Win32 :Bamital-AC Fermé

Question

Bonjour, 

Je sais que cette question a été posée plusieurs fois et qu'il y a pleins de liens sur google, mais je ne comprend pas comment faire pour se débarasser de Win32. Depuis quelques jours, l'accès à des sites normaux est bloqué alors que je pouvais y accéder sans problème auparavant.

Avast m'a détecté 3 fichers menaçants :
C://Windows/explorer.exe
C://Windows/Systeme32/winnit.exe
C://Windows/explorer.exe



Impossible de les mettre en quarantaine ou de les réparer

J'ai également utilisé Malwarebytes mais il ne me détecte rien.

Est-ce que quelqu'un pourrait m'expliquer simplement comment faire s'il vous plait ?

Merci d'avance !

jfkpresident · Answer

Bonsoir,

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Clem987 · Answer

Merci de ta réponse et de ton aide !

Voici le rapport :


((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\AVSredirect.dll

Une copie infectée de c:\windows\explorer.exe a été trouvée et désinfectée 
Copie restaurée à partir de - c:\windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe 

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-09-28 au 2010-10-29  ))))))))))))))))))))))))))))))))))))
.

2010-10-29 18:37 . 2010-10-29 18:37	--------	d-----w-	c:\users\Clémence\AppData\Local\Threat Expert
2010-10-29 18:20 . 2010-01-22 07:55	767952	----a-w-	c:\windows\BDTSupport.dll
2010-10-29 18:19 . 2010-01-22 07:56	149456	----a-w-	c:\windows\SGDetectionTool.dll
2010-10-29 18:19 . 2010-01-22 07:56	165840	----a-w-	c:\windows\PCTBDRes.dll
2010-10-29 18:19 . 2010-01-22 07:56	1652688	----a-w-	c:\windows\PCTBDCore.dll
2010-10-29 18:11 . 2010-02-05 07:18	100136	----a-w-	c:\windows\system32\drivers\pctwfpfilter.sys
2010-10-29 18:11 . 2010-02-05 07:17	233136	----a-w-	c:\windows\system32\drivers\pctgntdi.sys
2010-10-29 18:10 . 2010-03-10 09:36	217032	----a-w-	c:\windows\system32\drivers\PCTCore.sys
2010-10-29 18:10 . 2009-11-23 11:54	88040	----a-w-	c:\windows\system32\drivers\PCTAppEvent.sys
2010-10-29 18:10 . 2010-02-05 07:25	70408	----a-w-	c:\windows\system32\drivers\pctplsg.sys
2010-10-29 18:10 . 2010-10-29 18:32	--------	d-----w-	c:\program files\Spyware Doctor
2010-10-29 18:10 . 2010-10-29 18:20	--------	d-----w-	c:\program files\Common Files\PC Tools
2010-10-29 18:10 . 2010-10-29 18:10	--------	d-----w-	c:\users\Clémence\AppData\Roaming\PC Tools
2010-10-29 18:10 . 2010-10-29 18:10	--------	d-----w-	c:\programdata\PC Tools
2010-10-29 11:48 . 2010-09-07 15:12	38848	----a-w-	c:\windows\avastSS.scr
2010-10-29 09:13 . 2010-10-07 23:21	6146896	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{E0C86679-EA6A-4A58-A3C0-27AC91564F47}\mpengine.dll
2010-10-27 10:10 . 2010-08-26 16:01	28672	----a-w-	c:\windows\system32\Apphlpdm.dll
2010-10-27 10:10 . 2010-08-26 14:11	4240384	----a-w-	c:\windows\system32\GameUXLegacyGDFs.dll
2010-10-25 09:30 . 2004-02-22 08:11	719872	----a-w-	c:\windows\system32\devil.dll
2010-10-25 09:30 . 2007-05-17 15:30	318976	----a-w-	c:\windows\system32\avisynth.dll
2010-10-25 09:30 . 2007-05-17 15:30	318976	----a-w-	c:\windows\system32\avisynth.dll 
2010-10-25 09:30 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\yv12vfw.dll
2010-10-25 09:30 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\i420vfw.dll
2010-10-25 09:30 . 2004-01-24 22:00	70656	----a-w-	c:\windows\system32\i420vfw.dll 
2010-10-25 09:30 . 2010-10-25 09:30	--------	d-----w-	c:\program files\AviSynth 2.5
2010-10-14 08:10 . 2010-09-20 09:25	231936	----a-w-	c:\windows\system32\msshsq.dll
2010-10-13 19:21 . 2010-09-10 16:35	168960	----a-w-	c:\program files\Windows Media Player\wmplayer.exe
2010-10-13 19:21 . 2010-09-10 16:37	8147456	----a-w-	c:\windows\system32\wmploc.DLL

