Infection RTKT BUBNIX.B - Backdoor.IEbooot
Dixie Rock
Messages postés
12
Statut
Membre
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
En scannant mon ordi avec HouseCall de MicroTrend, j'ai trouvé différentes infections que le logiciel a pu éliminer sauf un "RTKT BUBNIX.B" dans C:\WINDOWS\system32\drivers\rfwhwf.sys
J'ai essayé ensuite d'utiliser Malwarebytes qui m'a trouvé une vingtaine d'infection. Il a pu les éliminer sauf celui dans C:\WINDOWS\system32\drivers\rfwhwf.sys qu'il appelle lui Backdoor.IEbooot
J'ai lu plusieurs discussions où combofix est utilisé. Je l'ai donc chargé. Mais avant de commencer, je préfère demander conseil. Quelqu'un peut-il m'aider ?
Je vois qu'il faut déjà fermer fenêtres et programmes, désactiver antispywares et antivirus. Le mieux n'est-il pas de faire Msconfig et
- dans services de décocher tout (en dehors des services Microsft)
- dans démarrage de décocher tout ?
Il faut aussi désactiver les pare feus actifs
- Pour désactiver le pare fau windows, ok
- Mais faut-il faire quelque chose au niveau de la livebox puisqu'il parait qu'elle fait officed e pare feu ?
Merci
Ci dessous le rapport de Malwarebytes :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4770
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
07/10/2010 21:36:23
mbam-log-2010-10-07 (21-36-23).txt
Type d'examen: Examen complet (C:\|E:\|F:\|)
Elément(s) analysé(s): 265088
Temps écoulé: 1 heure(s), 4 minute(s), 14 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 23
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\-{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Trojan.BHO) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Program Files\eoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\tmp (Rogue.Eorezo) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\rfwhwf.sys (Backdoor.IEbooot) -> Delete on reboot.
C:\WINDOWS\Temp\1a4dacaf.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\3680bdba.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\47b22856.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\4ee63284.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\61ff9c32.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\64e7839c.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\7480bc178654 (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\84999d7f.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\8c4a87b6.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\8f3759eb.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\9b26915e.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\b301d076.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoMultiLanguage.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoRezoImg_16.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoRezoImg_17.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoRezoTools_16.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoRezoTools_17.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\eoAdv.url (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\EoRezoBho.old (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\is-0O7GU.tmp (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\is-531R5.tmp (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\tmp\eoRezoBho.dll.5563 (Rogue.Eorezo) -> Quarantined and deleted successfully.
En scannant mon ordi avec HouseCall de MicroTrend, j'ai trouvé différentes infections que le logiciel a pu éliminer sauf un "RTKT BUBNIX.B" dans C:\WINDOWS\system32\drivers\rfwhwf.sys
J'ai essayé ensuite d'utiliser Malwarebytes qui m'a trouvé une vingtaine d'infection. Il a pu les éliminer sauf celui dans C:\WINDOWS\system32\drivers\rfwhwf.sys qu'il appelle lui Backdoor.IEbooot
J'ai lu plusieurs discussions où combofix est utilisé. Je l'ai donc chargé. Mais avant de commencer, je préfère demander conseil. Quelqu'un peut-il m'aider ?
Je vois qu'il faut déjà fermer fenêtres et programmes, désactiver antispywares et antivirus. Le mieux n'est-il pas de faire Msconfig et
- dans services de décocher tout (en dehors des services Microsft)
- dans démarrage de décocher tout ?
Il faut aussi désactiver les pare feus actifs
- Pour désactiver le pare fau windows, ok
- Mais faut-il faire quelque chose au niveau de la livebox puisqu'il parait qu'elle fait officed e pare feu ?
Merci
Ci dessous le rapport de Malwarebytes :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4770
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
07/10/2010 21:36:23
mbam-log-2010-10-07 (21-36-23).txt
Type d'examen: Examen complet (C:\|E:\|F:\|)
Elément(s) analysé(s): 265088
Temps écoulé: 1 heure(s), 4 minute(s), 14 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 23
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntiVirus) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\-{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Trojan.BHO) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
C:\Program Files\eoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\tmp (Rogue.Eorezo) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\rfwhwf.sys (Backdoor.IEbooot) -> Delete on reboot.
