Magania cbbl

Résolu
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention   -  
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Kasperky a détecté Trojan-GameThief.Win32.Magania cbbl, dans system32\e8main1.dll, il tente de réparer, puis fait redémarrer le poste mais le même problème recommence chaque fois.

Si quelqu'un peut m'en délivrer, ce serait pas de refus !

Merci d'avance

49 réponses

Précédent
Réponse 21 / 49
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention  
 
Voici le rapport

[ Rapport ToolsCleaner version 2.3.10 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\UsbFix.txt: trouvé !
C:\_OTM: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\Useful\OTM.exe: trouvé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\Useful\UsbFix.exe: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\PROPRIETAIRE\Bureau\Useful\OTM.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\PROPRIETAIRE\Bureau\Useful\UsbFix.exe: supprimé !
C:\_OTM: supprimé !
C:\UsbFix: supprimé !
C:\Rsit: supprimé !
C:\Program Files\ZHPDiag: supprimé !

Corbeille vidée!
Fichiers temporaires nettoyés !

Quand tu dis tout recommencer pour voir, tu veux dire réinstaller ZHP diag et relancer?

Merci
0
Réponse 22 / 49
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 502
 
oui réinstalle ZHP pour voir.
0
Réponse 23 / 49
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention  
 
Meme problème de violation d'adresse

Merci
0
Réponse 24 / 49
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 502
 
Bon ba puisqu'il ne veut pas, tu va me refaire un RSIT alors :

▶ Télécharge Random's System Information Tool (RSIT).

▶ Un tutoriel est à ta disposition pour l'installer et l'utiliser correctement ici

▶ Double clique sur RSIT.exe pour lancer l'outil.

▶ Clique sur 'Continue' à l'écran Disclaimer.

▶ Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

▶ Une fois le scan fini , 2 rapports vont apparaitre. ▶ Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

▶ Vous devez fusionner les deux rapports.
▶ C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt dans un bloc note pour ne faire qu'un seul rapport.
▶ Ensuite enregistrer le rapport log.txt.

Ensuite :

▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

▶ Cliquez sur parcourir, puis sur créer le lien cjoint

▶ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 49
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,

Voici le lien
http://www.cijoint.fr/cjlink.php?file=cj200909/cijm84iF6H.txt

Merci
0
Réponse 26 / 49
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 502
 
Je ne vois plus rien sur le rapport, tu peux me faire ceci maintenant :

▶ Télécharge malwarebyte's anti-malware

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

▶ Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

▶ Lance une analyse complète en cliquant sur "Exécuter un examen complet"

▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

▶ L'analyse peut durer un bon moment.....

▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
0
Réponse 27 / 49
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir

Voici le rapport de Malwarebyte's

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2824
Windows 5.1.2600 Service Pack 3

19/09/2009 18:55:19
mbam-log-2009-09-19 (18-55-19).txt

Type de recherche: Examen complet (C:\|H:\|I:\|)
Eléments examinés: 198015
Temps écoulé: 1 hour(s), 14 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Merci
0
Réponse 28 / 49
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 502
 
Parfais vide la quarantaine de malware puis faits moi ceci afin de voir si tu n'as pas de spyware :

Télécharge Superantispyware (SAS)



Choisis "enregistrer" et enregistre-le sur ton bureau.

Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

Créé une icône sur le bureau.

Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

- Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
- Sous Configuration and Préférences, clique sur le bouton "Préférences"
- Clique sur l'onglet "Scanning Control "
- Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :

Close browsers before scanning (Fermer Navigateur avant le scan)

Scan for tracking cookies (Scan pour dépister les cookies)

Terminate memory threats before quarantining (Terminez les menaces de mémoire avant de mettre en quarantaine)

- Laisse les autres lignes décochées.

- Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

- Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".

Dans la colonne de gauche, coche C:\Fixed Drive.

Dans la colonne de droite, sous "Complète scan", clique sur "Perform Complète Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Préférences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SuperAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

- Copie son contenu dans ta réponse.


Regarde bien le tuto SuperAntiSpyware il est très bien expliqué.
0
Réponse 29 / 49
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour
Voici le rapport de SAS
SUPERAntiSpyware journal de bord
https://www.superantispyware.com/

Généré 09/20/2009 at 11:25 AM

Version du Logiciel : 4.29.1002

Core Rules Database Version : 4112
Trace Rules Database Version: 2052

Genre de Scan : Scan Complète
Temps total du Scan : 01:11:41

Articles du Mémoire analysés : 623
Risques de dommage de Mémoire détectés : 0
Articles du Registre analysés : 5983
Risques de dommage de Registre détectés : 0
Articles de fichier scannés : 64395
Risques du Dommage de Fichier Détectés : 0

Merci
0
Réponse 30 / 49
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 502
 
Parfais maintenant ceci :

Faire un scan en ligne un scan en ligne avec Panda Active Scan afin de vérifier s'il reste encore des virus.

Veuillez vous rendre cette adresse avec Internet Explorer :


/!\Si vous êtes sous Vista (si vous avez XP ou 2000, passez à la suite), l’UAC doit être désactivée lors du scan. /!\
>>> Désactiver l'UAC sur Vista <<<



1) Une fois sur cette page cliquez sur Analyser

2)Une fois ici, une nouvelle fenêtre apparait et vous annonce un message information concernant un contrôle activeX :

# Fermez cette page puis sur la page initiale une barre jaune apparaitra, faites un clique droit sur cette barre puis cliquez sur Installer le contrôle activeX :

3) Une page d'avertissement s'ouvre, cliquez sur Installer :

4) Ensuite la procédure de scan va s'opérer en 2 étapes :

Citation:
Si votre antivirus réagit au composant suivant :
C:\Program Files\Panda Security\ActiveScan 2.0\pskavs.dll.
Détection : W95/Blumblebee
Désactivez le durant le scan

Installation des composants

Mise à jour des composants

Le scan va maintenant débuter, patientez le temps de l'analyse

Menace détectée

5) Le scan terminé, cliquez sur Exporter vers afin d'enregistrer le rapport :

6) Une page d'explorateur Windows va alors s'ouvrir,
Sélectionnez le bureau comme destination et cliquez sur Enregistrer :

7°) Ensuite, ouvrez rapport ActiveScan.txt maintenant présent sur votre bureau et faites un copier/coller sur votre forum.

0
Réponse 31 / 49
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir

Voici le rapport de Panda

ANALYSIS: 2009-09-20 17:06:29
PROTECTIONS: 2
MALWARE: 0
SUSPECTS: 3


PROTECTIONS
Description Version Active Updated

BitDefender Antivirus 12.0 No Yes
Kaspersky Anti-Virus 9.0.0.459 Yes Yes


MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location

SUSPECTS
Sent Location
No C:\System Volume Information\_restore{C280260B-94DF-4E6C-97F7-7124DF3CF268}\RP1\A0000011.dll 
No C:\System Volume Information\_restore{C280260B-94DF-4E6C-97F7-7124DF3CF268}\RP3\A0002429.exe 
No C:\System Volume Information\_restore{C280260B-94DF-4E6C-97F7-7124DF3CF268}\RP3\A0003471.exe 

VULNERABILITIES
Id Severity Description


La présence de Bitdefender m'inquiétait donc j'ai téléchargé un uninstall tool sur leur site mais en redémarrant j'ai eu deux messages d'erreur:
1 vbaccelerator SGrid II Control
Erreur d'execution '0'

2 Malwarebytes Anti Malware
Erreur d'execution 440 Erreur Automation

Est-ce normal?

Merci
0
Réponse 32 / 49
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 502
 
je ne sais pas est ce que bitedefender à été désinstaller correctement?
0
Réponse 33 / 49
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention  
 
D'après l'outil, oui. Comment vérifier?

Merci
0
Réponse 34 / 49
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 502
 
Ba refaire un scan panda pour voir s'il détecte toujours bitedefender.
0
Réponse 35 / 49
Nod07
 
Bonjour

Non Bitdefender n'y est plus

ANALYSIS: 2009-09-21 07:37:19
PROTECTIONS: 1
MALWARE: 0
SUSPECTS: 3

PROTECTIONS
Description Version Active Updated

Kaspersky Anti-Virus 9.0.0.459 Yes Yes

Id Description Type Active Severity Disinfectable Disinfected Location


Sent Location 3

No C:\System Volume Information\_restore{C280260B-94DF-4E6C-97F7-7124DF3CF268}\RP1\A0000011.dll 3
No C:\System Volume Information\_restore{C280260B-94DF-4E6C-97F7-7124DF3CF268}\RP3\A0002429.exe
3
No C:\System Volume Information\_restore{C280260B-94DF-4E6C-97F7-7124DF3CF268}\RP3\A0003471.exe 3


VULNERABILITIES
Id Severity Description 3

Panda ne supprime pas les 3 fichiers suspects.

Merci
0
Réponse 36 / 49
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 502
 
pas grave on va le faire.

Une dernière vérif :

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

▶ Choisis la langue souhaitée et valide par "entrée".

▶ Au second menu choisis l'option 1 : Mode Recherche

▶ Laisse travailler l'outil.

▶ Une fois le scan Terminé ,un rapport s'ouvre .

Ensuite héberger le rapport :

▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

▶ Cliquez sur parcourir, puis sur cliquez ici pour déposer le fichier

▶ Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
0
Réponse 37 / 49
Nod07
 
Bonjour

Voici le lien vers le rapport deListe Killem

http://www.cijoint.fr/cjlink.php?file=cj200909/cij2FljaX2.txt

Merci
0
Réponse 38 / 49
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,

C'est bon alors?

Merci
0
Réponse 39 / 49
pimprenelle27 Messages postés 20857 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 502
 
! Déconnecte toi ferme toutes tes applications en cours !

▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").

▶ Choisis la langue souhaitée et valide par "entrée".

▶ Choisis cette fois ci l'option 2 : Mode Destruction

▶ Laisse travailler l'outil.

▶ Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt
0
Réponse 40 / 49
nod07 Messages postés 25 Date d'inscription   Statut Membre Dernière intervention  
 
Bonsoir,

Voici le rapport de Liste killem mode destruction

Kill'em by g3n-h@ckm@n 1.0.3.0

updated on 03.09.2009 ::::: 0.25


Microsoft Windows XP [version 5.1.2600]


23/09/2009 23:03:25,98

Fichiers analysés :
=================


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\Program Files\DAEMON Tools Toolbar"
"C:\WINDOWS\system32\prntvpt.dll"
C:\Documents and Settings\PROPRIETAIRE\LOCAL Settings\Temp\SSUPDATE.EXE


¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

DAEMON Tools Toolbar.Kill'em
prntvpt.dll.Kill'em
SSUPDATE.EXE.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :


Merci
0