JAVA/tharra.B

Résolu/Fermé
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015 - 12 déc. 2011 à 10:35
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015 - 6 févr. 2012 à 13:33
Bonjour,

Je viens d'être infecté par JAVA/tharra.B

-Plus d'icone sur bureau, plus d'accces a mes documents (partition D)
-Une fenetre System Fix qui s'affiche
-Un message Windows - Delayed Writr Failed disant :
Failed ti save all the components for the file \\System32\\0000018b. The file is corrupted or unreadable. This error may be caused by a PC hardware problem. [cancel] [try again] [continue]
-Un message Files indexation process failed
- Un message RAM memory reliability is extremly low

J'ai trouvé un cas similaire ici :
https://forums.commentcamarche.net/forum/affich-22409590-help-eradiquer-virus-windows-xp-restore

Je commence par suivre ces instructions en attendant votre aide....
Merci d'avance, j'espere récupérer l'ensemble de mes documents....

A voir également:

24 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
12 déc. 2011 à 10:41
Salut,


Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
12 déc. 2011 à 11:27
OK merci.
La j'ai Malwarebytes en cours de scan.
Je stope ou je le laisse terminer avant de passer sur Combofix ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
12 déc. 2011 à 11:43
Bha tu peux faire après :)
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
12 déc. 2011 à 12:15
Voici le raport Malwarebytes

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8356

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

12/12/2011 12:11:33
mbam-log-2011-12-12 (12-11-33).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 349658
Temps écoulé: 1 heure(s), 31 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 8
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
c:\programdata\nydkofwtgkff.exe (Trojan.Agent) -> 3380 -> Unloaded process successfully.
c:\programdata\1ip9evy4aoofsg.exe (Trojan.Agent) -> 3420 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt\Recherche avec cherche.us (Redir.ChercheUs) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MICORSOFT_WINDOWS_SERVICE (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NYDKOFWtGkff.exe (Trojan.Agent) -> Value: NYDKOFWtGkff.exe -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page_bak (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Search Bar (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL (Hijack.SearchPage) -> Bad: (http://ww12.cherche.us Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchURL\SearchAssistant (Hijack.SearchPage) -> Bad: (http://www.cherche.us) Good: (https://www.google.com/?gws_rd=ssl -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\nydkofwtgkff.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\programdata\1ip9evy4aoofsg.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Mélanie\AppData\Local\temp\1rqovjyks9ttao.exe.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Users\Mélanie\AppData\LocalLow\Sun\Java\deployment\cache\6.0\39\14105967-3bb3e517 (Trojan.Agent) -> Quarantined and deleted successfully.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
12 déc. 2011 à 12:15
Je lance combofix
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
12 déc. 2011 à 14:23
Raport Combofix

