JAVA/tharra.B Résolu/Fermé

Question

Bonjour, 

Je viens d'être infecté par JAVA/tharra.B

-Plus d'icone sur bureau, plus d'accces a mes documents (partition D)
-Une fenetre System Fix qui s'affiche
-Un message Windows - Delayed Writr Failed disant :
Failed ti save all the components for the file \System32\0000018b. The file is corrupted or unreadable. This error may be caused by a PC hardware problem.  [cancel] [try again] [continue]
-Un message Files indexation process failed
- Un message RAM memory reliability is extremly low

J'ai trouvé un cas similaire ici :
https://forums.commentcamarche.net/forum/affich-22409590-help-eradiquer-virus-windows-xp-restore

Je commence par suivre ces instructions en attendant votre aide....
Merci d'avance, j'espere récupérer l'ensemble de mes documents....

Configuration: Windows Vista / Internet Explorer 8.0

Malekal_morte- · Answer

Salut,


Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :       

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!       

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.       

Eventuellement, installe la console de récupération comme cela est conseillé       

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)     

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix       

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.       

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

hburnt · Answer

OK merci.
La j'ai Malwarebytes en cours de scan.
Je stope ou je le laisse terminer avant de passer sur Combofix ?

Malekal_morte- · Answer

Bha tu peux faire après :)

hburnt · Answer

Voici le raport Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8356

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

12/12/2011 12:11:33
mbam-log-2011-12-12 (12-11-33).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 349658
Temps écoulé: 1 heure(s), 31 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 8
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
c:\programdata
ydkofwtgkff.exe (Trojan.Agent) -> 3380 -> Unloaded process successfully.
c:\programdata\1ip9evy4aoofsg.exe (Trojan.Agent) -> 3420 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICORSOFT_WINDOWS_SERVICE (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NYDKOFWtGkff.exe (Trojan.Agent) -> Value: NYDKOFWtGkff.exe -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata
ydkofwtgkff.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programdata\1ip9evy4aoofsg.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Mélanie\AppData\Local	emp\1rqovjyks9ttao.exe.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Mélanie\AppData\LocalLow\Sun\Java\deployment\cache\6.0\39\14105967-3bb3e517 (Trojan.Agent) -> Quarantined and deleted successfully.

hburnt · Answer

Je lance combofix

hburnt · Answer

Raport Combofix

ComboFix 11-12-12.01 - Mélanie 12/12/2011  12:22:12.6.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium   6.0.6002.2.1252.33.1036.18.3068.1937 [GMT 1:00]
Lancé depuis: c:\users\MÚlanie\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Mélanie\AppData\Local\oxigtktq\weavekah.exe
c:\windows\ST6UNST.000
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-11-12 au 2011-12-12  ))))))))))))))))))))))))))))))))))))
.
.
2011-12-12 11:28 . 2011-12-12 11:28	--------	d-----w-	c:\users\Public\AppData\Local	emp
2011-12-12 11:28 . 2011-12-12 11:28	--------	d-----w-	c:\users\Default\AppData\Local	emp
2011-12-12 09:37 . 2011-08-31 16:00	22216	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-12-10 15:46 . 2011-12-10 15:46	--------	d--h--w-	c:\programdata\WindowsSearch
2011-12-06 15:46 . 2011-12-06 15:46	--------	d--h--w-	c:\users\Mélanie\AppData\Local\{222CBEB5-8BDE-43E0-9175-3A1F6D89DE8B}
2011-12-03 12:46 . 2011-12-05 19:27	--------	d--h--w-	c:\users\Mélanie\AppData\Local\oxigtktq
2011-11-26 20:57 . 2011-11-26 20:57	--------	d--h--w-	c:\users\Mélanie\AppData\Local\{1BD8B4FB-FE7B-4EAF-A11E-EEFBDBF491BC}
2011-11-16 15:34 . 2011-11-16 15:34	--------	d--h--w-	c:\users\Mélanie\AppData\Local\{6B9D5DD0-E4C3-4A1D-8C15-CC267911E0DE}
2011-11-16 14:38 . 2011-11-16 14:38	--------	d--h--w-	c:\users\Mélanie\AppData\Local\{B7459042-4C5D-46D9-BD2F-D7FAF813755B}
2011-11-15 15:17 . 2011-11-15 15:17	--------	d--h--w-	c:\users\Mélanie\AppData\Local\{4BA31436-8F5D-4D32-96A2-56EAB50CBAAB}
2011-11-15 07:29 . 2011-11-15 07:30	--------	d--h--w-	c:\users\Mélanie\AppData\Local\{685CA252-67F0-4088-843E-D495E86903EB}
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-12 11:30 . 2011-12-12 11:30	56200	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{81325320-84EE-4FB3-9A30-A3B65973243C}\offreg.dll
2011-11-21 10:47 . 2011-12-06 09:15	6823496	----a-w-	c:\programdata\Microsoft\Windows Defender\Definition Updates\{81325320-84EE-4FB3-9A30-A3B65973243C}\mpengine.dll
2011-10-20 23:26 . 2011-10-20 23:26	94208	----a-w-	c:\windows\system32\dpl100.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-17 1049896]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-06-11 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-12 202032]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
.
c:\users\Mélanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2011-04-24 436792]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 277544]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-11-14 108289]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-04-25 361808]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers
vhda32v.sys [2008-06-09 43040]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation	REG_MULTI_SZ   	FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 13:06	451872	----a-w-	c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Presario&pf=cnnb
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbaresources\fr-FR\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\PokerStars.FR\PokerStarsUpdate.exe
Trusted Zone: chat-land.org
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab
FF - ProfilePath - c:\users\Mélanie\AppData\Roaming\Mozilla\Firefox\Profiles\g6i2t3uh.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: BittorrentBar_FR Community Toolbar: {ef79f67a-6ad7-4715-a0f8-932fca442023} - %profile%\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{ef79f67a-6ad7-4715-a0f8-932fca442023} - (no file)
WebBrowser-{EF79F67A-6AD7-4715-A0F8-932FCA442023} - (no file)
HKCU-Run-WeaVekah - c:\users\Mélanie\AppData\Local\oxigtktq\weavekah.exe
.
.
.
**************************************************************************
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 
.
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32
vvsvc.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32
vvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\conime.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2011-12-12  12:43:48 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-12-12 11:43
.
Avant-CF: 74 431 328 256 octets libres
Après-CF: 74 396 131 328 octets libres
.
- - End Of File - - CA80D01FB47CFCC0DC27ECA5DB8A80A3

