PC infecté : Braviax / msword98 / Wisdtr / Fraudlo... - Virus/Spywares - Windows & Software
Marsh Posté le 19-08-2009 à 18:08:03
Bonjour,
Cette infection est difficile à supprimer car elle remplace certains fichiers systèmes par des fichiers infectés, qui permettent de relancer l'infection.
Poste un rapport de Combofix, je vais t'aider à désinfecter
Marsh Posté le 19-08-2009 à 23:08:10
Voici un extrait (je pense qu'il y a plein de lignes inutiles) du ComboFix de ce soir.
------------------------------------------------------------------------------
EDIT : suppression du rapport ComboFix.
>>> Lien du rapport complet <<<
------------------------------------------------------------------------------------------------------------
D'avance, MERCI !
p@+
Marsh Posté le 19-08-2009 à 23:19:18
bonjours,
À titre d'info.
Anthony, probablement en êtes vous déjà au fait, puisque vous avancez ce problème : Ce sont les drivers ntfs.sys et beep.sys.
Y aurait userinit.exe qui aussi serait patché.
Marsh Posté le 20-08-2009 à 00:05:39
Pour le beep.sys, j'ai effectivement lu ça sur la toile, mais ne l'ai pas trouvé sur le PC.
Pour les 2 autres, tu me l'apprends.
Et comment faire pour désinfecter ces fichiers systèmes ? Les remplacer par des sains ? Les patcher pour les transformer en les vaccinant ?
p@+
Marsh Posté le 20-08-2009 à 00:36:46
re,
En attendant qu'Anthony, qui est un très bon désinfecteur, réponde à votre message.
Restriction.
Pour éviter que la propaguation de l'infection.
N'utilisez pas la Restauration du Système.
Et autant que possible ne fermer/redémarrer pas le PC et n'utilisez Internet que pour vérifier/répondre aux messages d'Anthony.
Aussi, tout comme pour les rapports Hijackthis et/ou Rsit.
Le forum oblige d'utiliser un hébergeur pour les rapports de combofix.
Allez modifier le message contenant votre rapport combofix, en ne plaçant que l'adresse http//........ de ce rapport avec l'hébergeur que vous a suggéré Anthony.
Marsh Posté le 20-08-2009 à 15:45:57
Ah bon, je ne savais pas pour l´hébergement externe des rapports ComboFix.
Je ferais ca ce soir .
p@+
Marsh Posté le 20-08-2009 à 18:34:48
Re
J'attends que tu postes ton rapport Combofix au complet (en suivant ce tutoriel pour l'héberger par exemple) pour te donner la suite.
Le rapport Combofix indique que ces fichiers sont patchés :
c:\windows\system32\drivers\ntfs.sys
c:\windows\system32\dllcache\ntfs.sys
Au moment où on désinfectera, il suffira de les remplacer par une copie de ce fichier, qui lui est sain :
c:\windows\ServicePackFiles\i386\ntfs.sys
Marsh Posté le 20-08-2009 à 21:01:58
Voilà c'est fait
>>> Lien du rapport complet <<<
Merci encore pour ton aide !
Idem mido70 !
Question pour ma curiosité perso : avec Windows XP 64 sur mon PC perso, suis-je d'office protéger contre ce virus ?
p@+
Marsh Posté le 21-08-2009 à 00:03:22
edit : erreur de sujet, je vais modifier mon message ^^
Marsh Posté le 21-08-2009 à 00:05:44
• Télécharge WinFileReplace (de Loup Blanc)
• Lance le, choisis la langue puis laisse toi guider
• Le bloc-note va s'ouvrir et te demander le fichier a restaurer, tape ceci :
c:\windows\system32\drivers\ntfs.sys
• Ferme le bloc-notes et enregistre les modifications
• Un téléchargement va débuter, et tu vas devoir accepter le contrat de licence de Microsoft
• Confirme la restauration du fichier en appuyant sur la touche O quand cela te sera demandé, puis sur la touche entrée.
• L'ordinateur va redémarrer, laisse le faire.
• Au redémarrage, un rapport va apparaître : envoie le moi ici stp.
Ensuite, lance Combofix et poste le nouveau rapport stp
Marsh Posté le 21-08-2009 à 19:25:22
Euh le WFR que j'ai téléchargé via ton lien ne contient pas de fichier eula.txt, donc le soft annule l'opération...
Je n'ai qu'un eula.exe.
p@+
Marsh Posté le 22-08-2009 à 16:21:01
Installe la console de récupération en suivant cette procédure : http://www.bleepingcomputer.com/co [...] l_recovery
Marsh Posté le 22-08-2009 à 20:34:33
Je suis en ce moment-même en train d'effectuer la réparation, après un glissé-déposé sur ComboFix du fichier téléchargé sur le site M$ .