ComboFix 11-12-12.01 - Mélanie 12/12/2011 12:22:12.6.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3068.1937 [GMT 1:00]
Lancé depuis: c:\users\MÚlanie\Desktop\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\Mélanie\AppData\Local\oxigtktq\weavekah.exe
c:\windows\ST6UNST.000
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-11-12 au 2011-12-12 ))))))))))))))))))))))))))))))))))))
.
.
2011-12-12 11:28 . 2011-12-12 11:28 -------- d-----w- c:\users\Public\AppData\Local\temp
2011-12-12 11:28 . 2011-12-12 11:28 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-12-12 09:37 . 2011-08-31 16:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-12-10 15:46 . 2011-12-10 15:46 -------- d--h--w- c:\programdata\WindowsSearch
2011-12-06 15:46 . 2011-12-06 15:46 -------- d--h--w- c:\users\Mélanie\AppData\Local\{222CBEB5-8BDE-43E0-9175-3A1F6D89DE8B}
2011-12-03 12:46 . 2011-12-05 19:27 -------- d--h--w- c:\users\Mélanie\AppData\Local\oxigtktq
2011-11-26 20:57 . 2011-11-26 20:57 -------- d--h--w- c:\users\Mélanie\AppData\Local\{1BD8B4FB-FE7B-4EAF-A11E-EEFBDBF491BC}
2011-11-16 15:34 . 2011-11-16 15:34 -------- d--h--w- c:\users\Mélanie\AppData\Local\{6B9D5DD0-E4C3-4A1D-8C15-CC267911E0DE}
2011-11-16 14:38 . 2011-11-16 14:38 -------- d--h--w- c:\users\Mélanie\AppData\Local\{B7459042-4C5D-46D9-BD2F-D7FAF813755B}
2011-11-15 15:17 . 2011-11-15 15:17 -------- d--h--w- c:\users\Mélanie\AppData\Local\{4BA31436-8F5D-4D32-96A2-56EAB50CBAAB}
2011-11-15 07:29 . 2011-11-15 07:30 -------- d--h--w- c:\users\Mélanie\AppData\Local\{685CA252-67F0-4088-843E-D495E86903EB}
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-12-12 11:30 . 2011-12-12 11:30 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{81325320-84EE-4FB3-9A30-A3B65973243C}\offreg.dll
2011-11-21 10:47 . 2011-12-06 09:15 6823496 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{81325320-84EE-4FB3-9A30-A3B65973243C}\mpengine.dll
2011-10-20 23:26 . 2011-10-20 23:26 94208 ----a-w- c:\windows\system32\dpl100.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]
"LightScribe Control Panel"="c:\program files\Common Files\LightScribe\LightScribeControlPanel.exe" [2008-02-26 2289664]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-04-17 1049896]
"UCam_Menu"="c:\program files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-12-24 222504]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2008-06-11 468264]
"QlbCtrl.exe"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2008-05-12 202032]
"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-04-15 70912]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"hpWirelessAssistant"="c:\program files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2008-04-15 488752]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-09-24 40368]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]
"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-10-29 249064]
"DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
.
c:\users\Mélanie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.3.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-12-13 1198592]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [x]
R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]
S0 sptd;sptd;c:\windows\System32\Drivers\sptd.sys [2011-04-24 436792]
S2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2009-01-19 277544]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-11-14 108289]
S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]
S2 Recovery Service for Windows;Recovery Service for Windows;c:\windows\SMINST\BLService.exe [2008-04-25 361808]
S3 Com4QLBEx;Com4QLBEx;c:\program files\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [2008-04-03 193840]
S3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-06-09 43040]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ezSharedSvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
2008-02-26 13:06 451872 ----a-w- c:\program files\Common Files\LightScribe\LSRunOnce.exe
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uDefault_Search_URL = hxxp://www.google.com
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Presario&pf=cnnb
IE: &Recherche AOL Toolbar - c:\programdata\AOL\ieToolbar\resources\fr-FR\local\search.html
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
IE: {{90EAE591-7E7E-434a-8E28-ECFD00071806} - c:\program files\PokerStars.FR\PokerStarsUpdate.exe
Trusted Zone: chat-land.org
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game.zylom.com/activex/zylomgamesplayer.cab
FF - ProfilePath - c:\users\Mélanie\AppData\Roaming\Mozilla\Firefox\Profiles\g6i2t3uh.default\
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: BittorrentBar_FR Community Toolbar: {ef79f67a-6ad7-4715-a0f8-932fca442023} - %profile%\extensions\{ef79f67a-6ad7-4715-a0f8-932fca442023}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{ef79f67a-6ad7-4715-a0f8-932fca442023} - (no file)
WebBrowser-{EF79F67A-6AD7-4715-A0F8-932FCA442023} - (no file)
HKCU-Run-WeaVekah - c:\users\Mélanie\AppData\Local\oxigtktq\weavekah.exe
.
.
.
**************************************************************************
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés:
.
**************************************************************************
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\WLANExt.exe
c:\windows\system32\nvvsvc.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Common Files\LightScribe\LSSrvc.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
c:\windows\system32\DRIVERS\xaudio.exe
c:\program files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
c:\windows\system32\conime.exe
c:\program files\Hewlett-Packard\Shared\hpqwmiex.exe
c:\program files\Hewlett-Packard\HP wireless Assistant\WiFiMsg.EXE
c:\program files\Windows Media Player\wmpnetwk.exe
c:\program files\Hewlett-Packard\Shared\HpqToaster.exe
c:\windows\ehome\ehmsas.exe
c:\program files\Synaptics\SynTP\SynTPHelper.exe
c:\program files\Hewlett-Packard\HP Health Check\hphc_service.exe
c:\windows\servicing\TrustedInstaller.exe
.
**************************************************************************
.
Heure de fin: 2011-12-12 12:43:48 - La machine a redémarré
ComboFix-quarantined-files.txt 2011-12-12 11:43
.
Avant-CF: 74 431 328 256 octets libres
Après-CF: 74 396 131 328 octets libres
.
- - End Of File - - CA80D01FB47CFCC0DC27ECA5DB8A80A3
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
12 déc. 2011 à 23:17
Il y a du mieux !
Les sympthomes ont disparus.

Y a t-il d'autres verifications à faire ?

