Virus coriace...

Le
HD
Bonjour,

Je suis sur le cas d'un poste où j'ai des difficultés à virer le
virus/malware qui l'infecte.

Lorsque l'on va sur internet explorer et que l'on lance une recherche dans
Google, l'on clique sur un lien qui nous intéresse et là l'on est
redirigé vers un site de pub (généralement espagnol mais pas que).

L'antivirus sur le poste Microsoft Security Essentials a été désactivé par
le virus. Impossible de le réinstaller ou de le réactiver. Avast m'a trouvé
dans la corbeille le virus Trojan.FakeMS qu'il m'a vraissemblablement
bloqué en principe J'ai aussi installé Malwarebytes Anti-malware qui
lui ne me trouve rien sur le poste par contre il me bloque des tentatives
de connections sur l'adresse 217.23.9.247 en m'affichant qu'il s'agit d'une
adresse à bloquer. J'ai passé AdwCleaner sur le poste, il ne me trouve rien.
Je suis allé voir dans les processus de la machine, je ne trouve rien de
suspect et dans la base de registre (au moins sur les clés Run) rien de
suspect non plus. J'ai également tenté de restaurer un point de restauration
d'il y'a plus d'un mois et relancer les protections mais rien n'y fait le
virus reste. Je me suis dit également que les pubs venaient peut être d'un
module complémentaire d'Internet explorer mais tout est désactivé Je ne
vois pas comment il peut rediriger les clics sur les liens Au démarrage
du PC il me désactive la protection résidente d'Avast et il me faut alors le
relancer à la main

Avez vous déjà eu ce type de virus ? Et comment s'en débarrasser ? J'ai déjà
dépanné des postes qui avaient des virus ou des malwares mais là celui là
est très coriace

@+
HD
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Bruno S
Le #25522722
Le 03/07/2013 12:41, HD a écrit :
Bonjour,

Je suis sur le cas d'un poste où j'ai des difficultés à virer le
virus/malware qui l'infecte.

Lorsque l'on va sur internet explorer et que l'on lance une recherche dans
Google, l'on clique sur un lien qui nous intéresse et là... l'on est
redirigé vers un site de pub (généralement espagnol mais pas que...).

L'antivirus sur le poste Microsoft Security Essentials a été désactivé par
le virus. Impossible de le réinstaller ou de le réactiver. Avast m'a trouvé
dans la corbeille le virus Trojan.FakeMS qu'il m'a vraissemblablement
bloqué... en principe... J'ai aussi installé Malwarebytes Anti-malware qui
lui ne me trouve rien sur le poste... par contre il me bloque des tentatives
de connections sur l'adresse 217.23.9.247 en m'affichant qu'il s'agit d'une
adresse à bloquer. J'ai passé AdwCleaner sur le poste, il ne me trouve rien.
Je suis allé voir dans les processus de la machine, je ne trouve rien de
suspect... et dans la base de registre (au moins sur les clés Run) rien de
suspect non plus. J'ai également tenté de restaurer un point de restauration
d'il y'a plus d'un mois et relancer les protections mais rien n'y fait le
virus reste. Je me suis dit également que les pubs venaient peut être d'un
module complémentaire d'Internet explorer mais tout est désactivé... Je ne
vois pas comment il peut rediriger les clics sur les liens... Au démarrage
du PC il me désactive la protection résidente d'Avast et il me faut alors le
relancer à la main...

Avez vous déjà eu ce type de virus ? Et comment s'en débarrasser ? J'ai déjà
dépanné des postes qui avaient des virus ou des malwares mais là celui là
est très coriace...

@+
HD




Bonjour
Démarrer et analyser le PC avec le LiveCd de Kaspersky ?
ici ; http://support.kaspersky.com/fr/faq/?qid 8282174
HD
Le #25522942
Démarrer et analyser le PC avec le LiveCd de Kaspersky ?
ici ; http://support.kaspersky.com/fr/faq/?qid 8282174


Ok, je télécharge car j'ai toujours des tentatives de connexions à des sites
qui sont bloqués par "SpywareTerminator". Il doit donc encore y avoir un
truc qui traine...

Par contre, je n'ai plus de redirection de liens dans Internet Explorer...
En farfouillant, j'ai trouvé sur le répertoire:
C:DOCUMENTS AND SETTINGSnomsessionLOCAL
SETTINGSTempsvnylqpspmttrxwow.dll
Il m'a fallut forcer le paramétrage des sécurités NTFS car le
sous-répertoires svnylqp et ses éléments étaient cryptés + systèmes + cachés
+ en lecture... Les redirections étaient donc liés à wow.dll. Les antivirus
n'ont pas put le détecter vu que le virus étaient cryptés, je pense que les
antivirus n'ont pas la capacité d'analyser un fichier crypté... Je ne
pouvais moi même pas y accèder avant mes manips.

Dès que j'ai télécharger le fichier iso je lancerai une analyse sur le
poste.

@+
HD
HD
Le #25525072
Démarrer et analyser le PC avec le LiveCd de Kaspersky ?
ici ; http://support.kaspersky.com/fr/faq/?qid 8282174





Le live Cd de Kaspersky a réussi à me détecter le fichier que j'avai trouvé
dans %temp% :

C:DOCUMENTS AND SETTINGSnomsessionLOCAL
SETTINGSTempsvnylqpspmttrxwow.dll



Il a put le supprimer... par contre, il n'a rien trouvé d'autres... alors
que les tentatives de connexions continuaient...

J'ai ensuite testé "Rogue killer" qui... m'a trouvé un "ZeroAccess" avec des
entrées dans la base de registre qu'il m'a modifié:
HKLM[...]NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} qu'il a
supprimé
HKCU[...]PoliciesSystem : disableregistrytools = 0 qu'il m'a mis à 1
Avec tous les outils que j'ai testé il semblerait que seul Rogue killer a
put me sortir de cette infection...

J'espère ne plus avoir d'activité suspect sur le poste...

@+
HD
Publicité
Poster une réponse
Anonyme