[Malware] Tel.xls.exe - RjumpFermé

Question

Bonjour.
Il y a une semaine, j'ai branché mon disque dur multimédia (Peekbox v3) sur un PC portable tournant sous Windows 7, avec Bitdefender 2011 Total Security d'installé.
Je le branche alors sur ma télévision, et la malheureusement, la plupart des fichiers sont indiqués comme pesant 0 ko.
J'ai compris que j'avais été infecté par un virus, et dans la liste des fichiers depuis le DD multimédia, je remarque 2 fichiers : tel.xls.exe et msvcr71.dll.

Bon, ben rien de plus simple, je vais supprimer ces deux fichiers + l'autorun.inf. Cela aurait été trop simple; le DD refuse à ce que on y accède depuis l'ordinateur tournant sous Windows... J'ai donc tenté sur Ubuntu, le DD est reconnu, mais le gestionnaire de fichier ne m'affiche pas le contenu entier du DD, seulement les fichiers n'ayant pas été infectés.

Je tente alors un ls qui m'affiche la liste de TOUS les fichiers/dossiers en bleu, et qui, par la même occasion, m'affiche les deux malwares : tel.xls.exe et msvcr71.dll. J'essaye alors de les supprimer grâce à un sudo rm, sans succès : rm: impossible de supprimer «msvcr71.dll»: Aucun fichier ou dossier de ce type...

Bref, je viens à vous pour vous demander que faire.
Merci d'avance !

PS : J'ai déjà essayé Flash Disinfector, bref un peu tout ce qu'on trouve à ce sujet...
Ayant un ordinateur sous WinXP sous la main : Flash Disinfector s'est lancé correctement. Sur Vista/7 on ne peut toujours pas ouvrir le disque, mais sur XP on peut mais il est vide (Clic droit->propriétés affiche 120Gb libres sur 500)... et sur Ubuntu, on peut mais il manque plein de dossiers, et on ne peut rien faire dessus, j'ai l'impression qu'il est bloqué en écriture...

Merci d'avance !

jlpjlp · Accepted Answer

bonjour branche tes supports 

et colle un rapport de recherche avec usbfix

http://eldesaparecido.com/tools/UsbFix.exe

misterchat · Answer

Bonjour,

Desinstaller bit defender ou le neutralyser ainsi que le fire wall du systeme.

demander sur le web telecharger sur comment ça marche spybot search and destroy.

installer gratuit faire les mises a jour puis vacciner avec la commande laterale gauche, attendre le scan qui donne le nombre de fichiers et le nombre de fichiers proteges. 

si le nombre de fichiers proteges reste à zero vacciner avec la commande en forme de croix rouge en haut a gauche et attendre.

si rien ne se passe recommencer une fois apres desinstaller spybot puis reactiver ou reinstaller bit defender puis lancer une nouvelle analyse.

sinon formatage et reinstallation complete cela à l'avantage de nettoyer le disque dur. Je le fais tous les 6 mois.

j'ai eu bit defender et j'ai eu des problemes  depuis trois ans j'utilise mcaffee total protection avec site advisor et j'ai beaucoup moins de soucis.

Bien cordialement

Misterchat

nivramdu94 · Answer

J'avais déjà essayé UsbFix, voici le rapport :

############################## | UsbFix 7.054 | [Recherche]

Utilisateur: Nath et Gilles (Administrateur) # NATHETGILLES-PC [Acer, inc. Aspire 6530G]
Mis à jour le 04/08/2011 par El Desaparecido
Lancé à 17:28:10 | 05/08/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Turion(tm) X2 Dual-Core Mobile RM-70
CPU 2: AMD Turion(tm) X2 Dual-Core Mobile RM-70
Microsoft Windows 7 Professionnel  (6.1.7600 32-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Désactivé /!\
RAM -> 2526 Mo 
C:\ (%systemdrive%) -> Disque fixe # 70 Go (27 Go libre(s) - 38%) [ACER] # NTFS
D:\ -> Disque fixe # 66 Go (20 Go libre(s) - 31%) [DATA] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


C'est  neutre...

J'ai peut-être gaffé. J'ai vu une touche de verrouillage en écriture sur le DD mais je ne me rappelle plus la position dévérouillé... Je relance et envoie le rapport.

nivramdu94 · Answer

Voilà, second rapport :


############################## | UsbFix 7.054 | [Recherche]

Utilisateur: Nath et Gilles (Administrateur) # NATHETGILLES-PC [Acer, inc. Aspire 6530G]
Mis à jour le 04/08/2011 par El Desaparecido
Lancé à 17:43:21 | 05/08/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: AMD Turion(tm) X2 Dual-Core Mobile RM-70
CPU 2: AMD Turion(tm) X2 Dual-Core Mobile RM-70
Microsoft Windows 7 Professionnel  (6.1.7600 32-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Désactivé /!\
RAM -> 2526 Mo 
C:\ (%systemdrive%) -> Disque fixe # 70 Go (26 Go libre(s) - 38%) [ACER] # NTFS
D:\ -> Disque fixe # 66 Go (20 Go libre(s) - 31%) [DATA] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |



Neutre aussi...

nivramdu94 · Answer

Rapport de suppression que j'ai fait il y a moins d'une journée : https://pastebin.com/7ZsCLT8A

jlpjlp · Answer

Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

- Va dans démarrer puis panneau de configuration 
- Double Clique sur l'icône "Comptes d'utilisateurs" 
- Clique ensuite sur désactiver et valide. 


télécharge combofix (par sUBs) ici : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

et enregistre le sur le bureau. 

déconnecte toi d'internet et ferme toutes tes applications. 

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware) 


double-clique sur combofix.exe et suis les instructions 

à la fin, il va produire un rapport C:\ComboFix.txt 

réactive ton parefeu, ton antivirus, la garde de ton antispyware 

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi. 

Tu as un tutoriel complet ici : 

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

nivramdu94 · Answer

Je fais ca sous 2 jours max : je n'ai pas l'ordi sous la main...

jlpjlp · Answer

il faudrait le rapport . Sinon expliques tes problemes actuels exactement

nivramdu94 · Answer

Voilà le rapport : http://pastebin.com/cTF8XRTT
Désolé pour le retard ;)

Le problème actuel est que :

-Sur linux, le gestionnaire de fichiers m'affiche quelques fichiers pas tout (sauf quand je fais liste les fichiers depuis une console, là tous les fichiers s'affichent, donc ils sont présents)

-Sur Vista/7 lorsque je branche le périphérique, il me dit que le disque doit être formaté pour être utilisé, je n'accède à aucun contenu.

-Sur XP, je peux ouvrir le disque mais il est vide (Clic droit->Propriétes affiche 128 Go libres sur 500, donc le disque est bien rempli)

-J'ai tout testé pour supprimer Autorun.inf et les .exe malicieux, ils ne se suppriment pas

Voilà. Sachant que, le DD se nomme G sur l'ordi où j'ai fait ComboFix.

Merci d'avance !

jlpjlp · Answer

télécharge la derniere version d'usbfix et colle un rapport de suppression/nettoyage avec


puis colle un rapport de recherche avec roguekiller
https://www.luanagames.com/index.fr.html

nivramdu94 · Answer

Pour RogueKiller et USB il faut attendre samedi... : desole, j'ai le DD mais pas l'ordi infecte sous la main (parents a la maison, moi en vacances ;) ) !

PS : QWERTY, pas d'accents...

jlpjlp · Answer

ok

effectivement j'ai testé un ordi autrichien et les accents n'y sont pas :)

a plus

[Malware] Tel.xls.exe - Rjump

12 réponses

Discussions similaires

Newsletters