Auteur Sujet: fichiers locked suite à contaminaton par un virus- résolu  (Lu 7403 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne sea

  • Membres
  • Members
  • Messages: 8
Bonjour,
J'ai suivi attentivement les forums liés au virus gendarmerie .
J'en étais aussi victime.
J'ai pu récupéré l'ensemble des fichiers locked par Dr.Web avec l'aide du forum . J'ai passé mon Pc au spybot et à l'OTL selon les conseils de Chantal 11 .
Mais j'ai besoin d'aide pour l'analyse des 2 fichiers OTL. Je les ai mis sur pjjoint;malekal avec comme mot de passe : sea
 http://pjjoint.malekal.com/files.php?id=20120516_j6y15o615u7
 http://pjjoint.malekal.com/files.php?id=20120516_u6m10s8g15x5

Par avance merci
A bientôt.
« Modifié: mai 18, 2012, 19:05:05 par sea »

Security-X


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked suite à contaminaton par un virus
« Réponse #1 le: mai 16, 2012, 22:32:04 »
Bonsoir sea,

Bienvenu sur Security-X,

Je ne vois pas de traces active d'infection sur tes rapports, y'a un peu de ménage à faire c'est tout.
Tu as été infecté car un de tes logiciels, Java, n'était pas à jour, nous le mettrons à jour en fin de procédure.

1) Désinstalle les programmes suivant via ajout/suppression des programmes (si présents) :

- Java(TM) SE Runtime Environment 6 Update 1 (version obsolète)
- Spybot - Search & Destroy (obsolète et inutile ici ...)

2) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


    :OTL
    O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O3 - HKU\S-1-5-21-150485414-301174314-2440751699-27719\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\S-1-5-21-150485414-301174314-2440751699-27719\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
    O4 - HKU\S-1-5-21-150485414-301174314-2440751699-27719..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
    O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
    [2012/05/16 18:12:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\Spybot - Search & Destroy
    [2012/05/16 18:11:51 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
    [2012/05/16 18:11:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    [2012/05/16 18:07:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\el-ali-s\Application Data\GetRightToGo
    [2012/05/16 18:06:37 | 000,433,743 | ---- | C] (Headlight Software, Inc.) -- C:\Documents and Settings\el-ali-s\Desktop\spybot_telechargement_01net.exe
    [2012/05/10 23:40:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\el-ali-s\Start Menu\Programs\Smart Fortress 2012
    [3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/05/16 18:12:13 | 000,000,951 | ---- | M] () -- C:\Documents and Settings\el-ali-s\Application Data\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk
    [2012/05/16 18:12:13 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\el-ali-s\Desktop\Spybot - Search & Destroy.lnk
    [2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324
    [2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323
    [2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322
    [2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321
    [2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320
    @Alternate Data Stream - 127 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:ECE4A64B

    :Reg
    [HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingA6903"=-
    "SpybotDeletingC7418"=-
    [HKU\S-1-5-21-150485414-301174314-2440751699-27719\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    "SpybotDeletingB7193"=-
    "SpybotDeletingD1112"=-

    :Commands
    [emptytemp]

  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


Concernant les fichiers cryptés et décrypté, tu as bien tout ce qu'il te faut ? Tu as supprimé les copies cryptées avec l'outil ?

Hors ligne sea

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked suite à contaminaton par un virus
« Réponse #2 le: mai 16, 2012, 22:48:13 »
Merci,
 Je me lance dans la procédure et te tiens au courant .
Pour les fichiers cryptés je suis entrain de les supprimer manuellement  pour vérifier si tout est OK. J'en ai  déjà fait une bonne partie.

Je voulais te poser une question au sujet d'internet explorer . Depuis ma contamination j'ai vu des sites autorisés  apparaitrent ( et réapparaissent une fois supprimés) dans "les paramètres du bloqueurs de  fenetres intempestives". Dois je m'en inquiéter?

A bientôt.

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked suite à contaminaton par un virus
« Réponse #3 le: mai 16, 2012, 22:56:00 »
Re,

Possible que ce soit Spybot qui ait foutu le bordel ...
On mettra aussi à jour IE en fin de procédure, tu me diras si après cela ça continu.