C:\WINDOWS\Temp\1a4dacaf.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\3680bdba.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\47b22856.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\4ee63284.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\61ff9c32.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\64e7839c.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\7480bc178654 (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\84999d7f.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\8c4a87b6.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\8f3759eb.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\9b26915e.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\b301d076.tmp (Trojan.Ransom) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoMultiLanguage.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoRezoImg_16.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoRezoImg_17.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoRezoTools_16.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoRezoTools_17.dll (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\eoAdv.url (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\EoRezoBho.old (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\is-0O7GU.tmp (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\is-531R5.tmp (Rogue.Eorezo) -> Quarantined and deleted successfully.
C:\Program Files\eoRezo\EoAdv\tmp\eoRezoBho.dll.5563 (Rogue.Eorezo) -> Quarantined and deleted successfully.
A voir également:
- Infection RTKT BUBNIX.B - Backdoor.IEbooot
- Infection virus ✓ - Forum Virus
- Infection Bloom ? ✓ - Forum Virus
- Techscam...infection ✓ - Forum Virus
- Infection ad.doubleclick.net ✓ - Forum Virus
- Infection FileRepMetagen - Forum Virus
13 réponses
Salut,
Non par msconfig, les protections des antivirus se désactivent.
Faut cliquer sur l'icone et suivre les menus.
Fais ça :
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.
Non par msconfig, les protections des antivirus se désactivent.
Faut cliquer sur l'icone et suivre les menus.
Fais ça :
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.
C'est fait.
J'ai eu du mal à charger les rapports sur cijoint.fr et j'ai du rallumer le PC pour que ça marche
http://www.cijoint.fr/cjlink.php?file=cj201010/cijVo97zAE.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cijvJS2EeR.txt
Luc
J'ai eu du mal à charger les rapports sur cijoint.fr et j'ai du rallumer le PC pour que ça marche
http://www.cijoint.fr/cjlink.php?file=cj201010/cijVo97zAE.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cijvJS2EeR.txt
Luc
L'est encore là le méchant rootkit pas gentil.
Tente ça :
* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Drivers to delete:
sluumgap
hydxhuu
rfwhwf
Files to delete:
C:\WINDOWS\System32\drivers\hydxhuu.sys
C:\WINDOWS\System32\drivers\rfwhwf.sys
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.
Tente ça :
* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista
Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
begin copying here:
Drivers to delete:
sluumgap
hydxhuu
rfwhwf
Files to delete:
C:\WINDOWS\System32\drivers\hydxhuu.sys
C:\WINDOWS\System32\drivers\rfwhwf.sys
* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
Les hommes réunissent tous les erreurs de leur vie et créent un monstre qu'il appelle destin.
Fait.
Ci dessous le rapport avanger.
Combofix, je ne l'ai jamais utilisé. Je le lance ? ou Malwarebytes ?
------------
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "sluumgap" deleted successfully.
Driver "hydxhuu" deleted successfully.
Driver "rfwhwf" deleted successfully.
File "C:\WINDOWS\System32\drivers\hydxhuu.sys" deleted successfully.
File "C:\WINDOWS\System32\drivers\rfwhwf.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Ci dessous le rapport avanger.
Combofix, je ne l'ai jamais utilisé. Je le lance ? ou Malwarebytes ?
------------
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows XP
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "sluumgap" deleted successfully.
Driver "hydxhuu" deleted successfully.
Driver "rfwhwf" deleted successfully.
File "C:\WINDOWS\System32\drivers\hydxhuu.sys" deleted successfully.
File "C:\WINDOWS\System32\drivers\rfwhwf.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
c'est une erreur de c/c.
Relance un scan OTL plutôt.
Après à la fin tu pourras refaire un scan Malwarebyte, si tu veux, pour la forme.
Relance un scan OTL plutôt.
Après à la fin tu pourras refaire un scan Malwarebyte, si tu veux, pour la forme.
Voici les rapports otl
http://www.cijoint.fr/cjlink.php?file=cj201010/cijBBlh4vE.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cijRbvRXNq.txt
C'est bon ?
