Mon ordi a attrapé win32 malob-bd Fermé

Question

Bonjour, 

Avast anti virus a trouver ce virus : win32:MALob-bd[crypt]
mais il n arrive pas a le retirer

Comment puis je faire ? 

merci de votre aide



Configuration: Windows XP / Firefox 3.6.3

gen-hackman · Answer

salut tu as le nom du fichier et son chemin infecté ?

Fandeliza · Answer

attends je relance et je te dit

gen-hackman · Answer

ok :)

Fandeliza · Answer

c:\windows\system32\drivers
mais visiblement il le trouve dans plusieurs emplacement

gen-hackman · Answer

bien :

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

tu m'envoies l'archive comme ceci :

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

Fandeliza · Answer

http://www.cijoint.fr/cjlink.php?file=cj201005/cijCSBLXR1.xls

je l ai transfome en xls il ne voullait pas prendre en csv

gen-hackman · Answer

hello je n ai pas demandé a ce que tu l'envoies en csv si tu lis bien

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Fandeliza · Answer

Bonjour
desole du retard, j etais en WE
voici les deux liens

http://www.cijoint.fr/cjlink.php?file=cj201005/cijgjme7V2.txt 
http://www.cijoint.fr/cjlink.php?file=cj201005/cijVsMXDaW.txt

gen-hackman · Answer

&#9654 Télécharge ici : Ad-remover ( de C_XX ) sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

&#9654 Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.     

ensuite :

&#9654 Télécharge UsbFix

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

FANDELIZA · Answer

Voici le rapport AD REPORT

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:46:27 le 24/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Édition familiale (Service Pack 3 - X86)
Nom du PC: PASCAL
Utilisateur actuel: Pascal CORSALETTI
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Documents and Settings\Pascal CORSALETTI\Application Data\Mozilla\FireFox\Profiles\zn8wr3b7.default\searchplugins\askcom.xml
C:\Documents and Settings\Pascal CORSALETTI\Application Data\Search Settings
C:\Program Files\Mozilla FireFox\Components\AskSearch.js
C:\Program Files\Search Settings

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\Lanconfig
HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings
HKCU\Software\Microsoft\Internet Explorer\MenuExt\&Search
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\62119EF862C6B3A0D853419B87EB3E2F6C78640A
HKCU\Software\Microsoft\SystemCertificates\TrustedPublisher\Certificates\7EE743314C844C7F445B8B1D7617612DF1FDD50F
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKCU\Software\Search Settings
HKLM\Software\AskBarDis
HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Classes\Interface\{D5A1EF9A-7948-435D-8B87-D6A598317288}
HKLM\Software\Classes\Interface\{D6094FC6-821F-474C-8D73-C13066CD178D}
HKLM\Software\Classes\SearchSettings.BHO
HKLM\Software\Classes\SearchSettings.BHO.1
HKLM\Software\Classes\TypeLib\{CD082CCA-086F-4FD8-8FD7-247A0DBBD1CC}
HKLM\Software\Freeze.com
HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Search Settings
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|RelevantKnowledge
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\kb126\SearchSettings.dll
HKLM\Software\Microsoft\Windows\CurrentVersion\SharedDLLs|C:\Program Files\Search Settings\SearchSettings.exe
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.6.3 (fr) *
.
C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - browser.download.dir: C:\Documents and Settings\Pascal CORSALETTI\Mes documents\Mes fichiers reçus
C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - browser.download.lastDir: C:\Documents and Settings\Pascal CORSALETTI\Mes documents\Mes fichiers reçus\Jena_Lee_-_Vous_Remercier\Jena Lee - Vous Remercier -2009
C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - browser.search.defaultenginename: Ask.com
C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - browser.search.selectedEngine: Google
C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - browser.startup.homepage: hxxp://www.sfr.fr
C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - keyword.URL: hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=
.
EFFACÉ: C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - user_pref("browser.search.defaultengine", "Ask.com");
EFFACÉ: C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - user_pref("browser.search.defaultenginename", "Ask.com");
EFFACÉ: C:\Documents and Settings\Pascal CORSALETTI\..\zn8wr3b7.default\prefs.js - user_pref("browser.search.order.1", "Ask.com");
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 4 Fichier(s)
C:\Ad-Remover\Backup: 14 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 5572 Octet(s)
.
Fin à: 18:58:50, 24/05/2010
.
============== E.O.F - CLEAN[1] ==============

FANDELIZA · Answer

Et le rapport USB FIX


############################## | UsbFix V6.114 |

User : Pascal CORSALETTI (Administrateurs) # PASCAL
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 19:08:20 | 24/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100520-1] 4.8.1368 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 74,55 Go (14,85 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,92 Go (1,82 Go free) [USB20FD] # FAT
H:\ -> Disque amovible
I:\ -> Disque amovible # 1,88 Go (1,19 Go free) # FAT

################## | Elements infectieux |

C:\log.txt  
G:
ideiect.com  

################## | Registre |


################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{14684ef5-f360-11dc-92da-0019152ded2b}
Shell\AutoRun\command =.\Recycled\Driveinfo.exe 
Shell\Open\Command =.\Recycled\Driveinfo.exe 

HKCU\..\..\Explorer\MountPoints2\{52fe9d0e-fe8f-11dc-92e3-0019152ded2b}
Shell\AutoRun\command =.\Recycled\Driveinfo.exe 
Shell\Open\Command =.\Recycled\Driveinfo.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.114 ! |

gen-hackman · Answer

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

fandeliza · Answer

############################## | UsbFix V6.114 |

User : Pascal CORSALETTI (Administrateurs) # PASCAL
Update on 17/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 07:24:37 | 25/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

              Intel(R) Pentium(R) 4 CPU 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100524-1] 4.8.1368 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 74,55 Go (14,7 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 1,92 Go (1,82 Go free) [USB20FD] # FAT
H:\ -> Disque amovible
I:\ -> Disque amovible # 1,88 Go (1,19 Go free) # FAT

################## | Elements infectieux |

Supprimé ! C:\log.txt 
Supprimé ! C:\Recycler\S-1-5-21-854245398-1965331169-725345543-1004 
Supprimé ! G:
ideiect.com 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{14684ef5-f360-11dc-92da-0019152ded2b}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{52fe9d0e-fe8f-11dc-92e3-0019152ded2b}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[24/05/2010 18:58|--a------|5698] C:\Ad-Report-CLEAN[1].txt 
[21/12/2009 22:40|--a------|27782] C:\BandObject.log 
[24/05/2010 16:28|-rahs----|216] C:\boot.ini 
[30/08/2002 14:00|-rahs----|4952] C:\Bootfont.bin 
[15/03/2008 14:10|--a------|0] C:\CONFIG.SYS 
[26/12/2008 14:52|--a------|598] C:\ConfigurateurLog.txt 
[19/10/2009 18:15|--a------|4113] C:\FindyKill.txt 
[04/03/2010 21:02|--a------|29523] C:\FyK.txt 
[15/03/2008 14:10|-rahs----|0] C:\IO.SYS 
[16/03/2008 14:06|--a------|0] C:\itouch_config_crash_info.txt 
[16/03/2008 13:55|--a------|0] C:\itouch_crash_info.txt 
[18/05/2010 07:14|--a------|127] C:\mbam-error.txt 
[15/03/2008 14:10|-rahs----|0] C:\MSDOS.SYS 
[16/03/2008 11:24|-rahs----|47564] C:\NTDETECT.COM 
[25/08/2008 08:38|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[25/05/2010 07:29|--a------|2210] C:\UsbFix.txt 
[02/05/2010 10:22|--a------|3128] G:\BOOTEX.LOG 
[08/03/2008 17:37|--a------|10798066] G:\Leaguepad 4.0.4 Multilanguages + Serial.zip 
[09/10/2008 08:16|--a------|142] G:\Leaguepad Serial.txt 
[19/11/2008 11:05|--a------|29184] G:\PLANNING PREVISIONNEL 2EME JET4 NOV 2008 FRANCE 2009.xls 
[19/11/2008 11:17|--a------|49664] G:\COUTS CONCEPTS NON ALI PGC 2009 BAISSE 4NOV2008.xls 
[19/11/2008 12:15|--a------|118784] G:\mod'lisation Hypers tg bazar.ppt 
[21/10/2008 16:24|--a------|1660928] G:\PRESENTATION MODELISATION HYPER PLANS TYPES 2009.ppt 
[26/04/2010 10:04|--a------|2560] G:\_sys.std 
[28/04/2010 20:52|--a------|135698] G:\Pr'sentation1.jpg 
[27/02/2010 10:32|--a------|296] I:\WMPInfo.xml 
[21/09/2004 21:18|--a------|11310136] I:\LeaguePad 4.0.4 Setup.exe 
[29/12/2009 00:09|--a------|728690688] I:\Inglourious Basterds.avi 
[02/05/2010 10:22|--a------|1438] I:\BOOTEX.LOG 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PASCAL.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.114

gen-hackman · Answer

salut :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em

 et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer Shortcut
&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Fandeliza · Answer

Voici le rapport
mon ordi devient de plus en plus lent ...

 http://www.cijoint.fr/cjlink.php?file=cj201005/cijDK1nsgA.txt

gen-hackman · Answer

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Fandeliza · Answer

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤

User : Pascal CORSALETTI (Administrateurs)
Update on 23/05/2010 by g3n-h@ckm@n ::::: 15.00
Start at: 18:58:25 | 26/05/2010

Intel(R) Pentium(R) 4 CPU 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100526-0] 4.8.1368 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local | 74,55 Go (14,56 Go free) | NTFS
D:\ -> Disque CD-ROM | 0 Mo (0 Mo free) [Audio CD] | CDFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible | 1,92 Go (1,82 Go free) [USB20FD] | FAT
H:\ -> Disque amovible
I:\ -> Disque amovible | 1,88 Go (1,19 Go free) | FAT

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\Documents and Settings\All Users\Application Data\QTSBandwidthCache
Quarantined & Deleted !! : C:\Program Files\WindowsUpdate
Quarantined & Deleted !! : C:\WINDOWS\002283_.tmp
Quarantined & Deleted !! : C:\WINDOWS\005417_.tmp
Quarantined & Deleted !! : C:\WINDOWS\Outil de configuration automatique.tmp
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp
Quarantined & Deleted !! : C:\WINDOWS\SETA.tmp
Quarantined & Deleted !! : C:\WINDOWS\inf\nt5java.inf
Quarantined & Deleted !! : C:\WINDOWS\iun6002.exe

Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn
Quarantined & Deleted !! : C:\WINDOWS\System32\ealregsnapshot1.reg
Quarantined & Deleted !! : C:\WINDOWS\System32\MSINET.oca
Quarantined & Deleted !! : C:\WINDOWS\system32\MSWINSCK.OCX

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : cmstp
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : ComRepl
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : Esent Utl
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : sessmgr
Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : Spool
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : Spool
Deleted : "HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"
Deleted : HKCR\CLSID\{248dd896-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\CLSID\{248dd897-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\Interface\{248dd892-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\Interface\{248dd893-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCR\TypeLib\{248dd890-bb45-11cf-9abc-0080c7e7b78d}
Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2AA2FBF8-9C76-4E97-A226-25C5F4AB6358}
Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2AA2FBF8-9C76-4E97-A226-25C5F4AB6358}
Deleted : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NPF
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\NPF
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
AntiVirusDisableNotify REG_DWORD 0 (0x0)
FirewallDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)
FirstRunDisabled REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Ip6Fw : Start = 2
SharedAccess : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll sfsync02.sys atapi.sys spxy.sys >>UNKNOWN [0x8A886944]<<
kernel: MBR read successfully
user & kernel MBR OK

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

refais OTl stp et poste le rapport via cijoint.fr 
?G3?-?@¢??@?(TM)©®?

Fandeliza · Answer

Voici le rapport

Fandeliza · Answer

oups

http://www.cijoint.fr/cjlink.php?file=cj201005/cijayaHaYZ.txt

gen-hackman · Answer

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

&#9654 sur les lignes rouge:

&#9654 Services:cliques droit delete service
&#9654 Process:cliques droit kill process
&#9654 Adl ,file:cliques droit delete files

Fandeliza · Answer

Voici le rapport mais il ne comporte aucune ligne rouge

http://www.cijoint.fr/cjlink.php?file=cj201005/cij7pSr2As.txt

gen-hackman · Answer

fais un recherche sur ton ordi et trouve le fichier : spxy.sys

une fois trouvé , fais-le analyser sur le site de virus total 

https://www.virustotal.com/gui/

et colle les informations obtenues à la fin de l analyse

fandeliza · Answer

j ai recherche le fichier, mais il n'est pas sur mon ordi

gen-hackman · Answer

tu l'as cherché manuellement ou en faisant une recherche automatique dans tout le pc ?

fandeliza · Answer

en faisant une recherche automatique il n a rien trouve
j ai ensuite ete voir manuellement dans c:\windows 
et rien non plus

gen-hackman · Answer

salut desole j'etais en depannage 

gmer l'annonce pourtant ce fichier !!

Fandeliza · Answer

lol oui mais je ne le trouve pas
j ai lancer un scannage minutieu de avast il n a pas trouve de virus
peut etre est il parti loll

gen-hackman · Answer

ok hello /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Mon ordi a attrapé win32 malob-bd

29 réponses

Discussions similaires