Besoin d'aide pour éliminer des virus Fermé

Question

Bonjour, 


Bonjour, 

Depuis hier, je reçois des messages d'alertes virus de  la part de avira antivir pour:
- cheval de Troie TR/Agent.HF.30
- BDS/Bredolab.fjx

Avira me propose de les supprimer mais à chaque démarrage de l'ordi les mess d'alertes sont de retour
Le scan complet de l'ordi par Avira ne repère rien par contre.
Le nettoyage par C Cleaner est fait.

Comment faire pour me débarrasser de ces 2 intrus ?
Merci d'avance pour votre aide !

Configuration: Windows Vista / Firefox 3.6.6

Malekal_morte- · Answer

Salut,

Sauvegarde tes documents importants.


Désactive les logiciels de protection (Antivirus, Antispywares) puis :       

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!       

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.       

Eventuellement, installe la console de récupération comme cela est conseillé       

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)     

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix       

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.       

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Malekal_morte- · Answer

Le rapport semble OK.

Donc ça doit être des restes qu'Antivir détecte.
Donne le chemin des fichiers infectés ou poste le rapport du guard.

lena · Answer

Pour cheval de Troie TR/Agent.HF.30:
C:\Users\lena\AppData\Local\Temp\8422.exe

Pour BDS/Bredolab.fjx:
C:\Users\lena\AppData\Local\Temp\2525.exe

Malekal_morte- · Answer

hummmm OK.

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :    
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT    
* Clique sur le bouton Quick Scan.    
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.    



et :


Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:/b Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

lena · Answer

Voila les rapports de OTL:

http://www.cijoint.fr/cjlink.php?file=cj201007/cij3NRoZUn.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijHlro5Rg.txt

Voici celui de GMER:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-05 15:41:41
Windows 6.0.6002 Service Pack 2
Running: 771m4cpn.exe; Driver: C:\Users\HLNE~1\AppData\Local\Temp\axldapod.sys


---- System - GMER 1.0.15 ----

SSDT            9C119654                                                                                                            ZwCreateThread
SSDT            9C119640                                                                                                            ZwOpenProcess
SSDT            9C119645                                                                                                            ZwOpenThread
SSDT            9C11964F                                                                                                            ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!KeSetEvent + 221                                                                                       820E8984 4 Bytes  [54, 96, 11, 9C]
.text           ntkrnlpa.exe!KeSetEvent + 3F1                                                                                       820E8B54 4 Bytes  [40, 96, 11, 9C]
.text           ntkrnlpa.exe!KeSetEvent + 40D                                                                                       820E8B70 4 Bytes  [45, 96, 11, 9C]
.text           ntkrnlpa.exe!KeSetEvent + 621                                                                                       820E8D84 4 Bytes  [4F, 96, 11, 9C]
.text           C:\Windows\system32\DRIVERS\atikmdag.sys                                                                            section is writeable [0x8E60E000, 0x20BF92, 0xE8000020]
?               C:\Users\HLNE~1\AppData\Local\Temp\catchme.sys                                                                      Le fichier spécifié est introuvable. !
?               C:\Windows\system32\Drivers\PROCEXP113.SYS                                                                          Le fichier spécifié est introuvable. !
?               C:\Users\HLNE~1\AppData\Local\Temp\mbr.sys                                                                          Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Mozilla Firefox\firefox.exe[3392] ntdll.dll!LdrLoadDll                                             76FE9390 5 Bytes  JMP 00EE13F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusShutdown]                               [741A7817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCloneImage]                                [741FA86D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDrawImageRectI]                            [741ABB22] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetInterpolationMode]                      [7419F695] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusStartup]                                [741A75E9] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateFromHDC]                             [7419E7CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateBitmapFromStreamICM]                 [741D8395] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateBitmapFromStream]                    [741ADA60] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageHeight]                            [7419FFFA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageWidth]                             [7419FF61] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDisposeImage]                              [741971CF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipLoadImageFromFileICM]                      [7422CAE2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipLoadImageFromFile]                         [741CC8D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDeleteGraphics]                            [7419D968] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipFree]                                      [74196853] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipAlloc]                                     [7419687E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT             C:\Windows\explorer.exe[3480] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetCompositingMode]                        [741A2AD1] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396ca17ae07\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                             Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice  \Driver\kbdclass \Device\KeyboardClass1                                                                             Wdf01000.sys (WDF dynamique/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC                                    
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                 C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                 0
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                              0x86 0x9C 0x49 0x3D ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001                           
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                        0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                     0xFF 0x35 0x45 0xAF ...
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0                      
Reg             HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                0x46 0x2E 0xA6 0x30 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)                
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0                                     C:\Program Files\DAEMON Tools Lite\
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0                                     0
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12                                  0x86 0x9C 0x49 0x3D ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)       
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0                            0x20 0x01 0x00 0x00 ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12                         0xFF 0x35 0x45 0xAF ...
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)  
Reg             HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12                    0x46 0x2E 0xA6 0x30 ...

---- EOF - GMER 1.0.15 ----

lena · Answer

Voila les rapports d'OTL:
http://www.cijoint.fr/cjlink.php?file=cj201007/cijj0mXca0.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cijssik4ec.txt

Voici celui de GMER:
http://www.cijoint.fr/cjlink.php?file=cj201007/cijRbyqQRv.txt

Malekal_morte- · Answer

Bha écoute, les rapports que tu donnes semblent correctes et ne montre pas de signes d'infection.

Donc c'est des faux positif d'Antivir, soit y a uatre chose et on le voit pas (j'y crois pas des masses mais bon).

Donc  ce qui serait bien, c'est, faire un scan complet Malwarebyte (tu sembles l'avoir déjà fait) et poste le rapport ici, on va voir s'il détecte des trucs.
Voir tuto d'aide : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Faire un scan complet Antivir et poste le rapport ici pour voir.

lena · Answer

voila déjà le rapport malwarebyte:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4274

Windows 6.0.6002 Service Pack 2
Internet Explorer 7.0.6002.18005

05/07/2010 13:37:55
mbam-log-2010-07-05 (13-37-55).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 281662
Temps écoulé: 1 heure(s), 27 minute(s), 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Besoin d'aide pour éliminer des virus

8 réponses

Discussions similaires