Malaware est en train de scanner.
http://www.cijoint.fr/cjlink.php?file=cj201010/cijBBlh4vE.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cijRbvRXNq.txt
C'est bon ?
Malaware est en train de scanner.
Deux choses.
T'as parlé de réunion donc ça doit être un PC de taf (y a qq progs qui font penser que oui), ça laisse donc perplexe d'y voir ce genre de progs :
Megaupload Toolbar
StreamTorrent 1.0
TVAnts 1.0
Faut pas s'étonner que le PC est pourri ensuite;
D'autres part, semble y avoir deux antivirus (certains diront qu'ils sont complémentaires mais ton exemple montre que c'est pas si efficace que ça) : Trend + Viguard.
Et pour terminer, y a FilleZilla et Nvu donc apparemment le PC est utilisé pour faire du webmastering.
Je te conseille vivement de changer les mots de passe FTP d'accès au site et de vérifier que la page d'index du site n'a pas été pourri - lire : https://forum.malekal.com/viewtopic.php?t=22837&start=
T'as parlé de réunion donc ça doit être un PC de taf (y a qq progs qui font penser que oui), ça laisse donc perplexe d'y voir ce genre de progs :
Megaupload Toolbar
StreamTorrent 1.0
TVAnts 1.0
Faut pas s'étonner que le PC est pourri ensuite;
D'autres part, semble y avoir deux antivirus (certains diront qu'ils sont complémentaires mais ton exemple montre que c'est pas si efficace que ça) : Trend + Viguard.
Et pour terminer, y a FilleZilla et Nvu donc apparemment le PC est utilisé pour faire du webmastering.
Je te conseille vivement de changer les mots de passe FTP d'accès au site et de vérifier que la page d'index du site n'a pas été pourri - lire : https://forum.malekal.com/viewtopic.php?t=22837&start=
Je viens d'avoir le rapport Malawarebtres :
le fichier infecté a disparu mais il y a 4 infections.
Je fais supprimer la sélection ?
----------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4773
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
08/10/2010 12:31:47
mbam-log-2010-10-08 (12-31-47).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 266909
Temps écoulé: 59 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP1812\A0289551.sys (Backdoor.IEbooot) -> No action taken.
C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP1812\A0289553.exe (Trojan.Zapchast) -> No action taken.
C:\WINDOWS\Temp\7480a9e43a12 (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Temp\752011b9c0fa (Rootkit.Agent) -> No action taken.
le fichier infecté a disparu mais il y a 4 infections.
Je fais supprimer la sélection ?
----------
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4773
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11
08/10/2010 12:31:47
mbam-log-2010-10-08 (12-31-47).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 266909
Temps écoulé: 59 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP1812\A0289551.sys (Backdoor.IEbooot) -> No action taken.
C:\System Volume Information\_restore{6B545D7D-D0D0-42C0-85A5-D58EE67CACD9}\RP1812\A0289553.exe (Trojan.Zapchast) -> No action taken.
C:\WINDOWS\Temp\7480a9e43a12 (Rootkit.Agent) -> No action taken.
C:\WINDOWS\Temp\752011b9c0fa (Rootkit.Agent) -> No action taken.
Mets tout en quarantaine et ça devrait rouler.
Voir comments plus haut : https://forums.commentcamarche.net/forum/affich-19417995-infection-rtkt-bubnix-b-backdoor-iebooot#10
C'est OK.
Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Voir comments plus haut : https://forums.commentcamarche.net/forum/affich-19417995-infection-rtkt-bubnix-b-backdoor-iebooot#10
C'est OK.
Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Pour désinstaller Combofix :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Mettre en quarantaine dans Malwarebytes = supprimer tout ? (je ne vois pas de commande 'Mettre en quarantaine ')
Merci pour la littérature. Justement, j'avais noté quelques questions :
- L'infection vient d'un défaut de l'antivirus, du pare feu ?
- Derrière la livebox, il y a 2 autres PC. Ont-ils pu être infecté du fait de l'infection du mien ?
- J'ai vu dans une discussion, des mentions aux sites web qui pourraient être infectés. J'ai moi-même un site web : comment savoir s'il est infecté et que faire ?
