Infecté par win32sality - Page 3

Précédent
  • 1
  • 2
  • 3
  1. tchingtrati Messages postés 39 Statut Membre
     
    ok, merci encore
    0
  2. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Re,

    Télécharge ce fichier:
    http://www.cijoint.fr/cjlink.php?file=cj200912/cij4qRdX8r.zip
    Dézippe l'archive
    Lance le fichier

    =======

    Télécharge OTM (Old Timer) sur ton bureau:

    ▶ Sous XP: Double-clique sur OTM.exe afin de le lancer.
    * Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur"
    ▶ Copie (Ctrl+C) le texte suivant ci-dessous :

    :Reg
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\DOCUME~1\tching\LOCALS~1\Temp\pdjuuq.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\qyjt.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\pbmxkh.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\mexfqd.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\winjdnn.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\ahhnr.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\qpamhj.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\winqqsqij.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\winepoc.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\winsudrs.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\kkerb.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\fscxge.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\winggqpfy.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\winedyg.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\vhnfh.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\winshenlo.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\winjujl.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\wingwsoqy.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\kxhrt.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\winyako.exe"=-
    "C:\DOCUME~1\tching\LOCALS~1\Temp\mojir.exe"=-

    :files
    C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe
    C:\DOCUME~1\tching\LOCALS~1\Temp\winvgmnqj.exe
    C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe
    C:\DOCUME~1\tching\LOCALS~1\Temp\verb.exe
    C:\Program Files\AskSearch

    :Services
    abp470n5

    :commands
    [emptytemp]
    [reboot]

    ▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM.

    Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. => Accepte en cliquant sur YES.

    ▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

    * Note: Le nom du rapport correspond au moment de sa création : date_heure.log

    =========

    Télécharge MalwareBytes' Anti-Malware (MBAM) .

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d’installation , choisis "Français" et accepte lorsqu’il te le sera demandé de le mettre a jour.

    ▶ Regarde bien ce Tuto pour bien utiliser le programme.

    ! Déconnecte toi ferme toutes applications en cours !

    ⇒ Lance MBAM.

    ▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

    ▶ Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen complet/rapide".

    ▶ Puis clique sur " Rechercher ".

    ▶ Laisse le scanner le PC...

    ▶ Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats".

    ▶ Vérifie que tout est bien coché et clique sur "Supprimer la sélection".

    ▶ Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes".

    ▶ A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu et le poster sur le forum.

    Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .

    Note: les rapports sont aussi rangés dans l'onglet Rapport/Log .

    ===========

    Télécharge Dr.Web CureIt sur ton Bureau:

    ▶ Démarre en mode sans échec.
    ▶ Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
    ▶ Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
    **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
    ▶ Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
    ▶ Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
    ▶ De retour à la fenêtre principale : clique pour activer "Analyse complète";
    ▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    ▶ Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
    ▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
    ▶ Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
    ▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
    ▶ Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
    ▶ Ferme Dr.Web Cureit* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
    ▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
    0
  3. tchingtrati Messages postés 39 Statut Membre
     
    All processes killed
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\pdjuuq.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\qyjt.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\pbmxkh.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\mexfqd.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winjdnn.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\ahhnr.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\qpamhj.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winqqsqij.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winepoc.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winsudrs.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\kkerb.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\fscxge.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winggqpfy.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winedyg.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\vhnfh.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winshenlo.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winjujl.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\wingwsoqy.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\kxhrt.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winyako.exe deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\mojir.exe deleted successfully.
    ========== FILES ==========
    File/Folder C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe not found.
    File/Folder C:\DOCUME~1\tching\LOCALS~1\Temp\winvgmnqj.exe not found.
    File/Folder C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe not found.
    File/Folder C:\DOCUME~1\tching\LOCALS~1\Temp\verb.exe not found.
    C:\Program Files\AskSearch\bin folder moved successfully.
    C:\Program Files\AskSearch folder moved successfully.
    ========== SERVICES/DRIVERS ==========
    Error: Unable to stop service abp470n5!
    Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\abp470n5 deleted successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: tching
    ->Temp folder emptied: 729225706 bytes
    ->Temporary Internet Files folder emptied: 54183935 bytes
    ->FireFox cache emptied: 59533030 bytes

    User: USER
    ->Temp folder emptied: 589744632 bytes
    ->Temporary Internet Files folder emptied: 31916012 bytes

    User: yan toro
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 67 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2114013 bytes
    %systemroot%\System32 .tmp files removed: 2833408 bytes
    Windows Temp folder emptied: 1091406 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
    RecycleBin emptied: 24973880 bytes

    Total Files Cleaned = 1426,46 mb

    OTM by OldTimer - Version 3.1.2.2 log created on 12152009_182916
    All processes killed

    OTM by OldTimer - Version 3.1.2.2 log created on 12152009_182904

    Files moved on Reboot...
    C:\windows\temp\Perflib_Perfdata_994.dat moved successfully.

    Registry entries deleted on Reboot...
    0
  4. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Re,

    La suite ... =)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. tchingtrati Messages postés 39 Statut Membre
     
    slt,

    Malwarebytes' Anti-Malware 1.42
    Version de la base de données: 3372
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 8.0.6001.18702

    16-déc-2009 10:03:27
    mbam-log-2009-12-16 (10-03-27).txt

    Type de recherche: Examen complet (C:\|E:\|F:\|)
    Eléments examinés: 239806
    Temps écoulé: 1 hour(s), 8 minute(s), 2 second(s)

    Processus mémoire infecté(s): 1
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 5
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    C:\Documents and Settings\tching\Local Settings\temp\winvfieh.exe (Worm.Spambot) -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\tching\Local Settings\temp\winvfieh.exe (Worm.Spambot) -> Quarantined and deleted successfully.
    0
  7. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Bien ...

    la suite :)
    0
  8. tchingtrati Messages postés 39 Statut Membre
     
    je tente de telecharger dr web, mais j'y parviens pas pour le moment
    0
  9. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Re,

    Essaye là :
    http://www.freedrweb.com/download+cureit/gr/
    0
  10. tchingtrati Messages postés 39 Statut Membre
     
    tjrs rien, chargement lent, page blanche. sil le faut je le telecharge a partir du pc dun frangin et je viens l'installer sur le mien, mais ce sera pour ce soir
    0
  11. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    Ok,

    à ce soir donc :)
    0
  12. tchingtrati Messages postés 39 Statut Membre
     
    thanks
    0
  13. fix200 Messages postés 3365 Statut Contributeur sécurité 158
     
    De nada / you are welcome/ de rien ;)
    0
Précédent
  • 1
  • 2
  • 3