> Tous les forums > Forum Sécurité
 VIRUS WORM.KOOBFACESujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
chriis13
  Posté le 29/06/2011 @ 20:01 
Aller en bas de la page 
Petite astucienne

Bonjour,

Suite à une analyse avec malware, le logiciel a trouvé

6 fichiers infectés "worm.koobface"

Je les ai supprimé mais cela suffit -il ?

Merci pour vos réponses,

Publicité
cosmao
 Posté le 29/06/2011 à 22:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonsoir et bienvenue, {#}

P'tre que ça ne va pas suffire !

Tu t'informes ici sur koobface que tu connais peut-être ?

http://forum.malekal.com/net-worm-win32-koobface-sur-facebook-myspace-t14589.html

Et tu informes le helper qui voudra bien examiner ton cas, en préparant son travail, par le suivi de cette procédure formelle sur PCAstuces :

https://forum.pcastuces.com/sujet.asp?f=25&s=17490

Ciao

chriis13
 Posté le 30/06/2011 à 12:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Cosmao,

Je te remercie pour les infos et je vais commencer le travail pour le helper

@ + Merci

chriis13
 Posté le 30/06/2011 à 13:05 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : ZHPDiag.Txt

chriis13
 Posté le 30/06/2011 à 13:10 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Re,

Voici le rapport suite à l'analyse de malware

Merci encore pour l'aide {#}

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3097
Windows 5.1.2600 Service Pack 3

29/06/2011 19:01:51
mbam-log-2011-06-29 (19-01-51).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 258399
Temps écoulé: 4 hour(s), 10 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{5864E199-E068-480D-BF55-3BCEB0D80CFD}\RP1778\A0485701.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5864E199-E068-480D-BF55-3BCEB0D80CFD}\RP1778\A0485702.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5864E199-E068-480D-BF55-3BCEB0D80CFD}\RP1778\A0485703.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5864E199-E068-480D-BF55-3BCEB0D80CFD}\RP1799\A0498079.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5864E199-E068-480D-BF55-3BCEB0D80CFD}\RP1799\A0498080.exe (Worm.Koobface) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5864E199-E068-480D-BF55-3BCEB0D80CFD}\RP1799\A0498081.exe (Worm.Koobface) -> Quarantined and deleted successfully.

cosmao
 Posté le 30/06/2011 à 14:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Astucien

Bonjour,

j'ai la berlue ou bien ...

Nous en sommes à la version 6985 pour Malewarebytes et dans le format 1.51 !

Mettre à jour et refaire un scan rapide cette fois

Publier en copier-coller à nouveau ...

à plus

pear
 Posté le 30/06/2011 à 15:57 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Les infections Koobface installent souvent un proxy , empêchant une connexion normale
Désactivez le proxy
pour cela :
Sous Firefox
Menu Editions / Préférences puis onglet Avancés.
Cliquez sur Réseau et Paramètres.
Choisissez "Ne pas mettre de Proxy".
Sous Internet Explorer
menu Outils ->Options Internet.
Onglet Connexions ->Lan Settings puis en bas,décocher le proxy server.

Désactiver les protections résidentes ( Antivirus, etc...), vous les réactiverez ensuite,
Vous devez désactiver vos protections et ne savez pas comment faire

Sur PCA,En Français
Télécharger Lop S&D de Eric71
sur le bureau,

* Double-cliquer dessus pour lancer l'installation
* Puis double-cliquer sur le raccourci Lop S&D présent sur le bureau
* Séléctionner la langue souhaitée

puis choisir l'Option 1:Recherche

* En cas de blocage au démarrage
Démarrer / Exécuter / cmd
Copiez/collez, dans la fenêtre del /Q "%systemdrive%\Lop SD\osv.exe" & "%systemdrive%\Lop SD\lopsd.cmd"
et valider , il devrait se lancer tout seul ,
* Patienter jusqu'à la fin du scan
* Poster le rapport généré (C:\lopR.txt)
( Si le Bureau ne réapparait pas
presser Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , taper explorer.exe et valider )

Nettoyage
Relancer Lop S&D
* Choisir l'Option 2 :Suppression
* Ne fermez pas la fenêtre lors de la suppression !
* Poster le rapport généré (C:\lopR.txt)
(Si le Bureau ne réapparaît pas presser Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , taper explorer.exe et valider)

Téléchargez AD-Remover sur le bureau
image

Déconnectez-vous et fermez toutes les applications en cours
Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .
Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel
Cliquez sur "OUI"
Double cliquer sur l'icône Ad-remover sur le bureau
image
Au menu principal choisir l'optionScanner et Validez

Patientez pendant le travail de l'outil.
Poster le rapport qui apparait à la fin .
Il est sauvegardé aussi sous C:\Ad-report.log

Ensuite

Relancer Ad- remover , choisir l'option Nettoyer

Il y aura 2 rapports à poster après :Scanner et Nettoyer

Une fois la désinfrction terminée, mais pas avant:
désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.






Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Exécuter avec droits d'administrateur.
Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:
image
Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.
Une fois la mise à jour terminée, allez dans l'onglet Recherche.
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra



Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.


chriis13
 Posté le 30/06/2011 à 17:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : lopR.txt

chriis13
 Posté le 30/06/2011 à 17:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : lopR.txt

Publicité
chriis13
 Posté le 30/06/2011 à 17:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : Ad-Report-SCAN[1].txt

chriis13
 Posté le 30/06/2011 à 18:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Fichier joint : Ad-Report-CLEAN[1].txt

chriis13
 Posté le 30/06/2011 à 21:38 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir,

J'ai effectué ttes les manips Pear, voici le dernier rapport de MBAM,

merci pour ton aide

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6987

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/06/2011 21:32:29
mbam-log-2011-06-30 (21-32-29).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 315128
Temps écoulé: 3 heure(s), 13 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{B9FD8E0A-17E0-48de-AB1D-70DDAA35D577} (Adware.WebPerform) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{AB692F9B-27FE-4511-8885-ED62BB45197B} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\webperform.DLL (Adware.WebPerform) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\hp_propriétaire\mes documents\téléchargements\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.

pear
 Posté le 30/06/2011 à 22:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Oui,bien.

Encore quelque chose ?

La machine est ok ?

chriis13
 Posté le 30/06/2011 à 22:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Oui ca a l'air de mieux fonctionner, encore une chose, faut il que je remette l'option proxy dans firefox , comme c'était avant ou bien que je l'aisse comme ça.

En tout cas merci encore !

pear
 Posté le 30/06/2011 à 22:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Le proxy doit être désactivé à moins que vous en ayez besoin, mais c'est rare.

chriis13
 Posté le 30/06/2011 à 22:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Ok merci

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
339,99 €Ecran PC incurvé 31,5 pouces Gigabyte G32QC (QHD, 165 Hz) à 339,99 €
Valable jusqu'au 21 Juin

RueDuCommerce fait une promotion sur l'écran PC incurvé 31,5 pouces Gigabyte G32QC qui passe à 339,99 € au lieu de 399 €. Cet écran possède une dalle incurvée 32 pouces VA QHD (2560x1440) à 1 ms et à 165 Hz (FreeSync Premium et Adaptive Sync). Le jeu Outriders vous est également offert.


> Voir l'offre
59,99 €Souris sans fil Logitech G703 LIGHTSPEED à 59,99 €
Valable jusqu'au 21 Juin

Fnac fait une promotion sur la souris sans fil Logitech G703 qui passe à 59,99 € alors qu'on la trouve ailleurs à partir de 90 €. Elle intègre le capteur HERO de Logitech afin de vous offrir un suivi et une efficacité supérieurs. Sans fil, elle dispose de la technologie Lightspeed afin de vous permettre une réactivité et une connectivité de qualité professionnelle pour des sessions de jeu longue durée allant jusqu'à 35 heures. De plus, les courbes naturelles s'adaptent parfaitement à votre main alors que le poids amovible de 10 grammes vous permettra d'alourdir votre souris afin d'améliorer encore plus la prise en main.


> Voir l'offre
83,89 €SSD SanDisk Plus 1 To à 83,89 € livré
Valable jusqu'au 21 Juin

Amazon Espagne propose actuellement le SSD SanDisk Plus 1 To à 79,33 €. Comptez 4,56 € pour la livraison en France soit un total de 83,89 € livré. Une bonne affaire pour ce SSD très fiable et performant qui offre des débits de 530 Mo/s en lecture et 445 Mo/s en écriture. Il est garanti 3 ans. On le trouve ailleurs à partir de 95 €. 

Vous pouvez utiliser votre compte Amazon France sur Amazon ES et il n'y a pas de douane.


> Voir l'offre

Sujets relatifs
Virus Worm.Koobface
Virus Worm, Spyware.OnlineGames
virus/worm et pop up X
virus worm.win32.autorun.bhci
virus worm : win 32/pushbot.gen!C
worm Koobface et infection toolbars
virus Worm.Win32.Carrier.fk
Infection Worm KoobFace trouvé par MAM
worm koobface sur facebook
virus Net-Worm.Win32.Kido
Plus de sujets relatifs à VIRUS WORM.KOOBFACE
 > Tous les forums > Forum Sécurité