Virus win 32 sality, je ne sais comment m'en débarasser!

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Virus win 32 sality, je ne sais comment m'en débarasser!

Messagepar Darken » 11 Oct 2009 22:21

Bonjour,
je viens de faire l'acquisition d'un tout nouvel ordinateur, un net book asus 1101 ha, que je n'ai que depuis hier.
Il est actuellement sous norton, et en voulant télécharger antivir, qui n'a jamais marché, ben je pense qu'il m'a refilé ce virus win 32. c'est pour ça que j'ai fini par installé norton qui était fourni avec. Cela dit norton n'arrive pas à se débarasser de ce virus. Voilà, n'étant pas un expert je m'en remet à nouveau à vous chers mc gyver du pc. <j'espère que vous pourrez m'aider parce que j'ai pas tellement envie de racheter à nouveau un ordi.
Merci d'avance!
Darken
 
Messages: 31
Inscription: 21 Sep 2008 18:20

Re: Virus win 32 sality, je ne sais comment m'en débarasser!

Messagepar Ogu » 11 Oct 2009 23:07

Salut Darken.

J'ai une mauvaise nouvelle: Sality est un virus ultra coriace qui infecte tous tes logiciels un à un. Comment l'as-tu attrapé? Où as-tu téléchargé Antivir? Je pense pour ma part que tu avais déjà ce virus, et que tu t'en es rendu compte au téléchargement d'Antivir car Sality bloque cet antivirus...Et je pense que tu l'as obtenu en utilisant un crack, isn't it?


:arrow: Première chose à faire: ne plus lancer de logiciel et ne plus brancher ni clé, ni disque externe, ni carte mémoire, sauf si je te l'indique clairement.

:arrow: Deuxio: sauvegarde tes données (documents, mp3...) sur DVD, et surtout ne sauvegarde aucun logiciel, installeur ou crack, ni aucun zip ou rar qui en contiendrait, ni de fichiers HTML.

:arrow: Tertio: ne pas aller sur ta messagerie, ni sur ton compte bancaire, ni sur Paypal, bref n'utilise aucun mot de passe, car il les vole.

:arrow: Enfin: Sality va chercher d'autres virus sur la toile et les installe à ton insu: donc surfes le moins possible et débranche ton PC de ton routeur et/ou coupe le wifi.

On va tenter de s'en débarrasser, mais je ne serais pas étonné qu'il faille formater in fine...

-------------------------------------------------

:!: Sois extrêmement vigilant durant la procédure, lis bien les consignes et suis les à la lettre, à tête reposée, et calmement. Prend garde à bien régler les outils comme je te le signale, et à les utiliser uniquement de la façon que je t'indique. Enfin, ne prends aucune initiative seul(e?) :learn: .

En cas de pépin, ou d'incompréhension, signale-le moi dans ta réponse.

-------------------------------------------------

C'est parti :goodjoob: :-D !

#1 Image DESACTIVER TEMPORAIREMENT L'UAC

En suivant cette méthode

!! Uniquement si ton système est VISTA !!
Si ton PC est sous XP, passe directement à l'étape #2
  • Démarrer > Panneau de Configuration
  • Double clique sur l'icône Comptes d'utilisateurs
  • Clique ensuite sur la ligne pour désactiver et valide.



#2 Image MALWAREBYTES ANTI-MALWARE

Télécharge Image Malwarebytes Antimalware en cliquant sur cette image:

Image

  • Installe-le (si tu es sous Vista, installe-le en cliquant droit et en choisissant "exécuter en tant qu'administrateur"): une mise à jour doit normalement s'exécuter toute seule
  • Une fois la mise à jour installée, ferme le logiciel




#3 Image AVP TOOL de Kaspersky

Le scan va s'effectuer en Mode Sans Echec: comme tu n'auras pas accès à Internet, je te conseille d'imprimer cette procédure.
  • Télécharge et enregistre sur ton Bureau le scanner portable AVP TOOL en cliquant sur cette image:
    Image

    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur bipper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte habituel.

    SI TU NE PEUX PAS DEMARRER EN SANS ECHEC, N'INSISTE PAS ET SUIS CETTE PROCEDURE EN MODE NORMAL
    (et pense à me le signaler!)

  • Branche tes périphériques amovibles (clés USB, disque dur externe...) SI ET SEULEMENT SI tu as des logiciels, cracks, installeurs copiés dessus. Si ce n'est pas le cas et que tes supports amovibles ne comporte que des documents ou divX, ne les branche pas. Ne les branche pas non plus si tu n'as pas branché ces supports sur ton PC infecté depuis plusieurs semaines.
  • Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus, ou si tu es sur Vista, avec le clic droit et la commande "exécuter en tant qu'administrateur".
  • Réponds "Oui" à la question "Do you want to continue installation?"
  • Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"
  • L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".
  • Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le scanner comme sur l'image:

    Image
  • Valide avec "Apply" puis "OK"
  • L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.
  • A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: ne coche surtout pas la case "apply for all", puis clique ensuite sur "Disinfect" pour chaque pop-up. Si la fenêtre ne propose pas l'option Disinfect, choisis l'option "delete":

    Image
  • Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, REFUSE ce redémarrage.
  • Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"
  • Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL
  • Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "NO"
    Image
  • Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation:
    Image
    A la question "Would you like to restart now", réponds "NO".




