Sality y

Fermé
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010 - 19 août 2010 à 12:23
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010 - 21 août 2010 à 20:33
Bonjour,



je suis infecte par virus w32/sality.y wt mon antivirus mm si ca marche ne peut etre acceder en cliquant deux fois.

de plus mon antivirus avira a detecte bds/poisonivy.E.3 et w32/sality.patched et bds/poisoniva .8704 et backdoor


pffffffffffffffff,j en ai marre et desespere ke faire , sachant que ca fe mm pas deux heures ke je suis infecte svp au secours

18 réponses

Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
19 août 2010 à 12:27
Bonjour,

Tu es infecté par une variante de virut.

Commence par vider la corbeille, puis désactive la restauration système ( important )

Ensuite, essaie d'effectuer le moins d'actions possibles sur ton PC hormis celles que je te demande.

Fais ceci :

-+-+-+-> Dr.Web CureIt! <-+-+-+-


[x] Télécharge Dr.Web CureIt

[x] Lance le, puis clique sur " Commencer le scan "

[x] Il commencera une analyse des processus, s'il trouve des processus infectés, clique sur " Oui pour tout ".

[x] A la fin du scan rapide, clique sur Option > Changer la configuration

[x] A l'onglet Scanner, décoche " Analyse heuristique ".

[x] De retour à la fenêtre principale, choisis " Analyse complète "

[x] Clique sur la flèche verte pour que le scan débute.

[x] Si un fichier est détécté, clique sur " Oui pour tout "

[x] A la fin du scan, si des infections sont trouvées, clique sur Tout séléctionner > Désinfecter

[x] Si la désinfection est impossible, mettre en quarantaine.

[x] De retour au menu principal, clique sur Fichier > Enregistrer le rapport

[x] Sauvegarde le sur ton bureau, puis ferme Dr.Web et redémarre ton ordinateur ( important )

[x] Au redémarrage, poste le contenu du rapport de DrWeb ( DrWeb.csv ) dans ta prochaine réponse.
2
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
19 août 2010 à 22:13
AU_setup.exe C:\Documents and Settings\Owner\Application Data\Real\RealPlayer\setup Win32.Sector.11 Désinfecté.
IKernel.exe C:\Program Files\Common Files\InstallShield\Engine\6\Intel 32 Win32.Sector.11 Désinfecté.
--------------

c est juste cela comme reponse il n ya pas la desinfection de poison signale avant par l antivirus avira
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
19 août 2010 à 22:18
xplode le rapport c est comme signale ci dessus il n est pas long
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
20 août 2010 à 02:22
svp vous etes ou?

j ai une bonne nouvelle !! pour le moment tout est normal mais je me demande il est ou le trojan poisonivy.....?

j ai retelecharge avira et pour le moment tout est normal !!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
20 août 2010 à 12:21
Bonjour,

Fais ceci stp :

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
20 août 2010 à 17:56
Bonjour cher Xplode,voila le lien demande:


https://www.cjoint.com/?iur0KEsIhM
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
21 août 2010 à 07:49
j ai pense a malware et c etait bien reflechi aussi voila le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4455

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2010-08-21 01:28:55
mbam-log-2010-08-21 (01-28-55).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 147365
Temps écoulé: 45 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
21 août 2010 à 11:37
Bonjour,

-+-+-+-+-> AD-Remover <-+-+-+-+-


[x] Télécharge AD-Remover ( de C_XX ).

[x] Lance AD-Remover puis choisis l'option " Nettoyer ".

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

[x] Patiente pendant le scan, un rapport s'ouvrira ensuite. Poste son contenu dans ton prochain message

[x] Note : Le rapport se trouve également sous C:\Ad-Report-CLEAN.txt
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
21 août 2010 à 13:05
======= REPORT FROM AD-REMOVER 2.0.0.1,D | ONLY XP/VISTA/7 =======

Updated by C_XX on 26/07/10 at 12:00
Contact: AdRemover.contact[AT]gmail.com
website: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Launched at 06:55:44 on 21/08/2010, Normal boot

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Owner@CANADA-3D069F20 ( )

============== ACTION(S) ==============


0,Folder deleted: C:\WINDOWS\Installer\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
0,File deleted: C:\WINDOWS\Tasks\Scheduled Update for Ask Toolbar.job
0,Folder deleted: C:\Documents and Settings\Owner\Application Data\Mozilla\FireFox\Profiles\hodtn2ai.default\extensions\toolbar@ask.com
0,Folder deleted: C:\DOCUME~1\Owner\LOCALS~1\Temp\AskSearch
0,File deleted: C:\DOCUME~1\Owner\LOCALS~1\Temp\ASKSUTBLOG
0,Folder deleted: C:\Documents and Settings\Owner\Local Settings\Application Data\AskToolbar
3,File deleted: C:\WINDOWS\Installer\6f667d.msi

(!) -- Temporary files deleted.


