Votre question

Conbofix, que faire après l'analyse ?

Dernière réponse : dans Sécurité et virus
5 Juin 2013 17:36:48

Bonjour,

j'ai un virus sur mon pc (qui m'empêchait de faire les accents circonflexe et trëma) et après l'analyse faite par combofix ! ça remarche ! par contre il est préconisé de le supprimer de l'ordinateur après s'être débarrasé des fichiers en quarantaine. Hors je suppose qu'un simple clic droit-supprimer ne suffit pas pour les iradiquer complétement ? que dois je faire pour supprimer ces fichiers en 40aine avant de désintaller ComboFix ?

Autres pages sur : conbofix analyse

5 Juin 2013 23:15:25

Bonsoir,

On va regarder un peu ce qu'a détecté et supprimer Combofix si tu veux bien :

Poste moi le rapport, il se trouve ici C:\Combofix.txt


  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l
    Contenus similaires
    6 Juin 2013 09:07:05

    Correction, en faite le virus est toujours actif... il s'est remis sur les sessions qui se sont connectés ce matin. Misère de Misère
    Je crois qu'ils empruntent des noms de fichiers windows, j'ai un servises.exe.tmp et un wininit.exe.tmp dans mes documents alors qu'ils devraient etre sous le dossier WIndows sous C. Enfin d'après ce que j'ai compris... ( je suis pas très douée en informatique...)
    qu'en dites-vous ?
    m
    0
    l
    6 Juin 2013 11:04:35

    Re,

    Oui, ton système est encore bien infecté ...


    Préambule à toute désinfection :

    La désinfection demande l'utilisation d'outils et de procédures plus ou moins complexes, sensibles et potentiellement dangereux.
    Nous nous efforçons donc de traduire cela le plus clairement possible, néanmoins, il convient de respecter quelques conseils pour son bon déroulement :

  • Le PC infecté doit être utilisé le moins possible, mis à part pour les procédures et communiquer sur le forum.
  • Lis toujours l'intégralité des procédures avant de les entamer, ou sauvegarde-les (impression/ fichier texte).
    (En effet certaines circonstances pourraient t'empêcher de poursuivre la lecture, redémarrage de pc par exemple)
  • Réalise entièrement, précisément et dans l'ordre donné, les procédures demandées, sans cela tu risques de créer plus de problèmes que tu n'en résoudrais. Ne tente rien par toi-même sans nous en faire part avant !
  • N'hésite pas à poser toute question avant d'entamer les procédures, et rapporte immédiatement les problèmes rencontrés lors de celles-ci.


    Enfin, sache que la désinfection n'est terminée que lorsque la personne qui t'a pris en main te le dit.
    La disparition des symptômes ne signifie pas obligatoirement la disparition de l'infection !

    De plus, malgré nos précautions, un plantage du PC est toujours possible, il est donc conseillé dans la mesure du possible de sauvegarder le maximum de documents auparavant !


    On va nettoyer tout ça :


    /!\ Cette infection peut parfois dans son approche initiale voler les données stockées de l’utilisateur : mot de passe notamment, il convient donc dans les jours à venir de surveiller tous vos compte mail, réseaux sociaux et banque, et de modifier les mot de passe s'ils étaient enregistré dans vos navigateurs /!\

