Demande d'aide sur Win32:Ramnit-B et VBS:ExeD Résolu/Fermé

Question

Bonjour, 

Je me retrouve d'après avast avec 2 virus: Win32:Ramnit-B et VBS:ExeDropper-gen [Trj]. Ils sont en zone quarantaine mais j'aimerai m'en débarasser. Comment dois-je faire? Merci de votre aide.

Muriel

Configuration: Windows 7 / Firefox 3.6.15

juju666 · Answer

Salut Muriel, T'as chopé l'un des pires virus... Faut espérer qu'on doive pas en arriver au formatage. Le scan suivant peut être très long, c'est normal ▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ Double clique et ensuite clique sur ; ▶ Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶ Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶ De retour à la fenêtre principale : clique pour activer ▶ Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶ Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶ Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶ Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶ Ferme Dr.Web Cureit ▶ Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). ▶ Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse Bon courage.. et bonne chance ^^

Muriel · Answer

Bon d'abord merci de prendre le temps de m'aider. 

J'ai donc fait ce que tu m'as indiqué et je ne peux finir le scan complet. J'ai un message d'erreur.

b889d_xp.exe - erreur d'application

L'instruction à 0x00aa0d29 emploie l'adresse mémoire 0x0361783e. La mémoire ne peut pas être en état 'read'.

Cliquez sur ok pour terminer le programme.

Puis nouvelle fenêtre et le début dit:

Attention lors du scan système des virus ont été détectés (RC=3221225477.)

Ensuite il me dit que le rapport se trouve sous un certain chemin sur C et drweb mais je n'ai que le logiciel sous drweb.

juju666 · Answer

Okey,

Tu sais redémarrer en mode sans échec ?

F8 quand ton pc démarre. Tu sélectionne Mode sans échec

Tu relance le docteur web :P

Muriel · Answer

Voilà ce qu'il me donne.

Avast!-5[1].exe;C:\Documents and Settings\Asus\DoctorWeb\Quarantine;Trojan.StartPage.32448;Irréparable.Quarantaine.;

juju666 · Answer

Okey

T'es en normal là donc ?

Nous allons effectuer un diagnostic de ton PC:
&#9654 Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

 /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur » 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
&#9654 Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/

&#9654 Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 


Hébergement de rapport sur pjjoint.malekal.com

&#9654 Rends toi sur pjjoint.malekal.com
&#9654 Clique sur le bouton Parcourir
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
&#9654 Clique sur le bouton Envoyer
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.

@+

Muriel · Answer

Voilà. 

http ://pjjoint.malekal.com/files.php?id=dec18fd8b4118

J'ai rajouté un espace entre http et les : pour pouvoir poster l'url.

Muriel · Answer

J'y pense, est-ce qu'il faut aussi la liste de ce qui est en quarantaine avec Avast?

Utilisateur anonyme · Answer

salut, je suis avec juju666 sur ton cas, en son absence, fais ce que je te demande:

DR WEB est supprimer par avast c'est ca?

Muriel · Answer

Non non. Il apparait avec un trojan quand je fais l'analyse. Mais avast fonctionne.

Utilisateur anonyme · Answer

ok, essai de le télécharger ici: https://www.commentcamarche.net/telecharger/securite/7749-dr-web-cureit/

si il est toujours détécter par avast comme un trojan, désactive AVAST le temps de la désinfection.

Muriel · Answer

J'ai déjà Dr Web, c'est pas le même ou je relance celui que j'ai - donné par Juju - en désactivant Avast?

juju666 · Answer

Salut,

Ma version vient du ftp de leur site web

@+

Muriel · Answer

J'ai refait un scan rapide rien. Je refais un scan complet? 

