virus qui s'incruste

virus qui s'incruste - Virus/Spywares - Windows & Software

Marsh Posté le 05-02-2010 à 02:43:04    

Bonjour, je viens d'être victime d'un virus particulièrement redoutable, après m'avoir rebooté la machine il m'a saboté Nod32 et Zone Alarm, il m'est impossible de les lancer, je ne parviens pas non à ré-installer Zone alarm, ça me dit que TrueVector est en route, hors dans les services il est bien marqué : désactivé.  
La restauration système semble aussi avoir été attaquée, les 2 que j'ai essayée se soldent par un echec, impossible de restaurer me dit-on après reboot...
 
C'est un EXE que j'ai lancé malgré mes soupçon (nod32 ne décelait rien) et j'ai quand même pue le localiser ailleur car il s'était copié en lieu et place d'un autre programme qui se lancait au boot, je l'ai effacé. Je n'ai tjr pas connecté la machine au net en raison de sa vulnérabilité.
 
Voici un rapport d'analyse : http://www.virustotal.com/fr/anali [...] 1265316661
 
Est-ce grave selon vous ? j'aimerai vraiment éviter de tout ré-installer, alors je suis preneur de tous conseils, merci pour votre aide !


Message édité par vigri le 05-02-2010 à 02:45:29
Reply

Marsh Posté le 05-02-2010 à 02:43:04   

Reply

Marsh Posté le 05-02-2010 à 06:57:19    

Salut,
 
Ton ordinateur est la cible d'un malware du nom de bagle... Il se propage par les cracks téléchargés sur les réseaux P2P ou par support amovible.
 
On va essayer d'éviter le formatage et de l'éradiquer, fais ceci :
 
 

  • Télécharge FindyKill (créé par El Desaparecido) et enregistre-le sur ton bureau
  • tutoriel recherche
  • /!\ Ne fais pas le nettoyage tout dessuite /!\
  • Double clic sur le raccourci FindyKill sur ton bureau, l'installation se fera automatiquement
  • Au menu principal,choisi l option 1 (Recherche)
  • Post le lien du rapport FindyKill.txt en l'hébergeant sur Ci-joint

   
    * Note : le rapport FindyKill.txt est sauvegardé a la racine du disque ou se trouve ton système.
 

Reply

Marsh Posté le 05-02-2010 à 14:04:06    

merci pour ton aide !
voici le rapport findykill : http://www.cijoint.fr/cj201002/cij4SeuZAn.txt
Je dois comprendre que c'est un virus fréquent ? je savais pas qu'ils pouvaient autant s'attaquer aux différents logiciels de ma machine.
merci encore


Message édité par vigri le 05-02-2010 à 14:05:54
Reply

Marsh Posté le 05-02-2010 à 15:36:30    

Salut,
 
C'est un malware fréquent pour les adeptes du P2P, bien que les dernières variantes se propagent via support amovible (clé usb, disque externe, carte mémoire,....)
 
Bagle est bien présent sur ton ordinateur.

On va passer à l'option de suppression de Findykill, il est impératif de brancher tes supports amovibles qui sont susceptibles d'avoir été infectés sinon l'infection risque de revenir.
 

  • tutoriel nettoyage
  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
  • Double clic sur le raccourci FindyKill sur ton bureau
  • Au menu principal,choisi l'option 2 (Suppression)

/!\ il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "nettoyage effectué"
/!\ Ne te sert pas du pc durant la suppression , ton bureau ne sera pas accessible c'est normal  
   

  • ensuite envoie le lien du rapport FindyKill.txt

   
    * Note : le rapport FindyKill.txt est sauvegardé à la racine du disque
    * Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
 
    A lire :
 
    Le danger des cracks
 
    Bagle/Beagle

Reply

Marsh Posté le 05-02-2010 à 16:55:43    

Voila tout s'est exécuté, je n'étais pas devant la machine pour savoir combien il y a eu de redemarrage mais il y en a unau moins un.
Par contre pas de trace de rapport cette fois ci, j'ai due relancer un scan simple pour en refaire un :
http://www.cijoint.fr/cj201002/cijI4dG7AX.txt
je ne vois pas les mentions alarmante du 1er rapport, tout serait rentré dans l'ordre ?
EDIT : malwarebytes me donne ça :
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\drvsyskit (Worm.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\german.exe (Worm.Bagle) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mule_st_key (Worm.Bagle) -> No action taken.
J'ai supprimé.
PS : avant le passage de Findykill malwarebyte était aussi mis out. Pour ZA et nod32 il m'est tjr pas possible de les lancer, je vais voir à les ré-installer.


Message édité par vigri le 05-02-2010 à 17:03:22
Reply

Marsh Posté le 05-02-2010 à 17:30:28    

Tu devrais trouver un rapport de findykill dans le dossier Findykill à la racine de ton disque système comme indiqué sur mon précédent message, il est préférable de tout lire et de ne pas se précipiter.
Si tu trouve le scan de suppression d'origine envoies le lien, il y a des informations importantes pour moi dedans.
 
