Gravure-News

[PIER]

On m'a porté un PC à réparé. Un truc infesté jusqu'à la moelle de virus et de programmes bizarres. Tout ça suite à l'installation d'un programme bidon, soit disant une archive auto-extractible, en fait un paquet de truc qui ont tout niqué.

Ça a commencé par l'apparition de raccourcis nudetube, pornotube et youporn sur le bureau. Puis ralentissement, plantage en tout genre... Aujourd'hui aucun anti-virus ne se lance et la restauration systeme est verouillé.

J'en appelle donc à l'aide de quelques spécialistes. Bien sur j'ai passé spybot et autres logiciels équivalents.

[fbicia]

les solutions:
mode sans echec, puis anti-virus et anti-spy si ca marche
booter sur un cd linux, puis anti-virus et anti-spy
mettre le dd en esclave sur une autre machine, ou en usb (avec boite) sur une autre becane, puis anti-virus et anti-spy

il arrive souvent que ces derniers ne se lancent pas, dans ce cas analyse en ligne pour tous les cas precites

apres cela, on peut esperer recuper un dd sain, mais il faudra peut-etre encore effecteur une reparation du systeme

[l'étudiant]

Un backup de documents et hop un formatage serait plus simple pour récupérer de la vitesse(registre et cie)

[Koba]

Je partage l'avis de Yargo : si les documents sont accessibles en connectant le HD en esclave sur un autre PC, récupère-les, formate le disque et réinstalle un système propre. Et conseille au clampin qui s'est laissé infecter de réaliser une image de son disque système une fois cela fait...

[PIER]

Merci pour vos retours.

@fbicia :: la première solution ne fonctionne pas, le virus bloque les anti-virus, et spybot (et autre) ne résout rien. Un antivirus bootable récent à me recommander ?

@tous :: monter le disque sur une autre machine ne me branche pas trop, pas envie de véroler ma machine. En, outre il s'agit d'un DELL avec OS customisé et comme par magie, le CD de réinstallation à disparu.

[Freux]

La présence de ces 3 raccourcis sur le bureau signe vraisemblablement une infection par une belle saloperie nommée virut/scribble ou l'une de ses multiples variantes.

Tu peux voir là et là chez Malekal, ou encore ici pour trouver des moyens de tenter une désinfection. Voir là un exemple de rapport d'infection contenant les raccourcis bureau:

C:\Documents and Settings\All Users\Bureau\nudetube.com.lnk
C:\Documents and Settings\All Users\Bureau\pornotube.com.lnk
C:\Documents and Settings\All Users\Bureau\youporn.com.lnk

Il faut essayer d'identifier précisément l'intrus (*), mais s'il s'agit bien de virut/scribble, les mêmes ou d'autres sources, surtout anglophones, sont pessimistes quant à la moindre chance d'éradication complète ( là on se résout hélas aux propositions de Yargo et Koba), mais bon...

... tout de même un exemple d'optimisme avec ComboFix,ici.

Bon courage.

* : une recherche de fichiers typiques présents sur le système aide beaucoup, pour référence:

W32/Virut.CM - Observations. Un PDF à parcourir, trouvé via le forumSpybot S&D.

[Koba]

Pfff... Encore la machine d'un boulet donc...

Tous les drivers nécessaires à la réinstallation d'un système Dell sont disponibles sur le site du constructeur. Mais est évidemment nécessaire un CD d'installation de l'OS.

Pour les documents, si ceux-ci sont sur une partition séparée (ce sera sûrement là que sera le nouvel os...), connecte le HD sur ta machine, boote avec le CD idoine d'un logiciel tel qu'Acronis, fais une image de la partition abritant les données et après réinstallation du système, réinjecte l'image sur une nouvelle partition.

[Pierre G]

Salut Pier,
Pour ce qui d'un anti virus "bootable", personnellement tous les CD d'antivirus que je connais (Norton et Bitdefender) possedent la fonction de boot et d'analyse, même si le produit n'est pas installé sur la machine.
Seul défaut la base virale est celle qui existait lors de la création du CD et je ne sais pas s'il se met à jour en ligne avant d'analyser.

Sinon, à quoi ça sert que Gowap se décarcasse
Il a fait un post sur la sécurité ici
http://forum.gravure-news.com/securite- ... light=anti virus

Où il estquestion d'antivirus "bootable"
Il faut surement télécharger la dernière image "ISO" pour avoir les dernières définitions.
ça vaut peut-être le coup d'essayer ???

A plus.

[fbicia]

Merci pour vos retours.

@fbicia :: la première solution ne fonctionne pas, le virus bloque les anti-virus, et spybot (et autre) ne résout rien. Un antivirus bootable récent à me recommander ?

