Infection massive Skynet

Infection massive Skynet - Virus/Spywares - Windows & Software

Marsh Posté le 23-08-2009 à 18:02:19    

Bonjour à tous,  
 
Mon ordinateur est protégé par Trend Micro Security comme antivirus et Comodo comme firewall.
 
Récemment, et sans que je m'en aperçoive avant, un rapprort de TMS m'a affiché une mise en quarantaine de 289 fichiers !!!  
 
Il ne peut en traiter aucun.
 
Le rapport n'affiche que des fichiers de type SKYNET***.tmp dans le répertoire C:\Windows\Temp\ et trois fichiers UAC***.dll dans le répertoire C:\Windows\System32\
 
J'ai vu le topic Skynet dans ce forum, et je me demande si je dois suivre la procédure indiquée.
 
Selon les indications, j'ai récupéré Gmer, effectué le Scan et posté son rapport ici :  
 
http://www.toofiles.com/fr/oip/doc [...] pport.html
 
Je me demande comment faire exactement ensuite.  
 
Merci à toutes les personnes pouvant m'apporter de l'aide.  
 
Waw.

Reply

Marsh Posté le 23-08-2009 à 18:02:19   

Reply

Marsh Posté le 24-08-2009 à 00:25:28    

Bonjour,
 
 
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helper du forum qui connait bien cet outil vous l'a recommandé.
 
 
/!\ Désactive tous tes logiciels de protection /!\
 
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix

Reply

Marsh Posté le 26-08-2009 à 19:53:15    

Merci beaucoup.
 
J'ai eu du mal à lancer Combofix (je l'ai renommé et là c'est passé) mais voici le log demandé :
 
http://www.toofiles.com/fr/oip/doc [...] bofix.html

Reply

Marsh Posté le 27-08-2009 à 13:30:35    

Re ;)
 
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour wawawoum, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier wawawoum.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
• Désactive tes logiciels de protection  
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt  
 
 
 
Fais ensuite ce scan de contrôle :
 
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
 
 
 
Remarque : Même si ton ordinateur te semble désinfecté après ça, il restera quelques manipulations à faire pour s'assurer que l'infection ne revienne pas. Merci de revenir jusqu'au bout ;)

Reply

Marsh Posté le 28-08-2009 à 10:31:06    

:jap:  
 
Tout d'abord, merci beaucoup.  
 
Voilà les news :  
 
1. Le scan combofix s'est effectué sans pb je pense, le log est ici :  
 
http://www.toofiles.com/fr/oip/doc [...] bofix.html
 
2. Le scan de contrôle Malwarebytes' Anti-Malware :
 
L'examen rapide n'a détecté aucun fichier infecté. (donc pas de redémarrage)
 
Le rapport donne ça :  
 
http://www.toofiles.com/fr/oip/doc [...] 08-21.html
 
Mwb A-M dit que je ne suis plus infecté du tout, j'ai fait un scan par mon anti-virus (Trend micro internet-security) et il n'a plus rien trouvé.
 
Par contre, son log quarantaine indique toujours les fichiers dont j'avais parlé au début.  
 
Cela veut-il dire que j'ai encore qq chose à faire pour virer les Skynet ?  
 
Et pour la suite dont tu parles, je suis preneur  :)  

Reply

Marsh Posté le 29-08-2009 à 00:30:34    

Ok, on va maintenant pouvoir passer à la "finition" ;)
 
 
Télécharge hijackthis (logiciel de diagnostic) sur ton Bureau
Installe le, lance le et clique sur "Do a system scan and save a logfile".  
Poste le rapport dans ta prochaine réponse à l'aide de toofiles, comme tu l'as fait pour les précédents rapports ;)

Reply

Marsh Posté le 30-08-2009 à 20:17:35    

Voici le log demandé :
 
http://www.toofiles.com/fr/oip/doc [...] hjtxt.html
 
Au passage, j'ai effectué ce scan sans débrancher mes logiciels de protection, vu que tu ne l'avais pas ddé.  :-)
 
Voili voilou.  :hello:

Reply

Marsh Posté le 30-08-2009 à 20:42:49    

Ok, ton ordinateur n'est plus infecté ;)

 

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;)  Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).