Merci pour votre aide, c'est vraiment top !!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
13 déc. 2011 à 08:01
c:\users\Mélanie\AppData\Local\oxigtktq\weavekah.exe

mouaip ça ressemble à Ramnit
https://forum.malekal.com/viewtopic.php?t=29535&start=
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit

Faire un scan Dr.Web CureIT pour voir : https://free.drweb.fr/download+cureit+free/?lng=fr
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
13 déc. 2011 à 09:52
OK.
Par contre je ne parvient pas à télécharger CureIT... la procédure plante apres l'acceptation de la licence... meme en clikant sur le lien direct
Internet Explorer ne peut pas afficher cette page Web
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
16 déc. 2011 à 11:37
bonjour,

L'analyse n'a detectée aucun virus.
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
17 déc. 2011 à 00:22
Dois-je faire quelque chose d'autre ?
Merci d'avance
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
25 déc. 2011 à 18:24
Heeeeeeeelp !
Visiblement une breche est ouverte....

A present j'ai un message.bidon qui s'affiche en premier plan et qui m'empeche de voir mon ecran et donc de me debarasser de tout ca....

Ce message est une mise en garde pour violation de la loi francaise...me demandant de regler 200 euro en Ukash ou Paysafecard...

Merci davance
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
25 déc. 2011 à 21:01
En mode sans echec j'ai utilisé RogueKiller puis Malwarebyte
voici les raports.

Merci de me dire que faire de plus...
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
25 déc. 2011 à 21:01
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Mélanie [Droits d'admin]
Mode: Suppression -- Date : 25/12/2011 18:40:02

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : 3trrc5xg.exe (C:\Users\Mélanie\AppData\Roaming\3trrc5xg.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 855cb12788d916f54065960cb9113f6a
[BSP] 18ab90659ef6c65dd8e94aaa6e29c7de : MBR Code unknown
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 240082 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 468912128 | Size: 9973 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
25 déc. 2011 à 21:02
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 911122503

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19019

25/12/2011 20:56:11
mbam-log-2011-12-25 (20-56-11).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 350945
Temps écoulé: 1 heure(s), 34 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Mélanie\AppData\Local\temp\0.37261890801525765.exe (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
c:\Users\Mélanie\AppData\LocalLow\Sun\Java\deployment\cache\6.0\51\3b915d73-5e37ceed (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
c:\Users\Mélanie\AppData\Roaming\3trrc5xg.exe (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
c:\Users\Mélanie\Desktop\rk_quarantine\3trrc5xg.exe.vir (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
26 déc. 2011 à 17:16
c:\Users\Mélanie\AppData\Local\temp\0.37261890801525765.exe (Trojan.Zbot.CBCGen) -> Quarantined and deleted successfully.

Exploit sur site WEB :


Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.

Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.


~~


Il faut que tu fasses au moins un scan Dr. Web pour voir si y a du ramnit.
Si c'est le cas, il faudra probablement formater.

Tu peux faire un CD Live ou par clef USB pour arriver à faire le scan ?

0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
6 janv. 2012 à 11:21
OK merci.
Je fais les MAJ.
Puis je scanerais.

Je ne comprend pas ce que tu veux dire par :

" Tu peux faire un CD Live ou par clef USB pour arriver à faire le scan ? "

Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
6 janv. 2012 à 11:50
oublie le Live CD.

Fais un scan avec Kaspersky Removal Tool.
Règle le bien pour :
- mettre les actions en automatique (réparer et supprimer si réparation impossible).
- faire un scan complet (attention car par défaut, il fait un scan rapide).

Tout est expliqué sur la seconde page de ce lien : https://www.malekal.com/ramnit-fait-son-retour-un-vrai-virus/

0
hburnt Messages postés 172 Date d'inscription jeudi 26 novembre 2009 Statut Membre Dernière intervention 25 novembre 2015
7 janv. 2012 à 21:19
Ok merci.
Voici le rapport de Kaspersky Removal Tool.

Etat : Réparés (évênements : 2)
07/01/2012 18:46:31 Réparés cheval de Troie Exploit.Java.CVE-2011-3544.af C:\Documents and Settings\Mélanie\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\3ce8c0ed-6185ffc3/Market.class Elevées
07/01/2012 18:46:31 Réparés cheval de Troie Exploit.Java.CVE-2011-3544.af C:\Documents and Settings\Mélanie\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\45\3ce8c0ed-6185ffc3 Elevées
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
8 janv. 2012 à 10:12
ok, ça va pas bcp de fichiers détectés :)

- Télécharge http://www.trendsecure.com/portal/fr/_download/HJTInstall.exe ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Enregistre le sur ton bureau
- Envoie le sur http://pjjoint.malekal.com
- Donne le lien pjjoint ici.

0