Sujet Précédent Sujet Suivant

Pc infecté par le W32/Blaster.worm

Fermé
Sarah - 4 mars 2011 à 22:58
 Sarah - 9 nov. 2011 à 19:59
Bonjour,


Bonjour,

Mon PC est infecté par ce vers W32/blaster.worm et a congelé une grande partie de mes programmes et applications. A tel point que des applications comme Itunes, Mozilla, Spybot S&D et bien d'autres ne peuvent plus ètre ouvert sous prétexte qu'ils sont infectés par le vers. Entre temps, je n'ai pas le choix d'accepter un faux antivirus sous le nom de Spyware Protection version 1.9.0.0 (Entreprise Security Software). Rien n'y fait, je n'arrive pas à enlever le programme qui s'est réfugié dans C:\Documents and Settings\Régine\Application Data sous le nom de "defender.exe". J'ai réussit cependant à détourner le virus, et j'ai pu aller sur internet via mes favoris enregistrés sur mon Pc. J'ai un Windows XP.
Je souhaiterai avoir une solution adaptée pour éradiquer ce virus. Merci d'avance.
A voir également:

12 réponses

Réponse 1 / 12
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
Modifié par fred08700 le 4/03/2011 à 23:41
salut

je n'ai pas le choix d'accepter un faux antivirus sous le nom de Spyware Protection version 1.9.0.0 (Entreprise Security Software) ==> c'est lui le virus !!

* Télécharge sur le bureau RogueKiller (par tigzy)



*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.


************************************

Utilise ce logiciel de désinfection généraliste stp :

● Télécharges Malwarebytes

(NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici :
https://www.malekal.com/tutorial-aboutbuster/

● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

● Lance une analyse complète en cliquant sur "Exécuter un examen complet"

● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

L'analyse peut durer un bon moment.....

● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée


Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.

[Pierre de Coubertin]
5
Réponse 2 / 12
Sarah
5 mars 2011 à 11:36
Merci Fred, je te dirais des nouvelles. Jme met à l'oeuvre.
0
Réponse 3 / 12
Sarah
5 mars 2011 à 12:25
Bon bah, je me pose des questions car lorsque j'ai voulu lance Roguekiller, il m'a affiché plusieurs fois un message " C:\Documents and Settings\Regine\Bureau\RogueKiller.exe n'est pas une application Win32 valide", et cela meme si je mettais le pc en mode sans échec. Seulement, après etre revenu en mode normal, le virus a disparu, je ne vois pu de messages ni rien, j'ai accès à internet normalement, comme à Itunes: purien n'est congelé. Seulement, est-ce qu'il est réèllement parti ou reste-il encore des traces? Car là où je me pose la question, est que je n'ai pas eu à faire les manipulations suivante pour Roguekiller:

* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse

Est-ce normal? Est-ce que je peux passer à la suite avec Malwarebytes?
0
Réponse 4 / 12
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
5 mars 2011 à 12:32
re

lance quand même rogue killer. seulement après , passe à malwarebytes
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
Sarah
5 mars 2011 à 12:35
Roguekiller ne veut pas s'ouvrir, et se contente seulement de m'afficher encore se message sans donner suite... "C:\Documents and Settings\Regine\Bureau\RogueKiller.exe n'est pas une application Win32 valide". Il est lancé quand malgré se message ou non?
0
Réponse 6 / 12
Sarah
5 mars 2011 à 12:36
Excusez-moi pour les questions ^^
0
Réponse 7 / 12
Sarah
5 mars 2011 à 12:41
Bon, je vais passer à malwarebytes, je vais bien voir ce que ça donne.
0
Réponse 8 / 12
Sarah
5 mars 2011 à 14:48
Voilà le Rapport de Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5962

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/03/2011 14:42:07
mbam-log-2011-03-05 (14-42-07).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 294820
Temps écoulé: 49 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 34
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 31

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\cryptnet32.dll (Trojan.Agent) -> Delete on reboot.
c:\WINDOWS\cadfc32.dll (Trojan.Hiloti) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Typelib\{D518921A-4A03-425E-9873-B9A71756821E} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3DC201FB-E9C9-499C-A11F-23C360D7C3F8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{3E720452-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3E720452-B472-4954-B7AA-33069EB53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7473D294-B7BB-4F24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7473D294-B7BB-4F24-AE82-7E2CE94BB6A9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{98D9753D-D73B-42D5-8C85-4469CDA897AB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{98D9753D-D73B-42D5-8C85-4469CDA897AB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98D9753D-D73B-42D5-8C85-4469CDA897AB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{E79DFBCA-5697-4FBD-94E5-5B2A9C7C1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E79DFBCA-5697-4FBD-94E5-5B2A9C7C1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4D7B-9389-0F166788785A} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9FF05104-B030-46FC-94B8-81276E4E27DF} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MyWebSearchService (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Bteyiyiniyetasoy (Trojan.Hiloti) -> Value: Bteyiyiniyetasoy -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Spyware Protection (Trojan.FakeAlert) -> Value: Spyware Protection -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mssend (Trojan.Agent) -> Value: mssend -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\recycle.bin (Trojan.Spyeyes) -> Delete on reboot.

