Infection par Bamital-BC

Question

Bonjour, 

Je suis infecté par Bamital-BC (un Trojan)...
j'ai essayer de le supprimer avec avast, mais sa ne marche pas...
un ami m'a proposé d'essayer avec Malwarebytes mais sa n'a pas marché non plus...

J'ai essayer de regarder sur le net, mais je trouve plein de choses, mais a chaque fois j'ai l'impression que la suppression doit être faite de manière spécifique à chaque cas...

Merci d'avance pour votre aide
@+ Shadow1920

Configuration: Windows 7 / Firefox 4.0.1

Utilisateur anonyme · Accepted Answer

bonjour,

On dirait que les contribueur sont tous oartis en ce moment je n'en vois plus aucun 

comment peux tu les distinguer sur le forum ?

* Télécharge ZHPDiag sur ton bureau :


https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://dl.free.fr
ou :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/

Tristan Chrome · Answer

Ok attend un contribueur sécurité

Shadow1920 · Answer

personne ne sait comment faire ??

Tristan Chrome · Answer

On dirait que les contribueur sont tous partis en ce moment je n'en vois plus aucun 
Le Collégien qui adore les ordinateurs.Vive Windows 7 Et les Intel Core I7 990x Xtreme Edition!!

Shadow1920 · Answer

Voilà, c'est fait...

Document visible ici : http://www.cijoint.fr/cjlink.php?file=cj201105/cijfmPg4fV.txt

Utilisateur anonyme · Answer

*		/!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux! 
	
&#9658; Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm 
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
A lire 
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Avant d'utiliser ComboFix :
 
&#9658; ferme les fenêtres de tous les programmes en cours.
 
&#9658; Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
Une fois fait, sur ton bureau double-clic sur Combofix.exe. 
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
 
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
 
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire. 
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt) 
&#9658; Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 
&#9658; Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Tristan Chrome · Answer

Ah enfin en revoila un

Shadow1920 · Answer

Voila ce que contient mon fichier :

ComboFix 11-05-13.03 - Simon 14.05.2011  19:29:42.2.2 - x86
Microsoft Windows 7 Édition Familiale Premium   6.1.7601.1.1252.41.1036.18.3039.1859 [GMT 2:00]
Lancé depuis: C:\Users\Simon\Desktop\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {2B2D1395-420B-D5C9-657E-930FE358FC3C}
SP: avast! Antivirus *Disabled/Updated* {904CF271-6431-DA47-5FCE-A87D98DFB681}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Un nouveau point de restauration a été créé


Par contre, il se trouvais dans C:\ComboFix\ComboFix.txt

Utilisateur anonyme · Answer

bonjour,

peux tu me faire un copier coller du rapport de combofix entièrement ici ou héberger le rapport sur Cijoit et coller son lien sur ton prochain message ?

le rapport se trouve là :

C:\ComboFix\ComboFix.txt

Merci   :-)

Shadow1920 · Answer

Alors le voilà : http://www.cijoint.fr/cjlink.php?file=cj201105/cijj2RA4ue.txt

Utilisateur anonyme · Answer

bonjour, * Télécharge Dr Web CureIt sur ton Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe - Double clique et ensuite clique sur ; - Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". - Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . - De retour à la fenêtre principale : clique pour activer - Clique le bouton avec flèche verte sur la droite, et le scan débutera. - Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . - Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv - Ferme Dr.Web Cureit - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse

Shadow1920 · Answer

Alors analyse effectuée (17h15 d'analyse quand même...)

Voilà le rapport : http://ww38.toofiles.com/fr/oip/documents/csv/drweb.html

Utilisateur anonyme · Answer

bonjour,

super  :-)

la suite :

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Shadow1920 · Answer

Voilà, scan terminé...

Voici le log : 
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6588

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

16.05.2011 18:52:56
mbam-log-2011-05-16 (18-52-56).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 738506
Temps écoulé: 3 heure(s), 37 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Utilisateur anonyme · Answer

super,

Rends toi sur ce site :
 
https://www.virustotal.com/gui/ 

clique sur parcourir et cherche ce fichier : 

c:\windows\explorer.exe


clique sur send file 
un rapport va s'élaborer ligne à ligne 
attends un peu, il doit comprendre la taille du fichier envoyé 
une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message. 

P.S :

si le fichier est déjà analyer, demande un nouvel analyse  :-)

Shadow1920 · Answer

voilà : http://www.cijoint.fr/cjlink.php?file=cj201105/cijQ3CR3QX.pdf

Utilisateur anonyme · Answer

relance Combofix depuis ton bureau, repasse un nouveau scan et poste son rapport;


si tu as besoin d'aides, regarde ceci :
https://forums.commentcamarche.net/forum/affich-22095048-infection-par-bamital-bc#8

Shadow1920 · Answer

voilà : http://www.cijoint.fr/cjlink.php?file=cj201105/cijrIETcUs.txt

Utilisateur anonyme · Answer

bonjour,

relance zhpdiag, clique sur la flèche verte pour lancer une mise à jour,

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : 
http://dl.free.fr 
ou : 
http://www.cijoint.fr/ 
ou : 
http://ww38.toofiles.com/fr/documents-upload.html 
ou : 
https://www.terafiles.net/

Shadow1920 · Answer

voilà : http://www.cijoint.fr/cjlink.php?file=cj201105/cijKgfJMRR.txt

Utilisateur anonyme · Answer

vas dans le menu demarrer, paramètres, panneau de configuration, ajout/suppression de programmes,

désinstalle ces deux là :

retélécharge la dernière version ici :

https://www.java.com/fr/download/

*	Télécharge de AD-Remover sur ton Bureau. (Merci à l'équipe TeamXscript)
http://www.teamxscript.org/adremoverTelechargement.html
 ( Lien officiel )

https://www.androidworld.fr/
 ( Miroir )
/!\ Ferme toutes applications en cours /!\ 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

Shadow1920 · Answer

voilà : 

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:16:04 le 18/05/2011, Mode normal

Microsoft Windows 7 Édition Familiale Premium  Service Pack 1 (X86) 
Simon@PORTABLE-SIMON (Hewlett-Packard HP Pavilion dv6 Notebook PC) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Users\Simon\AppData\Roaming\Mozilla\FireFox\Profiles\6ku38nf8.default\searchplugins\conduit.xml
Dossier supprimé: C:\Users\Simon\AppData\Local\OpenCandy
Dossier supprimé: C:\Users\Simon\AppData\LocalLow\ShopperReports3

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Simon\AppData\Roaming\Mozilla\FireFox\Profiles\6ku38nf8.default\Prefs.js --
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&Sea... 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Classes\Interface\{453DB0C5-F41C-4D97-8DD6-CC72ECD5F699}
Clé supprimée: HKLM\Software\Classes\Interface\{4AFC07D0-59BB-46B8-B097-1A46E88EEF71}
Clé supprimée: HKLM\Software\Classes\Interface\{6511CE4C-4722-40D0-AD3D-4AFA2F50978A}
Clé supprimée: HKLM\Software\Classes\Interface\{83B2FE06-BA20-4F7D-96C6-6FC3A4E877D3}
Clé supprimée: HKLM\Software\Classes\Interface\{9BEC9B38-BF39-4899-806E-A1C5DFEB60A2}
Clé supprimée: HKLM\Software\Classes\Interface\{AEBF09E2-0C15-43C8-99BF-928C645D98A0}
Clé supprimée: HKLM\Software\Classes\Interface\{B32966A2-F7C2-4362-A6CF-399EC8B44110}
Clé supprimée: HKLM\Software\Classes\Interface\{B86D82BF-D39F-439A-A07C-43EDDC6F6EA6}
Clé supprimée: HKLM\Software\Classes\Interface\{DA6305B9-0869-4235-8C1D-533A65E639E5}
Clé supprimée: HKLM\Software\Classes\Interface\{E6961C59-CFCE-4CCD-B794-BC78DB98413A}
Clé supprimée: HKLM\Software\Classes\Interface\{F8B4EC8A-2407-4BE0-AEE2-0F430D65A90D}
Clé supprimée: HKLM\Software\Classes\Conduit.Engine
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2504091
Clé supprimée: HKCU\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\ShopperReports3
Clé supprimée: HKLM\Software\GamersFirst\OpenCandy
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}


============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [4.0.1 (fr)] ****

Plugins
pDivxPlayerPlugin.dll (DivX, Inc)
Plugins
pPandoWebInst.dll (Pando Networks)
Searchplugins\babylon.xml (hxxp://search.babylon.com/web/{searchTerms})
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)
Extensions\{B13721C7-F507-4982-B2E5-502A71474FED} (Skype extension for Firefox		)
HKLM_Extensions|otis@digitalpersona.com - C:\Program Files\DigitalPersona\Bin\FirefoxExt\
HKCU_Extensions|otis@digitalpersona.com - C:\Program Files\DigitalPersona\Bin\firefoxext

-- C:\Users\Simon\AppData\Roaming\Mozilla\FireFox\Profiles\6ku38nf8.default --
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Extensions\{3b56bcc7-54e5-44a2-9b44-66c3ef58c13e} (Html Validator)
Prefs.js - browser.search.defaultenginename, Yahoo
Prefs.js - browser.search.selectedEngine, WikipÃ©dia (fr)
Prefs.js - browser.startup.homepage, hxxp://www.google.ch
Prefs.js - browser.startup.homepage_override.buildID, 20110413222027
Prefs.js - browser.startup.homepage_override.mstone, rv:2.0.1

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{472734EA-242A-422b-ADF8-83D1E48CC825} (x)
HKCU_Toolbar\WebBrowser|{32099AAC-C132-4136-9E9A-4E364A424E17} (x)
HKLM_Toolbar|{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)
HKCU_ElevationPolicy\{1902485B-CE75-42C1-BA2D-57E660793D9A} - C:\Program Files\Internet Download Manager\IEMonitor.exe (x)
HKCU_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (x)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\system32\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\system32\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{0C5365B7-358F-402d-A440-F1270AEF1175} - C:\ProgramData\EmailNotifier\EmailNotifier.exe (?)
HKLM_ElevationPolicy\{3644F00E-747A-44aa-8DC3-139CCBEF5BFB} - C:\Program Files\Pando Networks\Media Booster\PMB.exe (?)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{9EC8A041-8BD6-4f3e-9FA5-F25893A6E04F} - C:\ProgramData\Megaupload\Megauper.exe (?)
HKLM_ElevationPolicy\{E0DACC63-037F-46EE-AC02-E4C7B0FBFEB4} - C:\Program Files\Internet Download Manager\IDMan.exe (x)
HKLM_ElevationPolicy\{F3D86ACD-0298-4626-B81E-056653067D8E} - C:\Program Files\Dassault Systemes\Virtual Earth - 3DVIA\intel_a\code\bin\VirtualEarth3DVIA.exe (x)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{395610AE-C624-4f58-B89E-23733EA00F9A} - "DigitalPersona Personal Extension" (C:\Program Files\DigitalPersona\Bin\DpOtsPluginIe8.dll)
BHO\{8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - "avast! WebRep" (C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 15 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 18/05/2011 17:16:39 (6326 Octet(s)) 

Fin à: 17:17:38, 18/05/2011 
 
============== E.O.F ==============

Shadow1920 · Answer

voilà : http://www.cijoint.fr/cjlink.php?file=cj201105/cij1UhSEzf.txt

Utilisateur anonyme · Answer

relznce ADR, clique sur désinstaller,

vas dans le menu demarrer, paramètres, panneau de configuration, ajout/suppression de programmes, 

désinstalle ces deux là : 

retélécharge la dernière version ici : 
java et Adobe 8,


retélécharge les dernières versions depuis leur site ou le site de Sun  :-)*

Infection par Bamital-BC

24 réponses

Votre réponse

Discussions similaires

Newsletters