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-19 09:41 . 2009-10-03 15:03	222080	------w-	c:\windows\system32\MpSigStub.exe
2010-09-07 15:11 . 2010-05-01 09:46	167592	----a-w-	c:\windows\system32\aswBoot.exe
2010-09-07 14:52 . 2010-05-01 09:47	46672	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2010-09-07 14:52 . 2010-05-01 09:47	165584	----a-w-	c:\windows\system32\drivers\aswSP.sys
2010-09-07 14:47 . 2010-05-01 09:47	23376	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2010-09-07 14:47 . 2010-05-01 09:47	50768	----a-w-	c:\windows\system32\drivers\aswMonFlt.sys
2010-09-07 14:47 . 2010-05-01 09:47	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-08-26 16:01 . 2010-10-27 10:10	173056	----a-w-	c:\windows\apppatch\AcXtrnal.dll
2010-08-26 16:01 . 2010-10-27 10:10	459776	----a-w-	c:\windows\apppatch\AcSpecfc.dll
2010-08-26 16:01 . 2010-10-27 10:10	2153984	----a-w-	c:\windows\apppatch\AcGenral.dll
2010-08-26 16:01 . 2010-10-27 10:10	541696	----a-w-	c:\windows\apppatch\AcLayers.dll
2010-08-17 13:32 . 2010-09-15 15:59	126464	----a-w-	c:\windows\system32\spoolsv.exe
.

------- Sigcheck -------

[-] 2009-04-11 . 91DC9F4610571C3858793A7CF2BF6068 . 2926592 . . [6.0.6000.16386] . . c:\windows\explorer.exe
[7] 2009-04-11 . D07D4C3038F3578FFCE1C0237F2A1253 . 2926592 . . [6.0.6000.16386] . . c:\windows\SoftwareDistribution\Download\cd2b15b1a90e884578188440a1660b12\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6002.18005_none_53a0201e76de3a0b\explorer.exe
[7] 2008-10-30 . 50BA5850147410CDE89C523AD3BC606E . 2927616 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.22298_none_51e4f8c7931bd1e1\explorer.exe
[7] 2008-10-29 . 4F554999D7D5F05DAAEBBA7B5BA1089D . 2927104 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18164_none_5177ca9879e978e8\explorer.exe
[7] 2008-10-29 . 37440D09DEAE0B672A04DCCF7ABF06BE . 2923520 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16771_none_4f83bb287ccdb7e3\explorer.exe
[7] 2008-10-28 . E7156B0B74762D9DE0E66BDCDE06E5FB . 2923520 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20947_none_5033cb5995cd990b\explorer.exe
[7] 2008-01-19 . FFA764631CB70A30065C12EF8E174F9F . 2927104 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe
[7] 2007-12-25 . 6D06CD98D954FE87FB2DB8108793B399 . 2923520 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16549_none_4fac29707cae347a\explorer.exe
[7] 2007-12-25 . BD06F0BF753BC704B653C3A50F89D362 . 2923520 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.20668_none_501f261995dcf2cf\explorer.exe
[7] 2006-11-02 . FD8C53FB002217F6F888BCF6F5D7084D . 2923520 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6000.16386_none_4f7de5167cd15deb\explorer.exe