Fichier(s) infecté(s):
c:\WINDOWS\system32\cryptnet32.dll (Trojan.Agent) -> Delete on reboot.
c:\WINDOWS\cadfc32.dll (Trojan.Hiloti) -> Delete on reboot.
c:\documents and settings\REGINE\application data\defender.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\REGINE\local settings\Temp\_12E.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\documents and settings\REGINE\local settings\Temp\_F0.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\documents and settings\REGINE\local settings\Temp\mkmoock4.dat (Rootkit.MBR) -> Quarantined and deleted successfully.
c:\documents and settings\REGINE\local settings\Temp\4iycthc5.dat (Rootkit.MBR) -> Quarantined and deleted successfully.
c:\documents and settings\REGINE\local settings\Temp\BE.tmp (Trojan.Hiloti) -> Quarantined and deleted successfully.
c:\documents and settings\REGINE\local settings\temporary internet files\Content.IE5\8RPN9YTM\ylgnato4[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP730\A0203817.EXE (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP735\A0205192.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP737\A0205236.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP745\A0206725.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP749\A0208572.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP749\A0210571.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP749\A0211571.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP749\A0207893.EXE (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP749\A0212576.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{e7ffe924-eada-4ad0-9f06-6b8fce27194b}\RP749\A0212580.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\f3PSSavr.scr (PUP.FunWebProducts) -> Quarantined and deleted successfully.
c:\program files\mozilla firefox\plugins\NPMyWebS.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
c:\program files\msn messenger\msimg32.dll (PUP.FunWebProducts) -> Quarantined and deleted successfully.
c:\program files\msn messenger\riched20.dll (PUP.FunWebProducts) -> Quarantined and deleted successfully.
c:\program files\internet explorer\msimg32.dll (PUP.FunWebProducts) -> Quarantined and deleted successfully.
c:\program files\fast browser search\searchguardplus.exe (PUP.Fbsearch) -> Quarantined and deleted successfully.
c:\program files\fast browser search\update.exe (PUP.Fbsearch) -> Quarantined and deleted successfully.
c:\recycle.bin\recycle.bin.exe (Trojan.ZBot) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\crt.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\REGINE\local settings\application data\xparj_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\documents and settings\REGINE\local settings\application data\xparj_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\recycle.bin\config.bin (Trojan.Spyeyes) -> Quarantined and deleted successfully.
0
Réponse 9 / 12
fred08700 Messages postés 3389 Date d'inscription lundi 19 janvier 2009 Statut Contributeur sécurité Dernière intervention 9 février 2014 550
5 mars 2011 à 15:23
bien

tu n'es pas venue pour rien -)

==> redémarres ton pc pour que malwarebytes finisse sa désinfection

==> une fois fait , relances malwarebytes et vides la quarantaine

==> ● Télécharges ZHPDiag ( de Nicolas Coolman ). ==> outil de diagnostique

ou http://www.premiumorange.com/zeb-help-process/zhpdiag.html ==> en bas de page


/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'administrateur /!\

● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )

● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau

● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.

● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.

● Rends toi sur pjjoint.malekal.com

● Cliques sur " Parcourir "

● Sélectionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau

● Clique ensuite sur "envoyer le fichier " et copie/colle le lien dans ton prochain message

==> autre site d'hébergement :

ci-joint
too-files

0
Réponse 10 / 12
Jp Doobie
31 mars 2011 à 04:47
Juste un gros merci a vous !!!! En 2 min.j'ai réglé mon problème...Que de surprise!!! :)))
0
Réponse 11 / 12
ccerise
9 nov. 2011 à 18:32
Bjr ! J'ai le même soucis excepté que je ne peux démarrer aucun programme...
Auriez vous une solution?
0
Réponse 12 / 12
Sarah
9 nov. 2011 à 19:59
Salut, si tu peux pas démarrer internet, je te conseil d'aller voir dans tes favoris qui sont directement enregistrés sur ton pc via internet explorer, c'est comme ça que j'ai réussis à contourner le problème des programme qui se lance pas. De là, j'ai pu naviguer sur internet et télécharger ce qui m'a été conseillé pour éradiquer le virus. Si ça marche pas en mode normal, essaye de le faire en mode "sans échec".
0