Le deuxième scan que tu as fait est vierge c'est tout à fait normal puisque le premier scan de suppression a du faire son boulot......
 
Je ne t'ai pas demandé de passer malwarebytes, me semble t-il  :heink: ??? Tu me diras, c'est ton ordinateur, tu es libre de faire ce que tu en veux, l'infecter comme tenter de le désinfecter, moi ce que j'en dis. ;)  
 
 
Si tu le souhaites, fais un diagnostic de ton ordinateur pour voir où tu en es :
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
En règle général, suite à une désinfection de type bagle, certains logiciels de sécurité doivent être réinstallés, le rapport de suppression de findykill l'aurait normalement indiqué

Reply

Marsh Posté le 05-02-2010 à 18:02:07    

Je te fait confiance c'est pour ça que je t'ai relus plusieurs fois sans me précipiter. Tu ne faisait mention que du rapport à la racine du disque et non du dossier Fyk. Mais après examen de ce dossier je n'ai pas de rapport non plus dans ce dossier.
Merci bcp pour ton aide ! je pense que le virus est supprimé (au moins pour l'instant) si le 2ème scan est concluant, je vais maintenant tenter de ré-installer mes logiciels de sécurité, je croise les doigt pour que ça fonctionne car hier je n'ai pas réussi.

Reply

Marsh Posté le 06-02-2010 à 11:34:18    

Salut,
 
Envoies le lien du rapport ZHPDiag que je puisse vérifier si tu n'as réellement plus d'infection.  
 
On verra en même temps si ton ordinateur est bien à jour et le sécuriser de ce fait.

Reply

Marsh Posté le 08-02-2010 à 21:17:07    

Merci, mais il m'a tellement foutu le bronx que j'ai ré-installé XP, il m'était impossible de démarrer en mode sans echec, la restauration système out elle aussi, ZA non ré-installable, Nod32 aussi et je pense que c'était que la partie visible de l'iceberg donc j'ai laissé tomber car j'aurai eu d'autres mauvaises surprise. Merci encore pour ton aide.

Reply

Marsh Posté le 08-02-2010 à 21:58:15    

Salut,
 
Dommage, on a pas eu le temps d'approfondir.  
 
Merci toutefois du retour.
 
Tu peux te rendre compte que l'utilisation des cracks ou autre keygen peut être dangereux pour les ordinateurs.
 
Je te donne ce fichier PDF à lire avec attention, tu vas mieux comprendre ce à quoi tu exposes ton pc et tes données par une mauvaise utilisation d'internet, et en particulier des réseaux P2P.
 
Information :
 
Depuis 2006 le nombre de malwares et les technologies ont évolué de manière sensible toujours pour servir l'économie souterraine lucrative qui sert les auteurs de malwares.
A ce jour, il n'existe pas de technologies capables de protéger efficacement votre ordinateur si l'internaute n'est pas instruit sur les risques encourus sur la toile. Ce transfert de connaissances est indispensable pour construire l'Internet.
 
C'est pour cela que je t'invite à lire ce fichier PDF qui traite de la sécurité informatique. Ce fichier est issu du forum de malekal_morte, qui a mis en place un Projet Antimalware pour sensibiliser l'opinion publique et les politiques sur les dangers des malwares. J'adhère à 100% sur ce projet. N'hésites pas à le diffuser autour de toi pour que le maximum de personnes soient prévenues.
 
 
Bonne route sur la toile.


Message édité par Profil supprimé le 08-02-2010 à 21:58:47
Reply

Marsh Posté le 08-02-2010 à 21:58:15   

Reply

Marsh Posté le 09-02-2010 à 14:58:18    

Merci pour le pdf, je le diffuserai car il est bien fait et explique clairement les différents dangers, il est vrai que j'ai pas assuré avec le p2p je suis allé au plus vite alors que je trouvais pas ce que je cherchais sur mes sites russes habituels qui sont bien plus sûrs et que j'emploie depuis plus de 10 ans...ça me servira de leçon surtout que je l'ai senti venir gros comme un camion. Ce qui reste étrange c'est pourquoi si peu d'antivirus le détectait, dont deux gros auxquels je me fie en priorité : nod32 et Kaspersky qui le trouvaient sains.

Reply

Marsh Posté le 09-02-2010 à 19:51:21    

Salut,
 
Les antivirus ne détectent pas tout malheureusement et en particulier les nouvelles infections et les variantes. Il faut du temps pour les éplucher et trouver des parades.  
On a l'habitude de dire que le meilleur des antivirus se trouve entre la chaise et le clavier, c'est-à-dire toi et ton comportement vis à vis d'internet.
 
Fais attention dans l'avenir et pense à faire des sauvegardes régulières de tes données, certaines infections les cryptent et on te demande une rançon pour pouvoir à nouveau y accéder. D'autres encore ne permettent pas de les récupérer et seul le formatage de bas niveau en vient à bout.
 
Bonne route sur la toile.

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed