worm gamarue Résolu/Fermé

Question

Bonjour, 

mon anti virus me trouve ce fameux virus que je supprime et il reviens sans arret pouvez vous m aider svp

Configuration: Windows XP / Firefox 21.0

billmaxime · Answer

salut

pour ton problème, fais ceci

télécharge usbfix sur ton bureau (clique sur la flèche verte) 

le lien https://toolslib.net 

désactive ton antivirus le temps du téléchargement et du scan

branche toutes tes sources de données externe a ton pc (clé USB, disque dur externe, etc...) sans les ouvrir 

le tuto https://www.malekal.com/tutoriels-logiciels/ 

exécute le en tant qu'administrateur (clic droit) 

choisis le mode "suppression" 

le rapport s'affichera sur ton bureau et dans C:\UsbFix.txt 

poste le rapport via 1 copier/coller 

ps: tu peux lire ceci (et il faudra que tu change tes mots de passe)

https://www.malekal.com/wormwin32gamarue-stealer/

@+

billmaxime · Answer

re

fais le en mode sans échec

https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-7-vista-et-xp

@+

billmaxime · Answer

re 

ton rapport n'est pas complet... tu peux me le poster complet s'il te plaît

merci

@+

billmaxime · Answer

re

ok, repasse le en mode recherche et poste le rapport

merci

@+

martine03 · Answer

############################## | UsbFix V 7.129 | [Recherche]

Utilisateur: martine (Administrateur) # MARTINE-DDBE2DA
Mis à jour le 24/06/2013 par El Desaparecido
Lancé à 11:31:14 | 26/06/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload-malware-pour-analyse-t489.html
Contact: contact@sosvirus.net

PC: ASUSTeK Computer Inc.         (M51A                ) (X86-based PC)
CPU: Intel(R) Pentium(R) Dual  CPU  T3400  @ 2.16GHz (2161)
RAM -> [Total : 3037 | Free : 2012]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [(!) Disabled]
WU: Windows Update Service [(!) Disabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 298 Go (257 Go libre(s) - 86%) [] # NTFS
D:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (776)
C:\WINDOWS\system32\winlogon.exe (852)
C:\WINDOWS\system32\services.exe (896)
C:\WINDOWS\system32\lsass.exe (908)
C:\WINDOWS\system32\svchost.exe (1068)
c:\Program Files\Microsoft Security Client\MsMpEng.exe (1156)
C:\WINDOWS\System32\svchost.exe (1192)
C:\WINDOWS\system32\svchost.exe (1232)
C:\WINDOWS\Explorer.EXE (1668)
C:\WINDOWS\system32\spoolsv.exe (1748)
C:\Program Files\Microsoft Security Client\msseces.exe (1912)
C:\WINDOWS\system32\ctfmon.exe (1960)
C:\Program Files\Skype\Phone\Skype.exe (2016)
C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (180)
C:\Program Files\InstantTimeZone\InstantTimeZone.exe (244)
C:\Program Files\Windows Desktop Search\WindowsSearch.exe (260)
C:\WINDOWS\system32\agrsmsvc.exe (1280)
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe (252)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (436)
C:\Program Files\CDBurnerXP\NMSAccessU.exe (464)
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe (492)
C:\Program Files\SFR\Gestionnaire de Connexion\SFR.DashBoard.Service.exe (588)
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (1952)
C:\WINDOWS\system32\svchost.exe (2124)
C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe (2144)
C:\WINDOWS\system32\SearchIndexer.exe (2304)
C:\Program Files\TeamViewer\Version8\TeamViewer.exe (2740)
C:\Program Files\TeamViewer\Version8	v_w32.exe (2884)
C:\Program Files\Mozilla Firefox\firefox.exe (3292)
C:\Program Files\Mozilla Firefox\plugin-container.exe (3100)
C:\Program Files\Messenger\msmsgs.exe (2588)
C:\UsbFix\Go.exe (3840)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [IgfxTray] - C:\WINDOWS\system32\igfxtray.exe
HKLM\SOFTWARE | Run : [MSC] - "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | RunOnce : [] - 
HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [] - C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [Google Update] - "C:\Documents and Settings\martine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [MSMSGS] - "C:\Program Files\Messenger\msmsgs.exe" /background
HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.sosvirus.net/ |

billmaxime · Answer

re

le rapport est propre (as-tu encore ton soucis de départ)?