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    PRC - [2013/01/16 02:25:54 | 000,282,624 | -H-- | M] (Microsoft Corporation) -- C:\Users\f.valdemaire\wininit.exe
    PRC - [2013/01/16 02:25:32 | 000,282,624 | -H-- | M] (Microsoft Corporation) -- C:\Users\f.valdemaire\servise.exe
    IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=airmsd&cd=2XzuyEtN2Y1L1QzutDtDtCzyzyzy0Ezy0CzztB0EyC0BtD0CtN0D0Tzu0CyDtCzztN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1T1L1C1H1B1Q&cr=2109672531&ir=
    IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=airmsd&cd=2XzuyEtN2Y1L1QzutDtDtCzyzyzy0Ezy0CzztB0EyC0BtD0CtN0D0Tzu0CyDtCzztN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1T1L1C1H1B1Q&cr=2109672531&ir=
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://start.mysearchdial.com/?f=1&a=airmsd&cd=2XzuyEtN2Y1L1QzutDtDtCzyzyzy0Ezy0CzztB0EyC0BtD0CtN0D0Tzu0CyDtCzztN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1T1L1C1H1B1Q&cr=2109672531&ir=
    IE - HKLM\..\SearchScopes,DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://start.mysearchdial.com/results.php?f=4&q={searchTerms}&a=airmsd&cd=2XzuyEtN2Y1L1QzutDtDtCzyzyzy0Ezy0CzztB0EyC0BtD0CtN0D0Tzu0CyDtCzztN1L2XzutBtFtBtFtCtFyCtCzztN1L1Czu1T1L1C1H1B1Q&cr=2109672531&ir=
    CHR - Extension: EEboooykBrOwse = C:\Users\f.valdemaire\AppData\Local\Google\Chrome\User Data\Default\Extensions\fjopfnhbecdphdagnlelhfodnlmfckbj\1\
    CHR - Extension: conteinuuetosaVae = C:\Users\f.valdemaire\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmlgmpgoepofjeaafjlecmmlbgcmlpfa\1\
    O3 - HKU\S-1-5-21-323104389-2767949132-1549182601-1108\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O4 - HKLM..\Run: [bba44b6a55dfc1a0311c191a81b58cb0] C:\Users\f.valdemaire\wininit.exe (Microsoft Corporation)
    O4 - HKLM..\Run: [fd867c2f323a0799cae6e9a9f33ba20b] C:\Users\f.valdemaire\servise.exe (Microsoft Corporation)
    O4 - HKU\S-1-5-21-323104389-2767949132-1549182601-1108..\Run: [bba44b6a55dfc1a0311c191a81b58cb0] C:\Users\f.valdemaire\wininit.exe (Microsoft Corporation)
    O4 - HKU\S-1-5-21-323104389-2767949132-1549182601-1108..\Run: [fd867c2f323a0799cae6e9a9f33ba20b] C:\Users\f.valdemaire\servise.exe (Microsoft Corporation)
    O4 - Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bba44b6a55dfc1a0311c191a81b58cb0.exe (Microsoft Corporation)
    O4 - Startup: C:\Users\Administrateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fd867c2f323a0799cae6e9a9f33ba20b.exe (Microsoft Corporation)
    O4 - Startup: C:\Users\f.valdemaire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bba44b6a55dfc1a0311c191a81b58cb0.exe (Microsoft Corporation)
    O4 - Startup: C:\Users\f.valdemaire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fd867c2f323a0799cae6e9a9f33ba20b.exe (Microsoft Corporation)
    O4 - Startup: C:\Users\m.figueiredo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bba44b6a55dfc1a0311c191a81b58cb0.exe (Microsoft Corporation)
    O4 - Startup: C:\Users\m.figueiredo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fd867c2f323a0799cae6e9a9f33ba20b.exe (Microsoft Corporation)
    O4 - Startup: C:\Users\r.charton\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bba44b6a55dfc1a0311c191a81b58cb0.exe (Microsoft Corporation)
    O4 - Startup: C:\Users\r.charton\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fd867c2f323a0799cae6e9a9f33ba20b.exe (Microsoft Corporation)
    [2013/05/15 08:56:22 | 000,282,624 | -H-- | C] (Microsoft Corporation) -- C:\Users\f.valdemaire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fd867c2f323a0799cae6e9a9f33ba20b.exe
    [2013/05/15 08:56:22 | 000,282,624 | -H-- | C] (Microsoft Corporation) -- C:\Users\f.valdemaire\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bba44b6a55dfc1a0311c191a81b58cb0.exe
    [2013/05/15 08:56:21 | 000,282,624 | -H-- | C] (Microsoft Corporation) -- C:\Users\f.valdemaire\wininit.exe
    [2013/05/15 08:56:21 | 000,282,624 | -H-- | C] (Microsoft Corporation) -- C:\Users\f.valdemaire\servise.exe
    [2 C:\Users\f.valdemaire\*.tmp files -> C:\Users\f.valdemaire\*.tmp -> ]
    [1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]
    @Alternate Data Stream - 146 bytes -> C:\ProgramData\TEMP:D346F792
    @Alternate Data Stream - 122 bytes -> C:\ProgramData\TEMP:373E1720

