez c:\windows\system32\batmeterz.dll

 

 

 

Subsidiaire : inserrer image dans les message du forum....

 

Créer un fond de couleur ou mettre une image... - Forums Zebulon.fr - Page 2

 

 

 

Si vous estimez votre problème résolu, éditez l'en tête de votre premier message en choisissant l'option "utiliser l'éditeur complet" et y indiquez Résolu pour que ceux qui la recherchent y trouvent une solution.

Modifié par pear

Diver06 Member

Diver06

Posté(e)
  • Auteur
Posté(e)

Bonsoir cher pear,

De retour chez moi, je me suis jeté sur mon portable (sous XP) dans l'idée d'appliquer la procédure d'éradication d'Ihavenet de mon ordi bureau (W7). Inquiet de la différence XP versus W7, mais fort des mêmes symptômes.

J'ai reproduit les dernières manip : Combo - CFScript, puis DelFix.

 

A ma grande surprise, Ihavenet semble avoir disparu... YES!

J'y suis allé à l'aveugle car j'ai oublié le mp "administrateur" de mon portable et donc ne pouvais voir si batmeterz.dll était là ou pas.

 

Ci-joint le rapport COMBO = © CJoint.com, 2012

... il indique "autres suppressions ..." = qu'il a bien supprimé batmeterz avant les autres suppressions ???

 

Merci de me dire ce que vous pensez de ce rapport et si je dois faire quelque chose pour ce portable.

 

Peut-être pourrez-vous conclure une procédure efficace contre ihavenet utile pour les collègues du forum ?

 

Re re re Merci pour tout, Bonne soirée, AP

PS : connaissez-vous une procédure pour retrouver le mp administrateur sous windows XP, Merci!

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Le (la)même collègue a travaillé pendant que je dormais:

Pour le portable, je vois:

 

c:\windows\system32\netui0F.dll

 

(créé lui aussi le 18/10/2012, en fichier système et caché)

 

et la tâche associée: c:\windows\Tasks\Relk.job

 

 

Quand à la modification du mdp Administrateur sous XP, voir par exemple le site de J-C Bellamy:

Comment effacer un mot de passe sous Windows NT/W2K/XP/W2K3

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir(Choose File) pour trouver ces fichiers

c:\windows\system32\netui0F.dll

c:\windows\Tasks\Relk.job

 

et cliquez sur "envoyer le fichier"(Scan it)

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

Diver06 Member

Diver06

Posté(e)
  • Auteur
Posté(e) (modifié)

A mon grand dam, le portable a retrouvé ihavenet ce matin.

 

Impossible de charger "netui0F.dll" sur TotalV... message "Uploading file..." puis plus rien !!

 

Pour C:\WINDOWS\Tasks\Relk.job

SHA256: d61a241c2d1291fc28a7474e4b9461df0ff650ce99668e3ec201bb8b03a41482

SHA1: 8f0b39bdea3fe8195d74892bbda5a1afef30d3a1

MD5: 9551777d64e5d0ddd1c3b53a996ba111

File size: 328 octets ( 328 bytes )

File name: Relk.job

File type: unknown

Detection ratio: 0 / 44

Analysis date: 2012-11-13 14:05:10 UTC ( 0 minute ago )

Modifié par Diver06
pear Devil Member !

pear

Posté(e)
Posté(e)

Combo, Nettoyage

Déconnectez-vous du net et désactivez l'antivirus (juste le temps de la procédure !)

Connecter tous les disques amovibles (disque dur externe, clé USB).

Dans certaines circonstances , le Mode sans échec peut être nécessaire

Vérifiez que l'antivirus soit bien désactivé car un redémarrage le réactive

 

# Dans le bloc-note ,copiez-collez ces lignes :

KillAll::

 

File::

c:\windows\system32\netui0F.dll

c:\windows\Tasks\Relk.job

Attention, ce code a été rédigé spécialement pour cet utilisateur, il serait dangereux de le réutiliser dans d'autres cas !

Enregistrez-le en lui donnant le nom CFScript.txt

 

Faire un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

CFScriptB-4.gif

 

Au message qui apparait dans une fenêtre bleue ( Type 1 to continue, or 2 to abort) , taper 1 puis valider.

Patienter le temps du scan.

Le bureau va disparaitre à plusieurs reprises: c'est normal!

Ne toucher à rien tant que le scan n'est pas terminé.

 

Le rapport de ComboFix ne s'affichera qu'à la fin

Poster son contenu.

Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Diver06 Member

Diver06

Posté(e)
  • Auteur
Posté(e) (modifié)

J'ai lance COMBO à distance, oubliant que j'avais TeamViewer en cours et donc l'accès internet activé = le portable est maintenant bloqué! (fenêtre combofix ... Acces refusé).

J'espère que c'est pas trop grave...

 

Apparemment Combo a fini son travail : http://cjoint.com/?BKnqOeR85BF

 

Qu'en pensez-vous?

Modifié par Diver06
pear Devil Member !

pear

Posté(e)
Posté(e)
Apparemment Combo a fini son travail

 

Oui, mais qu'en est-il de Ihavenet ?

 

Téléchargez TFC par OldTimer sur votre Bureau pour supprimer vos fichiers temporaires

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil devrait faire redémarrer votre systèmepour parachever le nettoyage..

S'il ne le faisait pas,faites redémarrer manuellement le PC

Diver06 Member

Diver06

Posté(e)
  • Auteur
Posté(e) (modifié)

on dirait bien que ca a marché....

j'attends demain pour confirmer...

Merci

 

Je confirme, ce matin tout semble bien marcher, Ihavenet a été vaincu!

Congratulations!

Modifié par Diver06

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...