as-tu lu le message https://www.malekal.com/wormwin32gamarue-stealer/

as-tu changé tes mots de passe?

tu peux faire ceci maintenant

télécharge MBAM sur ton bureau 

le lien https://www.malwarebytes.com/ (prend le free) 

le tuto https://www.donnemoilinfo.com/tuto/Malwarebytes-Anti-Malware/ 

exécute le en tant qu'administrateur (clic droit) 
met le a jour  (3ème bouton)

fais 1 scan complet (tous les disques) 

le scan peut durer +-2H (laisse le bosser) 

si MBAM trouve quelque chose supprime la sélection (voir tuto 2ème page)

poste le rapport via 1 copier/coller 

le rapport s'affichera sur ton bureau et dans rapport/log de MBAM 

ps: la désinfection n'est pas terminée

@+

billmaxime · Answer

re

j'ai besoin du rapport MBAM

dis moi aussi ce que tu as désactiver

merci

@+

martine03 · Answer

jy comprends rien car j ai lancè en mode ss echec tout a lheure yavè rien et là plein
############################## | UsbFix V 7.129 | [Recherche]

Utilisateur: martine (Administrateur) # MARTINE-DDBE2DA
Mis à jour le 24/06/2013 par El Desaparecido
Lancé à 11:31:14 | 26/06/2013

Site Web: https://www.sosvirus.net/
Upload Malware: http://www.sosvirus.net/upload-malware-pour-analyse-t489.html
Contact: contact@sosvirus.net

PC: ASUSTeK Computer Inc.         (M51A                ) (X86-based PC)
CPU: Intel(R) Pentium(R) Dual  CPU  T3400  @ 2.16GHz (2161)
RAM -> [Total : 3037 | Free : 2012]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [(!) Disabled]
WU: Windows Update Service [(!) Disabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 298 Go (257 Go libre(s) - 86%) [] # NTFS
D:\ -> CD-ROM

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (776)
C:\WINDOWS\system32\winlogon.exe (852)
C:\WINDOWS\system32\services.exe (896)
C:\WINDOWS\system32\lsass.exe (908)
C:\WINDOWS\system32\svchost.exe (1068)
c:\Program Files\Microsoft Security Client\MsMpEng.exe (1156)
C:\WINDOWS\System32\svchost.exe (1192)
C:\WINDOWS\system32\svchost.exe (1232)
C:\WINDOWS\Explorer.EXE (1668)
C:\WINDOWS\system32\spoolsv.exe (1748)
C:\Program Files\Microsoft Security Client\msseces.exe (1912)
C:\WINDOWS\system32\ctfmon.exe (1960)
C:\Program Files\Skype\Phone\Skype.exe (2016)
C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe (180)
C:\Program Files\InstantTimeZone\InstantTimeZone.exe (244)
C:\Program Files\Windows Desktop Search\WindowsSearch.exe (260)
C:\WINDOWS\system32\agrsmsvc.exe (1280)
C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe (252)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (436)
C:\Program Files\CDBurnerXP\NMSAccessU.exe (464)
C:\Program Files\Fichiers communs\Intel\WirelessCommon\RegSrvc.exe (492)
C:\Program Files\SFR\Gestionnaire de Connexion\SFR.DashBoard.Service.exe (588)
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (1952)
C:\WINDOWS\system32\svchost.exe (2124)
C:\Program Files\TeamViewer\Version8\TeamViewer_Service.exe (2144)
C:\WINDOWS\system32\SearchIndexer.exe (2304)
C:\Program Files\TeamViewer\Version8\TeamViewer.exe (2740)
C:\Program Files\TeamViewer\Version8	v_w32.exe (2884)
C:\Program Files\Mozilla Firefox\firefox.exe (3292)
C:\Program Files\Mozilla Firefox\plugin-container.exe (3100)
C:\Program Files\Messenger\msmsgs.exe (2588)
C:\UsbFix\Go.exe (3840)

