tr delphi gen 2 Fermé

Question

Configuration: Windows XP / Firefox 3.5.10

Bonjour,
mon pc est infecté par le virus tr delphi gen2 .
j'ai tout essayer avec avira quarentaine , malwarebytes ,
j'ai meme utiliser combofix sans succes a la fin quand il essaye de suprimer les fichiers infecteés le pc redemarre avant.
j'ai besoin d'aide svp

plopus · Answer

salut

Fait sa :


Utilise ce logiciel de diagnostic :

* Télécharge ZHPDiag
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
http://www.cijoint.fr/



puis


poste ce rapport  C:\combofix.txt

et relance malwarebyte va dans onglet RAPPORT/log et poste les rapports de scan que tu as fait

xtripator · Answer

ZHP:       http://www.cijoint.fr/cjlink.php?file=cj201007/cijPRP3rkP.txt

Mbam:    http://www.cijoint.fr/cjlink.php?file=cj201007/cijouw1Frr.txt

desolé je ne retrouve pa le raport de combofix 

merci de ton aide :)

plopus · Answer

salut

as tu bbien supprimer la selection avec malwarebyte ?

refait un scan RAPIDE c'est 10 minute et supprime bien ce qu'il trouve cette fois et poste le rapport


ensuite réessaye combofix et poste le rapport stp

xtripator · Answer

bonjour , j'ai bien tout suprimer . est tu sure pour combofix? 
car les autres foix j'arrive pas a arreter avira meme si je l'eteint il m'affiche comme quoi il est en veille.

voici le raport :

 Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Versão da base de dados: 4274

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

15.7.2010 11:27:23
mbam-log-2010-07-15 (11-27-23).txt

Tipo de pesquisa: Rápida
Objectos verificados: 127416
Tempo decorrido: 12 minuto(s), 37 segundo(s)

Processos de memória infectados: 0
módulos de Memória infectados: 0
Chaves do Registo Infectadas: 0
Valores do Registo infectados: 0
Itens de dados do Registo Infectados: 0
Pastas Infectadas: 0
Ficheiros Infectados: 0

Processos de memória infectados:
(Nenhum item malicioso detectado)

módulos de Memória infectados:
(Nenhum item malicioso detectado)

Chaves do Registo Infectadas:
(Nenhum item malicioso detectado)

Valores do Registo infectados:
(Nenhum item malicioso detectado)

Itens de dados do Registo Infectados:
(Nenhum item malicioso detectado)

Pastas Infectadas:
(Nenhum item malicioso detectado)

Ficheiros Infectados:
(Nenhum item malicioso detectado)

plopus · Answer

salut

desactive ton antivirus et TOUTES tes protections

clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple

puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles

une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse

ATTENTION : si ton PC a des dysfocntionnement a la suite de combofix, REDEMARRE TON PC et tout rentera dans l'ordre

xtripator · Answer

re , alors j'ai fait comme tu as dis.

combofix as commencer le travaill puis a l'etape 50 le pc redemarre tout seul ;
puis au demarrage de windows me dis : windows viens de recuperer d'un serious  erreur.

j'ai refait la manip et la meme chose est arrivé .

plopus · Answer

tu as essayer de redemarrer en mode sans echec et de relancer combofix  ?



Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


puis


/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
http://www.gmer.net/
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.

si le programme ne repond pas et/ou fait bug ton PC, redemarre le au bip tapote F8 et choisit mode sans echec et relance le, oublie pas d'enregsitrer le rapports ur ton bureau pour le poster ensuite !!

xtripator · Answer

re , voila j'ai utiliser deffogger .

puis download gmer, mais quand je l'ai lancer fichier renomer , le pc as redemarrer as une vitesse eclair, au redemarrage j'ai tout desactiver logiciels internet etc , et pareil : dés que j'apuye sur gmer le pc redemarre .

comment je peut passer en mode sans echec?

xtripator · Answer

desolé je ssuis pas tres doué sur le pc , merci infiniment de ton aide :)

plopus · Answer

re 

"desolé je ssuis pas tres doué sur le pc , merci infiniment de ton aide :)" 

sa n'a rien a voir tu ne lis pas completemùent les explications et tu ne fait pas ce qui a ecrit du premier coups !! 


"comment je peut passer en mode sans echec?" 

je peux pas faire mieux que te faire copier coller de ce qui est au dessus et en gras en plus... 

"si le programme ne repond pas et/ou fait bug ton PC, redemarre le au bip tapote F8 et choisit mode sans echec et relance le, oublie pas d'enregsitrer le rapports ur ton bureau pour le poster ensuite !! "


as tu la possibiliter de graver un CD d'un autre PC  ?

xtripator · Answer

re , desolé j'avais pas vu l'explication pour le mode sans echec , mais j'ai quand meme reussi avec msconfig.

j'ai la possibilité de graver un cd de mon pc , celui la est celui de mes parents.

mais je n'habitte pas ici . du coup ca prendras du temp .
 je n'arrive pas avec cijoint 
voici le raport : 
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-15 18:59:58
Windows 5.1.2600 Service Pack 3
Running: pengala.exe; Driver: C:\DOCUME~1\alfredo\LOCALS~1\Temp\fwloqaog.sys


---- System - GMER 1.0.15 ----

SSDT   B8731866                                                                            ZwCreateKey
SSDT   B873185C                                                                            ZwCreateThread
SSDT   B873186B                                                                            ZwDeleteKey
SSDT   B8731875                                                                            ZwDeleteValueKey
SSDT   B873187A                                                                            ZwLoadKey
SSDT   B8731848                                                                            ZwOpenProcess
SSDT   B873184D                                                                            ZwOpenThread
SSDT   B8731884                                                                            ZwReplaceKey
SSDT   B873187F                                                                            ZwRestoreKey
SSDT   B8731870                                                                            ZwSetValueKey
SSDT   B8731857                                                                            ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text  C:\WINDOWS\system32\DRIVERS
v4_mini.sys                                            section is writeable [0xB7658360, 0x3E57A5, 0xE8000020]

---- Registry - GMER 1.0.15 ----

Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout  15
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota     10000
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler                   yes
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk                  
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout  90
Reg    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota    10000

---- EOF - GMER 1.0.15 ----

plopus · Answer

"mais j'ai quand meme reussi avec msconfig. "

Oh mon dieu  ! sa n'est pas preciser MAIS NE JAMAIS DEMARRER EN MODE SANS ECHEC VIA MSCONFIG  en plus tu est infecter  !!  gros risque de redemarrage en boucle

donc suit ma methode stp pour le mode sans echec



 Télécharger Rkill de Grinler sur le bureau, fait double clic pour le lancer.
Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.
Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
si cela ne fonctionne tu passe au second Rkill COM ,ETC...


Rkill EXE: Rkill EXE:
https://download.bleepingcomputer.com/grinler/rkill.exe https://download.bleepingcomputer.com/grinler/rkill.exe

Rkill COM: Rkill COM:
https://download.bleepingcomputer.com/grinler/rkill.com https://download.bleepingcomputer.com/grinler/rkill.com


telecharge 2 fichier Rkill 1 .exe et 1  .com


puis redemarre en mode sans echec avc F8

puis essaye de lancer un des Rkill, si rien en ce passe essaye l'autre

NOTA : sa marche quand tu as une fentre noir qui s'ouvre rapidement et ce ferme ensuite poste le rapport crée par Rkill, tu peux le retrouver ici   C:\Rkill.log


ensuite peut importe que Rkill est marcher ou non essaye de lancer combofix  et poste son rapport ensuite C:\combofix.txt

Tr delphi gen 2

12 réponses

Discussions similaires