Virus ? combofix plante !

goldstreet Messages postés 78 Statut Membre -  
 gen-hackman -
Bonjour, je suis confronté à un virus que malware bytes à detecté !
J'ai voulu lancé combofix, mais celui plante et l'ordinateur récupère d'une erreur grave !
J'ai fait un scan findykill, tout est ok !

Y a t-il quelqu'un pour lire un rapport RSIT ?
Merci d'avance

Lien des deux fichiers fusionnés sur ci-joint : http://www.cijoint.fr/cjlink.php?file=cj201004/cijOiHC2AP.txt

12 réponses

  1. gen-hackman
     
    salut :

    ▶ Télécharge : Gmer (by Przemyslaw Gmerek)

    ▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

    ▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

    Ensuite

    ▶ sur les lignes rouge:

    ▶ Services:cliques droit delete service
    ▶ Process:cliques droit kill process
    ▶ Adl ,file:cliques droit delete files
    0
  2. goldstreet Messages postés 78 Statut Membre 9
     
    Merci pour ta réponse,
    Le problème c'est qu'au lancement de Gmer, il s'ouvre puis écran Bleu (erreur sérieuse) :

    BCCode : 19 BCP1 : 00000020 BCP2 : 89731000 BCP3 : 89731828
    BCP4 : 1B050000 OSVer : 5_1_2600 SP : 3_0 Product : 768_1

    Que faire ?

    Merci
    0
  3. gen-hackman
     
    ok tu peux remettre le rapport de malwarebytes avec sa detection ?
    0
  4. goldstreet Messages postés 78 Statut Membre 9
     
    hmmm il ne le detecte plus, y'a t-il pyen d'avoir les anciens rapport ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. goldstreet Messages postés 78 Statut Membre 9
     
    Voila le rapport de la première désinfection :
    Merci de ton aide.

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3640
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    26/01/2010 16:49:35
    mbam-log-2010-01-26 (16-49-35).txt

    Type de recherche: Examen complet (C:\|D:\|G:\|)
    Eléments examinés: 215645
    Temps écoulé: 1 hour(s), 0 minute(s), 28 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 2
    Fichier(s) infecté(s): 9

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2} (Adware.DoubleD) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\Documents and Settings\Lamsbread Vik\Local Settings\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2} (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lamsbread Vik\Local Settings\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\Data (Adware.DoubleD) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\Documents and Settings\All Users\Application Data\{FE09428E-9E54-4117-AC27-50C2DA4B2EC3}\OFFLINE\48C8FBD2\B94081D6\ProductInfo.dll (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\Documents and Settings\All Users\Application Data\{FE09428E-9E54-4117-AC27-50C2DA4B2EC3}\OFFLINE\mFileBagIDE.dll\bag\ProductInfo.dll (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lamsbread Vik\Local Settings\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\productinfo.dll (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lamsbread Vik\Local Settings\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\bg.jpg (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lamsbread Vik\Local Settings\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\CurrentVersion.xml (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lamsbread Vik\Local Settings\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\icon.ico (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lamsbread Vik\Local Settings\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\tdf.dat (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lamsbread Vik\Local Settings\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\tdf.zip (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\Documents and Settings\Lamsbread Vik\Local Settings\Temporary Internet Files\{D45817B8-3EAD-4d1d-8FCA-EC63A8E35DE2}\Data\ProductInfo.mx (Adware.DoubleD) -> Quarantined and deleted successfully.
    0
  7. goldstreet Messages postés 78 Statut Membre 9
     
    puis le second :

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3640
    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    27/01/2010 15:30:23
    mbam-log-2010-01-27 (15-30-23).txt

    Type de recherche: Examen complet (C:\|D:\|G:\|)
    Eléments examinés: 221177
    Temps écoulé: 1 hour(s), 3 minute(s), 22 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{679010F1-CAC6-4FBE-A911-2CA98F880077}\RP131\A0019820.dll (Adware.DoubleD) -> Quarantined and deleted successfully.
    C:\System Volume Information\_restore{679010F1-CAC6-4FBE-A911-2CA98F880077}\RP131\A0019821.dll (Adware.DoubleD) -> Quarantined and deleted successfully.
    0
  8. gen-hackman
     
    Télécharge OTL de OLDTimer

    enregistre le sur ton Bureau.

    ▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

    ▶ Coche les 2 cases Lop et Purity

    ▶ Coche la case devant tous les utilisateurs

    ▶ règle age du fichier sur "60 jours"

    ▶ dans la moitié gauche , mets tout sur "tous"

    ne modifie pas ceci :

    "fichiers créés" et "fichiers Modifiés"


    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  9. goldstreet Messages postés 78 Statut Membre 9
     
    Merci, j'ai fait le scan mais j'ai monté à 180 jours, car le PC m'a été prêté, et na pas tant servi que ça , sinon je le refait à 60 jours.

    OTL.txt : http://www.cijoint.fr/cjlink.php?file=cj201004/cij5pecgpR.txt
    Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj201004/cij55EYg0I.txt

    Merci
    0
  10. gen-hackman
     
    je ne vois rien de mechant a part quelques demarrages inutiles en gros.....
    0
  11. goldstreet Messages postés 78 Statut Membre 9
     
    pas de virus ?
    pourquoi combofix et gmer plante le pc ?

    Merci pour ton analyse !
    0
  12. gen-hackman
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    ▶ Télécharge List_Kill'em et enregistre le sur ton bureau

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis l'option Search

    un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
    un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

    0