[-] 2008-01-19 . 6CA8105F73D36189CB00F9E5301E04AF . 96768 . . [6.0.6000.16386] . . c:\windows\System32\wininit.exe
[7] 2008-01-19 . 101BA3EA053480BB5D957EF37C06B5ED . 96768 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe
[7] 2006-11-02 . D4385B03E8CCCEE6F0EE249F827C1F3E . 95744 . . [6.0.6000.16386] . . c:\windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6000.16386_none_2ebbf6d3076595ce\wininit.exe
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net	bfre0.dll" [2009-12-07 2166296]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2009-12-07 13:43	2166296	----a-w-	c:\program files\free-downloads.net	bfre0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net	bfre0.dll" [2009-12-07 2166296]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "c:\program files\free-downloads.net	bfre0.dll" [2009-12-07 2166296]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2007-07-19 1120568]
"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"AlcoholAutomount"="c:\program files\Alcohol Soft\Alcohol 52\axcmd.exe" [2008-11-23 203208]
"AutoStartNPSAgent"="c:\program files\Samsung\Samsung New PC Studio\NPSAgent.exe" [2009-04-02 102400]
"Google Update"="c:\users\Clémence\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-01-08 135664]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-28 4472832]
"Skytel"="Skytel.exe" [2007-05-25 1826816]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2007-03-01 857648]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]
"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 232184]
"MSPService"="c:\program files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe" [2007-06-12 102400]
"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AppleSyncNotifier"="c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-11-07 111936]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-11-04 413696]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-11-20 290088]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]
"avast5"="c:\progra~1\ALWILS~1\Avast5\avastUI.exe" [2010-09-07 2838912]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3996114983-885581378-981037499-1002]
"EnableNotifications"=dword:00000001
"EnableNotificationsRef"=dword:00000001

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2008-07-07 809296]
R3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [2010-03-11 366840]
R3 ss_bbus;SAMSUNG USB Mobile Device (WDM);c:\windows\system32\DRIVERS\ss_bbus.sys [2009-03-20 90112]
R3 ss_bmdfl;SAMSUNG USB Mobile Modem (Filter);c:\windows\system32\DRIVERS\ss_bmdfl.sys [2009-03-20 14976]
R3 ss_bmdm;SAMSUNG USB Mobile Modem;c:\windows\system32\DRIVERS\ss_bmdm.sys [2009-03-20 121856]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2008-12-23 717296]
S0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-03-10 217032]
S1 aswSP;aswSP; [x]
S2 aswFsBlk;aswFsBlk; [x]
S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]
S2 Browser Defender Update Service;Browser Defender Update Service;c:\program files\Spyware Doctor\BDT\BDTUpdateService.exe [2010-01-22 112592]
S2 FsUsbExService;FsUsbExService;c:\windows\system32\FsUsbExService.Exe [2009-03-31 233472]
S3 FsUsbExDisk;FsUsbExDisk;c:\windows\system32\FsUsbExDisk.SYS [2009-03-31 36608]


--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - FSUSBEXDISK
.
Contenu du dossier 'Tâches planifiées'

2010-10-29 c:\windows\Tasks\Extension de garantie.job
- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2007-09-28 16:38]

2010-10-29 c:\windows\Tasks\Recovery DVD Creator.job
- c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2007-09-28 16:34]

2010-10-29 c:\windows\Tasks\User_Feed_Synchronization-{3AEC0B03-0B39-423A-B9B4-BBB8BEE31DCA}.job
- c:\windows\system32\msfeedssync.exe [2008-07-01 07:33]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
LSP: c:\program files\Common Files\PC Tools\Lsp\PCTLsp.dll
FF - ProfilePath - c:\users\Clémence\AppData\Roaming\Mozilla\Firefox\Profiles\0i1hi2vh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&SearchSource=3&q=
FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT1098640&q=
FF - component: c:\users\Clémence\AppData\Roaming\Mozilla\Firefox\Profiles\0i1hi2vh.default\extensions\{ecdee021-0d17-467f-a1ff-c7a115230949}\components\FFAlert.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-NPSStartup - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-10-29 23:35
Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\ATK Hotkey\ASLDRSrv.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\ATK Hotkey\Hcontrol.exe
c:\windows\system32\conime.exe
c:\program files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\windows\RtHDVCpl.exe
c:\program files\Alwil Software\Avast5\AvastUI.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
c:\program files\CDBurnerXP\NMSAccessU.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
c:\program files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
c:\program files\iPod\bin\iPodService.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
c:\program files\Java\jre1.6.0_07\bin\jucheck.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2010-10-29  23:46:34 - La machine a redémarré
ComboFix-quarantined-files.txt  2010-10-29 21:46

Avant-CF: 20 947 378 176 octets libres
Après-CF: 20 813 275 136 octets libres

- - End Of File - - 83D3A2FCC2AD6DE8DA11458FF8627FD8


Qu'est ce que je dois faire maintenant ?

jfkpresident · Answer

Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.
    


***Membre Contributeur Sécurité***

Clem987 · Answer

J'ai recu votre réponse par email mais elle est différente de celle-ci, est-ce normal ?
L'email était : Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ces fichiers : 

C:\Windows\System32\winnit.exe 

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse. 

Le voici :
0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: wininit.exe
Submission date: 2010-10-30 09:36:39 (UTC)
Current status: finished
Result: 28/ 41 (68.3%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
AhnLab-V3	2010.10.30.00	2010.10.29	-
AntiVir	7.10.13.74	2010.10.29	TR/Crypt.XPACK.Gen2
Antiy-AVL	2.0.3.7	2010.10.30	Trojan/Win32.Patched.gen
Authentium	5.2.0.5	2010.10.30	W32/Bamital.B
Avast	4.8.1351.0	2010.10.29	Win32:Bamital-AC
Avast5	5.0.594.0	2010.10.29	Win32:Bamital-AC
AVG	9.0.0.851	2010.10.29	-
BitDefender	7.2	2010.10.30	Win32.Loader.Q
CAT-QuickHeal	11.00	2010.10.26	-
ClamAV	0.96.2.0-git	2010.10.30	Trojan.Patched-155
Comodo	6556	2010.10.30	TrojWare.Win32.Patched.kl
DrWeb	5.0.2.03300	2010.10.30	Win32.Dat.8
eSafe	7.0.17.0	2010.10.28	-
eTrust-Vet	36.1.7943	2010.10.29	Win32/Bamital.AP
F-Prot	4.6.2.117	2010.10.29	W32/Bamital.B
F-Secure	9.0.16160.0	2010.10.30	Win32.Loader.Q
Fortinet	4.2.249.0	2010.10.30	-
GData	21	2010.10.30	Win32.Loader.Q
Ikarus	T3.1.1.90.0	2010.10.30	Virus.Win32.Bamital
Jiangmin	13.0.900	2010.10.30	-
K7AntiVirus	9.67.2865	2010.10.29	Virus
McAfee	5.400.0.1158	2010.10.30	W32/Bamital.a
McAfee-GW-Edition	2010.1C	2010.10.29	Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft	1.6301	2010.10.30	Virus:Win32/Bamital.E
NOD32	5576	2010.10.29	Win32/Bamital.EC
Norman	6.06.10	2010.10.30	W32/Patched.X
nProtect	2010-10-30.01	2010.10.30	Win32.Loader.Q
Panda	10.0.2.7	2010.10.29	W32/Patched.AC
PCTools	7.0.3.5	2010.10.30	-
Prevx	3.0	2010.10.30	High Risk Cloaked Malware
Rising	22.71.03.02	2010.10.29	Trojan.Win32.Generic.5235B360
Sophos	4.59.0	2010.10.30	Troj/Patched-O
Sunbelt	7169	2010.10.30	Virus.Win32.Bamital.c (v)
SUPERAntiSpyware	4.40.0.1006	2010.10.30	-
Symantec	20101.2.0.161	2010.10.30	-
TheHacker	6.7.0.1.073	2010.10.29	-
TrendMicro	9.120.0.1004	2010.10.30	PE_PATCHED.SMC
TrendMicro-HouseCall	9.120.0.1004	2010.10.30	PE_PATCHED.SMC
VBA32	3.12.14.1	2010.10.29	-
ViRobot	2010.10.30.4121	2010.10.30	-
VirusBuster	12.70.12.0	2010.10.29	-
Additional informationShow all
MD5   : 6ca8105f73d36189cb00f9e5301e04af
SHA1  : 5c3a0b963456feb04e8f115befed2afa73aebcbf
SHA256: ccc5a362e33aa51051dae391ac04cd080527fee0182909ea0831fae2a7dbf424
VT Community
This file has never been reviewed by any VT Community member. Be the first one to comment on it!
VirusTotal Team


Je dois donc aussi télécharger ZhpDiag ??

jlpjlp · Answer

slt pour avancer:  

oui fais aussi ZhpDiag    comme indiqué


et si tu peux aussi analyser ces deux fichiers sur virus total en gras et donner les rapports  (je suis curieux) 