################## | El Desaparecido Section |

HKLM\SOFTWARE | Run : [IgfxTray] - C:\WINDOWS\system32\igfxtray.exe
HKLM\SOFTWARE | Run : [MSC] - "c:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
HKLM\SOFTWARE | Run : [Adobe ARM] - "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
HKLM\SOFTWARE | RunOnce : [] - 
HKU\S-1-5-19\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [ctfmon.exe] - C:\WINDOWS\system32\ctfmon.exe
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /minimized /regrun
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [] - C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [Google Update] - "C:\Documents and Settings\martine\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
HKU\S-1-5-21-583907252-1220945662-682003330-1003\SOFTWARE | Run : [MSMSGS] - "C:\Program Files\Messenger\msmsgs.exe" /background
HKU\S-1-5-18\SOFTWARE | Run : [CTFMON.EXE] - C:\WINDOWS\system32\CTFMON.EXE

################## | Éléments infectieux |


################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | https://www.sosvirus.net/ |

billmaxime · Answer

re

tu as posté le rapport usbfix... le rapport MBAM se trouve sur ton bureau et dans 

rapport/log de MBAM

ps: je vais devoir partir, donc ne t'inquiète pas si je ne réponds pas de suite

@+

martine03 · Answer

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.26.01

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
martine :: MARTINE-DDBE2DA [administrateur]

26/06/2013 12:14:59
MBAM-log-2013-06-26 (12-40-33).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 331233
Temps écoulé: 11 minute(s), 34 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKCR\CLSID\{6ACC469F-58E1-4139-A5D9-22C9C650505B} (Trojan.Zbot) -> Aucune action effectuée.
HKCR\Stub.pplication (Trojan.Zbot) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 10
C:\Documents and Settings\martine\Application Data\Booc	avaoli.exe (Spyware.Zbot.ED) -> Aucune action effectuée.
C:\Upload_UsbFix.zip (Trojan.Agent.EF) -> Aucune action effectuée.
C:\Documents and Settings\All Users.WINDOWS\dxaorvqz.exe (Trojan.Dorifel) -> Aucune action effectuée.
C:\Documents and Settings\All Users.WINDOWS\dxnwyteke.exe (Trojan.Dorifel) -> Aucune action effectuée.
C:\Documents and Settings\All Users.WINDOWS\dxogdpoo.exe (Trojan.Dorifel) -> Aucune action effectuée.
C:\Documents and Settings\All Users.WINDOWS\dxsynkvau.exe (Trojan.Dorifel) -> Aucune action effectuée.
C:\Documents and Settings\All Users.WINDOWS\dxvvuia.exe (Trojan.Dorifel) -> Aucune action effectuée.
C:\Documents and Settings\All Users.WINDOWS\dxwuuioso.exe (Trojan.Dorifel) -> Aucune action effectuée.
C:\Documents and Settings\All Users.WINDOWS\dxxihhxuy.exe (Trojan.Dorifel) -> Aucune action effectuée.
C:\Documents and Settings\All Users.WINDOWS\dxzujsc.exe (Trojan.Dorifel) -> Aucune action effectuée.

(fin)

billmaxime · Answer

re

ça doit déjà aller mieux...

fais ceci s'il te plaît

télécharge zhpdiag sur ton bureau (outil de diagnostic)  

le lien https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/ 

le tuto http://www.security-helpzone.com/forum/Thread-ZHPDiag-Generer-un-rapport 

utilisateurs vista-w7-w8 exécuter en tant qu'administrateur (clic droit) 

pour lancer le scan clique sur la loupe avec le + (2ème bouton en haut a gauche) 

le rapport s'affichera sur ton bureau et dans C:\zhpdiag.txt 

poste le rapport via ce lien https://www.cjoint.com/ 

@+

martine03 · Answer

https://www.cjoint.com/?CFAviSMWdgF

billmaxime · Answer

re

désinstalle ceci via ajout/suppression de programmes du panneau de configuration et 

télécharge les dernières versions

Adobe Reader X
Java 7 Update 13
 
pour adobe reader
pour java

j'arrive avec le reste

@+

billmaxime · Answer

re

fais ceci s'il te plaît

lance zhpfix en tant qu'administrateur (clic droit) 

copie tout le texte depuis ce lien https://www.cjoint.com/c/CFAvDuw1qMi

clique sur le 2ème bouton en haut a gauche (coller le presse papier) 

clic sur GO en bas de page et confirme par oui pour lancer le nettoyage des données 

le rapport s'affichera sur ton bureau et dans C:\zhpfix.txt 

poste le rapport via ce lien https://www.cjoint.com/ 
 
 @+

martine03 · Answer

https://www.cjoint.com/?CFAv4HyTeQA

billmaxime · Answer

re

comment va le pc?