Dans le genre croise les doigts vu le temps que ça prend....

juju666 · Answer

lol :o)

Passe à zhpdiag stp : https://forums.commentcamarche.net/forum/affich-21142608-demande-d-aide-sur-win32-ramnit-b-et-vbs-exed#9

Muriel · Answer

http ://pjjoint.malekal.com/files.php?id=c88384c62e1513

juju666 · Answer

C'est quoi ça? C:\Pass.txt   

Ce fix va cibler certains éléments non supprimés sur ton ordi:

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


 O2 - BHO: Partner BHO Class [64Bits] - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} . (.Google Inc. - Partner application.) -- C:\ProgramData\Partner\Partner64.dll    
O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd (.not file.)
O43 - CFD: 09/09/2010 - 09:23:54 - [1516372] ----D- C:\ProgramData\Partner    
O64 - Services: CurCS - (.not file.) - 6000101305F99 (6000101305F99)  .(...) - LEGACY_6000101305F99
O64 - Services: CurCS - (.not file.) - 6000101306687 (6000101306687)  .(...) - LEGACY_6000101306687



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".  

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

Ensuite:

Nous allons réaliser une analyse complète de ton pc, en ligne:
Rends toi sur ce lien, avec Internet Explorer :


https://www.eset.com/

&#9654 Clique sur le carré vert "online scanner",
&#9654 Il recherchera ton navigateur pour voir s'il et compatible, une fois fait tu devras accepter les termes du contrat de licence, Accepte les   
&#9654 Une fois acceptés tu pourras alors cliquer sur start, Il risque de te demander d'installer un contrôle Active X..Accepte le   
&#9654Tu auras alors la page de paramètres d'analyse de l'ordinateur.Voici les paramètres à effectuer :   

&#9654 &#9654  Laisse cocher " Supprimer les menaces détectées "   
&#9654 &#9654 Coche la case " Analyser les archives "   

&#9654 Clique sur le lien en bleu " Paramètre Avancés",   

&#9654 Si elles ne sont pas cochées, coche ces cases :   

&#9654 &#9654    "Rechercher les applications potentiellement indésirables "   
&#9654 &#9654    "Rechercher les applications potentiellement dangereuses"   
&#9654 &#9654    "Activer la technologie Anti-Stealth (Anti-furtivité) "   

&#9654 Décoche cette cases :   

&#9654 &#9654  utilisez des paramètres proxy manuel...   

&#9654 une fois terminée, colle le rapport qui est stocké à cet emplacement :   
 C:\Program Files\EsetOnlineScanner\log.txt   
    

/!\ Il se peut que le Scan soit très long /!\   

@+

Muriel · Answer

Rapport de ZHPFix 1.12.3257 par Nicolas Coolman, Update du 05/03/2011
Fichier d'export Registre : C:\ZHPExportRegistry-11-03-2011-16-43-23.txt
Run by Asus at 11/03/2011 16:43:23
Windows 7 Home Premium Edition, 64-bit  (Build 7600)
Web site : htt p://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman   @yahoo.fr

========== Clé(s) du Registre ==========
O2 - BHO: Partner BHO Class - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} . (.Google Inc. - Partner application.) -- C:\ProgramData\Partner\Partner64.dll  => Clé non supprimée
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]  => Clé supprimée avec succès
[HKCR\CLSID\{83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4}]  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 6000101305F99 (6000101305F99)  .(...) - LEGACY_6000101305F99  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - 6000101306687 (6000101306687)  .(...) - LEGACY_6000101306687  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd (.not file.)  => Valeur supprimée avec succès

========== Dossier(s) ==========
C:\ProgramData\Partner  => Supprimé et mis en quarantaine

========== Fichier(s) ==========
c:\programdata\partner\partner64.dll  => Supprimé et mis en quarantaine
c:\programdata\setwallpaper.cmd  => Supprimé et mis en quarantaine


========== Récapitulatif ==========
5 : Clé(s) du Registre
1 : Valeur(s) du Registre
1 : Dossier(s)
2 : Fichier(s)


End of the scan

J'ai lancé l'autre, je transmets quand c'est fini. ^^

juju666 · Answer

En attendant, c est quoi ça : C:\Pass.txt 

??

Muriel · Answer

Je ne sais pas.

juju666 · Answer

Ouvre le y'a pas de risque et regarde ce qu'il y fait inscrit.

Muriel · Answer

Alors en cherchant ça m'ouvre le bloc note, un seul mot dessus Store. Le fichier indique modifié le 13 juin 2006 et j'ai mon pc depuis décembre l'an dernier.

Muriel · Answer

C'est fait.

juju666 · Answer

où en est nod32 au fait ?

Muriel · Answer

33%, 1 virus: NewHeur_PE virus problablement inconnu

juju666 · Answer

PE = PE infector = Ramnit

Muriel · Answer

D'accord. Merci du renseignement.

juju666 · Answer

En fait c'est un des rares Virus proprement dit qui existe encore avec Sality et ViruT.

Si tu souhaites plus d'infos : https://forum.malekal.com/viewtopic.php?t=5177&start=

Muriel · Answer

Je vais aller voir. ^^

juju666 · Answer

Tu peux consulter sans modération le site de malekal, tu y trouveras plein d'infos sur les merdes du web :]

Muriel · Answer

Je vais le garder dans les favoris vi. 

Bon scan fini, si je me plante pas, c'est ça: 

ESETSmartInstaller@High as CAB hook log: 
OnlineScanner64.ocx - registred OK 
OnlineScanner.ocx - registred OK

Ah et à la fin je fais quoi? J'ai plusieurs choix:

désinstaller l'application à la fermeture
supprimer les fichiers en quarantaine

juju666 · Answer

arf il est pas bavard :P

choisi supprimer les fichiers c est plus mieux :P
surtout avec du pe infector.

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau. 

&#9654 &#9654 Miroir 1 si inaccessible  
&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

++

Muriel · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6023

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

11/03/2011 20:00:50
mbam-log-2011-03-11 (20-00-50).txt

Type d'examen: Examen complet (C:\|D:\|Q:\|)
Elément(s) analysé(s): 365521
Temps écoulé: 1 heure(s), 2 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (userinit.exe,c:\program files (x86)\microsoft\desktoplayer.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

juju666 · Answer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (userinit.exe,c:\program files (x86)\microsoft\desktoplayer.exe) Good: (userinit.exe) >> c'était bien Ramnit :)

On enchaîne :

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Exécuter List_Kill'em

une fois terminée , clic sur "terminer" 

lance-le via le raccourci apparu sur ton bureau comme précité au début 

choisis l'option Search

&#9654 laisse travailler l'outil

à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal ,c'est une recherche supplémentaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

@+

Muriel · Answer

http ://www.cijoint.fr/cjlink.php?file=cj201103/cij4XGTDRU.txt

http ://www.cijoint.fr/cjlink.php?file=cj201103/cijEh05pEG.txt

juju666 · Answer

Ok vu :)


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "exécuter en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Suppression

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta réponse

Muriel · Answer

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.6 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Asus (Administrateurs) 
Update on 10/03/2011 by g3n-h@ckm@n ::::: 08.40
Start at: 20:55:32 | 11/03/2011

Pentium(R) Dual-Core CPU       T4500  @ 2.30GHz
Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
Internet Explorer 8.0.7600.16385

WebSite : Soon
Thx to MPuissanceIV for the icon
Windows Firewall Status : Enabled

C:\ -> Disque fixe local | 116,44 Go (88,55 Go free) [OS] | NTFS
D:\ -> Disque fixe local | 329,79 Go (328,89 Go free) [Data] | NTFS
E:\ -> Disque CD-ROM
Q:\ -> Disque fixe local
 
Killed : PID 4616 'Firefox.exe'
Killed : PID 3536 'Msnmsgr.exe'
Killed : PID 1968 'explorer.exe'
 

