Sujet Précédent Sujet Suivant

Win32 fraudo, rapport malwarebyte's

snaveb -  
plopus Messages postés 6113 Statut Contributeur sécurité -
Bonjour,

Avast vient de détecter un cheval de troie sur mon pc Win32:Fraudo, j'ai installé malwarebyte's et lancé le scan. il m'a trouvé 15 intrus et les a detuis mais au bout d'1 mn avast détecte à nouveau le cheval. Pouvez-vous me donner un coup de main, j'aimerai me dispenser de formater. Je poste le rapport de malwarebyte's. Merci.

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2625
Windows 5.1.2600 Service Pack 2

14/08/2009 21:43:14
mbam-log-2009-08-14 (21-43-14).txt

Type de recherche: Examen complet (C:\|E:\|)
Eléments examinés: 146680
Temps écoulé: 22 minute(s), 6 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 3
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 29

Processus mémoire infecté(s):
C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe (Rogue.Multiple) -> Unloaded process successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\Program Files\PC_Antispyware2010\htmlayout.dll (Rogue.AntiVirusPro2009) -> Delete on reboot.
C:\Program Files\PC_Antispyware2010\AVEngn.dll (Rogue.PC_Antispyware2010) -> Delete on reboot.
C:\Program Files\PC_Antispyware2010\pthreadVC2.dll (Rogue.PC_Antispyware2010) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pc_antispyware2010 (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\PC_Antispyware2010 (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\pc antispyware 2010 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Program Files\PC_Antispyware2010 (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\data (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\Microsoft.VC80.CRT (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\PC_Antispyware2010 (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\htmlayout.dll (Rogue.AntiVirusPro2009) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\wscui.cpl (Rogue.HomeAntiVirus) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{B1E9B2CE-DC2F-49F9-9200-5DAA3FD287DA}\RP679\A0065508.sys (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_scui.cpl (Rogue.HomeAntiVirus) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys.vir (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\figaro.sys (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\figaro.sys.vir (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys.vir (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\AVEngn.dll (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\PC_Antispyware2010.cfg (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\pthreadVC2.dll (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\Uninstall.exe (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\data\daily.cvd (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\Microsoft.VC80.CRT\Microsoft.VC80.CRT.manifest (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcm80.dll (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcp80.dll (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Program Files\PC_Antispyware2010\Microsoft.VC80.CRT\msvcr80.dll (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\PC_Antispyware2010\PC_Antispyware2010.lnk (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Menu Démarrer\Programmes\PC_Antispyware2010\Uninstall.lnk (Rogue.PC_Antispyware2010) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\braviax.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wisdstr.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashdiuasdhasd (Trace.Pandex) -> Quarantined and deleted successfully.

19 réponses

Réponse 1 / 19
snaveb
 
Bonjour,

Pas de bonnes nouvelles, j'ai fait un scan de malwwarebyte's en mode sans echec, il m'a trouvé 0 problème, j'ai lancé avast toujours en mode sans echec et il m'a trouvé 15 problèmes, je les ai sûpprimés et depuis impossible de demarrer, le pc est en boucle sur le mode de demarrage sans echec ou normal... j'ai mis mon cd de windows, et sur nouvelle installation j'ai fait "r", mais j'ai j'arrive au stade installation 39mn est-ce normal, j'ai des données que je dois pas perdre. Merci pour votre aide
0
Réponse 2 / 19
Utilisateur anonyme
 
C:\WINDOWS\system32\braviax.exe
bonjour
tu as un malware très coriace qui se régénère à une vitesse élevée
0
Réponse 3 / 19
snaveb
 
Merci pour la précision, suis-je obligé de formater ou y-a-t-il un logiciel qui peut le tuer definitivement?
0
Utilisateur anonyme
 
j'ai fait appel à quelqu'un pour t'aider à éradiquer cette cochonnerie
0
Réponse 4 / 19
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
salut

on va voir ce qu'il en ai, peut tu faire sa sur le PC infecté ?

sachant que si tu as supprimé des virus avast est que ton PC ne demarre cela vient de l'infection qui a du patché un fichier systeme, qu'avast ta proposé de supprimer et que tu as fait

si tu peux demarrer sur le PC infecté :

Télécharge Random's System Information Tool (RSIT) de Random/Random, et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur "Continue" à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés stp
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
snaveb
 
salut,

pour le moment je n'arrive plus à demarrer, j'ai mis le cd de windows, installer, "r" pour reparer il a tourné environ 5 mn et maintenant je suis sur l'écran installation 39 mn, il va formater ou répare? j'ai stoppé au cas où
merci
0
Réponse 6 / 19
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
Normalement R c'est bon sa ne supprime rien sa remplace simplement les fichiers windows corrompu et/ou manquant

continue cette procedure si sa ne marche pas et que tu ne peut pas poster le rapport demandé ou du moins te loger dans une session

tu pêux toujours essayer de boot sur un live CD de linux pôur recup tes fichiers et puis reformaté
0
Réponse 7 / 19
snaveb
 
y a un truc qui cloche, il est bloque dans préparation de l'installation à 34 mn, il me demande le cd network...dans les périphériques??? j'ai mis mes 2 cd asus mais c'est pas ça. Je ne comprend plus
0
Réponse 8 / 19
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
alors la jpeux pas te dire !?
0
Réponse 9 / 19
snaveb
 
il me semble que sur windows il y a un endroit pour demarrer avec la derniere configuration fonctionnelle un peu comme la restauration du système?
0
Réponse 10 / 19
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
oui c'est ce que j'allais te dire

quand tu demarre ton PC en tapotant F8 au menu tu choisit demarrer sur derniere bonne config valide mais sa marche pas souvent....
0
Réponse 11 / 19
snaveb
 
Effectivement ça ne marche pas, j'ai essayé de nouveau en mode sans echec. j'ai un écran noir avec marqué mode sans echec sur chaque angle et au milieu, le demarrage en mode sans echec n'est pas possible,fetes entrée pour demarrer normalement
0
Réponse 12 / 19
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
on voit bien par rapport a sa :

C:\WINDOWS\system32\dllcache\beep.sys (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys.vir (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\figaro.sys (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\figaro.sys.vir (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys (Trojan.KillAV) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\beep.sys.vir (Trojan.KillAV) -> Quarantined and deleted successfully.

que cette salete de trojan a patché des fichiers systeme et a en + patché les meme fichiers systeme dans le cache pour que si il vennait etre supprimé qu'il soit remplacé par le meme fichier patché (y sont fort c'est salaud)

bref ceux qui ont ete supprimé ne devait pas etre essentiel au demarrage mais je pense que AVASt ta fait supprimé un fichier systeme important

la je ne sais pas quoi te dire
0
Réponse 13 / 19
snaveb
 
ok, merci, une question bête, pouquoi avast detecte le problème mais n'arrive pas à le détruire?
0
Réponse 14 / 19
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
ben le probleme c'est qu'avast tout comme malwarebyte et les autres logiciles réagisse a une "signature" une chaine de code, et il a réagi a un code positif qui etait sur un fichier systeme

AVASt est loin de ce qui ce fait et vu l'etendue de l'infection que tu avais tu te la trainé depuis un moment a ce stade la le antivirus etc.. ne sont pas performant a 100%
0
Réponse 15 / 19
snaveb
 
Non, hier soir,j'étais sur google, en cherchant des infos sur un realisateur, j'ai ouvert une page et pam le fermetre d'avast c'est ouverte.j'installe mon deuxième disque dur, je demarre celui-ci en esclave pour voir ce que je peux récupérer et après j'essaye un peu tout. de le brancher en esclave ne va pas m'infecter l'autre? Merci
0
Réponse 16 / 19
snaveb
 
Bon, j'ai formaté mon deuxième d dur et j'ai installé xp pro, ça marche ouf! J'ai essayé d'installer windows 7 pour voir mais impossible erreur 0X80070570 (encore une fois pas de chance). Maintenant je vais transvaser les données et voir ce que je peux faire mais ça sent le formatage tout de même.
0
Réponse 17 / 19
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
tiens nous au courant mais essye ceci et poste les rapports si tu arrive a booter

clic et suit le tuto http://www.bibou0007.com/outils-specifiques-f78/rsit-t3035.htm
0
maupas221
 
j'ai eu le même truc et en faite le plus simple c'est :

1- de bloquer le programme avec un antivirus
2- tu tappes "msconfig" dans démarrer -> Executer
3- Sous l'onglet "Démarrage" tu décoche "PC_Antispyware2010"

Et voilà il ne t'embêtera plus ^^'
Bon courage et à la prochaine.
0
Réponse 18 / 19
snaveb
 
Bon malheureusement je n'ai pas réussi à démarrer le pc et j'ai donc formaté. A la place d'avast j'ai installé antivir, faut que je le paramètre. Merci pour votre aide dommage que je n'ai pas réussi à me débarrasser de cette sa***** car la solution aurait pu aider pour l'avenir.
0
Réponse 19 / 19
plopus Messages postés 6113 Statut Contributeur sécurité 293
 
ok merci de prevenir
0

Discussions similaires

Impossible d'afficher le rapport de tableau croisé dynamique sur un rapport
Utilisateur anonyme -
TomH. -

13 réponses
écrire un rapport de travail
asi -
REGINALD -

3 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses
impossible d'afficher le tableau dynamique sur un rapport existant
Pierre -
Adrien71 -

3 réponses
Problém affichage du tableau croisé dynamique
BK -
Raymond PENTIER -

2 réponses