Infection troyen identifiée par Mc Afee

[neosapri]

Appollo,

 

Il semblerait que je n'aie pas les droits pour désactiver Mc Afee (comme je te l'ai dit, il s'agit de mon ordinateur professionel).

 

La procédure metionnée dans ton lien n'est pas applicable (je n'arrive pas à la console en double-cliquant sur l'icône).

 

Je peux quand même avancer avec ComboFix ?

 

EDIT : J'ai la console, mais pas le "Menu avancé".

Modifié le 20 mars 2013 par neosapri

[Apollo]

Je peux quand même avancer avec ComboFix ?

 

A tes risques et périls car l'antivirus risque de réagir sur les processus de l'outil et l'empêcher de faire son boulot correctement.

 

Tu peux lancer ComboFix en mode sans échec. L'AV sera inactif.

 

La console de récupération ne concerne que les Windows XP et non Win7.

 

++

[neosapri]

J'ai uploadé à nouveau le rapport de Kaspersky, en espérant que ca marche

 

© CJoint.com, 2012

 

J'attaque Combofix en mode sans-échec.

[neosapri]

HELP !!!

 

Le redémarrage de l'ordi ne se passe pas bien.

La procédure a été nickel, il a effacé quelques fichiers et dossiers et a lancé le redémarrage...

 

Mais une fois l'ordi relancé, des pop-ups en cascade apparaissent et disparaissent...

Ils sont tous liés à Combofix, j'ai réussi à identifier 2 processus :

- Pev.3XE

- CF (pas le temps de voir la suite)

 

Je n'ai plus la main sur grand chose...

 

Que faire ? Merci pour ton aide...

 

EDIT : J'ai récupéré la main en mode sans échec... mais pas de rapport disponible. Les fichiers supprimés ne contenaient aucune info qui permettait de lier à "4737453rar.exe". Il a supprimé 2 polices (de dafont) et de fichiers et dossiers dans "roaming". Je peux pas te dire plus. Que dois-je faire ?

Modifié le 20 mars 2013 par neosapri

[Apollo]

Inutile de paniquer.

 

Désinstalle le.

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

 

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

 

 

Delfix s'auto-détruira ensuite.

 

 

Je dois te laisser, j'ai des problèmes perso qui me sont tombés sur la tête; je n'ai plus de temps pour le net, provisoirement.

[neosapri]

Merci Apollo !

 

Voici le rapport Delfix au cas où !

 

# DelFix v10.1 - Logfile created 20/03/2013 at 12:32:16

# Updated 23/02/2013 by Xplode

# Username : CTIInstallAD - PROJ-CFY

 

~ Removing disinfection tools ...

 

Deleted : \Qoobox

Deleted : \32788R22FWJFW

Deleted : \Combofix

Deleted : C:\Users\CTIinstallAD\Desktop\RK_Quarantine

Deleted : C:\Users\CTIinstallAD\Desktop\RKreport[1]_S_03192013_02d0917.txt

Deleted : C:\Users\CTIinstallAD\Desktop\RKreport[2]_D_03192013_02d0919.txt

Deleted : C:\Windows\grep.exe

Deleted : C:\Windows\PEV.exe

Deleted : C:\Windows\NIRCMD.exe

Deleted : C:\Windows\MBR.exe

Deleted : C:\Windows\SED.exe

Deleted : C:\Windows\SWREG.exe

Deleted : C:\Windows\SWSC.exe

Deleted : C:\Windows\SWXCACLS.exe

Deleted : C:\Windows\Zip.exe

Deleted : HKLM\SOFTWARE\Swearware

Deleted : HKLM\SOFTWARE\TrendMicro\Hijackthis

Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

Deleted : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart

Deleted : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys

Deleted : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart

Deleted : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys

 

~ Cleaning system restore ...

 

Deleted : RP #208 [scheduled Checkpoint | 03/01/2013 12:08:18]

Deleted : RP #209 [scheduled Checkpoint | 03/11/2013 10:03:24]

Deleted : RP #210 [Windows Update | 03/13/2013 14:32:08]

 

New restore point created !

 

########## - EOF - ##########

 

 

Merci pour ton aide en tout cas.

Je vais relancer un scan Kaspersky pour voir les différentiels.

 

J'espère que tes problèmes persos se résoudront vite et bien. Courage.

 

J'attends de tes nouvelles.

[neosapri]

Salut Apollo !

 

Content de te revoir parmi nous

 

Histoire de clôturer ce sujet (et vu qu'il s'agit de mon ordi pro ), tu peux me dire s'il reste encore quelque chose à faire ?

 

Plus de problème d'alerte ou quoi que ce soit...

Le scan Kaspersky n'a rien donné, juste encore quelques fichiers protégés...

 

Bonne journée et bon weekend de Pâques !

[Apollo]

Bonjour,

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

++

[Dylav]

Bonjour neosapri,

 

Dès que tu considéreras que la question est réglée, et sous couvert d'Apollo, n'oublie pas de le signaler en taguant du mot [Résolu] le titre de ton sujet…

 

[1] En bas du premier message de ton sujet, clique sur [Modifier],

[2] En bas de l'éditeur qui s'ouvre, clique sur [Utiliser l'éditeur complet],

[3] En haut de l'éditeur complet, ajoute [Résolu] au titre de ton sujet,

[4] Clique sur le bouton [Enregistrer le message modifié] pour valider.