C:\Windows\System32\winlogon.exe 
C:\Windows\System32\explorer.exe  


jfkpresident :)

Clem987 · Answer

Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijXXpmUCI.txt


0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware.
File name: winlogon.exe
Submission date: 2010-10-30 09:59:35 (UTC)
Current status: finished
Result: 0/ 41 (0.0%)
VT Community

not reviewed
 Safety score: - 
Compact
Print results 
Antivirus	Version	Last Update	Result
AhnLab-V3	2010.10.30.00	2010.10.29	-
AntiVir	7.10.13.74	2010.10.29	-
Antiy-AVL	2.0.3.7	2010.10.30	-
Authentium	5.2.0.5	2010.10.30	-
Avast	4.8.1351.0	2010.10.30	-
Avast5	5.0.594.0	2010.10.30	-
AVG	9.0.0.851	2010.10.30	-
BitDefender	7.2	2010.10.30	-
CAT-QuickHeal	11.00	2010.10.26	-
ClamAV	0.96.2.0-git	2010.10.30	-
Comodo	6559	2010.10.30	-
DrWeb	5.0.2.03300	2010.10.30	-
eSafe	7.0.17.0	2010.10.28	-
eTrust-Vet	36.1.7943	2010.10.29	-
F-Prot	4.6.2.117	2010.10.29	-
F-Secure	9.0.16160.0	2010.10.30	-
Fortinet	4.2.249.0	2010.10.30	-
GData	21	2010.10.30	-
Ikarus	T3.1.1.90.0	2010.10.30	-
Jiangmin	13.0.900	2010.10.30	-
K7AntiVirus	9.67.2865	2010.10.29	-
McAfee	5.400.0.1158	2010.10.30	-
McAfee-GW-Edition	2010.1C	2010.10.29	-
Microsoft	1.6301	2010.10.30	-
NOD32	5576	2010.10.29	-
Norman	6.06.10	2010.10.30	-
nProtect	2010-10-30.02	2010.10.30	-
Panda	10.0.2.7	2010.10.29	-
PCTools	7.0.3.5	2010.10.30	-
Prevx	3.0	2010.10.30	-
Rising	22.71.03.02	2010.10.29	-
Sophos	4.59.0	2010.10.30	-
Sunbelt	7170	2010.10.30	-
SUPERAntiSpyware	4.40.0.1006	2010.10.30	-
Symantec	20101.2.0.161	2010.10.30	-
TheHacker	6.7.0.1.073	2010.10.29	-
TrendMicro	9.120.0.1004	2010.10.30	-
TrendMicro-HouseCall	9.120.0.1004	2010.10.30	-
VBA32	3.12.14.1	2010.10.29	-
ViRobot	2010.10.30.4121	2010.10.30	-
VirusBuster	12.70.12.0	2010.10.29	-
Additional informationShow all
MD5   : c2610b6bdbefc053bbdab4f1b965cb24
SHA1  : 145787476862969411875c30e3ef177bc8ac1863
SHA256: ec983e197c7da467efc98c42b43e34b1b437405f6b51678dab9f7f3400ea62f


et je ne trouve pas C:\Windows\System32\explorer.exe ...

jfkpresident · Answer

Salut Jlpjlp :)

J'avais édité mon message mais trop tard (j'étais pas sur de la syntaxe du nom de fichier ..)

@Clem: Poste le rapport de ZhpDiag maintenant qu'on sait que C:\Windows\System32\winnit.exe  est bel et bien infecté par Batimal .

PS: @Jlpjlp,tu veux qu'on zip ce fichier ?

