Win32 malware-gen

Résolu/Fermé
Fasiler Messages postés 97 Statut Membre -  
Fasiler Messages postés 97 Statut Membre -
Depuis hier mon antivirus avast me signale tout les 5 minutes que j'ai un virus sur mon ordinateur, je le supprime mais il revien toujours. Ce virus s'appelle "Win32 malware-gen".
Merci de m'aidez.
a+

66 réponses

  • 1
  • 2
  • 3
  • 4
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    On va analyser ton PC
    Sous VISTA : Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection)

    Télécharge RSIT et mets l'exécutable sur ton Bureau. ==>http://images.malwareremoval.com/random/RSIT.exe
    Ferme toutes les applications et déconnecte toi dinternet
    Lance RSIT:
    - Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
    - Devant l'option "List files/folders created ..." , tu choisis : 1 months
    - Clique ensuite sur " Continue " pour lancer l'analyse ...
    - Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.

    Le scan démarre et ne touche pas au PC ...
    Une fois l'analyse terminée, deux fichiers texte s'ouvriront (avec le bloc-note).
    Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches),
    Tu peux utiliser www.cijoint.fr pour mettre un lien vers les deux rapports

    PS: Pour info les rapports se trouvent dans C:\rsit

    Smart
    1
  2. Fasiler Messages postés 97 Statut Membre 2
     
    Logfile of random's system information tool 1.06 (written by random/random)
    Run by UTILISATEUR at 2010-04-07 13:12:23
    Microsoft Windows XP Professionnel Service Pack 3
    System drive C: has 44 GB (73%) free of 60 GB
    Total RAM: 895 MB (54% free)

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 13:12:36, on 07/04/2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v8.00 (8.00.6001.18702)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\WINDOWS\RTHDCPL.EXE
    C:\Program Files\Java\jre6\bin\jusched.exe
    C:\Program Files\Orange\Systray\SystrayApp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
    C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\lssas.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Documents and Settings\UTILISATEUR.AR\Bureau\RSIT.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe
    C:\Program Files\trend micro\UTILISATEUR.exe

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
    R3 - URLSearchHook: myBabylon English4 Toolbar - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyB0.dll
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
    O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
    O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O2 - BHO: myBabylon English4 Toolbar - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyB0.dll
    O3 - Toolbar: myBabylon English4 Toolbar - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyB0.dll
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
    O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
    O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
    O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
    O4 - HKLM\..\Run: [Google Updater] C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\lssas.exe
    O4 - HKCU\..\Run: [Google Updater] C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\lssas.exe
    O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
    O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
    O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
    O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
    0
  3. Fasiler Messages postés 97 Statut Membre 2
     
    Voila et maintenant? =)
    Au fait merci de t'occuper de moi.
    0
  4. Utilisateur anonyme
     
    c'est bien le scan hijackthis ?
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Dans un r'apport RSIT il y a un rapport Hijackthis
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Fasiler Messages postés 97 Statut Membre 2
     
    C'est le scan que j'ai fait avec le logiciel RSIT.
    0
  7. Fasiler Messages postés 97 Statut Membre 2
     
    Celui que ma demander de faire Smart91.
    0
  8. Utilisateur anonyme
     
    ok , celui ci , je ne le metrise pas ...
    je laisse smart91 t'aider .
    si jamais , tu n'as pas de reponse etc ... , previens moi et fais le scan de hijackthis .

    bonne chance .
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
    - Clique sur [b]TÉLÉCHARGER/b et enregistre-le sur ton bureau.
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Smart
    0
  10. Fasiler Messages postés 97 Statut Membre 2
     
    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 31/03/10 à 21:30
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 13:31:20 le 07/04/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
    Nom du PC: AR | Utilisateur actuel: UTILISATEUR (Administrateur)
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\liveplayer_exe.dat
    C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\liveplayer_skin.dat

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\fcn
    HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
    HKCU\Software\PopCap
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnoooff
    HKLM\Software\PopCap
    .
    (Orpheline) BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} (CLSID manquant)
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.0.19 (fr) *
    .
    C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - browser.download.lastDir: D:\\Yeliz\\Photos, images
    C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - browser.startup.homepage: hxxp://www.google.com
    C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.19
    C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - keyword.URL: hxxp://www.searcheo.fr/renseignement?search&q=
    C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - privacy.popups.showBrowserMessage, false
    .
    .
    * Internet Explorer Version 8.0.6001.18702 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp: 4 Fichier(s), 318 Dossier(s)
    C:\WINDOWS\temp: 3 Fichier(s), 89 Dossier(s)
    Temporary Internet Files: 0 Fichier(s), 20 Dossier(s)
    .
    C:\Ad-Remover\Quarantine: 2 Fichier(s)
    C:\Ad-Remover\Backup: 13 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 3076 Octet(s)
    .
    Fin à: 13:39:20, 07/04/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. On avance.

    /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto :https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Télécharge Malwarebytes

    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
    -Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  12. Fasiler Messages postés 97 Statut Membre 2
     
    Dois-je sélectionner tout les disques?
    Et après avoir fini l'analyse et avoir efface les fichiers infecté dois-je redémarrer mon ordinateur ?
    Le redémarrage prend-il bcp de temps ?
    0
  13. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Fais le sur le disque system C: pour le moment. Poste le rapport avant de redemarrer le PC

    Smart
    0
  14. Fasiler Messages postés 97 Statut Membre 2
     
    ok mais si on me force a le redémarrer. Si j'ai pas le choix
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Suis la procédure que j'ai donné
      0
  15. Fasiler Messages postés 97 Statut Membre 2
     
    C pas prêt d'être finis je crois que ça va me prendre un peut beaucoup de temps sa fait déjà 10 minutes.
    0
  16. Fasiler Messages postés 97 Statut Membre 2
     
    On avance bien ?
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Ne t'inquiète pas l'analyse peut être longue.
      Est-ce que tu as fais un examen rapide ou complet

      Smart
      0
  17. Fasiler Messages postés 97 Statut Membre 2
     
    Complet et j'ai choisi C:\
    0
  18. Fasiler Messages postés 97 Statut Membre 2
     
    Est-ce que c'est grave si j'ai déjà 4 fichiers infectés :/
    0
    1. Fasiler Messages postés 97 Statut Membre 2
       
      Le signale du virus continue encore a venir tout les 10 minutes
      0
    2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Attends que l'analyse soit complètement terminée. sauvegarde le rapport et poste le.
      0
  19. Fasiler Messages postés 97 Statut Membre 2
     
    Ok jsuis passer a 8 fichiers infectés, j'ai peur ^^
    0
  20. Fasiler Messages postés 97 Statut Membre 2
     
    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 3962

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    07/04/2010 14:38:00
    mbam-log-2010-04-07 (14-38-00).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 188481
    Temps écoulé: 43 minute(s), 8 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 4
    Valeur(s) du Registre infectée(s): 3
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\google updater (Backdoor.IRCBot) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\google updater (Backdoor.IRCBot) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\sdra64.exe -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

    Dossier(s) infecté(s):
    C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026514.exe (Adware.Gibmedia) -> No action taken.
    C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026515.dll (Adware.Gibmedia) -> No action taken.
    C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026516.dll (Adware.Gibmedia) -> No action taken.
    C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026517.exe (Adware.Gibmedia) -> No action taken.
    C:\WINDOWS\system32\sdra64.exe (Trojan.Agent) -> No action taken.
    C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
    C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
    C:\Documents and Settings\UTILISATEUR.AR\Local Settings\Temp\lssas.exe (Backdoor.IRCBot) -> No action taken.

    Voila dois-je supprimer la selection ?
    0
  21. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Oui tout à fait
    Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Smart
    0
  • 1
  • 2
  • 3
  • 4