hburnt · Answer

Il y a du mieux !
Les sympthomes ont disparus.

Y a t-il d'autres verifications à faire ?

Merci pour votre aide,  c'est vraiment top !!

Malekal_morte- · Answer

c:\users\Mélanie\AppData\Local\oxigtktq\weavekah.exe

mouaip ça ressemble à Ramnit
https://forum.malekal.com/viewtopic.php?t=29535&start=
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit

Faire un scan Dr.Web CureIT pour voir : https://free.drweb.fr/download+cureit+free/?lng=fr

hburnt · Answer

OK.
Par contre je ne parvient pas à télécharger CureIT... la procédure plante apres l'acceptation de la licence... meme en clikant sur le lien direct
Internet Explorer ne peut pas afficher cette page Web

hburnt · Answer

bonjour,

L'analyse n'a detectée aucun virus.

hburnt · Answer

Dois-je faire quelque chose d'autre ?
Merci d'avance

hburnt · Answer

Heeeeeeeelp !
Visiblement une breche est ouverte....

A present j'ai un message.bidon qui s'affiche en premier plan et qui m'empeche de voir mon ecran et donc de me debarasser de tout ca....

Ce message est une mise en garde pour violation de la loi francaise...me demandant de regler 200 euro en Ukash ou Paysafecard... 

Merci davance

hburnt · Answer

En mode sans echec j'ai utilisé RogueKiller puis Malwarebyte
voici les raports.

Merci de me dire que faire de plus...

hburnt · Answer

RogueKiller V6.2.0 [12/12/2011] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: Mélanie [Droits d'admin] Mode: Suppression -- Date : 25/12/2011 18:40:02 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 3 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : 3trrc5xg.exe (C:\Users\Mélanie\AppData\Roaming\3trrc5xg.exe) -> DELETED [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ --- User --- [MBR] 855cb12788d916f54065960cb9113f6a [BSP] 18ab90659ef6c65dd8e94aaa6e29c7de : MBR Code unknown Partition table: 0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 240082 Mo 1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 468912128 | Size: 9973 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

hburnt · Answer

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 911122503

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

25/12/2011 20:56:11
mbam-log-2011-12-25 (20-56-11).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 350945
Temps écoulé: 1 heure(s), 34 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Mélanie\AppData\Local	emp\0.37261890801525765.exe (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
c:\Users\Mélanie\AppData\LocalLow\Sun\Java\deployment\cache\6.0\51\3b915d73-5e37ceed (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
c:\Users\Mélanie\AppData\Roaming\3trrc5xg.exe (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
c:\Users\Mélanie\Desktopk_quarantine\3trrc5xg.exe.vir (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.

Malekal_morte- · Answer

c:\Users\Mélanie\AppData\Local	emp\0.37261890801525765.exe (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.

Exploit sur site WEB :


Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.

Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    


~~


Il faut que tu fasses au moins un scan Dr. Web pour voir si y a du ramnit.
Si c'est le cas, il faudra probablement formater.

Tu peux faire un CD Live ou par clef USB pour arriver à faire le scan ?

hburnt · Answer

OK merci. 
Je fais les MAJ.
Puis je scanerais.

Je ne comprend pas ce que tu veux dire par :

" Tu peux faire un CD Live ou par clef USB pour arriver à faire le scan ? "

Merci

Malekal_morte- · Answer

oublie le Live CD.

Fais un scan avec Kaspersky Removal Tool.
Règle le bien pour :
- mettre les actions en automatique (réparer et supprimer si réparation impossible).
- faire un scan complet (attention car par défaut, il fait un scan rapide).

Tout est expliqué sur la seconde page de ce lien : https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/

hburnt · Answer

Ok merci.
Voici le rapport de Kaspersky Removal Tool. 

Etat : Réparés   (évênements : 2)	
07/01/2012 18:46:31	Réparés	cheval de Troie Exploit.Java.CVE-2011-3544.af	C:\Documents and Settings\Mélanie\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\3ce8c0ed-6185ffc3/Market.class	Elevées	
07/01/2012 18:46:31	Réparés	cheval de Troie Exploit.Java.CVE-2011-3544.af	C:\Documents and Settings\Mélanie\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\3ce8c0ed-6185ffc3	Elevées

Malekal_morte- · Answer

ok, ça va pas bcp de fichiers détectés :)

- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

hburnt · Answer

ok merci.

Voici le lien

https://pjjoint.malekal.com/files.php?id=HijackThis_20120108_k6v7x14i8s8

hburnt · Answer

Allo ?
Pas de manip parrticuliere a faire vu le rapport ?

Merci

Malekal_morte- · Answer

Change ta page de démarrage, cherche.us ça pue.

Sinon c'est OK.
Mets bien tout à jour : https://forums.commentcamarche.net/forum/affich-23875973-java-tharra-b#16

hburnt · Answer

OK merci.

Mais je ne voi pas ou j'ai cherche.us

JAVA/tharra.B

24 réponses

Discussions similaires