Loa en détresse

Voilà, Loa est infectée par un rootkit nommé "Live Enterprise Suite" (chantage au payement pour débloquer le pc). Elle appelle os court comme elle peut.
Voilà ma réponse, mais je ne suis plus au courant des nouveautés sous Windows. Donc si quelqu'un a une meilleure idée, à vot' bon cœur m'sieurs-dames.

Bon, j'ai beaucoup perdu en windowsitude, mais j'ai cherché et trouvé ceci :

http://www.free-av.com/en/tools/12/avira_antivir_rescue_system.html
Tu télécharges cette image de cd (sur un autre pc de préférence) et tu le graves en cliquant sur l'exécutable. Puis tu démarres ton pc avec ce live-cd créé et il le scannera.

ftp://ftp.drweb.com/pub/drweb/livecd/
LiveCD-5.0.2-en.pdf est l'explication en anglais (l'autre est en russe).
minDrWebLiveCD-5.0.2.iso est l'image iso d'un live cd de désinfection (comme l'avira) qu'il faut télécharger puis graver. Là aussi tu démarres ton pc avec le live-cd pour désinfecter.

Il y a d'autres possibilités proposées sur http://www.libellules.ch/dotclear/index.php?category/Anti-rootkit .

Yop,

J'ai pas trop pigé, mais soit je réponds, parce que je ne sais pas si c'est une coïncidence, ou si c'est le même problème....

Ce matin en ouvrant mon pc, j'ai été confronté à un blocage aussi , bizarrement tout marchait sauf l"accès à internet...Après plusieurs Reset de mon modem, voilà que monsieur m'affiche un Ordre de payement avec demande de n° de carte bancaire, si je voulais revoir mes potes. Un payement de 16.75€ du mois de Mai 2010 très suspect même puisque le montant ne couvre même pas mon forfait, et, je vous fais grâce des appels téléphoniques via la Tunisie qui agrémentent ce dernier Donc resuspect ...j'appelle pour y voir plus clair, pas moyen d'avoir ces gugusses, je me résigne donc à fermer mon ordi dans l'optic de les rappeler plus tard ( il était pas question que je refile mon n° de carte à la pouffiasse )...Quand, quand ....j'ai vu en bas de la page en question que je pouvais reporter momentanément le payement ......

J'en saurai plus demain en les rappelant Et je vais aller cogner à la fenêtre Msneuuuu de mon amour d'helpeur pour y voir plus clair coté rootkit...après tout c'est son boulot ça

Voilou, je sais pas si c'est du même style que Loa, entuka c'est vraiment zarbi cette histoire

Non, Beautty !!

Ne donne JAMAIS ton n° de carte comme ça. Même ta banque ne devrait pas te le demander, en fait. Et encore moins ton n° de code. Contacte-les et tu sauras quoi, mais évite toute transaction dont tu n'es pas sûre.

Par contre, à vue de nez, ça n'a pas l'air d'être un rootkit.

Nondidiou ! Je suis nul en désinfection ... et notre ami ravioli qui n'est plus là pour nous aider
Je n'ai jamais récupéré de "crasses" et de ce fait, je n'ai aucune expérience en la matière

Je vais jeter un coup d'œil en face (dans "virus et sécurité") pour savoir si le problème est connu.

Edit : Si not'marin passe par ici, il aura surement des solutions à proposer

Salut les filles

J'ai un peu arrêté la désinfecte, mais bon...

Essayez déjà de passer un coup de MBAM ( mis a jour, ça peut le faire )

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Suivant les résultats du scan, on avisera

MBAM devrait faire l'affaire
http://www.bleepingcomputer.com/virus-removal/remove-live-enterprise-suite

Surtout, faire la Mise a jour avant le scan :pirat:

c'est bon, j'ai réussi à passer à travers toutes les imitations de google qui me crient plein de choses dans un mélange d'anglais et de polonais

là, ils m'envoient 6 fenetres pour me dire que j'ai violé leur accès

JE NE LACHERAI PAS UN KOPEK, quitte à reformater mon pc,


En fait cela peut arriver à tout le monde cela, ils imitent le bouclier windows pour te dire que tu as des virus, comme une andouille, j'ai cliqué machinalement dessus...

sinon, je suis allée voir pour payer (sans l'intention de le faire) en remplissant des informations bidons en espérant que ca leur parvienne..

nom : JETANMERDE

prénom : j'insiste

adresse : iveuossimonslip LENFOIRé ?

numéro de carte master card : 00000000666

date de validité : 21 décembre 2012


nota bene : je suis fachée là, le pirate se trouverait devant moi, il pourrait compter ses dents le type après

Viens m'escroquer sur mon paillasson, spice de lâche !

Ah c'est malin ! Du coup tu leur as validé ton ip pour une éventuelle zombification de ton pc !

Une mbr propre peut être reconstituée par un fdisk /mbr
http://support.microsoft.com/kb/69013/fr

YES !!!! C EST TOUT BON, :chat 10:


j'ai fait comme me l'a conseillé gabier, j'ai gravé sur un autre pc, puis scanné, puis eradiqué l'infame et ses infectations multiples..


je suis clean comme un bébé qui vient de naitre !!!


merci à vous tous

Edit : je pense que fixmbr c: ne fonctionnera que si elle n'a qu'un seul disque dur avec une seule partition, c'est une commande qui agit sur le mbr, donc le disque et pas la partition. Mais fixmbr est équivalent à fdisk /mbr. La différence est qu'il faut faire un fixboot après fixmbr. A confirmer par un(e) windowsien(ne)

y'a rien de pollué ca va rien de cassé...

je ne sais pas ce qu'ils ont en ce moment mais ca y va fort le chantage à la carte bleue...

beautty, essaye de télécharger "malwarebytes" c'est gratuit et ca nettoie tout nickel... (je l'avais avant mais désinstallé pake j'ai avira et spybot), mais c'est bien puissant

l'a raison le marin, c'est le top


oui gabier, je garderai l'oeil ouvert tout grand

Loa tse a écrit:
beautty, essaye de télécharger "malwarebytes" c'est gratuit et ca nettoie tout nickel... (je l'avais avant mais désinstallé pake j'ai avira et spybot), mais c'est bien puissant

l'a raison le marin, c'est le top


oui gabier, je garderai l'oeil ouvert tout grand

Loa, chacun a une fonction spécifique...

MBAM a un bon résau de remontées, donc il est très efficace...

Avira est très bien, mais faut aussi avoir un parefeu ( autre que celui de Windaube )

Perso, j'ai Avira couplé a COMODO, aucun soucis... :pirat:

Pour vérifier, dès que tu as le temps, poste moi un repport de scan Avira stp.

Lance le, fait la MàJ en faisant un clic droit sur le parapluie
Clique ensuite sur " Start Update "
Laisse le faire la MàJ.

Ensuite :

Redémarre en mode sans échec !
comment demarrer en mode sans echec en images
Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

- Ouvre Antivir par le menu Démarrer / Programmes
- Cliquez sur l'onglet Scanner.
- Sélectionne Manual Selection
- Sélectionne le disque C
- Lance le scan - Mets en quarantaine tous les éléments détectés.
- Une fois le scan terminé Enregistre le rapport.

Redémarre en mode normal.

Poste le rapport ici.

Yop Loa, contente de constater ta renaissance

Lu tout le monde....

Je file, j'ai une réunion de derme, qui comme d'habitude ne fera avancer aucun chimnblick à part le fait de nous faire perdre notre temps, et tout cela couplé avec une migraine qui décampe pas, z'ont intérêt à se tenir à carreaux aujourd'hui, parole de pirate

coucou beautty, contente d'être parmi vous

le marin, scuze moi, j'étions parti faire une sieste là.......

je suis en train de scanner le disque dur là avec avira.. là il faut que je file acheter le gateau d'anniversaire de fille cadette, merci pour ton aide.. (je poste dés que je peux le résultat du scan...)

démarrer en mode sans echec, je l'ai fait quand j'ai été infestée.. mais bon, c'était trottoir.

vala le pavé !



