Malware FBIRésolu/Fermé

Question

Salut a tous moi j'ai un problème je regardais ma boite de réception quand soudain un malware du FBI (pas du tout français) est apparu. Alors j'ai déjà redémarré sans échec avec prise en charge du réseau mais rien a faire il réapparaît à chaque fois !! Impossible d'aller sur le bureau ou autre !!
Aidez moi svp !!

g3n-h@ckm@n · Answer

salut si tu demarres en invité de commandes ?

Megalest · Answer

c'est déjà fait j'ai essayer en tapant explorer sa ma afficher 3 secondes la barre de taches et pouff reapparition du malware :/

g3n-h@ckm@n · Answer

ben non tape pas explorer voyons !! ^^

====

tape regedit , le registre s'ouvre ?

Megalest · Answer

Parfait le registre s'ouvre et le malware ne s'affiche pas. Ensuite ?

g3n-h@ckm@n · Answer

reste calme lol

deplie avec les petits "+" 

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion 
\Winlogon

clique gauche sur winlogon

tableau de droite => supprime la valeur "Shell"

Megalest · Answer

ok manip faite ensuite ??

g3n-h@ckm@n · Answer

y'a-t-il une valeur userinit ?

Megalest · Answer

J'ai essayer de redem l'ordi mais au bout de 3 secondes le malware revient et ensuite la value "shell" se recréé. Help :(

Megalest · Answer

Aucune valeur userinit

Megalest · Answer

as tu skype si oui sa sera surment plus rapide ou alors ton numero de telephone si tu veux. (je ne le passerai à personne si tu me le donne merci d'avance :))

g3n-h@ckm@n · Answer

ok revire la valeur puis dans la fenetre noire tape :

cd "%Appdata%

donne la reponse

Megalest · Answer

sa ma changer le lien d'ecriture  du style avant : C:Windows\system32>
                                                                maintenant : C:Users\DENIS\Appata\Roaming>

g3n-h@ckm@n · Answer

ok tape dir *.dat

Megalest · Answer

Fichier introuvable ...

Megalest · Answer

Ok nan j'avais pas fait d'espace entre * .dat
Il me dit plein de truc et il y a deux fichiers trouvées

g3n-h@ckm@n · Answer

tape cd "Microsoft\Windows\start Menu\programs\startup" 

ensuite dir *.lnk 


  
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤

Megalest · Answer

Le chemin d'acces il doit y'avoir une erreur il n'est pas trouvable

Megalest · Answer

0 fichiers
2 rep(s)

g3n-h@ckm@n · Answer

?

tu as du mal orthographier

Megalest · Answer

bon ecoute tu as skype ou autre ?

Megalest · Answer

Bon je pense qu'il doit y avoir un probleme avec le chemin d'acces il est toujours sur AppData\Roaming\Microsoft\Windows\start Menu\programs\startup donc je pense que c'est pas sa ?

Megalest · Answer

Stp j'ai vraiment besoin d'aide :'(

Utilisateur anonyme · Answer

Bonsoir

Laisse lui le temps de manger ou de faire autre chose.
Nous ne sommes que des bénévoles et donc nous avons aussi une vie privée et professionnelle

@+

Megalest · Answer

No problem

juju666 · Answer

salut pour avancer

donc le curseur clignote bien derrière  AppData\Roaming\Microsoft\Windows\start Menu\programs\startup ?

si oui tape dir *.LNK

inscris nous les noms de fichiers qu'il trouve

Megalest · Answer

Re les gens oui a 02h du mat je dormais x)
Ok merci je vait faire avec LNK et je vous dit

Megalest · Answer

Ok ba sa me met 0 fichier et 2 Rèp(s)

g3n-h@ckm@n · Answer

bon on va tenter ca alors :

dans invité de commandes , tape %Windir%\system32\rstrui.exe et essaie de faire une restauration à une date antérieure à l'infection

Megalest · Answer

Restauration en cours ...

Megalest · Answer

Par contre c'est normal que a coter des dates de restauration il y avait sur TOUT mise a jour critique ??

g3n-h@ckm@n · Answer

tu crois que c'est fini ? lol

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)
 
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option [color=red][b]"Scan|Kill"[/b][/color]
 
si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :
 
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
 
Il se peut que des fenêtres noires clignotent , laisse-le travailler.

[b]l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.[/b]

Laisse l'outil redemarrer ton pc.
 
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Megalest · Answer

Voici le lien : https://www.cjoint.com/c/CCErCXBSKTb

juju666 · Answer

relance l'outil clique sur Diag et héberge le rapport Pre_Diag

Megalest · Answer

Le lien : https://www.cjoint.com/c/CCEsd6Oz57A

g3n-h@ckm@n · Answer

desinstalle adobe reader 9
desinstalle tout java

========================================

sélectionne ce texte , Puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}]    
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]  
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]   
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}] 
[HKCU\Software\Microsoft\windows\CurrentVersion\Uninstall\rencontreshard]

File|Fold::
C:\Users\DENIS\AppData\Local\Temp\Low\Fichiers Internet temporaires\Content.IE5\2WV45V51
C:\Users\DENIS\AppData\Local\Temp\Low\Fichiers Internet temporaires\Content.IE5\KBCBEB09
C:\Users\DENIS\AppData\Local\Temp\Low\Fichiers Internet temporaires\Content.IE5\OCOLVHTX
C:\Users\DENIS\AppData\Local\Temp\Low\Fichiers Internet temporaires\Content.IE5\ZOVK9LGK
C:\a669538437a05f47410f4fa51a89bd 
C:\Users\DENIS\AppData\Roaming\24B4BD3B 
C:\Users\DENIS\AppData\Local\{*} 
C:\Users\DENIS\AppData\Local\rencontreshard     
C:\Users\DENIS\AppData\Local\Temp\Low\*.tmp 
C:\Windows\System32\Tasks\CreateChoiceProcessTask         

Driver::
SYMDS
SYMEFA
SYMIRON
SYMNETS

Clean::

MBR::

Reboot::       
 
Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Megalest · Answer

Voici le lien :p https://www.cjoint.com/c/CCEs0pgHwHf

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Megalest · Answer

Voici le rapport : https://www.cjoint.com/c/CCEufxv1dCl

g3n-h@ckm@n · Answer

bien on dirait que tu n'as plus de soucis.....on fait le menage ?

Megalest · Answer

C'est a dire ??

g3n-h@ckm@n · Answer

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Malware FBI

41 réponses

Discussions similaires

Newsletters