La suite dans quelques instants ^^
p@+
Marsh Posté le 22-08-2009 à 20:58:28
Bon bah voilà c'est fait...
Mais c'est pas très clair, y a pas de message disant que le fichier NTFS est désinfecté ou quoi que ce soit.
Pour le reboot, ComboFix n'a rien proposé, je ne sais pas si c'est bien normal.
En plus, pour une raison inconue, j'ai ce message au démarrage de ComboFix :
"Current date is ~. ComboFix has expired.
Click YES to run in REDUCED FUNCTIONALITY mode etc."
Bon bah je vais connecter ce portable au net, on va voir si le virus revient ou si c'est OK, je ne vois que cela pour vérifier.
p@+
Marsh Posté le 22-08-2009 à 21:18:03
Eh bien le virus est toujours là... Je connecte le PC, 1 min plus tard crack, alerte Figaro.sys et companie... .
Désespérant...
Marsh Posté le 22-08-2009 à 21:59:14
Est-ce que si j'utilise le CD pour demander une réparation du système ça pourrait suffire ?
Sachant que le CD ne doit contenir que le SP1 à tout casser, et que l'OS actuellement installé a été updaté en SP3.
Idem avec un formatage, ça solutionnerait l'histoire non ? ça m'emmerde mais bon, si il faut en arriver là...
p@+
Marsh Posté le 23-08-2009 à 04:17:41
C'est normal que l'infection soit encore là : l'installation de la console de récupération ne fait rien, il faut maintenant l'utiliser
Si la console de récupération est bien installée, tu dois avoir un message qui apparait quelques secondes au démarrage de l'ordinateur, pour te proposer un choix entre "Recovery console" et "Windows xp..." Choisis la console de récupération, et tape les commandes suivantes une par une (valide les a chaque fois en appuyant sur la touche entrée)
del c:\windows\system32\drivers\ntfs.sys
del c:\windows\system32\dllcache\ntfs.sys
copy c:\windows\ServicePackFiles\i386\ntfs.sys c:\windows\system32\drivers\ntfs.sys
exit
L'ordinateur va alors redémarrer, lance alors Windows normalement et poste un nouveau rapport de Combofix stp
Marsh Posté le 23-08-2009 à 20:51:16
Ah OK, ce n'était pas fini...
Oui oui l'install de la console est OK, on a bien l'option au démarrage .
p@+
Marsh Posté le 23-08-2009 à 21:11:37
ReplyMarsh Posté le 24-08-2009 à 00:29:42
Ca a l'air bon pour les fichiers systèmes, on approche du but
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour pataratapat, il n'est pas transposable sur un autre ordinateur !
• Télécharge ce dossier pataratapa8203t.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.
• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
Marsh Posté le 24-08-2009 à 01:39:50
je suis le sujet car je suis infecté apparement de la même menace------->c:\windows\drivers\ntfs.sys -------> cheval de troie : Rootkit-Pakes.M
Marsh Posté le 24-08-2009 à 09:20:57
OK, je ferais cela ce soir, impecc .
Hier après avoir posté mon dernier message je suis allé sur le net 5 min avec le PC infecté, sans alerte, sans pare-feu qui se fait désactiver etc.
Donc on sent que déjà la base est plus clean . C´est du bon.
J´espère que ce soir sera la bonne !
p@+
Marsh Posté le 24-08-2009 à 23:16:17
Et voilà le dernier rapport ComboFix après avoir usé du CFScript
VERDICT ?
EDIT : je constate qu'il reste dans MSConfig, au rayon "Démarrage", des lignes étranges (toutes non cochées).
Dans l'ordre :
- MSKDetct (McAfee SpamKiller),
- msword98,
- qxqoxf dans le (...)system32\qxqoxf.exe qxqoxf,
- [] (c'est un carré, idem dans la colonne "Commande" ),
- stsystra,
- ikowin32.
De simples résidus de fichiers installés mais aujourd'hui supprimés ? Y aurait pas un p'tit nettoyage à faire aussi de ce côté-ci ?
p@+
Marsh Posté le 27-08-2009 à 13:07:26
Bonjour,
Désolé de répondre aussi tardivement
Apparemment le dernier script n'a pas eu l'effet voulu sur "ikowin32" ...
Les autres éléments néfastes que tu vois dans msconfig sont sûrement des restes, mais on va vérifier avant de faire un ultime script :
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : ne les poste pas directement ici (une règle de ce forum l'interdit...) ! A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.
Tutoriel illustré pour t'aider à utiliser RSIT : http://forum-aide-contre-virus.be/tutoriel_RSIT.html
Marsh Posté le 27-08-2009 à 21:31:38
Pas d'prob' Bob .