Clem987 · Answer

Qu'est-ce que je dois faire maintenant ?

jlpjlp · Answer

analyse sur virus total ceci en gras   

C:\Windows\explorer.exe    


et colle le rapport   


puis lance ZHPSEARCH (jumelles en haut) via le menu de ZHPDIAG  (manuel ici: http://rue-du-montceau.pagesperso-orange.fr/outils_zhpsearch.html )  

1) Sélectionner "Trojan.Batimal" dans la liste déroulante
2) Cliquer sur le bouton "Loupe" pour lancer la recherche
3) En fin de recherche, cliquer sur le bouton "Afficher le rapport"
4) Poster le rapport 
jfkpresident va passer pour finir de virer cette infection    

a plus

jfkpresident · Answer

Fait ce que demande Jlpjlp ensuite utilise le site Cijoint pour poster ton rapport (car il est trop long) comme indiqué post#3

Clem987 · Answer

J'ai mis les 2 rapports sur cijoint :


http://www.cijoint.fr/cjlink.php?file=cj201010/cijtdRP8X8.txt


http://www.cijoint.fr/cjlink.php?file=cj201010/cij2uhwjTH.txt

jfkpresident · Answer

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

KillAll::

FCopy:: 
C:\Windows\winsxs\x86_microsoft-windows-explorer_31bf3856ad364e35_6.0.6001.18000_none_51b4a71279bc6ebf\explorer.exe | C:\Windows\explorer.exe  
C:\Windows\winsxs\x86_microsoft-windows-wininit_31bf3856ad364e35_6.0.6001.18000_none_30f2b8cf0450a6a2\wininit.exe | C:\Windows\System32\winnit.exe


- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Clem987 · Answer

J'ai fais exactement ce que tu m'a dis mais pendant que Combofix était lancé, il a fait ses " 50 étapes" puis me dit qu'il va redémarrer mais au moment de redémarrer : écran noir avec plus rien du tout !!

Je commence à vraiment m'inquiéter la !! Qu'est-ce qui s'est passé ??

jfkpresident · Answer

tu as essayé de redémarrer manuellement ?

Clem987 · Answer

oui et ca fait la même chose. Le démarrage se passe bien jusqu'à la page " Bienvenue" puis après l'écran noir apparait !

jfkpresident · Answer

As tu tes cd d'installation originaux ?

Si oui ,insere les dans ton lecteur puis choisis "réparer" dans le menu quand il te le sera demandé .

Clem987 · Answer

Non malheureusement je n'ai pas de cd d'installation ...

jfkpresident · Answer

As tu essayé de démarrer en mode sans echec ?

Clem987 · Answer

oui mais le problème est le même !

jfkpresident · Answer

Quand tu tapotte F8 au démarrage du pc ,qu'as tu comme options ?

Clem987 · Answer

Oui mais je problème est me même !

jfkpresident · Answer

Tapotte la touche F10 au démarrage .

Clem987 · Answer

En tapant sur F10, j'ai eu accès a la page de restauration de Packard Bell.
J'ai fais une restauration partielle qui a duré plus d'une 1h et après le redémarrage je retombais sans cesse sur la page de restauration Packard Bell.
Il y avait également la possibilité de réparer Windows, c'est ce que j'ai fais et depuis j'ai le message suivant:

L'ordinateur a redémarré de manière inattendue ou a rencontré une erreur inattendue. L'installation ne peut pas continuer.
Pour installer Windows, cliquez sur « OK » pour redémarrer l'ordinateur, puis redémarrer l'installation.

Quand je fais OK l'ordinateur redémarre en affichant le même message.

Clem987 · Answer

Non, j'ai juste démarrage en mode sans échec et démarrage normal

jfkpresident · Answer

?Télécharge OTLPEnet sur ton Bureau.

      * Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD. Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
      * Patiente le temps de la décompression et de la gravure du CD.
      * demarrer sur le cdrom crée de Reatogo  , voir exemple: https://forum.malekal.com/viewtopic.php?t=9447&start=
      * Ton système doit montrer un bureau REATOGO-X-PE
      * En fonction de votre type de connexion Internet, tu dois être en mesure d'accèder au Net, si bien que tu peux accéder à ce sujet plus facilement.
      * Double-click sur l'icone OTLPE
      * Clique "yes" au prochain message 
      * Selectionne ta session puis vérifie que "Automatically Load All Remaining Users" soit sélectionné et press OK
      *sous "Custom Scan box"  copie_colle le contenu du texte en gras ci dessous:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
wininit.exe
userinit.exe
winlogon.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

      * clic Run Scan pour demarrer le scan.
      * une fois terminé , le fichier se trouve là C:\OTL.txt
      * copie_colle le contenu dans ta prochaine reponse

      Si ton rapport est trop long, utilise le site http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

Win32 :Bamital-AC

25 réponses

Discussions similaires