¤¤¤¤¤¤¤¤¤¤ Fichiers | Dossiers 

Mis en quarantaine : C:\Users\Asus\AppData\Local\GDIPFONTCACHEV1.DAT   
Mis en quarantaine : C:\ProgramData\FullRemove.exe   
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

C:\Windows\System32\Drivers\etc\hosts
127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤¤¤¤

Suppression : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktop   
Suppression : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoActiveDesktopChanges   
Suppression : HKCR\CLSID\{9517fb66-3dcf-44eb-8ce5-1a0f8a058d12}    

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http  ://go.microsoft.com/fwlink/?LinkId=69157
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	http    ://go.microsoft.com/fwlink/?LinkId=54896
Default_Page_URL	=         	http  ://go.microsoft.com/fwlink/?LinkId=69157
Search Page	=         	http   ://go.microsoft.com/fwlink/?LinkId=54896

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	http  ://www.google.com/
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http   ://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Centre de securite ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	=      	1 (0x1) 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio -> Start = 3   
 EapHost -> Start = 2   
 Wlansvc -> Start = 2   
 SharedAccess -> Start = 2   
 windefend -> Start = 3   
 wuauserv -> Start = 2   
 wscsvc -> Start = 2   
 
 ¤¤¤¤¤¤¤¤¤¤ Winlogon
 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 
 AutoRestartShell	=      	1 (0x1) 
 Shell	=         	explorer.exe 
 Userinit	=         	C:\Windows\SysWow64\userinit.exe, 
 VMapplet	=         	SystemPropertiesPerformance.exe /pagefile 
 System	=         	 
 PowerdownAfterShutdown	=         	1 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

TDSS | svchost | Internet Explorer: 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http ://www.gmer.net
Windows 6.1.7600 

device: opened successfully
user: error reading MBR 

Disk trace:
error: Read  Descripteur non valide
kernel: error reading MBR 


Fin du Nettoyage : 20:57:34

 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
 
Par contre ça m'a juste laissé la fenêtre bibliothèque ouverte et j'ai dû relancé le pc via alt ctrl supp

juju666 · Answer

Ok c'est pas bien grave :)

On va vérifier tout ça ;)

Relance un scan du docteur web en mode sans échec ^^

Muriel · Answer

Un scan complet ou rapide?

juju666 · Answer

complet si possible :P

Muriel · Answer

Je te hais. ^^ (Au cas où pas compris, je plaisante ^^)

Retourne lancer le mode sans échec et le scan de la mort qui tue.

juju666 · Answer

Je sais :D
Il faut ce qu'il faut ^^

Muriel · Answer

Bonjour. Voilà le résultat.

C:\Program Files (x86)\List_Kill'em\Proc_end.exe - supprimé

=============================================================================
Statistiques totales de la session
=============================================================================
Objets scannés: 550054
Objets infectés: 0
Objets ayant été modifiés: 0
Objets suspects: 0
Adwares détectés: 0
Dialers détectés: 0
Canulars détectés: 0
Riskwares détectés: 0
Hacktools détectés: 1
Désinfecté: 0
Supprimé: 1
Renommé: 0
Déplacé en quarantaine: 0
Ignoré: 0
Vitesse du scan: 54 Kb/s
Durée d'analyse: 4:19:48
=============================================================================

juju666 · Answer

salut! Aaaah ben voilà qui est bien :] plus de ramnit en vue !!

Refais un passage de zhpdiag stp on va finaliser ;) rapport à héberger comme d'habitude !

à+

Muriel · Answer

Voilà.

http ://pjjoint.malekal.com/files.php?id=62e84aae2956

Pour ce que j'ai dans la zone de quarantaine d'avast je fais comment?

juju666 · Answer

en attendant que je revienne ce soir

tu peux vider la quarantaine d avast

et mettre ton seven à jour via windows update

++

Muriel · Answer

D'accord. Bon je cherche comment qu'on la vide, la quarantaine. En tout cas merci merci merci du coup de main.

