Virtumonde et PWS.PinchIE écran sans icones..

Fermé
jaja_33 Messages postés 437 Statut Membre -  
jaja_33 Messages postés 437 Statut Membre -
Bonjour,

tout est dit dans le titre, j'ai un énorme problème depuis deux jours avec ces virus, ils me bloquent internet et font disparaitre les icônes et la barre des tache de mon bureau en gros, j'ai que mon fond écran, bon je veut bien croire qu'il est super, mais c'est pas cool...
merci d'avance pour vos réponses.
Configuration: Windows XP
Firefox 3.0.10

20 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt,

    scan avec malwarebyte , fais un scan minutieux et colle le rapport obtenu et vire ce qui est trouvé:

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

    ______________________

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  2. jaja_33 Messages postés 437 Statut Membre 17
     
    edit : je peux accéder aux fichiers uniquement par le gestionnaire d'application du fait de l'absence de toute mes icones et de la barre des taches, la je suis actuelement sur un autre pc pour avoir internet.

    je vous poste les rapports des que je les ai.
    merci pour votre réponse rapide.
    0
  3. jaja_33 Messages postés 437 Statut Membre 17
     
    Re,

    alors, pour malwarebyte quand je veux le lancer, on me dit :

    run-time error 'o'
    run-time error '440' : Automation error

    _____________________________________________________

    et pour RSIT voici le log.txt :

    _____________________________________________________

    Logfile of random's system information tool 1.06 (written by random/random)
    Run by jawen at 2009-05-10 19:26:04
    Microsoft Windows XP Professionnel Service Pack 3, v.5755
    System drive C: has 265 GB (56%) free of 477 GB
    Total RAM: 3582 MB (82% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 19:26:11, on 10/05/2009
    Platform: Windows XP SP3, v.5755 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.20861)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\RocketDock\RocketDock.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\BOINC\boincmgr.exe
    C:\Program Files\BOINC\boinc.exe
    C:\WINDOWS\system32\taskmgr.exe
    C:\Program Files\BOINC\projects\setiathome.berkeley.edu\astropulse_5.03_windows_intelx86.exe
    C:\Program Files\BOINC\projects\setiathome.berkeley.edu\astropulse_5.03_windows_intelx86.exe
    C:\Program Files\BOINC\projects\setiathome.berkeley.edu\astropulse_5.03_windows_intelx86.exe
    C:\Program Files\BOINC\projects\setiathome.berkeley.edu\astropulse_5.03_windows_intelx86.exe
    C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
    C:\Program Files\trend micro\HijackThis\jawen.exe

    O2 - BHO: (no name) - {3018a336-6da9-4af4-a2a9-67d04cab48f0} - C:\WINDOWS\system32\yayvTkLc.dll
    O2 - BHO: (no name) - {b89f909c-0f47-4e15-b675-ac2a0cc1db9f} - (no file)
    O2 - BHO: (no name) - {c0a02f4f-fb8c-4969-a214-6617346fd3b7} - (no file)
    O2 - BHO: (no name) - {c2ba40a1-74f3-42bd-f434-12345a2c8953} - (no file)
    O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
    O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Program Files\Adobe\/Adobe Contribute CS4/contributeieplugin.dll
    O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')
    O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
    O8 - Extra context menu item: Ajouter la cible du lien à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
    O8 - Extra context menu item: Ajouter à un fichier PDF existant - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
    O8 - Extra context menu item: Convertir au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
    O8 - Extra context menu item: Convertir la cible du lien au format Adobe PDF - res://C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O20 - Winlogon Notify: qomddbbt - C:\WINDOWS\
    O23 - Service: Service de transfert intelligent en arrière-plan (BITS) - Unknown owner - C:\WINDOWS\
    O23 - Service: Mises à jour automatiques (wuauserv) - Unknown owner - C:\WINDOWS\
    0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok désactive le tea timer de spybot en allant dans MODe puis MODE AVANCE puis OUTILS puis RESIDENT

    puis

    Télécharge et install UsbFix de C_XX & Chiquitine29

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau .

    # Choisis l'option 1 ( Recherche )

    # Laisse travailler l'outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jaja_33 Messages postés 437 Statut Membre 17
     
    apparemment usbfix est une version non supportée...je ne comprend pas...

    jai désactiver le tea timer de spybot.
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge combofix (par sUBs) ici :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    et enregistre le sur le bureau.

    déconnecte toi d'internet et ferme toutes tes applications.

    désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

    double-clique sur combofix.exe et suis les instructions

    à la fin, il va produire un rapport C:\ComboFix.txt

    réactive ton parefeu, ton antivirus, la garde de ton antispyware

    copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

    Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

    Tu as un tutoriel complet ici :

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
    0
  8. jaja_33 Messages postés 437 Statut Membre 17
     
    [quote][jlpjlp][si je suspecte une infection bagle, j'ajoute :

    sous le nom de antibagle. Fais le avant que le fichier ne soit enregistré sur le bureau][/quote]

    j'ai pas compris ce que tu viens de dire...
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ne t'en occupe pas
    0
  10. jaja_33 Messages postés 437 Statut Membre 17
     
    ok, merci pour tes réponses toujours aussi rapide ;)
    0
  11. jaja_33 Messages postés 437 Statut Membre 17
     
    combofix ne fonctionne pas, : error - win32 only

    sa fait deux jours que j'essaie d'enlever ces virus, sa me prend la tête...
    0
  12. jaja_33 Messages postés 437 Statut Membre 17
     
    je reviens, je doit y aller, mon père a besoin de moi

    edit, c'est bon, juste un truk a déplacer...

    bref, revenons à nos, euh mes.... trojans...
    0
  13. jaja_33 Messages postés 437 Statut Membre 17
     
    comment fait on un rapport spybotS&D? je suis entrain de faire un scan pour voir, il n'a pas encore fini, et déja 6 éléments trouvés...
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    je ne veux pas de rapport spybot :)

    mais combofix
    0
  15. jaja_33 Messages postés 437 Statut Membre 17
     
    mais combofix ne passe pas....

    et je viens de m'apercevoir d'un truk en allant dans l'editeur du registre, après le scan de spybot, je fais correction des problemes, et la, un fichier ne peut etre supprimer, (dans pws.pinchie) et donc dans l'editeur du registre, je cherche le lien donné dans spybot, et là, je ne le trouve pas..je sais pas si sa peut vous aider..
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    alors lance ce combofix renommé en killfix cela devrait passer:

    http://sd-1.archive-host.com/membres/up/193094576412487685/Killfix.exe
    0
  17. jaja_33 Messages postés 437 Statut Membre 17
     
    je fais ça.
    0
    1. Utilisateur anonyme
       
      s'il te plait vas sur l'autre topic tu as un doublon
      0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    il est ou le deuxieme post?
    0
    1. Utilisateur anonyme
       
      il est juste au dessus regardes mon pseudo
      0
  19. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok alors reste dans l'autre post qui est avancé
    0