Votre question

virus sacem / SABAM

Tags :
  • Windows defender
  • Malware
  • en quarantaine
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
4 Juin 2012 11:26:14


Je suis infecté par le malware SACEM (SABAM chez nous). Windows Defender Offline l'a repéré après un full scan (plus de 3h !). J'ai cliqué sur l'option clean mais au redémarage de ma session, toujours bloqué par la fenêtre du malware :-((

Pourriez-vous également m'aider ?
J'ai la liste des 3 trojan "removed" et du "exploit" mis en quarantaine par "Windows Defender Offline".

Meri d'avance.

Autres pages sur : virus sacem sabam

a b 8 Sécurité
4 Juin 2012 12:58:08

Bonjour,

Tu peux donner la liste des emplacements ?
Tu as accès à ton pc en mode sans échec ?
Contenus similaires
a b 8 Sécurité
4 Juin 2012 17:45:39

Merci d'utiliser la fonction répondre et pas crée un nouveau sujet à chaque fois.
Avant de démarrer, je te conseille d'enregistrer le script suivant dans un fichier texte afin de pouvoir le coller quand il le faudra.

  • Redémarre ton PC en utilisant le LiveCD venant d'etre créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    O3 - HKU\Administrator_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\aelbrecht_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\croisiaux_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\dmo_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O3 - HKU\malchair_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O4 - HKU\croisiaux_ON_C..\Run: [C0mDiXEtF1yrWmk] C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe (Adobe Systems, Incorporated)
    4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Adobe Acrobat Speed Launcher.lnk = C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe ()
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 255
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: consentpromptbehavioradmin = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: enableinstallerdetection = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: enablelua = 0
    O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: enablesecureuiapaths = 0
    O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: CDRAutoRun = 0
    O7 - HKU\Administrator_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
    O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
    O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowCpl = 1
    O7 - HKU\aelbrecht_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\aelbrechtadmin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\aelbrechtadmin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
    O7 - HKU\aelbrechtadmin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
    O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
    O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
    O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisallowCpl = 1
    O7 - HKU\croisiaux_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
    O7 - HKU\dmo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\dmo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoWelcomeScreen = 1
    O7 - HKU\dmo_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: DisablePersonalDirChange = 1
    O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\malchair_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145
    O20 - HKU\croisiaux_ON_C Winlogon: Shell - (C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe) - C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe (Adobe Systems, Incorporated)
    O20 - HKU\croisiaux_ON_C Winlogon: UserInit - (C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe) - C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe (Adobe Systems, Incorporated)
    [2012/06/03 11:43:50 | 000,279,552 | ---- | C] (Adobe Systems, Incorporated) -- C:\Documents and Settings\croisiaux\Application Data\TarArchiver.exe
    [2012/06/04 04:36:00 | 000,000,462 | -H-- | M] () -- C:\WINDOWS\tasks\User_Feed_Synchronization-{F13AFDB1-02DD-4413-9CBB-07404D1F3199}.job

    :reg
    [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="C:\\\WINDOWS\\\system32\\\userinit.exe,"
    "Shell"="explorer.exe"

    :Commands
    [purity]
    [emptytemp]


  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    &

    • Télécharge MalwareByte's Anti-Malware sur ton Bureau.
    • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
      Une fois l'installation et la mise à jour effectuées :
    • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
    • Afin de lancer la recherche, clic sur"Rechercher".
    • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
      - Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
      -- Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection".
    • Enregistre le rapport sur ton Bureau.
    • Poste ce rapport.

  • REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
    5 Juin 2012 10:18:20

    Un grand merci à toi.

    2 soucis : 1.je ne sais pas poster le résultat du fix run car le lien pour poster (http://www.cijoint.fr/) ne fonctionne pas.
    2. je ne sais pas pour l'instant télécharger "mbam-setup-1.61.0.1400.exe" car les éxécutables sont bloqués au téléchargement. Mais çà je devrais pouvoir le faire de mon autre PC à la maison ce soir et le copier sur clé USB, en espérant que le PC "infecté" accepte de lancer un fichier exécutable. Je suppose que je dois le lancer dans l'environnement Windows XP normal et non à partir de REATOGO.
    a b 8 Sécurité
    5 Juin 2012 15:27:45

    J'attends le rapport MBAM alors :) 
    6 Juin 2012 11:15:43

    Angeldark a dit :
    J'attends le rapport MBAM alors :) 


    Bon ben c'est la poisse : avant que je ne charge MBAM, une autre variante de ce virus vient m'infester (idem mais ce n'est plus la SABAM mais la police nationale, le reste est identique).
    Est-ce que je peux suivre exactement la même procédure et ensuite utiliser ton texte posté avec "Custom Scan/Fix" ?
    a b 8 Sécurité
    6 Juin 2012 11:25:20

    Faut faire attention 5min quoi...
    Refais un scan OTL avec extras stp.
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS