[Résolu] Win64/conedex.K

[bodibodi]

bonjour,
Samedi dernier, un logiciel est apparu sur mon écran d'ordinateur pendant que je travaillais.
Il s'agissait d'Antivirus Security Pro. Plusieurs fenêtres me prévenaient que j'étais infectée et qu'il fallait que je lance le logiciel.
Comme je n'ai jamais installé ceci, je me suis méfiée et il s'avère qu'il s'agissait d'un virus.
Depuis ce jour là, j'ai régulièrement des messages de mon antivirus nod 32.

Network Attack Attempt detected
Win64/Conedex.K

ou alors

C://Users/ AppData/Local/Google/Desktop/Install/{b54bb308-21a1-7eaf-7e7c-fc94abe79f37}/.../-c7e7-fae7-1a12-803bb45b}...

Mon antivirus détecte ce cheval de troie, le met en quarantaine et nettoie mais il revient tt de même.
Je ne trouve pas le chemin d'accès pour supprimer ce truc une fois pour toute !!!!

A l'instant, vient de s'afficher
Attaque par saturation ICMP détectée
adresse IP distante 118.233.255.148


Qu'est ce que je peux bien faire ?
Merci pour votre aide précieuse !

[guugues]

Bonjour bodibodi et bienvenue !

Je vais te prendre en charge pour la désinfection, mais d'abord, je vais te demander de prendre connaissance de ces quelques règles :

La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu'au bout, même si les symptômes apparents ont disparu.

Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d'endommager ton système d'exploitation.

Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
(merci à H.A.W.X).

Ne fais rien de ta propre initiative.

Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

Grosse infection que tu as là : tu es infecté par un Rogue, dans ton cas, un faux logiciel de sécurité qui te bloque l'utilisation du PC et qui prétend que ton PC est multi-infecté pour que tu achètes la version payante du logiciel, qui s'avère être une coquille vide.

On va d'abord tenter de le supprimer sous Windows :


RogueKiller – Suppression :

• Si tu as un Windows 32 bits, télécharge RogueKiller-x32 sur ton bureau.
• Si tu as un Windows 64 bits, télécharge RogueKiller-x64 sur ton bureau.
• Lance RogueKiller.

Sous Windows Vista/Seven/8, clique droit sur RogueKiller puis Exécuter en tant qu'administrateur

• Patiente pendant le pre-scan. Une fenêtre apparaît : Clique sur Accepter.
• Puis clique sur le bouton Scan.
• Patiente pendant le scan.
• Une fois le scan terminé, clique sur le bouton Suppression :

• Un second rapport de RogueKiller apparaît sur le bureau :
• Héberge ce rapport sur cjoint.com et poste le lien dans ta prochaine réponse.

-----------------------------------------------

Est donc attendu le rapport de RogueKiller.

[Raptor14]

Bonjour,

On va s'occuper de cet intrus

• Télécharges ESETSirefefCleaner (de Eset) sur ton Bureau !
• Une fenêtre va s'ouvrir, clique sur Agree
• Puis ferme le logiciel
  
  
  
  
• Une fois le logiciel fermé, rends toi sur le bureau, un ESETSirefefCleaner.exe_¤¤¤¤¤¤¤.txt à été créé.
• Héberge le rapport ESETSirefefCleaner.exe_¤¤¤¤¤¤¤.txt sur SosUpload, puis copie/colle les liens fourni dans ta prochaine réponse.

J'attends ton rapport

[bodibodi]

J'ai pour l'instant essayé la 2ème solution mais :
Threat not found
You don't have win64/sirefef in your system

[bodibodi]

Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org

[bodibodi]

J'ai donc nettoyé avec Malwarebytes les fichiers qu'il a détecté, éteint puis rallumé mon ordi.
Je viens de relancer un scan avec le logiciel et aucune menace n'est détectée.

[guugues]

bodibodi, le message de Raptor ainsi que le mien se sont croisés, mais c'est bien moi qui te prends en charge.
De plus, on va éviter de s'éparpiller s'il te plaît : ne fais que ce que je te demande.

Vu que tu as un Windows 64 bits, fais ce qui suit :


1- RogueKiller – Suppression :

• Télécharge RogueKiller-x64 sur ton bureau.
• Lance RogueKiller.

Sous Windows Vista/Seven/8, clique droit sur RogueKiller puis Exécuter en tant qu'administrateur

• Patiente pendant le pre-scan. Une fenêtre apparaît : Clique sur Accepter.
• Puis clique sur le bouton Scan.
• Patiente pendant le scan.
• Une fois le scan terminé, clique sur le bouton Suppression :

• Un second rapport de RogueKiller apparaît sur le bureau :
• Héberge ce rapport sur cjoint.com et poste le lien dans ta prochaine réponse.

2- TDSSKiller :

• Télécharge TDSSKiller sur ton bureau.
• Lance TDSSKiller.

Sous Windows Vista/Seven/8, clique droit sur TDSSKiller puis Exécuter en tant qu'administrateur

• Une fois le logiciel ouvert, clique sur Change parameters.

• Coche la case Loaded modules : un redémarrage est demandé, accepte en cliquant sur Reboot now.

• L’ordinateur redémarre. Au redémarrage, TDSSKiller se relance automatiquement.
• Clique de nouveau sur Change parameters.
• Coche les cases Verify file digital signatures et Detect TDLFS file system.
• Assure-toi que la case Use KSN to scan objects soit cochée.
• Valider par OK.

• Clique sur Start scan pour lancer l'analyse. Laisse l’outil travailler sans l'interrompre.

• Si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer et vérifie bien ceci :

Si TDSS.tdl2 est détecté, assure toi que Delete est sélectionné.
Si TDSS.tdl3 est détecté, assure toi que Cure est sélectionné.
Si TDSS.tdl4 est détecté, assure toi que Cure est sélectionné.
Si Suspicious objects est indiqué, assure toi que Skip est sélectionné.
Si un fichier du type C:\Windows\123456789:987654321.exe (C:\Windows\chiffres_aléatoires:chiffres_aléatoires.exe) est détecté, assure toi que Delete est sélectionné.
Si un fichier TDSS File System est détecté, assure toi que Delete est sélectionné.

• Clique sur Continue puis sur Reboot computer si l‘outil te le demande.
• Un rapport sera créé ici : C:\TDSSKillerVersion_Date_Heure_log.Txt. Poste moi son contenu.

-------------------------------------------------------------------------

Sont donc attendu les rapports de RogueKiller et de TDSSKiller.

[bodibodi]

Désolé, je n'arrive pas à envoyer le rapport par lien !

RogueKiller V8.7.6 _x64_ [Oct 28 2013] par Tigzy

[guugues]

J'attends également le rapport de TDSSKiller.

[bodibodi]

J'ai redémarré l'ordi mais au redémarrage, TDSSKiller ne s'est pas relancé automatiquement !!!
Et mon ordi a ramé sec pour redémarrer !

Est ce que je relance la procédure au début ?

[guugues]

Normalement, tu dois avoir un message de ce type à l'ouverture de ta session, au redémarrage :

Voulez-vous exécuter ce fichier ? (Editeur Kasperky.Labs)

Il faut valider par Exécuter.

Recommence uniquement la procédure avec TDSSKiller.

[bodibodi]

Le dernier rapport
Le lien a été créé: http://cjoint.com/?CJCseMSi6Ol

Ca m'a l'air d'être bon ?! non ?

[guugues]

Très bien, on va recontrôler avec RogueKiller, pour ensuite effectuer un diagnostic de ton système :


1- RogueKiller – Recherche :

• Relance RogueKiller.

Sous Windows Vista/Seven/8, clique droit sur RogueKiller puis Exécuter en tant qu'administrateur

• Patiente pendant le pre-scan. Une fenêtre apparaît : clique sur Accepter.
• Puis clique sur le bouton Scan.
• Patiente pendant le scan :

• Une fois le scan terminé, un rapport apparaît sur ton bureau :
• Héberge ce rapport sur cjoint.com et poste le lien dans ta prochaine réponse.

2- OTL – Analyse :

• Télécharge OTL sur ton bureau.
• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
ipsec.sys
netbt.sys
tcpip.sys
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
svchost.exe
services.exe
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants. A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Héberge chacun de ces rapports sur cjoint.com puis poste moi les liens dans ta prochaine réponse.

-------------------------------------------------------

Sont attendus : le nouveau rapport de RogueKiller et celui de OTL.

[bodibodi]

Roguekiller me détecte une HKEY ! Je ne l'ai pas supprimé car cela n'est pas nécessaire je pense ! Est ce que je dois quand même le faire ?

RogueKiller V8.7.6 _x64_ [Oct 28 2013] par Tigzy

[guugues]

Oui, il faut bien passer par la case suppression : relance RogueKiller et effectue la procédure de suppression. Poste ensuite le nouveau rapport généré.

Fais ensuite la procédure avec OTL.