@+

martine03 · Answer

pour le moment bien je te remercie on va voir demain si il me retrouve ce worm gamarue

billmaxime · Answer

re

on n'a pas fini....refais moi 1 zhpdiag en cliquant sur la loupe avec le + et poste

le rapport via ce lien https://www.cjoint.com/

merci

@+

martine03 · Answer

https://www.cjoint.com/?CFAwjiH6EGp

billmaxime · Answer

re

ok, fais encore ceci s'il te plaît

lance zhpfix en tant qu'administrateur (clic droit) 

copie tout le texte en gras ci-dessous 

clique sur le 2ème bouton en haut a gauche (coller le presse papier) 

clic sur GO en bas de page et confirme par oui pour lancer le nettoyage des données 

le rapport s'affichera sur ton bureau et dans C:\zhpfix.txt 

poste le rapport via ce lien https://www.cjoint.com/ 

le texte a copier

 [HKCU\Software\°_@]
[HKCU\Software\?? ?? ???? ????? ??? ?? ????]

SysRestore 
FirewallRAZ 
EmptyCLSID 
EmptyTemp 
EmptyFlash 

merci

@+

martine03 · Answer

https://www.cjoint.com/?CFAwAUgNt5x

billmaxime · Answer

re

c'est bien, fais ceci pour supprimer les outils de désinfection

télécharge delfix sur ton bureau

le lien http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/9-delfix

exécute le en tant qu'administrateur (clic droit)

vérifie que toutes les cases soient cochées:5

clique sur exécuter

le rapport s'affichera sur ton bureau et dans C:\delfix.txt

poste le rapport via 1 copier/coller

@+

martine03 · Answer

# DelFix v10.3 - Rapport créé le 26/06/2013 à 22:38:45
# Mis à jour le 08/06/2013 par Xplode
# Nom d'utilisateur : martine - MARTINE-DDBE2DA
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\martine\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\UsbFix [Clean 5] MARTINE-DDBE2DA.txt
Supprimé : C:\UsbFix [Scan 1] MARTINE-DDBE2DA.txt
Supprimé : C:\Documents and Settings\martine\Bureau\RKreport[0]_D_06262013_083720.txt
Supprimé : C:\Documents and Settings\martine\Bureau\RKreport[0]_S_06262013_083604.txt
Supprimé : C:\Documents and Settings\martine\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\martine\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\martine\Mes documents\Téléchargements\adwcleaner.exe
Supprimé : C:\Documents and Settings\martine\Mes documents\Téléchargements\RogueKiller-8.6.1.exe
Supprimé : C:\Documents and Settings\martine\Mes documents\Téléchargements\usbfix(1).exe
Supprimé : C:\Documents and Settings\martine\Mes documents\Téléchargements\usbfix(2).exe
Supprimé : C:\Documents and Settings\martine\Mes documents\Téléchargements\usbfix.exe
Supprimé : C:\Documents and Settings\martine\Mes documents\Téléchargements\ZHPDiag2.exe
Supprimée : HKCU\Software\USBFix
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #651 [Point de vérification système | 06/26/2013 05:41:48]
Supprimé : RP #652 [Software Distribution Service 3.0 | 06/26/2013 14:14:23]
Supprimé : RP #653 [Removed Adobe Reader X (10.1.7) - Français. | 06/26/2013 19:43:17]
Supprimé : RP #654 [Installed Adobe Reader XI (11.0.03) - Français. | 06/26/2013 19:44:09]
Supprimé : RP #655 [Supprimé Java 7 Update 13 | 06/26/2013 19:48:05]
Supprimé : RP #656 [Installé Java 7 Update 25 | 06/26/2013 19:48:17]
Supprimé : RP #657 [P | 06/26/2013 19:53:56]
Supprimé : RP #658 [P | 06/26/2013 20:25:50]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

billmaxime · Answer

re

nickel, tu as encore des soucis?

@+

martine03 · Answer

non tout va bien merci

billmaxime · Answer

re

ok, alors tu peux mettre ton topic en résolu

https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

bon surf

@+

Worm gamarue

26 réponses

Discussions similaires