Infection par Bamital
Molecule
-
Ashikabi Messages postés 28 Statut Membre -
Ashikabi Messages postés 28 Statut Membre -
Bonjour,
Depuis maintenant une semaine, je vois mes pages web être redirigées ainsi qu'à chaque boot deux alertes successives d'Avira Antivir m'informant de la présence de TR/Spy.1037824.7 qui serait un trojan émanant (entre autre) d'explorer.exe.
Après beaucoup de recherche (...), je crois avoir identifié le virus (si je ne m'abuse) Bamital qui serait apparemment très trèèèèès dangereux...
J'ai besoin d'aide pour le supprimer définitivement car apparemment il est plutôt vicieux et s'implanterait un peu partout pour n'être que difficilement éradiqué.
(https://www.eset.com/?lng=en
Ayant découvert cela il y a seulement quelques minutes, je vous avoue ma crainte d'être keyloggué etc...
J'ai fais divers scans avec Malwarebytes, RegCleaner, CCleaner, Spybot, Ad Aware, Emisoft, Spyware terminator, ainsi que mon antivirus Avira Antivir, sans, disons résultat concluant vu que mes pages sont toujours redirigées.
J'ai déjà changé une fois mon explorer.exe apparemment infecté par un autre, sans pour autant noter de différence majeure, je crois. Il est conseillé dans http://lanceyien.info/Forum/index.php?topic=1139.0 de remplacer outre explorer.exe winlogon.exe mais je souhaiterais déloger le malicieux de la base de registre... Dites moi quoi faire s'il vous plaît..
Note : j'ai un windows XP original sous SP3 je crois.
Depuis maintenant une semaine, je vois mes pages web être redirigées ainsi qu'à chaque boot deux alertes successives d'Avira Antivir m'informant de la présence de TR/Spy.1037824.7 qui serait un trojan émanant (entre autre) d'explorer.exe.
Après beaucoup de recherche (...), je crois avoir identifié le virus (si je ne m'abuse) Bamital qui serait apparemment très trèèèèès dangereux...
J'ai besoin d'aide pour le supprimer définitivement car apparemment il est plutôt vicieux et s'implanterait un peu partout pour n'être que difficilement éradiqué.
(https://www.eset.com/?lng=en
Ayant découvert cela il y a seulement quelques minutes, je vous avoue ma crainte d'être keyloggué etc...
J'ai fais divers scans avec Malwarebytes, RegCleaner, CCleaner, Spybot, Ad Aware, Emisoft, Spyware terminator, ainsi que mon antivirus Avira Antivir, sans, disons résultat concluant vu que mes pages sont toujours redirigées.
J'ai déjà changé une fois mon explorer.exe apparemment infecté par un autre, sans pour autant noter de différence majeure, je crois. Il est conseillé dans http://lanceyien.info/Forum/index.php?topic=1139.0 de remplacer outre explorer.exe winlogon.exe mais je souhaiterais déloger le malicieux de la base de registre... Dites moi quoi faire s'il vous plaît..
Note : j'ai un windows XP original sous SP3 je crois.
46 réponses
L'état du PC est similaire à celui qu'il avait au début malheureusement...
Toujours des redirections, toujours des annonces au lancement de l'explorer.exe
http://www.cijoint.fr/cjlink.php?file=cj201009/cijFlBhflz.zip
Ci-joint les alertes que je viens de recevoir...
Toujours des redirections, toujours des annonces au lancement de l'explorer.exe
http://www.cijoint.fr/cjlink.php?file=cj201009/cijFlBhflz.zip
Ci-joint les alertes que je viens de recevoir...
salut
ouvre l'explorateur Windows, cherche F:\WINDOWS\ServicePackFiles\i386\explorer.exe
clic droit et Copier
mets toi dans C:\ et clic droit et Coller.
Clix droit sur le nouveau fichier et Renommer.