#4 Image MALWAREBYTES ANTI-MALWARE
    Toujours en Mode sans échec:
  • Lance-le en double-cliquant sur le raccourci ou avec le clic droit administrateur, si tu tournes sous Vista.
  • Image Connecte tes clés USB et ton disque dur externe en suivant les mêmes consignes que lors du scan AVPImage
  • Rends-toi dans l'onglet "Recherche"
  • Sélectionne "Exécuter un examen complet":
    Image
  • Clique sur "Rechercher"
  • Dans la fenêtre qui s'ouvre, coche toutes les cases pour analyser la totalité des disques:
    Image
  • Lance le scan en cliquant sur le bouton "Lancer l'examen"
  • A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur "OK" pour poursuivre.
  • Ferme tes navigateurs et clique en bas sur "Afficher les résultats"
  • Si des malwares ont été détectés, leur liste s'affiche.
    En cliquant sur "Supprimer la sélection" , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le bloc-notes et y copier le rapport d'analyse. Enregistre ce rapport sur ton Bureau sous le nom "rapport MBAM"
  • Redémarre ton PC en Mode normal
  • Poste le contenu des rapports MBAM et AVP Tool que tu as enregistrés sur ton Bureau



On fera le point après, sachant qu'il n'y a absolument aucune garantie de réussite, surtout si des fichiers systèmes ont été patchés par Sality.

Bon courage!

Ogu
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1372
Inscription: 27 Avr 2006 13:40
Localisation: 93

Re: Virus win 32 sality, je ne sais comment m'en débarasser!

Messagepar Darken » 13 Oct 2009 06:25

Tout d'abord un grand merci pour ta réponse! Je suis vraiment content que ce forum existe, c'est un soulagement pour les gens comme moi avec des vagues notions informatiques et qui se sentent désemparés lorsque ce genre de chose se produisent!

J'ai téléchargé antivir sur clubbic.com, et non je n'ai pas utilisé de crack

Alors j'ai fais les 2 scans que tu m'as demandé, cela dit, je crois que le mode sans échec n'a pas été bien activé. Je t'envoie donc les rapports que j'ai en attendant, et je vais en lancer un de nouveau aujourd'hui, que je t'enverrai ce soir.

En tout cas merci pour l'attention que tu consacres à mon dossier...

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2947
Windows 5.1.2600 Service Pack 3

13/10/2009 05:58:01
mbam-log-2009-10-13 (05-58-01).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 133197
Temps écoulé: 1 hour(s), 51 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Darken
 
Messages: 31
Inscription: 21 Sep 2008 18:20

Re: Virus win 32 sality, je ne sais comment m'en débarasser!

Messagepar Darken » 13 Oct 2009 06:39

Bon je ne sais pas si le rapport avp tool va t'etre transmis mais en tout cas il ne m'a rien trouvé pour l'instant!
Darken
 
Messages: 31
Inscription: 21 Sep 2008 18:20

Re: Virus win 32 sality, je ne sais comment m'en débarasser!

Messagepar Darken » 14 Oct 2009 10:39

Alors ça y est mon ordinateur semble avoir retrouver sa tonicité et ses performances accrues. Cela dit je ne comprend pas exactement comment parce que mes deux scans n'ont rien détecté. Celui d'avp tool est trop volumineux (48mo) , je n'arrive pas à te le faire parvenir. et je ne parviens plus à me mettre en mode sans échec, je trouve ça plutôt bizarre....
Darken
 
Messages: 31
Inscription: 21 Sep 2008 18:20

Re: Virus win 32 sality, je ne sais comment m'en débarasser!

Messagepar Darken » 15 Oct 2009 23:00

bonsoir , je viens aux nouvelles...
Je ne sais pas si je peux réutiliser mon ordinateur, ouvrir les fichiers, etc....
Le fait de ne pouvoir faire un scan en mode sans échec me laisse perplexe, le virus pourrait il être encore là mais caché...
<merci d'avance pour ta réponse.
Darken
 
Messages: 31
Inscription: 21 Sep 2008 18:20

Re: Virus win 32 sality, je ne sais comment m'en débarasser!

Messagepar Ogu » 17 Oct 2009 12:47

Salut Darken!

Les infos que tu me donnes sont rassurantes, mais surprenantes! D'après les premières données, il semblerait que ton antivirus ait empêché Sality de s'installer: mais avant d'en être sûr, continue de suivre les conseils de prudence que je t'avais donné.

On va d'abord réparer le Mode sans echec:

1- Image REGFIX
  • Copie ce code:
    Code: Tout sélectionner
    Windows Registry Editor Version 5.00

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
    "AlternateShell"="cmd.exe"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\AppMgmt]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Base]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot Bus Extender]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot file system]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\CryptSvc]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\DcomLaunch]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmadmin]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmboot.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmio.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmload.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmserver]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\EventLog]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\File system]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Filter]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\HelpSvc]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Netlogon]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\PCI Configuration]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\PlugPlay]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\PNP Filter]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Primary disk]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\RpcSs]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SCSI Class]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sermouse.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sr.sys]
    @="FSFilter System Recovery"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SRService]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\System Bus Extender]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\vga.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\vgasave.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\WinMgmt]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}]
    @="Universal Serial Bus controllers"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}]
    @="CD-ROM Drive"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
    @="DiskDrive"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}]
    @="Standard floppy disk controller"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
    @="Hdc"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
    @="Keyboard"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
    @="Mouse"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}]
    @="PCMCIA Adapters"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
    @="SCSIAdapter"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
    @="System"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}]
    @="Floppy disk drive"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
    @="Volume"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
    @="Human Interface Devices"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network]

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AFD]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AppMgmt]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Base]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Boot Bus Extender]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Boot file system]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Browser]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\CryptSvc]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\DcomLaunch]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Dhcp]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmadmin]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmboot.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmio.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmload.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmserver]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\DnsCache]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\EventLog]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\File system]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Filter]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\HelpSvc]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\ip6fw.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\ipnat.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\LanmanServer]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\LanmanWorkstation]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\LmHosts]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Messenger]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NDIS]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NDIS Wrapper]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Ndisuio]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetBIOS]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetBIOSGroup]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetBT]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEGroup]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Netlogon]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetMan]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Network]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetworkProvider]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NtLmSsp]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\PCI Configuration]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\PlugPlay]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\PNP Filter]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\PNP_TDI]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Primary disk]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rdpcdd.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rdpdd.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rdpwd.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rdsessmgr]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\RpcSs]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SCSI Class]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sermouse.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SharedAccess]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sr.sys]
    @="FSFilter System Recovery"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SRService]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Streams Drivers]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\System Bus Extender]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Tcpip]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\TDI]
    @="Driver Group"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\tdpipe.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\tdtcp.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\termservice]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\vga.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\vgasave.sys]
    @="Driver"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\WinMgmt]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\WZCSVC]
    @="Service"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}]
    @="Universal Serial Bus controllers"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}]
    @="CD-ROM Drive"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]
    @="DiskDrive"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}]
    @="Standard floppy disk controller"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
    @="Hdc"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
    @="Keyboard"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
    @="Mouse"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}]
    @="Net"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}]
    @="NetClient"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}]
    @="NetService"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}]
    @="NetTrans"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}]
    @="PCMCIA Adapters"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}]
    @="SCSIAdapter"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
    @="System"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}]
    @="Floppy disk drive"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
    @="Volume"

    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]
    @="Human Interface Devices"

  • Colle-le dans ton bloc-note
  • Enregistre-le sur ton bureau sous le nom: pi2srv.reg
    (/!\ l'extension .reg est importante)
  • Clique-droit sur ce fichier
  • Sélectionne "Fusionner"
  • Répond "Oui" au message d'alerte.


On va ensuite s'assurer que Sality ne s'est pas caché quelque part:

2- Image ESET

Lance Internet Explorer et clique sur cette image:

Image

  • Cocher la case YES, I accept the Terms Of Use
  • Cliquer sur le bouton Start
  • Cliquer ensuite sur le bouton Install
  • Clique sur Start
  • Le scanner va se mettre à jour.
  • Ne pas cocher la case Remove found threats
  • Clique sur le bouton Scan
  • Le scan va se lancer:
  • Lorsque le scan s'achève, cliquer sur le menu Details
  • Copier/coller le contenu du rapport généré:
    il se trouve ici > C:\Program Files\EsetOnlineScanner et se nomme log.txt


3- Poste-moi le rapport AVP Tool en l'hébergeant sur ce lien:

http://www.senduit.com/

Il te suffit de sélectionne le rapport en cliquant sur "parcourir".
  • Donne-lui une durée de vie de 72 heures en réglant la catégorie "Expire in" sur "3 days".
  • Uploade ensuite le zip en cliquant sur le bouton "Upload".
  • SENDUIT va générer le lien vers le fichier, avec une adresse de type http://senduit.com/xxxxxx: communique-moi ce lien en m'envoyant un message privé.


4- Enfin, si tu peux me faire aprvenir le rapport de suppression de Norton au moment où il a détecté Sality, ce serait un plus.

A suivre!
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1372
Inscription: 27 Avr 2006 13:40
Localisation: 93

Re: Virus win 32 sality, je ne sais comment m'en débarasser!

Messagepar Ogu » 29 Oct 2009 19:51

Allo allo ??
Image
Avatar de l’utilisateur
Ogu
Modérateur
Modérateur
 
Messages: 1372
Inscription: 27 Avr 2006 13:40
Localisation: 93


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités