virus sacem / SABAM
Dernière réponse : dans Sécurité et virus
Danlebelge
4 Juin 2012 11:26:14
Je suis infecté par le malware SACEM (SABAM chez nous). Windows Defender Offline l'a repéré après un full scan (plus de 3h !). J'ai cliqué sur l'option clean mais au redémarage de ma session, toujours bloqué par la fenêtre du malware :-((
Pourriez-vous également m'aider ?
J'ai la liste des 3 trojan "removed" et du "exploit" mis en quarantaine par "Windows Defender Offline".
Meri d'avance.
Autres pages sur : virus sacem sabam
Danlebelge
4 Juin 2012 15:56:13
J'ai créé un nouveau sujet, avec les infos (résultat de OTL) : "virus SACEM, le OTL.txt"
http://www.infos-du-net.com/forum/id-2134515/virus-sace...
Merci de votre aide.
http://www.infos-du-net.com/forum/id-2134515/virus-sace...
Merci de votre aide.
Merci d'utiliser la fonction répondre et pas crée un nouveau sujet à chaque fois.
Avant de démarrer, je te conseille d'enregistrer le script suivant dans un fichier texte afin de pouvoir le coller quand il le faudra.
Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
Ton système doit montrer un bureau REATOGO-X-PE
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
Double-clique sur l'icône OTLPE
Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
L'outil OTL doit se lancer maintenant
Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"
:OTL
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\aelbrecht_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\croisiaux_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\dmo_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\malchair_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\croisiaux_ON_C..\Run: [C0mDiXEtF1yrWmk] C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe (Adobe Systems, Incorporated)
4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: consentpromptbehavioradmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: enableinstallerdetection = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: enablelua = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: enablesecureuiapaths = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: CDRAutoRun = 0
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowCpl = 1
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\aelbrechtadmin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\aelbrechtadmin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O7 - HKU\aelbrechtadmin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowCpl = 1
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\dmo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\dmo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O7 - HKU\dmo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\malchair_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKU\croisiaux_ON_C Winlogon: Shell - (C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe) - C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe (Adobe Systems, Incorporated)
O20 - HKU\croisiaux_ON_C Winlogon: UserInit - (C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe) - C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe (Adobe Systems, Incorporated)
[2012/06/03 11:43:50 | 000,279,552 | ---- | C] (Adobe Systems, Incorporated) -- C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe
[2012/06/04 04:36:00 | 000,000,462 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{F13AFDB1-02DD-4413-9CBB-07404D1F3199}.job
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\\WINDOWS\\\system32\\\userinit.exe,"
"Shell"="explorer.exe"
:Commands
[purity]
[emptytemp]
Cliques alors sur "Run Fix"
Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
Poste la contenu du rapport dans ta prochaine réponse.
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
&
REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Avant de démarrer, je te conseille d'enregistrer le script suivant dans un fichier texte afin de pouvoir le coller quand il le faudra.
Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.
:OTL
O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\aelbrecht_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\croisiaux_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\dmo_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\malchair_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\croisiaux_ON_C..\Run: [C0mDiXEtF1yrWmk] C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe (Adobe Systems, Incorporated)
4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: consentpromptbehavioradmin = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: enableinstallerdetection = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: enablelua = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: enablesecureuiapaths = 0
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: CDRAutoRun = 0
O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowCpl = 1
O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\aelbrechtadmin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\aelbrechtadmin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O7 - HKU\aelbrechtadmin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowCpl = 1
O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\dmo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\dmo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
O7 - HKU\dmo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\malchair_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
O20 - HKU\croisiaux_ON_C Winlogon: Shell - (C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe) - C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe (Adobe Systems, Incorporated)
O20 - HKU\croisiaux_ON_C Winlogon: UserInit - (C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe) - C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe (Adobe Systems, Incorporated)
[2012/06/03 11:43:50 | 000,279,552 | ---- | C] (Adobe Systems, Incorporated) -- C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe
[2012/06/04 04:36:00 | 000,000,462 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{F13AFDB1-02DD-4413-9CBB-07404D1F3199}.job
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\\WINDOWS\\\system32\\\userinit.exe,"
"Shell"="explorer.exe"
:Commands
[purity]
[emptytemp]
Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
&
- Télécharge MalwareByte's Anti-Malware sur ton Bureau.
- Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
Une fois l'installation et la mise à jour effectuées :
- Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
- Afin de lancer la recherche, clic sur"Rechercher".
- Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
- Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
-- Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection".
- Enregistre le rapport sur ton Bureau.
- Poste ce rapport.
REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
Danlebelge
5 Juin 2012 10:18:20
Un grand merci à toi.
2 soucis : 1.je ne sais pas poster le résultat du fix run car le lien pour poster (http://www.cijoint.fr/) ne fonctionne pas.
2. je ne sais pas pour l'instant télécharger "mbam-setup-1.61.0.1400.exe" car les éxécutables sont bloqués au téléchargement. Mais çà je devrais pouvoir le faire de mon autre PC à la maison ce soir et le copier sur clé USB, en espérant que le PC "infecté" accepte de lancer un fichier exécutable. Je suppose que je dois le lancer dans l'environnement Windows XP normal et non à partir de REATOGO.
2 soucis : 1.je ne sais pas poster le résultat du fix run car le lien pour poster (http://www.cijoint.fr/) ne fonctionne pas.
2. je ne sais pas pour l'instant télécharger "mbam-setup-1.61.0.1400.exe" car les éxécutables sont bloqués au téléchargement. Mais çà je devrais pouvoir le faire de mon autre PC à la maison ce soir et le copier sur clé USB, en espérant que le PC "infecté" accepte de lancer un fichier exécutable. Je suppose que je dois le lancer dans l'environnement Windows XP normal et non à partir de REATOGO.
Pour le rapport tu as ce site : http://pjjoint.malekal.com/
Tu as accès à ton bureau en mode normal maintenant ?
Tu as accès à ton bureau en mode normal maintenant ?
Danlebelge
5 Juin 2012 15:07:40
voici le lien : http://pjjoint.malekal.com/files.php?id=20120605_l10h11...
Oui, tu es formidable, j'ai retrouvé mon bureau comme avant :-)))
Je continue la procédure avec MalwareByte's Anti-Malware dès ce soir.
Oui, tu es formidable, j'ai retrouvé mon bureau comme avant :-)))
Je continue la procédure avec MalwareByte's Anti-Malware dès ce soir.
Danlebelge
6 Juin 2012 11:15:43
Angeldark a dit :
J'attends le rapport MBAM alors 
Bon ben c'est la poisse : avant que je ne charge MBAM, une autre variante de ce virus vient m'infester (idem mais ce n'est plus la SABAM mais la police nationale, le reste est identique).
Est-ce que je peux suivre exactement la même procédure et ensuite utiliser ton texte posté avec "Custom Scan/Fix" ?