>>> Rapport Info RSIT <<<
>>> Log RSIT <<<
MERCI ENCORE ET TOUJOURS !
p@+
Marsh Posté le 29-08-2009 à 00:22:34
D'après le rapport, les clés de Registre braviax, msword98, qxqoxf et ikowin32 sont des clés orphelines (c'est à dire que le fichier correspondant n'existe plus).
Ce qui m'inquiète plus, c'est ça :
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax]
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe [2008-07-30 266497]
==> Une clé de Registre Braviax associé à un fichier d'AntiVir... Je te conseille donc de désinstaller complètement Antivir, de faire redémarrer ton ordinateur et de le réinstaller (télécharge le ici)
Pour les clés orphelines :
• Télécharge ce dossier scriptregistre.zip
• Exécute le fichier script.reg qui se trouve à l'intérieur
• Un message doit obligatoirement te demander une confirmation pour modifier le Registre, accepte.
Ensuite, poste un nouveau rapport RSIT pour vérifier stp
Marsh Posté le 29-08-2009 à 11:56:05
Y a un truc bien soulant aussi que j'ai remarqué, c'est la ré-apparition après chaque intervention de l'icône IE...
Bon sinon j'entame la désinstallation d'AVIRA et le nettoyage du registre .
p@+
Marsh Posté le 29-08-2009 à 12:33:08
Voilà le nouveau LOG RSIT (pas de document INFO par contre ce coup-ci).
AVIRA désinstallé et ré-installé part la dernière version je crois, 9.0.0.65.
Quand au script registre, il a bien été effectué .
Alors chef ? Qu'est-ce que ça dit ?!
On est bon cette fois ? ^^
p@+
Marsh Posté le 30-08-2009 à 18:42:03
C'est bon
On passe à la "finition" :
Télécharge hijackthis
Installe le, lance le et clique sur "Do a system scan and save a logfile".
Poste le rapport de la même façon que tu l'as fait pour les autres
Marsh Posté le 30-08-2009 à 22:49:23
Voili voilou !
Allé dis-moi que c'est bon c'te fois que je puisse lui rendre son PC opérationnel et surtout connecté à la miss !!!!
p@+
Marsh Posté le 31-08-2009 à 10:58:53
Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).
1) Sécurise ton ordinateur
• Logiciels de protection :
* Antivir est un excellent choix, garde le. Juste un petit réglage à faire : double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> Coche « mode expert » --> coche « Rech. Rootkits au dem. de la recherche »
* Installe Spybot (décoche le TeaTimer lors de l'installation). Mets le à jour une fois par semaine, et fais les vaccinations à chaque fois.
* En complément, garde MalwareBytes pour son scan de nettoyage performant.
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/
• Vérifie les mises à jour de tes autres programmes régulièrement à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)
• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Double clique sur le raccourci USBFix sur ton Bureau → Au menu principal, choisis l'option 3 (Vaccination).
2) Relance Hijackthis (pour la dernière fois), choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) :
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"
3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.
4) Télécharge et installe CCleaner, puis lance le.
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
(Tu peux garder ce logiciel et l'utiliser régulièrement).
5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin
Marsh Posté le 31-08-2009 à 13:34:50
Bien ! J´ai donc de la lecture ce soir.
Pour FireFox, c´est déjà le cas ; En général on fait attention, mais là elle est allée sur un site inhabituel, et ce fut le drame...
Je ferais tout ce que tu as écris ce soir ou dans la semaine. Je re- dès que j´ai une question .
Merci infiniement en tout cas !!!
A tanto .
p@+
Marsh Posté le 18-08-2009 à 23:37:08
Bonjour / Bonsoir !
Big problème sur le portable de ma copine (DELL Inspiron 6400 sous Win XP 32 SP3)... infection virale par des trojans et malwares, suite à un clic malheureux lors d'une recherche internet.
Il s'agit entre autres des 4 éléments cités dans le titre.
Après recherches sur le net, j'ai installé ComboFix, Braviax Remover, Malwarebytes, SpyBot et General Removal, sans succès ; L'antivirus par défaut est Avira version gratuite, à jour.
J'ai même bidouillé le registre pour surprimer Braviax à la main, et restaurer le service FireWall, que ce virus court-circuite.
Les dossiers et fichiers cachés sont visibles, et j'ai aussi décoché la case "Masquer les fichiers protégés de l'OS", afin de les traquer.
Je ne comprend pas, car hors connexion, les softs ne trouvent rien, et une recherche "à l'œil" dans les dossiers normallement incriminés ne donne rien non plus.
Par contre il suffit de se connecter, et là en une minute, 4 à 8 alertes + désactivation traitre du pare-feux !
Soit j'utilise mal les softs anti-virus, soit je n'ai pas regardé où il fallait, mais ça me rend fou...
Si quelqu'un pouvait nous aider...
Merci beaucoup !
p@+
Message édité par pataratapat le 21-08-2009 à 09:56:21