[VIRUS] infecter par win32/Medbot.HB

jo51 Messages postés 374 Statut Membre -  
salwa5 Messages postés 7552 Statut Contributeur -
Bonjour ,
voila j'ai un gros soucis j'ai attraper ce virus win32/medbot.HB cheval de troie mai je ne peux le supprimer et j'ai bo le mettre en quarentaine ensuite le supprimer de la quarentaine il est toujour la.
J'ai trouver le nom des fichier ou il se trouve mais je ne trouve pas les fichier.
SVP aider moi!!
Configuration: Window xp
antivirus NOD32

5 réponses

  1. salwa5 Messages postés 7552 Statut Contributeur 1 670
     
    bonjour commence par telecharger hijackthis puis colle le resultat ici :

    http://www.infos-du-net.com/telecharger/HijackThis.html
    demo :
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    a+++
    0
  2. jo51 Messages postés 374 Statut Membre 29
     
    voila le resultas que pe tu men dire stp?

    Logfile of HijackThis v1.99.1
    Scan saved at 21:57:02, on 19/02/2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Eset\nod32krn.exe
    C:\WINDOWS\system32\slserv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\VTtrayp.exe
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
    C:\Apps\Powercinema\PCMService.exe
    C:\Program Files\VIAudioi\SBADeck\ADeck.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\WINDOWS\system32\LVCOMSX.EXE
    C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Fichiers communs\Teleca Shared\CapabilityManager.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
    C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
    C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
    C:\Program Files\MSN Messenger\usnsvc.exe
    c:\progra~1\intern~1\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Documents and Settings\jo\Bureau\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://C:\APPS\IE\offline\fr.htm
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.orange.fr/portail
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
    O2 - BHO: WebManager Class - {D5792AA9-D373-4039-8670-2CDAB6A71F15} - I:\Program Files\BitDownload\TorrentManager.dll (file missing)
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
    O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
    O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
    O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
    O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_11\bin\jusched.exe"
    O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [Kaspersky] C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\KAV Personal Pro\5.0\Save Kaspersky.bat
    O4 - HKLM\..\Run: [Secure] c:\winnt\system32\spool\drivers\w32x86\3\home\secure.exe
    O4 - HKLM\..\Run: [AudioDeck] C:\Program Files\VIAudioi\SBADeck\ADeck.exe 1
    O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
    O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
    O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
    O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
    O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
    O4 - HKLM\..\Run: [skipgplownsstop] C:\Documents and Settings\All Users\Application Data\kind axis skip gpl\ItchFilm.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [KNOBLONG] C:\DOCUME~1\jo\APPLIC~1\VCBASE~1\MODEIDOLTIME.exe
    O4 - Startup: Personal Player.lnk = I:\Program Files\Web Hottest Videos Personal Player\jeux pour lg_Web_Hottest_Videos_Personal_Player.exe
    O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
    O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_11\bin\ssv.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
    O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: MySqlInventime - Unknown owner - c:\mysql\bin\mysqld-max-nt.exe (file missing)
    O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
    O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

    rep vite stp
    0
  3. philae83 Messages postés 12854 Statut Contributeur sécurité 206
     
    Bonsoir,

    pour faire avancer en attendant salwa5

    * Télécharge SDFix sur ton bureau

    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

    * Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.

    * Redémarre ton ordinateur en mode sans échec

    * Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.

    * Appuie sur Y pour commencer le processus de nettoyage.

    Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

    * Appuie sur une touche pour redémarrer le PC.

    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

    Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.

    * Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

    Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum,

    avec un nouveau log Hijackthis

    0
    1. jo51 Messages postés 374 Statut Membre 29
       
      salut et merci pour ton aide
      mai je ne peux pa l installer car dés que je l'execute sa extrai mai a la fin sa m'ouvre un bloc note et c ecrit sa


      The SDFix Folder has been extracted to %systemdrive% - Please run from that location.

