attaque de Parite et de Hidrag

[brissouille]

Je n'avais plus d'antivirus et 2 virus se sont introduit (parite et hidrag), j'ai néttoyé avec F-secure mais les programme EXE d'exécution ne marche plus ainsi que tous les racourcis. Que faire ?????

[M@rie]

Bonsoir Brissouille

Fais un scan en ligne avec >>Panda<<

Puis utilise l'outil de Panda QuickRemover qui répare les dégats causés par ce virus. Informations et procédure détaillée ICI.

Tiens nous au courant.
@+

[brissouille]

Après 3 h d'analyse et plus 250000 fichier analysé cet handicapé de pc à rédémarer et voila tout à recommencer
J'en n'ai plein les

[M@rie]

Tu as beaucoup de fichiers .exe abimés?
Parce que Quick Remover permet de réparer les dégats causée par Parite mais pour Hidrag, la consigne est de réinstaller les applis touchées.
@+

[brissouille]

J'ai 85 fichiers infecté et pas trouvé Quikremove

[M@rie]

Dans ces 85 fichiers, tu as des fichiers Windows?
@+

[brissouille]

Voila le rapport d'analyse que j'ai envoyé à Panda et ma répondu que je n'avais pas de virus. Effectivement tu constateras qu'il y a des fichiers Windows. Je suis dans la

[url=http://legalfree2.free.fr/informatruc/log_virus/brissouille_01.txt]*******
Rapport
*******[/url]

[M@rie]

Bonjour

Les fichiers touchés par les virus se trouvent dans les répertoires de fichiers temporaires. Un bon nettoyage s'impose:
Redémarre le PC en mode sans échec et fais un peu de ménage.

C\temp\ <-- supprimer tout le contenu du dossier
C:\windows\temp\ <-- supprimer tout le contenu du dossier
C:\Documents and Settings\Tous les identifiants\Local Settings\Temp\<-- supprimer tout le contenu du dossier (utilisateurs Marina et Christophe)

(Ne supprime pas les dossiers eux-mêmes, mais tous les fichiers contenus.)

Ensuite va dans IE/Outils/Options internet
Dans le champ "Fichiers Internet Temporaires", tu cliques sur le bouton du mileu "Supprimer les fichiers".
Tu coches la petite case "Supprimer tout le contenu hors connexion" et tu valides par Ok.
Toujours dans IE/Outils/Options Internets, clique sur Effacer l'historique.

Vide la corbeille

Les autres alertes données par Panda concernent des logiciels publicitaires.
Télécharge Spybot et installe le. Dans le menu langage choisis French pour le franciser.
Clique sur Rechercher des mises à jour et sélectionne toutes les mises à jour qu'il te propose.

Télécharge AD-Aware SE. Installe le.
Ensuite télécharge le pack de langue et installe le.
Lance Ad-Aware SE et clique sur la petite roue dentée, en haut. Puis sur Interface (sur la gauche) et dans Language choisis Français et clique sur Proceed. Ton AD-Aware sera alors francisé. Là encore, fais une mise à jour de l'utilitaire.


En mode sans échec, lance Spybot, puis Ad-Aware SE (en choisissant pour ce dernier un scan complet du disque). Supprime tout ce que ces 2 logiciels trouvent. Puis redémarre l'ordi en mode normal.

Enfin pour terminer le travail sur les logiciels publicitaires et autres joyeusetés, télécharge le logiciel HijackThis, décompresse le. Crée un dossier HijackThis sur ton disque dur et fais un copier-coller du programme HijackThis.exe dans ce dossier.
Double-clique sur le programme et choisis Do a system scan and save a log file.
(Ne touche pas aux autres boutons et ne coche aucune case dans la fenêtre d'HijackThis).
@+
Fais un copier-coller du rapport dans le forum et on verra ce qu'il reste.

[brissouille]

voila le résultat après avoir suivi tes instructions (en gros pas facile)
[url=http://legalfree2.free.fr/informatruc/log_virus/brissouille_02.txt]
Logfile of HijackThis v1.99.1[/url]

[M@rie]

Désactive la restauration système
Dans Panneau de configuration/Système/onglet Restauration du système, cocher Désactiver la restauration du système sur tous les lecteurs.

Fais clic droit sur Poste de travail, puis Gérer, puis double-clic sur Services et Applications puis double-clic sur Services. Recherche le service nommé Power Manager (nom exact). Double clique sur ce service et sous statut du service clique sur Arrêter.

Ferme toutes les fenêtres de Internet Explorer et relance HijackThis.Coche les lignes suivantes.
R3 - URLSearchHook: (no name) - {CE000994-A58C-4441-8938-744CD72AB27F} - (no file)
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL
O2 - BHO: InstaFinderK - {4E7BD74F-2B8D-469E-90F0-F66AB581A933} - C:\PROGRA~1\INSTAF~1\INSTAF~1.DLL
Si tu ne connais pas la barre de recherche ActivImmo, coche la ligne suivante:
O3 - Toolbar: Activimmo - {4E7BD74F-2B8D-469E-DEF1-F078BD81B93C} - C:\WINDOWS\DOWNLO~1\actitool.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL
O4 - HKLM\..\RunServices: [CMD] cmd32.exe <-- virus P2P Tanked
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) <-- Web P2P Installer (Troyen?)
Si tu ne connais pas la barre de recherche ActivImmo coche la ligne suivante:
O16 - DPF: {4E7BD74F-2B8D-469E-DEF1-F078BD81B93C} (Activimmo) - http://www.toolbar.be/actitool.cab
O23 - Service: Power Manager (PowerManager) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

Supprime les fichiers ou répertoires suivants:
C:/Program Files/MyWay
C:/Program Files/InstaFinderK
C:/Windows/svchost.exe (Il existe un svchost.exe dans C:/Windows/System32, surtout ne supprime pas celui là, c'est un programme légitime de Windows)

Pour voir certains de ces fichiers, il te faudra afficher les fichiers cachés dans Options des dossiers du Panneau de Configuration.

Vide la corbeille et redémarre l'ordinateur. Poste un nouveau log.

@+