Edit: je présume qu'il faut supprimer les fichiers infectés pour vider la quarantaine. C'est bien ça?

Muriel · Answer

Non. En fait je veux savoir si je supprime ou pas. Ce sont souvent des applications asus comme le contrôle de gestion de consommation du pc, du wi fi, etc. Je présume que je ne peux plus m'en servir et qu'il va falloir passer par l'image du PC pour rétablir le truc mais je voudrai être sure de pas supprimer un truc qu'il faut pas. ^^

Muriel · Answer

C'est la dernière version et elle est à jour.

juju666 · Answer

Re :]

Quelles applications ne fonctionnent plus? En effet ramnit infecte tous les .exe (exécutables)

Muriel · Answer

Ca par exemple, des logiciels d'asus:

http ://i62.servimg.com/u/f62/13/32/36/03/logici10.png

J'ai pas ouvert toutes les applications du pc. Je peux vous montrer les fichiers mis en quarantaine si vous voulez.

juju666 · Answer

Arf :\

La seule solution est de les réinstaller.. un par un ..

Muriel · Answer

J'ai l'image de mon pc, je peux passer par ce biais non? Et avant je supprime les fichiers infectés qui sont dans avast un par un.

juju666 · Answer

Restaurer ton pc va relancer l'infection. Mais si tu veux, tu peux le faire et repasser dr web :P

Muriel · Answer

Non, j'ai fait mon image lorsque j'ai reçu mon PC donc bien avant qu'il soit infecté, via des dvd. Sinon je n'ai pas de moyen de les réinstaller. :(

juju666 · Answer

y'a pas moyen de lancer le dvd et de faire "réinstaller les applications" ou un truc du genre ??

Muriel · Answer

Euh.. Sais pas. Tu sais ce sont les dvd qu'ont te demande de graver au départ. J'en ai 5 en tout.

juju666 · Answer

ouais j'vois. Y'en a un ça doit être les logiciels ;)

Muriel · Answer

Donc pour toi je peux en passant par l'image? Sinon j'ai trouvé quelque chose en cherchant sur le site asus qui semble correspondre à mes logiciels asus. Mais je doute qu'ils soient les seuls attaqués. ^^

Et donc je commence de toute façon par supprimer les fichiers en quarantaine? Par contre visiblement pas possible de le faire autrement que 1 par 1? J'ai avast 5.

juju666 · Answer

Désinstalle Avast 5 complètement : https://www.avast.com/fr-fr/uninstall-utility 
La quarantaine va sauter. 

Installe Avast 6 : http://www.commentcamarche.net/download/telecharger-151-avast

Pour les autres logiciels attaqués, ben ouais pas le choix... :\ 
 .::. Membre Contributeur Commentçamarche .::.

Muriel · Answer

Oki. Merci.

juju666 · Answer

quand t auras mis avast 6 dis le moi ;)

Muriel · Answer

Je l'ai mis. Par contre pas compris parce qu'il avait encore la quarantaine dans le ventre. Donc j'ai supprimé les fichiers.

juju666 · Answer

T'as bien fait.

La fin ::

&#9654 télécharge Ccleaner et enregistre le sur le bureau 

&#9654 double-clique sur le fichier pour lancer l'installation 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur » 

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK 
&#9654 clique sur suivant 
&#9654 lis la licence et j'accepte 
&#9654 cliques sur suivant 
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner 
&#9654 cliques sur installer 
&#9654 cliques sur fermer 
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir 
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé 
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
&#9654 &#9654 cliques sur nettoyeur 
&#9654cliques sur windows et dans la colonne avancé 
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la 
&#9654 cliques sur analyse une fois l'analyse terminé 
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs 
&#9654 laisses tout cochées et cliques sur réparrer les erreurs sélectionnées 
&#9654 il te demande de sauvegarder OUI 
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre 
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK 
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs 
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch 
&#9654 tu peux fermer Ccleaner 

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection : 

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------ 

Mise à jour Windows : 

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5

Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp  

&#9654 Désinstaller les anciennes versions de Java :  

&#9654 Télécharge JavaRa.zip  

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)  

&#9654 Double-clique sur le répertoire JavaRa obtenu.  

