Win32 malware-gen

Résolu/Fermé
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 - 7 avril 2010 à 13:03
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 - 14 avril 2010 à 13:28
Depuis hier mon antivirus avast me signale tout les 5 minutes que j'ai un virus sur mon ordinateur, je le supprime mais il revien toujours. Ce virus s'appelle "Win32 malware-gen".
Merci de m'aidez.
a+
A voir également:

66 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
7 avril 2010 à 13:05
Bonjour,

On va analyser ton PC
Sous VISTA : Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection)

Télécharge RSIT et mets l'exécutable sur ton Bureau. ==>http://images.malwareremoval.com/random/RSIT.exe
Ferme toutes les applications et déconnecte toi dinternet
Lance RSIT:
- Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
- Devant l'option "List files/folders created ..." , tu choisis : 1 months
- Clique ensuite sur " Continue " pour lancer l'analyse ...
- Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.

Le scan démarre et ne touche pas au PC ...
Une fois l'analyse terminée, deux fichiers texte s'ouvriront (avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches),
Tu peux utiliser www.cijoint.fr pour mettre un lien vers les deux rapports

PS: Pour info les rapports se trouvent dans C:\rsit

Smart
1
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 13:14
Logfile of random's system information tool 1.06 (written by random/random)
Run by UTILISATEUR at 2010-04-07 13:12:23
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 44 GB (73%) free of 60 GB
Total RAM: 895 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:12:36, on 07/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\lssas.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\UTILISATEUR.AR\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\UTILISATEUR.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: myBabylon English4 Toolbar - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyB0.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: myBabylon English4 Toolbar - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyB0.dll
O3 - Toolbar: myBabylon English4 Toolbar - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyB0.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Google Updater] C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\lssas.exe
O4 - HKCU\..\Run: [Google Updater] C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\lssas.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 13:16
Voila et maintenant? =)
Au fait merci de t'occuper de moi.
0
Utilisateur anonyme
7 avril 2010 à 13:18
c'est bien le scan hijackthis ?
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
7 avril 2010 à 13:25
Dans un r'apport RSIT il y a un rapport Hijackthis
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 13:19
C'est le scan que j'ai fait avec le logiciel RSIT.
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 13:21
Celui que ma demander de faire Smart91.
0
Utilisateur anonyme
7 avril 2010 à 13:24
ok , celui ci , je ne le metrise pas ...
je laisse smart91 t'aider .
si jamais , tu n'as pas de reponse etc ... , previens moi et fais le scan de hijackthis .

bonne chance .
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
7 avril 2010 à 13:28
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
- Clique sur [b]TÉLÉCHARGER/b et enregistre-le sur ton bureau.
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Smart
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 13:40
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:31:20 le 07/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: AR | Utilisateur actuel: UTILISATEUR (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\liveplayer_exe.dat
C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\liveplayer_skin.dat

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\fcn
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
HKCU\Software\PopCap
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnoooff
HKLM\Software\PopCap
.
(Orpheline) BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.0.19 (fr) *
.
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - browser.download.lastDir: D:\\Yeliz\\Photos, images
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - browser.startup.homepage: hxxp://www.google.com
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.19
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - keyword.URL: hxxp://www.searcheo.fr/renseignement?search&q=
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - privacy.popups.showBrowserMessage, false
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp: 4 Fichier(s), 318 Dossier(s)
C:\WINDOWS\temp: 3 Fichier(s), 89 Dossier(s)
Temporary Internet Files: 0 Fichier(s), 20 Dossier(s)
.
C:\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 3076 Octet(s)
.
Fin à: 13:39:20, 07/04/2010
.
============== E.O.F - CLEAN[1] ==============
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
Modifié par Smart91 le 7/04/2010 à 13:56
OK. On avance.

/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto :https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Télécharge Malwarebytes

- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
-Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 13:49
Dois-je sélectionner tout les disques?
Et après avoir fini l'analyse et avoir efface les fichiers infecté dois-je redémarrer mon ordinateur ?
Le redémarrage prend-il bcp de temps ?
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
7 avril 2010 à 13:53
Fais le sur le disque system C: pour le moment. Poste le rapport avant de redemarrer le PC

Smart
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 13:53
ok mais si on me force a le redémarrer. Si j'ai pas le choix
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
7 avril 2010 à 14:04
Suis la procédure que j'ai donné
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 14:05
C pas prêt d'être finis je crois que ça va me prendre un peut beaucoup de temps sa fait déjà 10 minutes.
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 14:07
On avance bien ?
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
7 avril 2010 à 14:10
Ne t'inquiète pas l'analyse peut être longue.
Est-ce que tu as fais un examen rapide ou complet

Smart
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 14:10
Complet et j'ai choisi C:\
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 14:12
Est-ce que c'est grave si j'ai déjà 4 fichiers infectés :/
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 14:14
Le signale du virus continue encore a venir tout les 10 minutes
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
7 avril 2010 à 14:16
Attends que l'analyse soit complètement terminée. sauvegarde le rapport et poste le.
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 14:18
Ok jsuis passer a 8 fichiers infectés, j'ai peur ^^
0
Fasiler Messages postés 93 Date d'inscription mardi 6 avril 2010 Statut Membre Dernière intervention 15 janvier 2011 2
7 avril 2010 à 14:39
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3962

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07/04/2010 14:38:00
mbam-log-2010-04-07 (14-38-00).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 188481
Temps écoulé: 43 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\google updater (Backdoor.IRCBot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\google updater (Backdoor.IRCBot) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Dossier(s) infecté(s):
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Fichier(s) infecté(s):
C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026514.exe (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026515.dll (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026516.dll (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026517.exe (Adware.Gibmedia) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Documents and Settings\UTILISATEUR.AR\Local Settings\Temp\lssas.exe (Backdoor.IRCBot) -> No action taken.






Voila dois-je supprimer la selection ?
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
7 avril 2010 à 14:43
Oui tout à fait
Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart
0