En tout cas, un super merci dès à présent.
Luc
Merci pour la littérature. Justement, j'avais noté quelques questions :
- L'infection vient d'un défaut de l'antivirus, du pare feu ?
- Derrière la livebox, il y a 2 autres PC. Ont-ils pu être infecté du fait de l'infection du mien ?
- J'ai vu dans une discussion, des mentions aux sites web qui pourraient être infectés. J'ai moi-même un site web : comment savoir s'il est infecté et que faire ?
En tout cas, un super merci dès à présent.
Luc
- L'infection vient d'un défaut de l'antivirus, du pare feu ?
Les antivirus et pare-feu ne font pas tout.
cf ma remarque sur la présence (et donc le comportement de l'utilisateur) des logiciels de P2P etc sur le PC.
- Derrière la livebox, il y a 2 autres PC. Ont-ils pu être infecté du fait de l'infection du mien ?
Le risque est assez réduit au vu du type d'infection.
- J'ai vu dans une discussion, des mentions aux sites web qui pourraient être infectés. J'ai moi-même un site web : comment savoir s'il est infecté et que faire ?
Regarde le code source de la page d'index ou file le lien.
Les antivirus et pare-feu ne font pas tout.
cf ma remarque sur la présence (et donc le comportement de l'utilisateur) des logiciels de P2P etc sur le PC.
- Derrière la livebox, il y a 2 autres PC. Ont-ils pu être infecté du fait de l'infection du mien ?
Le risque est assez réduit au vu du type d'infection.
- J'ai vu dans une discussion, des mentions aux sites web qui pourraient être infectés. J'ai moi-même un site web : comment savoir s'il est infecté et que faire ?
Regarde le code source de la page d'index ou file le lien.
Bonjour,
Je ne vois rien de suspect dans la page index de mon site et j'ai changé le mot de passe.
Je vais lire la doc en détail mais je l'ai déjà parcourue. Juste 2questions :
il est recommandé de surfer en n'étant pas en session administrateur : c'est facile à gérer : utiliser "usuellement" un profil non administrateur et passer en "administrateur" quand il faut installer un logiciel ou faire 1 autre opération nécessitant d'être administrateur ?
Pour les OS alternatifs à Windows, comment les utiliser avec une panoplie de logiciels fait pour Windows. Ça peut fonctionner quand même ?
En tout cas, une nouvelle fois, un grand merci.
Luc
Je ne vois rien de suspect dans la page index de mon site et j'ai changé le mot de passe.
Je vais lire la doc en détail mais je l'ai déjà parcourue. Juste 2questions :
il est recommandé de surfer en n'étant pas en session administrateur : c'est facile à gérer : utiliser "usuellement" un profil non administrateur et passer en "administrateur" quand il faut installer un logiciel ou faire 1 autre opération nécessitant d'être administrateur ?
Pour les OS alternatifs à Windows, comment les utiliser avec une panoplie de logiciels fait pour Windows. Ça peut fonctionner quand même ?
En tout cas, une nouvelle fois, un grand merci.
Luc
il est recommandé de surfer en n'étant pas en session administrateur : c'est facile à gérer : utiliser "usuellement" un profil non administrateur et passer en "administrateur" quand il faut installer un logiciel ou faire 1 autre opération nécessitant d'être administrateur ?
yep c'est ça.
Sachant que c'est un PC de bureau, on y a installe pas des applications tous les quatre matins.
(Installer une application n'étant pas une opération anodine).
Pour les OS alternatifs à Windows, comment les utiliser avec une panoplie de logiciels fait pour Windows. Ça peut fonctionner quand même ?
Il y a des équivalents.
Mais si c'est un PC de bureau, je te déconseille de remplacer Windows par un Linux.
yep c'est ça.
Sachant que c'est un PC de bureau, on y a installe pas des applications tous les quatre matins.
(Installer une application n'étant pas une opération anodine).
Pour les OS alternatifs à Windows, comment les utiliser avec une panoplie de logiciels fait pour Windows. Ça peut fonctionner quand même ?
Il y a des équivalents.
Mais si c'est un PC de bureau, je te déconseille de remplacer Windows par un Linux.
