Infection restorer64.exe & autres

utena -  
 Utilisateur anonyme -
Bonjour,
En visitant le site d'une amie que je n'avais pas visité depuis des lustres, je me retrouve infectée de plusieurs trojans/rogues etc...

J'ai notament trouvé :

restorer64_a.exe
wpv*suite de chiffres*.exe
_ex8_c.exe (ou quelque chose du genre)
et le rogue de Security tools (*une suite de chiffres*.exe)

J'ai essayé de tous les supprimer un par un dans tous les repertoires, mais à chaque reboot, ils sont de retour (les nombres changent pour les suites)
J'ai déjà utilisé malwarebyte plusieurs fois, ainsi que Combofix.

Bon là je commence un peu à fatiguer, passer des heures à chercher quoi faire ça commence à se faire long lol.
Dois-je procèder à un Hijack This pour vous éclairer?
Et si vous avez besoin de toute autre informations, n'hésitez pas à demander, je répondrais dans la mesure du possible (et de mes connaissances)

Merci beaucoup d'avance pour vos réponses ^^
Configuration: Windows XP
Firefox 3.5.3

8 réponses

  1. Utilisateur anonyme
     
    Salut,

    Fait ceci pour un scan un peu plus clair :

    ◆ Télécharge sur ton bureaux RSIT ( Random's Systeme Information Tools ) :

    >> http://images.malwareremoval.com/random/RSIT.exe

    ◆ Double clique sur RSIT.exe qui se trouve sur ton bureau pour le lancer
    ◆ Une fenêtre intitulé " Disclaimer of Warranty " s'ouvre clique sur continue

    Le rapport commence ...

    # Les rapports ce trouvent à cet endroit : C:\rsit\info.txt C:\rsit\log.txt ...

    /l\ NE LES POSTES PAS SUR LE FORUM /l\

    Rend toi à cette adresse :

    http://www.cijoint.fr

    Héberge les et envoie moi les liens ..

    0
  2. utena
     
    voilà, c'est fait ^^

    info : http://www.cijoint.fr/cjlink.php?file=cj200910/cijTp5COqI.txt
    log : http://www.cijoint.fr/cjlink.php?file=cj200910/cijsXBciya.txt
    0
  3. Utilisateur anonyme
     
    Installe sur ton bureaux Navilog * Installer Navilog

    Double-clique sur Navilog (ou Navilog.bat) qui se trouve ton Bureau

    Tape "F" ( Français ) avec le clavier, puis tape la touche "Entrée"

    Un avertissement se presente Appuye 3 fois sur la touche "Espace".

    Navilog te demande de faire un choix, sélectionne l'option 1-Recherche (avec la touche 1).

    Le scan commence, patiente, il peux prendre de 2 à 10 min.

    Quand le scan sera terminé, Tape sur la touche "Espace".
    Un rapport apparaitras sous forme de bloc-notes.

    Clique sur Édition >> Sélectionner Tout
    Puis sur Édition >> Copier.

    Et colle le dans ta prochaine réponse ...

    ======================================================

    (!) Ne pas ouvrir d'application pendant le scan (!)

    (!) Faire une mise à jour du logiciel avant manipulation (!)

    Installe Malwarbytes sur ton bureaux

    °•..•°¯°•..•°¯°•..-> Malwarebyte's <-..•°¯°•..•°¯°•..•°

    • Sélectionne "Exécuter un examen complet" puis clique sur le bouton Rechercher
    • Clique sur le bouton "Lancer l'examen" pour démarrer le scan.
    • Clique sur le bouton "Supprimer la sélection" en bas à gauche.
    • Un rapport de scan s'ouvre, sélectionne tout copie le et colle le dans ta prochaine réponse.

    ¯¥¯ Tuto ¯¥¯
    0
  4. utena
     
    Merci d'avoir pris le temps de répondre aussi vite! :)

    Voici le résultat

    -------------------------------------------------------------------------//
    Fix Navipromo version 4.0.3 commencé le 21/10/2009 1:41:34,61

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 18.10.2009 à 10h00 par IL-MAFIOSO

    Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Multiprocessor Free : Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz )
    BIOS : Default System BIOS
    USER : moi meme ( Administrator )
    BOOT : Normal boot

    Antivirus : AntiVir Desktop 9.0.1.32 (Activated)
    Firewall : Sunbelt Personal Firewall 4.6.1861 T (Activated)

    C:\ (Local Disk) - NTFS - Total:111 Go (Free:28 Go)
    D:\ (CD or DVD)

    Recherche executée en mode normal

    [b]Aucune Infection Navipromo/Egdaccess trouvée/b

    *** Scan terminé 21/10/2009 1:42:15,21 ***

    -------------------------------------------------------------------------//
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Lance MBAM maintenant ;))
    0
  7. utena
     
    voilà ce que le gentille MBAM m'a trouvé (sachant que je n'ai encore rien supprimé, puisqu'il va me demander de reboot XD.. J'attends confirmation) :

    ----------------------------------------------------------------------------------------
    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 2998
    Windows 5.1.2600 Service Pack 3

    21/10/2009 01:53:51
    mbam-log-2009-10-21 (01-53-46).txt

    Type de recherche: Examen rapide
    Eléments examinés: 105891
    Temps écoulé: 8 minute(s), 5 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 1
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 10

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RList (Malware.Trace) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe rundll32.exe cpcp.cpo bef0regiiav) Good: (Explorer.exe) -> No action taken.

    Dossier(s) infecté(s):
    C:\Documents and Settings\All Users\Application Data\24253723 (Rogue.Multiple) -> No action taken.

    Fichier(s) infecté(s):
    C:\Documents and Settings\All Users\Application Data\24253723\24253723.exe (Rogue.Multiple) -> No action taken.
    C:\Documents and Settings\moi meme\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
    C:\WINDOWS\system32\qtplugin.exe (Rootkit.Agent) -> No action taken.
    C:\WINDOWS\temp\_ex-08.exe (Trojan.Dropper) -> No action taken.
    C:\WINDOWS\temp\wpv041255562528.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\temp\wpv481255703227.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\temp\wpv491255137485.exe (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\moi meme\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> No action taken.
    C:\Documents and Settings\moi meme\restorer64_a.exe (Trojan.FakeAlert) -> No action taken.
    C:\WINDOWS\system32\restorer64_a.exe (Trojan.FakeAlert) -> No action taken.

    ------------------------------------------------------------------------------------------------------
    0
  8. utena
     
    Désolée pour le double post...
    Suite à l'analyse de MBAM, j'ai supprimé les fichiers, sauf le hijack this.

    Et apres reboot, tous les fichiers sont de retour... Je ne comprends pas T_T
    0
  9. Utilisateur anonyme
     
    De quel fichier tu parle ?

    Vide a quarantaine de MBAM ...
    0