Tu l'appelles truc1.bak
fais une copie de ce truc1.bak que tu renommes truc2.bak
Tu ignores l'alerte.
tu te retrouves avec deux fois le meme fichier dans C:\ :
truc1.bak
truc2.bak
===
1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Files to move:
c:\truc1.bak | F:\WINDOWS\system32\dllcache\explorer.exe
c:\truc2.bak | F:\WINDOWS\explorer.exe
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
ouvre l'explorateur Windows, cherche F:\WINDOWS\ServicePackFiles\i386\explorer.exe
clic droit et Copier
mets toi dans C:\ et clic droit et Coller.
Clix droit sur le nouveau fichier et Renommer.
Tu l'appelles truc1.bak
fais une copie de ce truc1.bak que tu renommes truc2.bak
Tu ignores l'alerte.
tu te retrouves avec deux fois le meme fichier dans C:\ :
truc1.bak
truc2.bak
===
1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Files to move:
c:\truc1.bak | F:\WINDOWS\system32\dllcache\explorer.exe
c:\truc2.bak | F:\WINDOWS\explorer.exe
IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ferme toutes les applications et ton navigateur
3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.
Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.
Clique sur Execute
4. The Avenger va automatiquement faire ce qui suit:
Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.
5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
Yo, alors je t'explique :
J'ai fais tout comme tu as dis, et j'ai lancé. Il a reboot, et ensuite dans le rapport j'ai lu qu'il avait échoué à copié les deux fichier car il fallait qu'ils soient dans la même partition du disque. J'ai donc jugé utile de les déplacer à F:\truc1.bak et l'autre au même endroit (truc2.bak).
J'ai ensuite activé Avenger et il a reboot.
Arrivé après l'ouverture de session il m'a fait un écran bleu et je n'ai pas pu lire ce qui était écrit mais il a reboot direct. J'ai eu assez peur qu'il ne puisse plus me laisser accéder au bureau ou à quoi que se soit après l'ouverture de session mais tout se passe maintenant bien (après un reboot suite au blue screen).
Voici le deuxième avenger.txt, qui diffère uniquement en ce qu'il a réussi à remplacer truc1.bak et pas truc2...
http://www.cijoint.fr/cjlink.php?file=cj201009/cijeon6Idt.txt
J'espère ne pas avoir rendu le problème pire qu'avant.. En tout cas, des pages s'ouvrent toujours aléatoirement après une recherche google et un clic sur un résultat (j'ai dû m'y reprendre à 5 fois pour avoir le forum... chiant) et j'ai eu droit cette à 1 seule annonce par Avira et pas 2 voire 3 comme d'habitude. Cette alerte concernait uniquement explorer.exe et pas ddl/explorer.exe (ou un truc comme ça..
Bon après midi et merci de ton suivi acharné :)
J'ai fais tout comme tu as dis, et j'ai lancé. Il a reboot, et ensuite dans le rapport j'ai lu qu'il avait échoué à copié les deux fichier car il fallait qu'ils soient dans la même partition du disque. J'ai donc jugé utile de les déplacer à F:\truc1.bak et l'autre au même endroit (truc2.bak).
J'ai ensuite activé Avenger et il a reboot.
Arrivé après l'ouverture de session il m'a fait un écran bleu et je n'ai pas pu lire ce qui était écrit mais il a reboot direct. J'ai eu assez peur qu'il ne puisse plus me laisser accéder au bureau ou à quoi que se soit après l'ouverture de session mais tout se passe maintenant bien (après un reboot suite au blue screen).
Voici le deuxième avenger.txt, qui diffère uniquement en ce qu'il a réussi à remplacer truc1.bak et pas truc2...
http://www.cijoint.fr/cjlink.php?file=cj201009/cijeon6Idt.txt
J'espère ne pas avoir rendu le problème pire qu'avant.. En tout cas, des pages s'ouvrent toujours aléatoirement après une recherche google et un clic sur un résultat (j'ai dû m'y reprendre à 5 fois pour avoir le forum... chiant) et j'ai eu droit cette à 1 seule annonce par Avira et pas 2 voire 3 comme d'habitude. Cette alerte concernait uniquement explorer.exe et pas ddl/explorer.exe (ou un truc comme ça..
Bon après midi et merci de ton suivi acharné :)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Combofix refuse toujours d'aller plus loin que "cela peut durer en général 10 min et jusqu'à plus de 20 min pour les ordinateurs très infectés".