      (%systemdrive% = drive that contains the Windows directory - typically 'C:\SDFix')

      Open the SDFix folder in Safe Mode then double click the RunThis.bat file to
      start the fixtool. If run in Normal Mode, options to download and run Anti-Virus
      command line scanners are displayed.


      je ne comprend pas l'anglaid
      aide moi stp
      0
    2. jo51 Messages postés 374 Statut Membre 29
       
      escuse moi jai mal compris si non j'ai fai comme tu ma di d'apret se que jai vu je pensse que sa les a supprimer di moi si je me trompe stp?


      SDFix: Version 1.66

      Run by jo - 20/02/2007 @ 8:29:41,09

      Microsoft Windows XP [version 5.1.2600]

      Running From: C:\Documents and Settings\jo\Bureau\SDFix\SDFix

      Safe Mode:
      Checking Services:

      Name:

      Path:


      Restoring Windows Registry Entries
      Restoring Default Hosts File


      Rebooting...

      Normal Mode:
      Checking Files:

      Below files will be copied to Backups folder then removed:

      C:\DOCUME~1\jo\LOCALS~1\Temp\autorun.inf - Deleted
      C:\DOCUME~1\jo\LOCALS~1\Temp\setup.exe - Deleted
      C:\WINDOWS\system\smss.exe - Deleted
      0
  4. salwa5 Messages postés 7552 Statut Contributeur 1 670
     
    bonjour :) merci philae pour le relait :)

    telecharge et executes

    AVG anti spyware
    https://www.01net.com/telecharger/

    (n'oublie pas de le mettre a jour avant de lancer le scan)

    Relance AVG AS puis choisis l'onglet "Analyse"
    Puis l'onglet "Paramètres"
    Sous la question "Comment réagir ?", clique sur "Actions recommandées" et choisis "Quarantaine"
    Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

    /!\ Si un fichier est infecté en fin d'analyse /!\
    Clique sur "Appliquer toutes les actions "

    Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous"
    Enregistre ce fichier texte sur ton bureau ensuite colle le raport ici

    supprime les fichiers inutiles (fichiers temporaire , cookies .. ect avec ceci

    Ccleaner
    https://www.malekal.com/tutoriel-ccleaner/

    a++++
    0
    1. jo51 Messages postés 374 Statut Membre 29
       
      voila se que donne le rapport que peu tu men dire stp?


      AVG Anti-Spyware - Rapport d'analyse
      ---------------------------------------------------------

      + Créé à: 18:40:40 20/02/2007

      + Résultat de l'analyse:



      C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP68\A0013960.exe -> Adware.SaveNow : Nettoyé.
      C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP66\A0013778.exe -> Downloader.Agent.aii : Nettoyé.
      C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP66\A0013779.exe -> Downloader.Agent.aii : Nettoyé.
      C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP66\A0013780.exe -> Downloader.Agent.aii : Nettoyé.
      C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP66\A0013781.exe -> Downloader.Agent.aii : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\0exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\21exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\29exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\32exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\34exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\37exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\43exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\45exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\51exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\56exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\60exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\62exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\64exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\65exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\66exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\67exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\71exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\78exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\7exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\80exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\86exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\92exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\97exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\98exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Local Settings\Temp\99exym.g.exe -> Proxy.Horst.wo : Nettoyé.
      C:\Documents and Settings\jo\Cookies\jo@247realmedia[2].txt -> TrackingCookie.247realmedia : Nettoyé.
      C:\Documents and Settings\jo\Cookies\jo@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Nettoyé.
      C:\Documents and Settings\jo\Cookies\jo@adtech[2].txt -> TrackingCookie.Adtech : Nettoyé.
      C:\Documents and Settings\jo\Cookies\jo@estat[1].txt -> TrackingCookie.Estat : Nettoyé.
      C:\Documents and Settings\jo\Cookies\jo@overture[2].txt -> TrackingCookie.Overture : Nettoyé.
      C:\Documents and Settings\jo\Cookies\jo@www.smartadserver[2].txt -> TrackingCookie.Smartadserver : Nettoyé.
      C:\Documents and Settings\jo\Cookies\jo@weborama[1].txt -> TrackingCookie.Weborama : Nettoyé.


      Fin du rapport
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question