Avira AntiVir Personal
Date de création du fichier de rapport : mardi 4 mai 2010 16:46

La recherche porte sur 2069270 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : user
Nom de l'ordinateur : PCBUREAU

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 24/01/2010 21:51:43
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 21:51:42
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 21:51:42
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 21:51:42
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 21:34:50
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 21:33:57
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 20:35:15
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 20:35:15
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 20:35:15
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 20:35:15
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 20:35:15
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 20:35:15
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 20:35:15
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 20:35:15
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 20:35:15
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 20:35:12
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 20:35:14
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 20:35:20
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 20:35:25
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 20:35:32
VBASE019.VDF : 7.10.7.2 155648 Bytes 30/04/2010 20:35:33
VBASE020.VDF : 7.10.7.3 2048 Bytes 30/04/2010 20:35:33
VBASE021.VDF : 7.10.7.4 2048 Bytes 30/04/2010 20:35:33
VBASE022.VDF : 7.10.7.5 2048 Bytes 30/04/2010 20:35:33
VBASE023.VDF : 7.10.7.6 2048 Bytes 30/04/2010 20:35:33
VBASE024.VDF : 7.10.7.7 2048 Bytes 30/04/2010 20:35:33
VBASE025.VDF : 7.10.7.8 2048 Bytes 30/04/2010 20:35:33
VBASE026.VDF : 7.10.7.9 2048 Bytes 30/04/2010 20:35:34
VBASE027.VDF : 7.10.7.10 2048 Bytes 30/04/2010 20:35:34
VBASE028.VDF : 7.10.7.11 2048 Bytes 30/04/2010 20:35:34
VBASE029.VDF : 7.10.7.12 2048 Bytes 30/04/2010 20:35:34
VBASE030.VDF : 7.10.7.13 2048 Bytes 30/04/2010 20:35:34
VBASE031.VDF : 7.10.7.24 131584 Bytes 04/05/2010 09:56:47
Version du moteur : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 23/04/2010 20:35:25
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 23/04/2010 20:35:25
AESCN.DLL : 8.1.5.0 127347 Bytes 25/02/2010 21:33:32
AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 20:35:25
AERDL.DLL : 8.1.4.6 541043 Bytes 17/04/2010 20:35:23
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 21:34:17
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 18/03/2010 21:34:25
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 17/04/2010 20:35:22
AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 20:34:37
AEGEN.DLL : 8.1.3.7 373106 Bytes 17/04/2010 20:35:17
AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 20:35:23
AECORE.DLL : 8.1.13.1 188790 Bytes 01/04/2010 20:34:36
AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 20:35:22
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 24/01/2010 21:51:43
AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 21:33:37
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 24/01/2010 21:51:42
RCTEXT.DLL : 9.0.73.0 88321 Bytes 24/01/2010 21:51:42

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Disques durs locaux
Fichier de configuration......................: c:\program files\avira\antivir desktop\alldiscs.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: arrêt
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : mardi 4 mai 2010 16:46

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iexplore.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.bin' - '1' module(s) sont contrôlés
Processus de recherche 'soffice.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WlanCU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'COCIManager.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LWS.exe' - '1' module(s) sont contrôlés
Processus de recherche 'rundll32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LVPrcSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'42' processus ont été contrôlés avec '42' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD2
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD3
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD4
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '60' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.


Fin de la recherche : mardi 4 mai 2010 17:14
Temps nécessaire: 28:12 Minute(s)

La recherche a été effectuée intégralement

5733 Les répertoires ont été contrôlés
412821 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
412820 Fichiers non infectés
3073 Les archives ont été contrôlées
1 Avertissements
1 Consignes

Re,

Problème résolu pour ma part....

1) Après vérification téléphonique, c'était bien la pouffiasse blondasse qui était à l'origine de mon message et de ma panne internet, qui elle même était causée par un incident informatique....

2) Et Mon petit amour d'helpeur est allé fouiner dans mon Pc, tout roule ... Il ne me reste plus qu'à lui offrir un coup, à boire bande de zobcédés

la pouffiasse blondasse

Pauvre Alice ...........

Loa, ton rapport est nikel sauf pour ceci :

Recherche de Rootkits.........................: arrêt

Faut configurer ça comme il faut

clic droit sur le parasol ( en bas a droite ) => configurer Antivir

Coche la case " Mode expert "

Coche la case " recherche de rootkits au démarrage... "

comme montré ici

oki, je fais !
et je redemarre et scanne pour vouar...

résultats (je met le principal)


6097 Les répertoires ont été contrôlés
419600 Des fichiers ont été contrôlés
0 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
0 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
1 Impossible de contrôler des fichiers
419599 Fichiers non infectés
3080 Les archives ont été contrôlées
1 Avertissements
1 Consignes
35303 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés

me semble c'est bon ?

Yes

Le rapport AVIRA est correct.

Tout marche normalement ??