En gros, il ne se lance pas, et ce même après une demie heure d'attente
En gros, il ne se lance pas, et ce même après une demie heure d'attente
Y'a pas moyen qu'on discute par messagerie ou autre ? ça serait plus simple. Donc, que dois-je faire avec le second ordi ?
ah quand tu as dit j'ai moyen d'en avoir un autre je pensais pas si vite j ai pas eu le temps de reflechir lol ^^
ok as-tu un graveur sur le pc fonctionnel ?
as-tu un lecteur cd sur le pc malade ?
as-tu un cd pour graver ?
saurais-tu booter sur le cd à partir du bios du pc malade ?
as-tu un lecteur cd sur le pc malade ?
as-tu un cd pour graver ?
saurais-tu booter sur le cd à partir du bios du pc malade ?
quand tu demarres le pc , au nom du fabricant de la carte mère tu fais F2 et normalement tu tombes sur une page bleue ecriture blanches (deel ou supp. pour les vieux pc )
jusque là c'est bon ?
jusque là c'est bon ?
bah ouais no problemo f2 c'est dans mes cordes :)
Donnes moi toute la procédure et je l'appliquerai dès que possible !
Donnes moi toute la procédure et je l'appliquerai dès que possible !
ok tu dois avoir un menu qui s'apelle "boot sequence" ou un truc comme ca
tu le regles pour que le cd demarre en premier et tu confirmes avec F10
mais auparavant , telecharge cette image iso :
elle te servira toujours au cas où pour rentrer des commandes sans demarrer ton windows qui se trouve dans ton pc , c'est une maniere d'y avoir accès par un autre biais , c'est un disque de reparation contenant les outils de windows 7
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/cdr_w7.iso de 144 Mo
avec ton pc sain et grave la avec un logiciel pour "graver une image" ou un cd image" par exemple :
https://www.clubic.com/telecharger-fiche18424-cdburnerxp.html
ensuite une fois l image gravée tu bootes dessus comme precedement expliqué
tu le regles pour que le cd demarre en premier et tu confirmes avec F10
mais auparavant , telecharge cette image iso :
elle te servira toujours au cas où pour rentrer des commandes sans demarrer ton windows qui se trouve dans ton pc , c'est une maniere d'y avoir accès par un autre biais , c'est un disque de reparation contenant les outils de windows 7
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/cdr_w7.iso de 144 Mo
avec ton pc sain et grave la avec un logiciel pour "graver une image" ou un cd image" par exemple :
https://www.clubic.com/telecharger-fiche18424-cdburnerxp.html
ensuite une fois l image gravée tu bootes dessus comme precedement expliqué
Hello,
J'ai donc gravé l'image en question sur un CD bateau. J'ai ensuite fais en sorte que mon ordi boot sur le CD, malheureusement, après que tout se soit bien lancé et tout et tout, le programme de récupération n'a pas su détecter mon Windows XP, il n'a détecté que Vista. Le fait est que j'ai ré-installé de manière un peu exotique mon ordi la dernière fois (PC portable) car Vista ne me plaisait pas et j'avais un XP inside (dans les paramètres d'usine). J'ai néanmoins les CD de Vista et XP, je crois, donc si je devais en utiliser un, ça serait l'affaire d'une recherche dans mes affaires...
Que faire puisque cette piste n'est pas concluante... ?
Je suis de plus en plus dépité, ça semble insoluble =/
J'ai donc gravé l'image en question sur un CD bateau. J'ai ensuite fais en sorte que mon ordi boot sur le CD, malheureusement, après que tout se soit bien lancé et tout et tout, le programme de récupération n'a pas su détecter mon Windows XP, il n'a détecté que Vista. Le fait est que j'ai ré-installé de manière un peu exotique mon ordi la dernière fois (PC portable) car Vista ne me plaisait pas et j'avais un XP inside (dans les paramètres d'usine). J'ai néanmoins les CD de Vista et XP, je crois, donc si je devais en utiliser un, ça serait l'affaire d'une recherche dans mes affaires...
Que faire puisque cette piste n'est pas concluante... ?
Je suis de plus en plus dépité, ça semble insoluble =/