  

1) Sécurise ton ordinateur

 

Logiciels de protection :
* Tu as des restes de Norton, utilise ceci pour supprimer les traces : Outil de désinstallation Norton
* Installe Spybot (décoche le TeaTimer lors de l'installation). Mets le à jour une fois par semaine, et fais les vaccinations à chaque fois.
* En complément, garde MalwareBytes pour son scan de nettoyage performant.

 

• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

 

• Internet Explorer n'est pas à jour, c'est une grosse faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8
Si ça ne fonctionne pas, consulte cette astuce

 

• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.

 

• Vérifie les mises à jour de tes autres programmes régulièrement à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

 

• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Double clique sur le raccourci USBFix sur ton Bureau' → Au menu principal, choisis l'option 3 (Vaccination).

  

2) Relance Hijackthis (pour la dernière fois), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) :

 

O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon    
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon    
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot    
O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe"    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    

 

Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

 

Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"

  

3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.

  

4) Télécharge et installe CCleaner, puis lance le.
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

 

(Tu peux garder ce logiciel et l'utiliser régulièrement).

  

5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.

  

6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet

  


Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)


Message édité par Profil supprimé le 30-08-2009 à 20:43:06
Reply

Marsh Posté le 06-09-2009 à 12:01:29    

Hello Anthony,  
 
Merci beaucoup pour tes réponses - et cette passionnante quête aux malwares  :bounce:  
 
Je crois avoir tout fait sur la liste ci-dessus.  
 
Je n'ai pas rencontré de pb particuliers.
 
Des questions ? Oui, quelques unes (je suis encore en train de lire le fichier P&S) :  
 
- En ce qui concerne mes vérifications régulières, puis-je m'appuyer sur le scan de mon av (trend micro), de spybot et de CC Cleaner ? En d'autres termes, est-ce suffisant ?  
 
- D'ailleurs, est-ce que mon anti-virus et spybot ne risque pas de se "gêner" ?  
 
- Enfin, j'ai un ordinateur portable sans connection internet... si je veux être sur qu'il est clean lui aussi, quel type d'opération puis-je lancer ?  
 
En te remerciant encore pour tout,  
 
Waw.

Reply

Marsh Posté le 07-09-2009 à 16:44:32    

wawawoum a écrit :

En ce qui concerne mes vérifications régulières, puis-je m'appuyer sur le scan de mon av (trend micro), de spybot et de CC Cleaner ? En d'autres termes, est-ce suffisant ?


Le plus performant pour les scans de vérification, c'est MalwareBytes ;)  Il complètera Trend Micro pour ça, c'est largement suffisant.
Spybot n'est utile que pour ses vaccinations, son scan est long et peu efficace.
CCleaner n'est pas un logiciel de protection, il ne sert qu'à supprimer des fichiers inutiles.
 
 

wawawoum a écrit :

D'ailleurs, est-ce que mon anti-virus et spybot ne risque pas de se "gêner" ?


Non ;)
Si tu as désactivé le TeaTimer lors de l'installation comme je te l'ai indiqué, Spybot n'est pas actif en permanence (les vaccinations sont simplement des réglages dans le navigateur pour bloquer certains sites néfastes).
 
 

wawawoum a écrit :

Enfin, j'ai un ordinateur portable sans connection internet... si je veux être sur qu'il est clean lui aussi, quel type d'opération puis-je lancer ?


Tu peux lancer une analyse RSIT sur cet ordinateur et poster le rapport si tu veux que je regarde ;)
Sinon, un simple scan avec MalwareBytes suffit (pour le mettre à jour manuellement, suis ce tuto)
 
 

wawawoum a écrit :

En te remerciant encore pour tout


De rien ;)

Reply

Marsh Posté le 07-09-2009 à 16:44:32   

Reply

Marsh Posté le 23-09-2009 à 19:36:25    

MESSAGE CORRIGE.
 
 :hello: et désolé, j'ai du refaire toute la manoeuvre.  
 
En bref, le scan complet de Malwarebytes a donné ceci :
 
http://www.toofiles.com/fr/oip/doc [...] 41-21.html
 
Il semble que les éléments détectés aient été tous supprimés, après l'examen ou au redémarrage  :??:  
 
Quant à RSIT, je l'ai lancé et il m'a donné ceci :  
 
" Le processeur NTVDM a rencontré une instruction non autorisée "
 
Et après, le prg ferme.
 
Dis-moi ce que tu en penses si tu en as l'occasion.
 
Merci,  
 
Waw


Message édité par wawawoum le 06-10-2009 à 11:50:48
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed