B.exe

Résolu
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention   -  
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,


je me retrouve infecté par b.exe, j'ai pu voir les différentes apportées aux autres personnes infectées, ca m'a l'air un poil compliqué. Est ce quelqu'un pourrait m'accorder un peu e son temps pour m'aider a l'éradiquer.


Merci

86 réponses

Précédent
Réponse 61 / 86
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Va à ce lien pour l'installer. Puis dis moi quand ca sera fait, je te donnerais les instructions suivantes
0
Réponse 62 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
je n'ai pas le cd-rom de windows avec moi. la personne a qui j'ai acheté l'ordinateur m'avais installé Vista...
0
Réponse 63 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
Par contre j'ai fait une analyse anti Rootkit avec AVG qui m(a détécté 2 rootkits dans le dossier ou se trouvait B.exe (C\Users\Home\AppData\Local\Temp). Est ce que je peux entreprendre de nettoyer ces Rootkits avec AVG (comme il me le propose) ?
0
Réponse 64 / 86
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Oui tu peux, et fais ce scan en complément :

-+-+-+-> SysProt <-+-+-+-


[x] Télécharge SysProt sur ton bureau, puis fais clic droit sur l'archive -> extraire ici.

[x] Lance SysProt.exe en double cliquant dessus ( Clic droit -> " Executer en tant qu'administrateur " sous vista )

[x] Rends toi à l'onglet log, puis coche toutes les cases en haut à gauche. Clique ensuite sur " Create Log "</gras>.

[x] Séléctionne ensuite " Scan all drives " puis clique sur " Start ".

[x] Patiente pendant le scan, puis poste le contenu du rapport SysProtLog.txt présent sur ton bureau.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
Voila le rapport de SysProt : https://www.cjoint.com/?lnxb31TFny
0
Réponse 66 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
Salut Xplode

what's next ?
0
Réponse 67 / 86
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Peux tu me donner le nom des rootkit détectés par AVG ?
0
Réponse 68 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
Je n'ai pas de noms exact, les deux apparaissaient comme C\Users\Home\AppData\Local\Temp\mbr.sys
avec comme infection détectée : pilote masqué
AVG a supprimé et réparé. j'ai refait une analyse anti-rootkit et je n'en trouve plus..
0
Réponse 69 / 86
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Refais un rapport ZHPDiag
0
Réponse 70 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
Par contre je viens de refaire une analyse et il me trouve un rootkit dans le dossier de SysProt c'est normal ?
0
Réponse 71 / 86
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Oui, c'est normal.
0
Réponse 72 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
le resultat de ZHPDiag : https://www.cjoint.com/?looSxuNUp0
0
Réponse 73 / 86
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
-+-+-+-> Dr.Web CureIt! <-+-+-+-


[x] Télécharge Dr.Web CureIt

[x] Lance le, puis clique sur " Commencer le scan "

[x] Il commencera une analyse des processus, s'il trouve des processus infectés, clique sur " Oui pour tout ".

[x] A la fin du scan rapide, clique sur Option > Changer la configuration

[x] A l'onglet Scanner, décoche " Analyse heuristique ".

[x] De retour à la fenêtre principale, choisis " Analyse complète "

[x] Clique sur la flèche verte pour que le scan débute.

[x] Si un fichier est détécté, clique sur " Oui pour tout "

[x] A la fin du scan, si des infections sont trouvées, clique sur Tout séléctionner > Désinfecter

[x] Si la désinfection est impossible, mettre en quarantaine.

[x] De retour au menu principal, clique sur Fichier > Enregistrer le rapport

[x] Sauvegarde le sur ton bureau, puis ferme Dr.Web et redémarre ton ordinateur ( important )

[x] Au redémarrage, poste le contenu du rapport de DrWeb ( DrWeb.csv ) dans ta prochaine réponse.
0
Réponse 74 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
voici le contenu du rapport de Dr Web :

RegUBP2b-Home.reg C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Supprimé.
AD-R.exe\data016 C:\Documents and Settings\Home\Desktop\AD-R.exe Tool.Prockill
AD-R.exe C:\Documents and Settings\Home\Desktop L'archive contient des éléments infectés Quarantaine.
SF.exe\data007 C:\Documents and Settings\Home\Desktop\SF.exe Adware.Urlblazer.origin
SF.exe C:\Documents and Settings\Home\Desktop L'archive contient des éléments infectés Quarantaine.
UsbFix.exe\Tools\Kill_P.exe C:\Documents and Settings\Home\Desktop\UsbFix.exe Tool.Prockill
UsbFix.exe C:\Documents and Settings\Home\Desktop L'archive contient des éléments infectés Quarantaine.
AD-R.exe\data016 C:\Documents and Settings\Home\DoctorWeb\Quarantine\AD-R.exe Tool.Prockill
AD-R.exe C:\Documents and Settings\Home\DoctorWeb\Quarantine L'archive contient des éléments infectés Quarantaine.
SF.exe\data007 C:\Documents and Settings\Home\DoctorWeb\Quarantine\SF.exe Adware.Urlblazer.origin
SF.exe C:\Documents and Settings\Home\DoctorWeb\Quarantine L'archive contient des éléments infectés Quarantaine.
UsbFix.exe\Tools\Kill_P.exe C:\Documents and Settings\Home\DoctorWeb\Quarantine\UsbFix.exe Tool.Prockill
UsbFix.exe C:\Documents and Settings\Home\DoctorWeb\Quarantine L'archive contient des éléments infectés Quarantaine.
The Count of Monte Cristo.exe C:\Documents and Settings\Home\Downloads\The Count of Monte Cristo Trojan.MulDrop.34565 Supprimé.
Process.com C:\Program Files\Ad-Remover Tool.Prockill Irréparable.Quarantaine.
AD-R.exe\data016 C:\Program Files\Ad-Remover\BACKUP\AD-R.exe Tool.Prockill
AD-R.exe C:\Program Files\Ad-Remover\BACKUP L'archive contient des éléments infectés Quarantaine.
ScanReg.exe C:\Program Files\SF Adware.Urlblazer.origin Irréparable.Quarantaine.
Kill_P.exe C:\UsbFix\Tools Tool.Prockill Irréparable.Quarantaine.
0
Réponse 75 / 86
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
Bien, refais maintenant un ZHPDiag
0
Réponse 76 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
voici le rapport : https://www.cjoint.com/?lqpIS2zmBE
0
Réponse 77 / 86
Xplode Messages postés 8820 Date d'inscription   Statut Contributeur sécurité Dernière intervention   726
 
-+-+-+-> USBfix ( Infections USB ) <-+-+-+-


[x] Télécharge USBfix ( de Chiquitine29 )

[x] Un tutoriel est disponible ici

[x] Installe le

/!\ Branche tout tes médias amovibles ( clés USB, DD externe, Cartes SD ) /!\

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisis l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

-----------------

Branche bien TOUT tes médias amovibles.

-----------------

Ensuite, fais ceci :

-+-+-+-> GMER <-+-+-+-


[x] Télécharge GMER

[x] Dézippe le sur ton bureau, puis lance GMER en double cliquant dessus ( Clic droit -> Executer en tant qu'admin sur vista )

/!\ Désactive ton antivirus le temps du scan /!\

[x] Dans l'onglet " Rootkit " , laisse toutes les cases cochées à droite.

[x] Clique sur " Scan "

[x] Si tu observes des lignes rouges, fais un clic droit dessus puis séléctionne " Delete ... "

[x] Lorsque le scan est terminé, clique sur " Copy " , ouvre le bloc note et clique sur Edition -> Coller

[x] Enregistre le fichier sur ton bureau et copie/colle le contenu dans ton prochain message.

Nb : Un tutoriel est disponible ici pour t'aider.
0
Réponse 78 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
voici le rapport USBFix :


############################## | UsbFix V6.053 |

User : Home (Administrateurs) # PC-DE-HOME
Update on 14/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 18:44:50 | 16/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU E4500 @ 2.20GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18828
Windows Firewall Status : Disabled
AV : AVG Anti-Virus plus Firewall 8.0 [ Enabled | Updated ]

C:\ -> Disque fixe local # 144,29 Go (48,75 Go free) [ACER] # NTFS
D:\ -> Disque fixe local # 144,04 Go (18,47 Go free) [DATA] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque amovible
J:\ -> Disque fixe local # 232,88 Go (50,38 Go free) [BUTCH] # NTFS
L:\ -> Disque amovible
M:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe 464
C:\Windows\system32\csrss.exe 532
C:\Windows\system32\wininit.exe 584
C:\Windows\system32\csrss.exe 600
C:\Windows\system32\services.exe 636
C:\Windows\system32\lsass.exe 648
C:\Windows\system32\lsm.exe 660
C:\Windows\system32\svchost.exe 800
C:\Windows\system32\winlogon.exe 828
C:\Windows\system32\svchost.exe 896
C:\Windows\System32\svchost.exe 996
C:\Windows\System32\svchost.exe 1024
C:\Windows\system32\svchost.exe 1040
C:\Windows\system32\LogonUI.exe 1136
C:\Windows\system32\svchost.exe 1180
C:\Windows\system32\SLsvc.exe 1200
C:\Windows\system32\svchost.exe 1224
C:\Windows\system32\svchost.exe 1392
C:\Windows\System32\spoolsv.exe 1700
C:\Windows\system32\svchost.exe 1724
C:\Windows\system32\Dwm.exe 2004
C:\Windows\system32\taskeng.exe 2032
C:\Windows\Explorer.EXE 212
C:\Windows\system32\taskeng.exe 324
C:\Windows\system32\taskeng.exe 736
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe 1484
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe 1560
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 960
C:\Program Files\AVG\AVG9\avgwdsvc.exe 892
C:\Program Files\AVG\AVG9\avgfws9.exe 1732
C:\Program Files\Bonjour\mDNSResponder.exe 1568
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe 2104
C:\Program Files\Google\Update\GoogleUpdate.exe 2128
C:\Program Files\Common Files\LightScribe\LSSrvc.exe 2244
C:\Windows\system32\PnkBstrA.exe 2324
C:\Windows\system32\PnkBstrB.exe 2368
C:\Windows\system32\svchost.exe 2464
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 2500
C:\Windows\system32\svchost.exe 2540
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe 2588
C:\Windows\System32\svchost.exe 2624
C:\Windows\system32\SearchIndexer.exe 2644
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe 2684
C:\Program Files\AVG\AVG9\avgemc.exe 2816
C:\Program Files\AVG\AVG9\avgam.exe 2864
C:\Program Files\AVG\AVG9\avgnsx.exe 2884
C:\Program Files\AVG\AVG9\avgcsrvx.exe 3132
C:\Windows\system32\WUDFHost.exe 3244
C:\Windows\system32\wbem\wmiprvse.exe 3492
C:\Windows\system32\runonce.exe 3564
C:\Windows\system32\conime.exe 3708
C:\Program Files\AVG\AVG9\avgcsrvx.exe 3912
C:\Program Files\AVG\AVG9\avgchsvx.exe 3976
C:\Program Files\AVG\AVG9\avgrsx.exe 4008
C:\Program Files\AVG\AVG9\avgcsrvx.exe 4032

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |

Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TurboNet"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{40cd9e6b-d099-11de-aa54-001c2555ccda}\Shell\Auto\Command

################## | Listing des fichiers présent |

[09/11/2009 21:42|--a------|3972] C:\Ad-Report-CLEAN[1].log
[09/11/2009 22:36|--a------|2098] C:\Ad-Report-CLEAN[2].log
[11/11/2009 19:50|--a------|4] C:\autoexec.bat
[11/04/2009 07:36|-rahs----|333257] C:\bootmgr
[10/07/2007 22:30|-ra-s----|8192] C:\BOOTSECT.BAK
[12/11/2009 18:03|--a------|1057] C:\cleannavi.txt
[13/11/2009 19:39|--a------|21941] C:\ComboFix.txt
[18/09/2006 22:43|--a------|10] C:\config.sys
[?|?|?] C:\hiberfil.sys
[24/04/2008 20:39|-rahs----|0] C:\IO.SYS
[11/11/2009 19:50|--a------|2288] C:\Kill'em.txt
[29/11/2006 16:35|--a------|512] C:\MDR.iss
[24/04/2008 20:39|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[12/11/2009 21:51|--a------|63296] C:\SFlog.txt
[16/11/2009 18:48|--a------|4790] C:\UsbFix.txt
[12/11/2009 13:37|--a------|3694] C:\ZHPExportRegistry-12-11-2009-13-37-35.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.
# J:\autorun.inf -> Dossier créé par UsbFix.

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.053 ! |
0
Réponse 79 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
et voila le lien du rapport GMER : https://www.cjoint.com/?lqtMyCgDiv
0
Réponse 80 / 86
matko-destanov Messages postés 51 Date d'inscription   Statut Membre Dernière intervention  
 
un petit up Xplode meme s'il me semble cette fois que tout a disparu
0

Discussions similaires

virus b.exe
Pimouss -
verni29 -

21 réponses