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{011E9CE7-9AA4-4401-9929-C3B653F39A19}"=-
    "{124DC013-CC12-47A7-AFD4-41A741F2EEC1}"=-
    "{15FE4ED8-AA3E-4950-A00F-936A9FBD326E}"=-
    "{20524832-680B-4D82-AFEB-F2CBC4ED0898}"=-
    "{226A30C9-1EDE-49ED-9CFD-578FB3BD61D5}"=-
    "{288D0E73-2E46-477F-8727-A5D08CDD14FD}"=-
    "{2BE182A5-481E-4B8A-AF2B-AAFEC098FF90}"=-
    "{3138571C-E13A-4D38-AC52-E9B0BCEF5E80}"=-
    "{3940C038-AD0C-4345-A81C-9CE6D81FD5A9}"=-
    "{39E8A6B9-13D9-4064-A9DD-883EEC92B9A3}"=-
    "{3C39FD38-3BB2-4A43-9F2A-D55BE94F2FE8}"=-
    "{4427A583-EF3E-4B11-BDD4-5D8EC5CAEB0E}"=-
    "{4B3155EE-75CF-4050-A6A7-FA61309B8298}"=-
    "{51FCFCF1-CA21-4EA9-B53C-C32BE17EEF4A}"=-
    "{594E44CA-1FF4-461A-8D50-1404E5BB6049}"=-
    "{64E66095-383B-4AA9-AC90-3E56626618AA}"=-
    "{669F4843-C1FC-40FA-ABAB-D9B67DF27073}"=-
    "{6AF01511-CAA3-443D-AF9E-4AB5AE9F3932}"=-
    "{6C1BA66B-2A1B-4AFF-9129-1BA894F38B23}"=-
    "{83D6AE6D-671E-4532-959A-C8CF0F3D9AFC}"=-
    "{9A2C779C-3593-476B-A8F9-8C6CD1154CEB}"=-
    "{9FB05882-6ADF-4C3F-88E6-C18538EF4089}"=-
    "{A75F5293-A3FA-4EAD-8282-A3F58BF88376}"=-
    "{B0F0773E-7575-41AC-855D-5ACB004C8C98}"=-
    "{B57CDDD5-5842-476C-AD79-27184B4A4CCB}"=-
    "{C39FA3B8-6EB0-48AD-A3D6-8DE09F3744FF}"=-
    "{DC654B70-CF99-44AE-9EC8-65055E86A6C9}"=-
    "{E5E62CE3-C9D9-4D7A-98DD-89F4194AEB37}"=-
    "{FAA92349-E9EC-4191-88F1-2B87F3AF7892}"=-
    "{FF4757CA-5CD6-40F3-A7F5-AD985255DF0D}"=-

    :Files
    ipconfig /flushdns /c
    c:\users\f.valdemaire\servise.exe
    c:\users\r.charton\servise.exe
    c:\users\administrateur\servise.exe
    c:\users\m.figueiredo\servise.exe
    c:\users\m.figueiredo\appdata\local\temp\photo27.exe
    c:\users\r.charton\appdata\local\temp\photo27.exe
    c:\users\f.valdemaire\wininit.exe
    c:\users\m.figueiredo\wininit.exe
    c:\users\r.charton\wininit.exe
    c:\users\administrateur\wininit.exe

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    6 Juin 2013 11:18:17

    Une toute petite question avant d'attaquer ces correctifs : les scans que je vous ais envoyés sont fait sur une session d'un poste précis. Or, en faite différentes sessions sont infectés et sur plusieurs postes comme ci le(s) virus s'était propagé entre les postes via nos sessions et peut etre sur le réseau en entier. Faut-il intervenir sur le serveur ou simplement en administrateur sur chaque poste ou depuis chaque session ?
    m
    0
    l
    6 Juin 2013 11:24:05

    Re,

    Le correctif que j'ai fait traite l'ensemble des sessions (cela se voit au dossiers utilisateurs), mais de ce pc seulement.
    Il suffit de le faire depuis la même session que celle ou le scan a été fait.
    Après, je ne peux certifier que le serveur ou d'autre pc sur le réseau n'ont pas été infecté.

    Attention, là nous sommes face à des infections dangereuse, qui montre que ce réseau et ses utilisateurs n'ont pas respecté certaines règles de sécurité.

    S'il existe un service informatique, vous devriez revoir avec eux la protection et les règles de sécurité pour les utilisateurs ...
    m
    0
    l
    6 Juin 2013 11:48:02

    Voilà les correctifs opérés !
    le rapport ici : http://up.security-x.fr/file.php?h=R51a15865bfcc4a88264...
    Sur ma sessions le problème des accents est résolu
    j'ai encore les fichiers servises.exe.tmp et wininit.exe.tmp sur deux sessions apparemment alors que sur les autres ils ont été supprimés. (pour ce qui est de ces deux fichiers)
    m
    0
    l
    6 Juin 2013 11:59:15

    Re,

    Ce sont des sessions parmi celles-ci ?

    administrateur/f.valdemaire/m.figueiredo/r.charton

    J'ai traité ces quatre là.

    à faire aussi :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    6 Juin 2013 12:08:30

    administrateur
    f.valdemaire
    r.charton
    m.figueiredo
    m.mangin
    p.bassinet
    mais ces deux dernières ne semblent pas infectées (elles se connectent jamais sur les postes contaminés)

    celle de r.charton est encore contaminée. pas d'accent circonflexe ou en double

    et c'est la seule ou il reste ces fameux deux fichiers bizarres dans son profil
    faut-il refaire un scan depuis cette session ?
    j'ai pas répondu à la question tout à l'heure sur un éventuel service informatique. Disons que restrictions de budgets oblige, pas d'aide, pas de sous, c'est à la débrouille...
    C'est un vrai soucis. heureusement que les collectifs informatiques sont là, heureusement que vous etes là...
    m
    0
    l
    6 Juin 2013 12:10:24

    Flute j'en ai oublié L'anti malware. J'ai fais un scan complet hier et il ne détecte rien de rien. faut-il que je recommence au cas où ?
    m
    0
    l
    6 Juin 2013 14:17:58

    Re,

    Oui, en le mettant à jour comme indiqué dans la procédure, et en scan complet ;) 

    Pour la session encore infectée, refais un scan OTL dessus et fournis moi les rapports :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    servise.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    dir C:\ /S /A:L /C
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    7 Juin 2013 10:07:44

    VOilà
    l'analyse avec MAlware bytes terminé. il n'a rien trouvé.
    http://up.security-x.fr/file.php?h=R7ab6e3edb141a437825...
    Et ce matin, ma session est de nouveau contaminée. PLus d'accent circonflexe.
    Je crois que l'intervention d'un service informatique devient nécessaire...
    Y a til des risques de poster des rapports en ligne ? sont-ils chronodégradables ?
    m
    0
    l
    7 Juin 2013 10:18:56

    Re,

    Le problème est que si l'infection provient d'un fichier sur le serveur, il reviendra sur tous les postes à chaque fois ...

    Et normalement nous n'intervenons pas sur les pc professionnels et serveurs pro. (pour des raisons légales notamment)

    Cela peut aussi provenir d'un fichier/programme contaminé que les utilisateurs relance à chaque fois.

    Donc on va tourner en rond ...

    Chaque pc du réseau doit être isolé et déconnecté, puis le serveur vérifié et désinfecté au besoin, puis chaque pc et chaque session individuellement avant d'être reconnecté au serveur.

    :jap: 
    m
    0
    l
    7 Juin 2013 10:37:24

    Oui, bien sur c'est normal !
    Je prends bonne note de tous ces conseils et je vous remercie pour tout !

    Qu'en est il pour les rapports en ligne ? on peut les laisser où il faut les supprimer ?
    m
    0
    l
    7 Juin 2013 12:08:41

    Re,

    Ils ne contiennent aucune information sensible si ce n'est le nom des sessions et donc des utilisateur, mais bon ...
    Si tu le souhaites vraiment je peux les faire supprimer, mais comme je disais y'a rien de compromettant.

    Lorsque tu auras finis avec les désinfection, tu pourra supprimer OTL comme ceci :

    Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Désolé de n'avoir pu mener à bien cette désinfection, mais c'est le problème avec les pc pro en réseau ...

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    8 Juin 2013 09:34:12

    Merci quand meme pour tout ça !
    je prends bonne note de ces dernières informations. Par contre, je n'ai pas trouvé comment désinstaller COmbofix ?
    Un dernier conseil ?
    m
    0
    l
    8 Juin 2013 10:16:40

    Re,

    La suppression d'OTL comme indiqué fera aussi le ménage de Combofix ;) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS