YOUR SYSTEM IS INFECTED

Question

Bonjour, Voila le fond d'écran que j'ai reçus après avoir télecharger un virus sur un simple site, depuis il me mène le vie dur si quelqu'un peut m'aider merci d'avance, j'utilise xp et un pentium 4 packarck belle ainsi qu'avira comme antivirus ( mais avast au moment de l'attaque ) 



Configuration: Windows XP / Internet Explorer 7.0

verni29 · Answer

Bonjour, 

Passe les deux outils.

1/ Télécharge rkill de Grinler sur ton Bureau (et pas ailleurs).
https://download.bleepingcomputer.com/grinler/rkill.exe

/!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec cet outil./!\

    * Double-clique sur le fichier rkill sur ton Bureau afin de lancer l'outil.
      ( Pour les utilisateurs de Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" ).
    * Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

* Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un des 3 autres liens ci-dessous et fais une nouvelle tentative d'exécution.
https://download.bleepingcomputer.com/grinler/rkill.com 
https://download.bleepingcomputer.com/grinler/rkill.scr
http://download.bleepingcomputer.com/grinler/rkill.pif

/!\ Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne continue pas le nettoyage, et préviens moi dans ton prochain message. /!\

------------------------------------------------------------------------

2/ Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir. 

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

Florian · Answer

Re merci de ta rapidité, je suis en train de faire tout ça, j'ai bientôt fini...

Florian · Answer

L'analyse prend du temps et mo ordi est plein de virus, le par feu est plein de virus System foldersShared Documents 
4 Viruses foundMy Documents 
5 Viruses foundHard driveHard drive (C:) 
9 Viruses foundSecurityWindows Security 
Security has been damaged by virus

verni29 · Answer

Florian, 

Chaque chose en son temps.
l'analyse avec malwarebytes prend généralement 50 mn à 1 heure.

le par feu est plein de virus System foldersShared Documents
4 Viruses foundMy Documents
5 Viruses foundHard driveHard drive (C:)
9 Viruses foundSecurityWindows Security
Security has been damaged by virus
C'est quel logiciel qui te donne ces infos ?

Pour info, le message " Your system is infected " indique que le PC a été infecté par un rogue ( faux antivirus ).

A+

Florian · Answer

Re, c'est l'alerte de sécurité de windows qui m'a donné ça...

Florian · Answer

Voila ce que je trouve en faisant supprimer sur le bloc note, par ailleur l'ordi me dit qu'il ne peut pas eliminer certain éléments 
alwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4124

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/05/2010 17:53:43
mbam-log-2010-05-21 (17-53-43).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 224538
Temps écoulé: 1 heure(s), 16 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\mse (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\lbrtfdc.sys (Rootkit.Agent) -> Delete on reboot.
D:\Documents and Settings\rutishauser\Bureau\packupdate_build106_231.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temp\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[2].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[4].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe (Trojan.Downloader) -> Delete on reboot.

Florian · Answer

Voila le rapport
bytes.org

Version de la base de données: 4124

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/05/2010 17:53:43
mbam-log-2010-05-21 (17-53-43).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 224538
Temps écoulé: 1 heure(s), 16 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\mse (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\lbrtfdc.sys (Rootkit.Agent) -> Delete on reboot.
D:\Documents and Settings\rutishauser\Bureau\packupdate_build106_231.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temp\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[2].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[4].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe (Trojan.Downloader) -> Delete on reboot.

verni29 · Answer

florian, 

C'est fort possible que certains éléments n'aient pas été supprimés au redémarrage. Il y a en effet des rootkits.
Il y aura quelques outils à passer pour s'en débarrasser.

Commence par ce logiciel de diagnostic.
Il ne supprime rien mais va me donner plus d'infos pour mieux cerner l'infection.

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.scr  pour le lancer. 
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

verni29 · Answer

Florian, 

Le forum a un peu bugué et ma réponse a été postée plusieurs fois.
ce sera nettoyer ultérieurement.

;-)

Florian · Answer

Je les aient envoyés

Florian · Answer

Voilà ce que me marque les deux bloc note:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4124

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

21/05/2010 17:53:43
mbam-log-2010-05-21 (17-53-43).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 224538
Temps écoulé: 1 heure(s), 16 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\mse (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\lbrtfdc.sys (Rootkit.Agent) -> Delete on reboot.
D:\Documents and Settings\rutishauser\Bureau\packupdate_build106_231.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temp\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[2].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[4].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe (Trojan.Downloader) -> Delete on reboot.
   et le second:
21/05/2010 17:53:43
mbam-log-2010-05-21 (17-53-43).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 224538
Temps écoulé: 1 heure(s), 16 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\mse (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\lbrtfdc.sys (Rootkit.Agent) -> Delete on reboot.
D:\Documents and Settings\rutishauser\Bureau\packupdate_build106_231.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temp\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[2].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[4].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe (Trojan.Downloader) -> Delete on reboot.

verni29 · Answer

Ok, 

C'est bon maintenant.
Je t'ai mis des consignes avec OTL :
https://forums.commentcamarche.net/forum/affich-17804245-your-system-is-infected#12

passe l'outil et poste les deux rapports.

A+

Florian · Answer

Cela veut dire que je refait un scan avec otl?
Que veut tu dire par "passer l'outil"?

verni29 · Answer

Oui, relance OTl .
Les rapports n'ont pas été postés sur le forum.

passer = lancer

Florian · Answer

Passer=lancer, désoler mais je ne comprend pas

Florian · Answer

Il faut que je fasse "purge outils a la fin?

verni29 · Answer

Oh que non.
Pas pour l'instant en tout cas et je te l'indiquerais.

A+

Florian · Answer

21/05/2010 17:53:43
mbam-log-2010-05-21 (17-53-43).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 224538
Temps écoulé: 1 heure(s), 16 minute(s), 6 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\mse (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\digital-supply.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\lbrtfdc.sys (Rootkit.Agent) -> Delete on reboot.
D:\Documents and Settings\rutishauser\Bureau\packupdate_build106_231.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temp\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\JZFYK6SG\packupdate_build106_231[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[2].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Local Settings\Temporary Internet Files\Content.IE5\STMNF5M4\packupdate_build106_231[4].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Security essentials 2010.lnk (Rogue.SecurityEssentials2010) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
D:\Documents and Settings\rutishauser\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe (Trojan.Downloader) -> Delete on reboot.

Florian · Answer

Voilà le rapport que j'ais eu...

verni29 · Answer

Florian, 
Tu me postes le rapport de malwarebytes !!!

ce n'est pas le bon rapport.
Lis attentivement les consignes du post suivant :
https://forums.commentcamarche.net/forum/affich-17804245-your-system-is-infected#12

Tu auras deux rapports sur le bureau OTL.txt et Extras.txt.

Il n'y a rien de dangereux dans ces rapports.
Après, c'est à toi de voir si tu veux effectivement être désinfecté.

@+

Florian · Answer

Voilà je crois que les deux sont dedans

verni29 · Answer

Florian,  

1/ Voilà je crois que les deux sont dedans
Il semblerait que tu n'arrives pas à joindre les liens du site. 
Va sur le site de http://www.ci-joint.fr  . 

Une fois sur le site : 

# Clique sur parcourir pour sélectionner successivement les fichiers OTL.txt  et Extra.txt sur ton bureau. 
# Ensuite tu cliques sur cliquez ici pour déposer votre fichier  
Ceci va créer un lien que tu m'indiqueras.  

refais la manip pour l'autre fichier. 

2/ Ensuite,  

Télécharge gmer  sur ton bureau ( IMPORTANT ) 
http://www.gmer.net/#files 

Précautions d'usage : 
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT. 
- Ferme également toutes les applications actives dont ton navigateur. 

# Double-clique sur l'exécutable téléchargé . 
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.  
# Le scan va se lancer de lui-même. 
 
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien. 

# A la fin de l'analyse, clique sur save pour enregistrer le rapport 
# Enregistre-le sur le bureau ( fichier .log ) 

Édite ce rapport dans ta prochaine réponse. 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

florian · Answer

Je ne comprend pas je les postes depuis tout a l'heure et ils n'apparaissent pas!!!

verni29 · Answer

On verra plus tard.

Passe à gmer, stp.

A+

Florian · Answer

Oki je vai faire tout ça!

YOUR SYSTEM IS INFECTED

25 réponses

Votre réponse

Discussions similaires

Newsletters