Je te laisse finir le reste en attendant.
 :AAN

Hors ligne sea

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked suite à contaminaton par un virus
« Réponse #4 le: mai 16, 2012, 23:11:41 »
voilà c'est fait. Je pensais que ça me prendrais plus de temps

le mot de passe pour le lien est : sea
 http://pjjoint.malekal.com/files.php?id=20120516_u5k14f10d10g5

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked suite à contaminaton par un virus
« Réponse #5 le: mai 16, 2012, 23:21:23 »
Re,

Bien.

Si tu n'as pas terminé, finis la comparaison et la suppression des fichier bloqué.

Puis ensuite tu feras ceci s'il te plait :

Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.
  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

Hors ligne sea

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked suite à contaminaton par un virus
« Réponse #6 le: mai 16, 2012, 23:47:56 »
Je continue le ménage des fichiers locked .
Je pense finir demain . Je reviendrais vers toi pour la suite.
Merci pour tout

A bientôt

Hors ligne sea

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked suite à contaminaton par un virus
« Réponse #7 le: mai 17, 2012, 21:26:39 »
Bonsoir ,

Après mon ménage des fichiers locked. J'ai suivi tes instructions voilà le rapport de Malwarebytes:


Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.17.06

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
El-ali-s :: FRMNFL12142 [administrateur]

17/05/2012 20:24:53
mbam-log-2012-05-17 (20-24-53).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 305835
Temps écoulé: 54 minute(s), 3 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\_OTL\MovedFiles\05162012_230148\C_Documents and Settings\el-ali-s\Desktop\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.

(fin)


C'est plutôt bon signe?

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked suite à contaminaton par un virus
« Réponse #8 le: mai 17, 2012, 23:09:02 »
Re,

Oui, plus de trace d'infection.

Est-ce que tu as fini la suppression des fichiers "locked" ?
Si oui, on passera au ménage des outil et aux mise à jour avant de conclure.

 :AAN

Hors ligne sea

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked suite à contaminaton par un virus
« Réponse #9 le: mai 18, 2012, 08:43:19 »
salut ,

J'ai fait une recherche et  tous les fichiers locked appairaissent dans la corbeille. Dois je les en supprimer?


Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked suite à contaminaton par un virus
« Réponse #10 le: mai 18, 2012, 09:35:12 »
Re,

Oui, si tu avais fait au premier passage le tri et vérifié que tu avais retrouvé tes fichiers accessible, tu peux les supprimer maintenant.

Quand cela sera fait, effectue cette procédure :

Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Rapport à droite.
  • Poste le contenu du rapport qui apparait dans ta prochaine réponse.


Ferme le programme via "Quit"

Hors ligne sea

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked suite à contaminaton par un virus
« Réponse #11 le: mai 18, 2012, 13:04:31 »
Voilà le rapport :


SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows XP 32 bits
Service Pack : 3
UserName : El-ali-s
18/05/2012
13:06:19
version = v0.2.3 
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX 
Version : 11.2.202.235
Flash Player ActiveX  is up to date

Java Information :
   Nom : Java(TM) 6 Update 11
   Version : 6.0.110
Java(TM) 6 Update 11 out of date

Nom : Adobe Reader X (10.1.3) - Français
Version : 10.1.3
Adobe Reader is up to date

Nom : Internet Explorer
   Version : 7.0.5730.13

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : fichiers locked suite à contaminaton par un virus
« Réponse #12 le: mai 18, 2012, 14:17:34 »
Re,

Tu as été infecté car Java n'était pas à jour sur ce pc.

On va le mettre à jour :

1) Relance SX Check&Update :

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    Vérifie dans ta liste des programme que Java(TM) 6 Update 11 ait bien été supprimé, sinon fais-le.



    2) Relance  OTL.exe[/color]
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Supprime manuellement matsnu1decrypt.exe

    Tu peux conserver Malwarebyte's si tu le souhaites pour des scans occasionnels, pense alors à le mettre à jour avant, sinon désinstalle-le dans ta liste des programmes.




    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm ou Kerio par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !



    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à dorite)  dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.


    A bientôt sur Security-X
     :AAN

Hors ligne sea

  • Membres
  • Members
  • Messages: 8
Re : fichiers locked suite à contaminaton par un virus
« Réponse #13 le: mai 18, 2012, 19:04:07 »
Merci pour tout et à bientôt.