Security-X
Forum Security-X => Désinfections => Discussion démarrée par: sea le mai 16, 2012, 20:28:27
-
Bonjour,
J'ai suivi attentivement les forums liés au virus gendarmerie .
J'en étais aussi victime.
J'ai pu récupéré l'ensemble des fichiers locked par Dr.Web avec l'aide du forum . J'ai passé mon Pc au spybot et à l'OTL selon les conseils de Chantal 11 .
Mais j'ai besoin d'aide pour l'analyse des 2 fichiers OTL. Je les ai mis sur pjjoint;malekal avec comme mot de passe : sea
http://pjjoint.malekal.com/files.php?id=20120516_j6y15o615u7
http://pjjoint.malekal.com/files.php?id=20120516_u6m10s8g15x5
Par avance merci
A bientôt.
-
Bonsoir sea,
Bienvenu sur Security-X,
Je ne vois pas de traces active d'infection sur tes rapports, y'a un peu de ménage à faire c'est tout.
Tu as été infecté car un de tes logiciels, Java, n'était pas à jour, nous le mettrons à jour en fin de procédure.
1) Désinstalle les programmes suivant via ajout/suppression des programmes (si présents) :
- Java(TM) SE Runtime Environment 6 Update 1 (version obsolète)
- Spybot - Search & Destroy (obsolète et inutile ici ...)
2) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O3 - HKU\S-1-5-21-150485414-301174314-2440751699-27719\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\S-1-5-21-150485414-301174314-2440751699-27719\..\Toolbar\WebBrowser: (no name) - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - No CLSID value found.
O4 - HKU\S-1-5-21-150485414-301174314-2440751699-27719..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe (Safer-Networking Ltd.)
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)
[2012/05/16 18:12:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Start Menu\Programs\Spybot - Search & Destroy
[2012/05/16 18:11:51 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
[2012/05/16 18:11:51 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
[2012/05/16 18:07:15 | 000,000,000 | ---D | C] -- C:\Documents and Settings\el-ali-s\Application Data\GetRightToGo
[2012/05/16 18:06:37 | 000,433,743 | ---- | C] (Headlight Software, Inc.) -- C:\Documents and Settings\el-ali-s\Desktop\spybot_telechargement_01net.exe
[2012/05/10 23:40:32 | 000,000,000 | ---D | C] -- C:\Documents and Settings\el-ali-s\Start Menu\Programs\Smart Fortress 2012
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2012/05/16 18:12:13 | 000,000,951 | ---- | M] () -- C:\Documents and Settings\el-ali-s\Application Data\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk
[2012/05/16 18:12:13 | 000,000,933 | ---- | M] () -- C:\Documents and Settings\el-ali-s\Desktop\Spybot - Search & Destroy.lnk
[2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/10 21:43:36 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320
@Alternate Data Stream - 127 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:ECE4A64B
:Reg
[HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingA6903"=-
"SpybotDeletingC7418"=-
[HKU\S-1-5-21-150485414-301174314-2440751699-27719\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB7193"=-
"SpybotDeletingD1112"=-
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
Concernant les fichiers cryptés et décrypté, tu as bien tout ce qu'il te faut ? Tu as supprimé les copies cryptées avec l'outil ?
-
Merci,
Je me lance dans la procédure et te tiens au courant .
Pour les fichiers cryptés je suis entrain de les supprimer manuellement pour vérifier si tout est OK. J'en ai déjà fait une bonne partie.
Je voulais te poser une question au sujet d'internet explorer . Depuis ma contamination j'ai vu des sites autorisés apparaitrent ( et réapparaissent une fois supprimés) dans "les paramètres du bloqueurs de fenetres intempestives". Dois je m'en inquiéter?
A bientôt.
-
Re,
Possible que ce soit Spybot qui ait foutu le bordel ...
On mettra aussi à jour IE en fin de procédure, tu me diras si après cela ça continu.
Je te laisse finir le reste en attendant.
:AAN
-
voilà c'est fait. Je pensais que ça me prendrais plus de temps
le mot de passe pour le lien est : sea
http://pjjoint.malekal.com/files.php?id=20120516_u5k14f10d10g5
-
Re,
Bien.
Si tu n'as pas terminé, finis la comparaison et la suppression des fichier bloqué.