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)  

&#9654 Clique sur Remove Older Versions.  

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.  

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.  

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )  

&#9654 Tu peux fermer l'application   

&#9654 &#9654 Met à jour Adobe : 

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/
&#9654 &#9654 Décocher le scan Macàfric

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr

-----

&#9654 &#9654 pour supprimer les outils de désinfection :

&#9654 Télécharge Delfix sur ton bureau : 

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message 
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 

------ 

Tu peux garder Malwarebytes pour un scan de temps à autres 

----- 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web 
Et celui ci, sur les logiciels gratuits à éviter 

------ 

&#9654 &#9654 Pense à marquer le fil comme résolu  

------ 

Si tu as d'autres questions, je t'écoute avec plaisir :)

@+

Muriel · Answer

Bon quand j'ouvre pour désactiver le point de restauration, il est déjà désactivé et si je clique sur ok message d'erreurs avec 'la page de propriétés comporte une erreur imprévue. La syntaxe du nom de fichier, de répertoire ou de volume est incorrecte. (0x8007007B). Fermez la page de propriétés et recommencez.' Ce que j'ai fait mais pareil.

Ah ben je viens de réessayer et ça fonctionne je continue donc.

juju666 · Answer

vive windows ! :o)

Muriel · Answer

# DelFix v7.5 - Rapport créé le 12/03/2011 à 23:58
# Mis à jour le 02/03/11 à 20h par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits) [version 6.1.7601] 
# Nom d'utilisateur : Asus - ASUS-PC (Administrateur)
# Exécuté depuis : C:\Users\Asus\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\Kill'em
Supprimé : C:\Program Files (x86)\List_Kill'em
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\Users\Asus\DoctorWeb
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\List'em.txt
Supprimé : C:\ZHPExportRegistry-11-03-2011-16-43-23.txt
Supprimé : C:\Users\Asus\Desktop\JavaRa.def
Supprimé : C:\Users\Asus\Desktop\JavaRa.exe
Supprimé : C:\Users\Asus\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Asus\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Asus\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Asus\Desktop\Kill'em.txt
Supprimé : C:\Users\Asus\Desktop\More.txt
Supprimé : C:\Users\Asus\Desktop\List_Kill'em.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Asus\Downloads\List_Killem_Install.exe
Supprimé : C:\Users\Asus\Downloads\drweb-cureit.exe
Supprimé : C:\Users\Asus\Downloads\JavaRa.zip

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\SOFTWARE\IDAVLab
Clé Supprimée : HKLM\Software\IDAVLab
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\System\ControlSet001\Enum\Root\LEGACY_DWPROT

~~~~~~ Autre ~~~~~~

-> ESET Online Scanner ... Désinstallé avec succès
-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [1820 octets] ##########

Et pour Java le rapport est vide ou alors il m'indique JavaRa.def et peut pas me le lire.

juju666 · Answer

normalement il a été supprimé par delfix ;)

Supprimé : C:\Users\Asus\Desktop\JavaRa.def

Muriel · Answer

Donc c'est tout bon là? Y a plus virus?

juju666 · Answer

normalement non ! si tu as la moindre alerte reviens ici sans attendre ^^

Muriel · Answer

C'est noté. Merci beaucoup du coup de main, vi je me répète mais c'est clair que sans ceux qui aident comme toi, j'aurais été dans la mouise. Donc encore une fois, merci.

Muriel · Answer

Erf, j'ai plus la possibilité de mettre résolu. A qui je peux demander de le faire?

juju666 · Answer

je m'en charge ^^

Demande d'aide sur Win32:Ramnit-B et VBS:ExeD

72 réponses

Discussions similaires