-- File opened: C:\Documents and Settings\Owner\Application Data\Mozilla\FireFox\Profiles\hodtn2ai.default\Prefs.js --
Line deleted: user_pref("CT2535290.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
Line deleted: user_pref("CT2535290.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT253...
Line deleted: user_pref("browser.search.defaultthis.engineName", "Messenger Plus Live CA-EN Customized Web Search"...
Line deleted: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2535290&Sea...
Line deleted: user_pref("browser.search.selectedEngine", "Messenger Plus Live CA-EN Customized Web Search");
Line deleted: user_pref("browser.startup.homepage", "hxxp://search.conduit.com/?ctid=CT2535290&SearchSource=13");
Line deleted: user_pref("extensions.asktb.cbid", "HK");
Line deleted: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}...
Line deleted: user_pref("extensions.asktb.dtid", "YYYYYYYYCA");
Line deleted: user_pref("extensions.asktb.fresh-install", false);
Line deleted: user_pref("extensions.asktb.l", "dis");
Line deleted: user_pref("extensions.asktb.last-config-req", "1281319977963");
Line deleted: user_pref("extensions.asktb.locale", "fr_US");
Line deleted: user_pref("extensions.asktb.o", "15669");
Line deleted: user_pref("extensions.asktb.overlay-reloaded-using-restart", true);
Line deleted: user_pref("extensions.asktb.qsrc", "2871");
Line deleted: user_pref("extensions.asktb.r", "5");
Line deleted: user_pref("extensions.asktb.search-suggestions-enabled", true);
Line deleted: user_pref("extensions.enabledItems", "jqs@sun.com:1.0,moveplayer@movenetworks.com:7,{ABDE892B-13A8-4...
Line deleted: user_pref("keyword.URL", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2535290&q=");
-- File closed --


1,Key deleted: HKLM\Software\Classes\CLSID\{00000000-6E41-4FD3-8538-502F5495E5FC}
1,Key deleted: HKLM\Software\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Key deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
1,Key deleted: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
1,Key deleted: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
1,Key deleted: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
1,Key deleted: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
0,Key deleted: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
0,Key deleted: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
0,Key deleted: HKLM\Software\Classes\Toolbar.CT2535290
0,Key deleted: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
1,Key deleted: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
0,Key deleted: HKCU\Software\Ask.com
0,Key deleted: HKCU\Software\AskToolbar
0,Key deleted: HKCU\Software\Conduit
0,Key deleted: HKCU\Software\AppDataLow\AskToolbarInfo
3,Key deleted: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
3,Key deleted: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
3,Key deleted: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
0,Key deleted: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

0,Value deleted: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
0,Value deleted: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== ADDITIONNAL SCAN ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Documents and Settings\Owner\Application Data\Mozilla\FireFox\Profiles\hodtn2ai.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\Owner\\Desktop
browser.startup.homepage_override.mstone, rv:1.9.2.8

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 167 File(s)
C:\Program Files\Ad-Remover\Backup: 13 File(s)

C:\Ad-Report-CLEAN[1].txt - 21/08/2010 (2964 Byte(s))

End at: 06:58:56, 21/08/2010

============== E.O.F ==============
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
21 août 2010 à 13:08
voila c est fait est ce que mon pc est encore affecte!!!!!!!!il ya encore des virus et des trojans?
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
21 août 2010 à 13:17
Non, tu n'as plus d'infections. ( à la base t'avais déjà pas grand chose ).

Comment se porte le PC maintenant?
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
21 août 2010 à 13:26
waw,je vous remerci enormement pour votre aide mon cher...ca va tres bien mais je me demande ou ils sont alle le poisonivi detecte au debut? puis pouvez v ous m expliquez qu est ce que j avais car avira a detecte sality.y ds mon pc, et en lisant le forum je sais que c tres dangereux comment j ai pu m en sortir!!
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
21 août 2010 à 13:26
Tu n'avais pas sality. Ensuite pour les détections d'antivir.. sans le nom du fichier associé je peux rien te dire :)
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
21 août 2010 à 13:36
mais si j ai note tout ce qui etait detecte par avira,l antivirus meme etait detruit par ce virus mm le parfeu etait arrete des aplication exe etait aussi touche comme le realplayer par exeple voila tout ce qui etait note par l antivirus:

w32/sality.y,,

bds/poisonivy.E.3

w32/sality.patched

bds/poisoniva .8704

backdoor
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
21 août 2010 à 13:39
Télécharge Report_Antivir ( de Laddy ) sur ton bureau.

Lance le. Dans "Nombre de jours" , mets "31"

Clique sur [executer] et poste moi le rapport
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
21 août 2010 à 13:53
Report_Antivir v1.0 BY Laddy - [1]
Début le 2010-08-21 à 07:50.
OS : Microsoft Windows XP Service Pack 3 - 32bits
Utilisateur Owner : Administrateur
Lancement : C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\9ZEFQ4IK\Report_Antivir[1].exe
Antivirus : Avira AntiVir Personal - Free Antivirus v. 10.00.00.567 Derniere maj : (2010-08-21 08:04:58) [A jour]
Mode : 31 jours

################ Début du rapport


n oublis pas une chose ke le virus attaque lantivirus qd il etait la j etais mm pas capable de clike deux fois pour l ouvrir et a chaque fois je retelecharge de nouveau
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
21 août 2010 à 13:56
Lancement : C:\Documents and Settings\Owner\Local Settings\Temporary Internet Files\Content.IE5\9ZEFQ4IK\Report_Antivir[1].exe

---> Enregistre le sur ton bureau. Là, tu as fait " Ouvrir " , pas " Enregistrer "
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
21 août 2010 à 14:21
Report_Antivir v1.0 BY Laddy - [1]
Début le 2010-08-21 à 08:20.
OS : Microsoft Windows XP Service Pack 3 - 32bits
Utilisateur Owner : Administrateur
Lancement : C:\Documents and Settings\Owner\Desktop\Report_Antivir.exe
Antivirus : Avira AntiVir Personal - Free Antivirus v. 10.00.00.567 Derniere maj : (2010-08-21 08:04:58) [A jour]
Mode : 31 jours

################ Début du rapport
0
qq de different Messages postés 23 Date d'inscription mercredi 4 août 2010 Statut Membre Dernière intervention 31 août 2010
21 août 2010 à 20:33
es ce ke c correcte ou non?
0