Puis ensuite tu feras ceci s'il te plait :
Télécharge MalwareByte's Anti-Malware (http://www.inforumatique.fr/site/download/download-82+malwarebytes-anti-malware.php) :
- Installe le programme (aide ici (http://www.bibou0007.com/antispywares-f77/malwarebytes-anti-malware-t952.htm))
- Lance-le et met à jour la base de définition.
- Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
- Sélectionne les disques dur et clique sur "Lancer l'examen"
- Laisse l'analyse se faire (cela peut durer longtemps).
- A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
- Puis clique sur "Supprimer la sélection" en bas.
- Un redémarrage peut être nécessaire.
- Un rapport va s'afficher, enregistre-le sur ton bureau.
- ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
-
Je continue le ménage des fichiers locked .
Je pense finir demain . Je reviendrais vers toi pour la suite.
Merci pour tout
A bientôt
-
Bonsoir ,
Après mon ménage des fichiers locked. J'ai suivi tes instructions voilà le rapport de Malwarebytes:
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org
Version de la base de données: v2012.05.17.06
Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
El-ali-s :: FRMNFL12142 [administrateur]
17/05/2012 20:24:53
mbam-log-2012-05-17 (20-24-53).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 305835
Temps écoulé: 54 minute(s), 3 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe (Security.Hijack) -> Mis en quarantaine et supprimé avec succès.
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\_OTL\MovedFiles\05162012_230148\C_Documents and Settings\el-ali-s\Desktop\spybot_telechargement_01net.exe (PUP.Toolbar.Repacked) -> Mis en quarantaine et supprimé avec succès.
(fin)
C'est plutôt bon signe?
-
Re,
Oui, plus de trace d'infection.
Est-ce que tu as fini la suppression des fichiers "locked" ?
Si oui, on passera au ménage des outil et aux mise à jour avant de conclure.
:AAN
-
salut ,
J'ai fait une recherche et tous les fichiers locked appairaissent dans la corbeille. Dois je les en supprimer?
-
Re,
Oui, si tu avais fait au premier passage le tri et vérifié que tu avais retrouvé tes fichiers accessible, tu peux les supprimer maintenant.
Quand cela sera fait, effectue cette procédure :
Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Rapport à droite.
- Poste le contenu du rapport qui apparait dans ta prochaine réponse.
Ferme le programme via "Quit"
-
Voilà le rapport :
SX Check&Update
Lien vers le tutoriel : http://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
---
Windows Version : Windows XP 32 bits
Service Pack : 3
UserName : El-ali-s
18/05/2012
13:06:19
version = v0.2.3
---
Windows Update Information :
AUOptions : 4
Automatically, no notification
---
Name : FlashPlayer ActiveX
Version : 11.2.202.235
Flash Player ActiveX is up to date
Java Information :
Nom : Java(TM) 6 Update 11
Version : 6.0.110
Java(TM) 6 Update 11 out of date
Nom : Adobe Reader X (10.1.3) - Français
Version : 10.1.3
Adobe Reader is up to date
Nom : Internet Explorer
Version : 7.0.5730.13
-
Re,
Tu as été infecté car Java n'était pas à jour sur ce pc.
On va le mettre à jour :
1) Relance SX Check&Update :
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Vérifie dans ta liste des programme que Java(TM) 6 Update 11 ait bien été supprimé, sinon fais-le.
2) Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
Supprime manuellement matsnu1decrypt.exe
Tu peux conserver Malwarebyte's si tu le souhaites pour des scans occasionnels, pense alors à le mettre à jour avant, sinon désinstalle-le dans ta liste des programmes.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Installer un parefeu en remplacement de celui de Windows XP :
Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm (http://www.inforumatique.fr/site/download/download-3+zonealarm.php) ou Kerio (http://www.inforumatique.fr/site/download/download-2+sunbelt-personal-firewall.php) par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows (http://support.microsoft.com/kb/283673/fr) si tu en installes un autre !!!
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Surfer sans les droits d'administration : En session limitée (http://www.malekal.com/2010/11/12/gestion-des-utilisateurs-sous-windows-2/) ou avec DropMyRight (http://www.malekal.com/tutorial_DropMyRights.php)
Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à dorite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
Merci pour tout et à bientôt.