Infecté par win32sality - Page 3

Précédent
  • 1
  • 2
  • 3
Réponse 41 / 52
tchingtrati Messages postés 39 Statut Membre
 
ok, merci encore
0
Réponse 42 / 52
fix200 Messages postés 3365 Statut Contributeur sécurité 158
 
Re,

Télécharge ce fichier:
http://www.cijoint.fr/cjlink.php?file=cj200912/cij4qRdX8r.zip
Dézippe l'archive
Lance le fichier

=======

Télécharge OTM (Old Timer) sur ton bureau:

▶ Sous XP: Double-clique sur OTM.exe afin de le lancer.
* Sous Vista: fais un clic droit sur OTM et choisis "exécuter en tant qu'administrateur"
▶ Copie (Ctrl+C) le texte suivant ci-dessous :

:Reg
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\DOCUME~1\tching\LOCALS~1\Temp\pdjuuq.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\qyjt.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\pbmxkh.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\mexfqd.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\winjdnn.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\ahhnr.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\qpamhj.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\winqqsqij.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\winepoc.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\winsudrs.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\kkerb.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\fscxge.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\winggqpfy.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\winedyg.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\vhnfh.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\winshenlo.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\winjujl.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\wingwsoqy.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\kxhrt.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\winyako.exe"=-
"C:\DOCUME~1\tching\LOCALS~1\Temp\mojir.exe"=-

:files
C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\winvgmnqj.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\verb.exe
C:\Program Files\AskSearch

:Services
abp470n5

:commands
[emptytemp]
[reboot]

▶ Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

▶ Clique maintenant sur le bouton MoveIt! puis ferme OTM.

Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. => Accepte en cliquant sur YES.

▶ Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\

* Note: Le nom du rapport correspond au moment de sa création : date_heure.log

=========

Télécharge MalwareBytes' Anti-Malware (MBAM) .

▶ Double clique sur le fichier téléchargé pour lancer le processus d’installation , choisis "Français" et accepte lorsqu’il te le sera demandé de le mettre a jour.

▶ Regarde bien ce Tuto pour bien utiliser le programme.

! Déconnecte toi ferme toutes applications en cours !

⇒ Lance MBAM.

▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

▶ Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen complet/rapide".

▶ Puis clique sur " Rechercher ".

▶ Laisse le scanner le PC...

▶ Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats".

▶ Vérifie que tout est bien coché et clique sur "Supprimer la sélection".

▶ Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes".

▶ A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu et le poster sur le forum.

Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .

Note: les rapports sont aussi rangés dans l'onglet Rapport/Log .

===========

Télécharge Dr.Web CureIt sur ton Bureau:

▶ Démarre en mode sans échec.
▶ Double clique drweb-cureit.exe et ensuite clique sur Analyse ;
▶ Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; vous pouvez quitter en cliquant le "X"
▶ Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
▶ Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
▶ De retour à la fenêtre principale : clique pour activer "Analyse complète";
▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶ Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés :
▶ Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
▶ Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶ Ferme Dr.Web Cureit* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
0
Réponse 43 / 52
tchingtrati Messages postés 39 Statut Membre
 
All processes killed
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\pdjuuq.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\qyjt.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\pbmxkh.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\mexfqd.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winjdnn.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\ahhnr.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\qpamhj.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winqqsqij.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winepoc.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winsudrs.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\kkerb.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\fscxge.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winggqpfy.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winedyg.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\vhnfh.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winshenlo.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winjujl.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\wingwsoqy.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\kxhrt.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\winyako.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list\\C:\DOCUME~1\tching\LOCALS~1\Temp\mojir.exe deleted successfully.
========== FILES ==========
File/Folder C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe not found.
File/Folder C:\DOCUME~1\tching\LOCALS~1\Temp\winvgmnqj.exe not found.
File/Folder C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe not found.
File/Folder C:\DOCUME~1\tching\LOCALS~1\Temp\verb.exe not found.
C:\Program Files\AskSearch\bin folder moved successfully.
C:\Program Files\AskSearch folder moved successfully.
========== SERVICES/DRIVERS ==========
Error: Unable to stop service abp470n5!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\abp470n5 deleted successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: tching
->Temp folder emptied: 729225706 bytes
->Temporary Internet Files folder emptied: 54183935 bytes
->FireFox cache emptied: 59533030 bytes

User: USER
->Temp folder emptied: 589744632 bytes
->Temporary Internet Files folder emptied: 31916012 bytes

User: yan toro
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114013 bytes
%systemroot%\System32 .tmp files removed: 2833408 bytes
Windows Temp folder emptied: 1091406 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 24973880 bytes

Total Files Cleaned = 1426,46 mb

OTM by OldTimer - Version 3.1.2.2 log created on 12152009_182916
All processes killed

OTM by OldTimer - Version 3.1.2.2 log created on 12152009_182904

Files moved on Reboot...
C:\windows\temp\Perflib_Perfdata_994.dat moved successfully.

Registry entries deleted on Reboot...
0
Réponse 44 / 52
fix200 Messages postés 3365 Statut Contributeur sécurité 158
 
Re,

La suite ... =)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 45 / 52
tchingtrati Messages postés 39 Statut Membre
 
slt,

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3372
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

16-déc-2009 10:03:27
mbam-log-2009-12-16 (10-03-27).txt

Type de recherche: Examen complet (C:\|E:\|F:\|)
Eléments examinés: 239806
Temps écoulé: 1 hour(s), 8 minute(s), 2 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
C:\Documents and Settings\tching\Local Settings\temp\winvfieh.exe (Worm.Spambot) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\tching\Local Settings\temp\winvfieh.exe (Worm.Spambot) -> Quarantined and deleted successfully.
0
Réponse 46 / 52
fix200 Messages postés 3365 Statut Contributeur sécurité 158
 
Bien ...

la suite :)
0
Réponse 47 / 52
tchingtrati Messages postés 39 Statut Membre
 
je tente de telecharger dr web, mais j'y parviens pas pour le moment
0
Réponse 48 / 52
fix200 Messages postés 3365 Statut Contributeur sécurité 158
 
Re,

Essaye là :
http://www.freedrweb.com/download+cureit/gr/
0
Réponse 49 / 52
tchingtrati Messages postés 39 Statut Membre
 
tjrs rien, chargement lent, page blanche. sil le faut je le telecharge a partir du pc dun frangin et je viens l'installer sur le mien, mais ce sera pour ce soir
0
Réponse 50 / 52
fix200 Messages postés 3365 Statut Contributeur sécurité 158
 
Ok,

à ce soir donc :)
0
Réponse 51 / 52
tchingtrati Messages postés 39 Statut Membre
 
thanks
0
Réponse 52 / 52
fix200 Messages postés 3365 Statut Contributeur sécurité 158
 
De nada / you are welcome/ de rien ;)
0
Précédent
  • 1
  • 2
  • 3

Discussions similaires

infecté par des virus
Lisy59120 -
Lisy59120 -

5 réponses
Virus non détecté par mon anti-virus ?
F2L -
cabrier -

12 réponses
simon
sisititi -
azert1313 -

1 réponse
Powershell infecté
Bal2bin -
MisteryBean -

8 réponses
Infecté ?
rifigames -
rifigames -

6 réponses