@tous :: monter le disque sur une autre machine ne me branche pas trop, pas envie de véroler ma machine. En, outre il s'agit d'un DELL avec OS customisé et comme par magie, le CD de réinstallation à disparu.

perso, j'ai un vieux pc avec xp d'installe uniquement, et qui me sert pour mes TPs, normalement brancher un dd en esclave ou en usb n'amene pas de souci sur l'OS principal, mais je comprends tes reticences

vu ce que tu expliques, il va falloir faire des choix

[PIER]

Merci à tous pour vos réponses et notamment @Freux qui a trouvé le bon virus "virut".

Dr.Web CureIt! a trouvé plus de 1300 .exe vérolés. Je passe quelques vérifications avec cet outil et je vais sauvegarder les données et reformater la machine. Je sens que ça va être fun de trouver tous les drivers chez Dell. Pour l'heure Dr.Web a dû supprimer des fichiers systèmes importants, Windows tourne donc sur 1/2 patte.

@Pierre G effectivement j'avais oublié que ce topic était à jour.
@Koba pas de partition séparée, il va falloir brancher un second DD...

[antheus]

En marge de ton cas, j'ai eu aussi des problèmes, cette semaine avec le PC d'un pote, j'ai sauvegardé tout ce qui était nécessaire et je suis allé à la solution la plus rapide mais au moment d'installer XP j'avais des erreurs de lecture ou des BSOD, j'ai mis un lecteur externe, me disant que ça provenait peut être du lecteur, ça n'a pas marché, je croyais avoir trouvé la solution sur le site du constructeur, ce problème était signalé et un nouveau bios devait le régler mais ça n'a pas marché.

J'ai donc tout viré et laissé le strict nécessaire et toujours ce foutu problème, jusqu'à ce ce que je m'aperçoive que Windows était installé sur la nappe secondaire et le DD était en single select, comme tous les autres périphs IDE d'ailleurs ( 3 DD et un lecteur CD) et le pire c'est que ça marchait avant le formatage, j'avais jamais vu ça, je pensais que tous les gens qui mettent leurs nez dans un PC avaient un minimum de connaissance, en lisant quelques articles sur le net mais je m'aperçois que pour certains l'assemblage d'un PC se résume à brancher un périph sur une prise correspondant sans se soucier de l'ordre.

De la à imaginer ce qu’un personnage lambda peut faire en matière d'installation de softs, de navigation il n'y a qu'un pas, chaque fois que j'ai du intervenir sur le PC d'un voisin, d'un ami,..., j'ai vu un tel bordel dans l'arborescence de Windows que j'ai laissé tomber, avant d'utiliser un PC pour certain il leur faudrait passer un permis de clavier..

[Burnitall]

Je sens que ça va être fun de trouver tous les drivers chez Dell.

Perso j'utilise Driver Magician dans une version portable afin de sauvegarder la plupart des pilotes d'un pc. C'est pas du 100% mais ca aide bien et cela peut eviter de longues et fastidieuses recherches.

http://www.drivermagician.com/index.htm

C'est un exemple, il y en a d'autres évidemment, après chacun fait comme il veut.

[Koba]

Je sens que ça va être fun de trouver tous les drivers chez Dell.

Si t'as le S/N de la machine, tu es immédiatement renvoyé vers la page du produit adéquat, tel qu'il était configuré à l'achat. Tous les drivers sont répertoriés par catégorie (audio, LAN, etc.). Donc, ça ne devrait pas être la mer à boire.

Si t'as pas le S/N, le modèle te permettra en principe d'aboutir au même résultat.

[Scaramanga]

[mode semi troll/on] une bonne occasion de passer à Linux [mode semi troll/off]

[gowap]

Sinon, à quoi ça sert que Gowap se décarcasse

[ditche]

J'aime encore bien utiliser Malwarebytes + des scans en ligne dispos sur les sites des éditeurs (ex NOD32, BitDefender,...)

[PIER]

Si t'as le S/N de la machine, tu es immédiatement renvoyé vers la page du produit adéquat, tel qu'il était configuré à l'achat. Tous les drivers sont répertoriés par catégorie (audio, LAN, etc.). Donc, ça ne devrait pas être la mer à boire.

Tu avais raison, ça m'a pris tout au plus deux minutes.

[PIER]

On m'a encore porté un PC vérolé jusqu'au trognon.
Quelqu'un aurait un antivirus bootable en particulier à me recommander, genre un retour sur ceux proposés dans le topics dédié.
Le reformatage précédent a été laborieux, je vais tacher d'éviter sur ce coup là.

J'en ai marre d'être le soit disant "gars qui s'y connait" !

[fbicia]

j'ai deja utilise celui de bitdefender http://download.bitdefender.com/rescue_cd/ , marche bien

[Scaramanga]

Tu fais comme moi : tu dis que t'es passé sous Linux, et que tu te souviens plus vraiment comment ça marche Windows.