Sujet Précédent Sujet Suivant

Infecté par W32/blaster.worm

Résolu/Fermé
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 - 13 oct. 2013 à 20:32
 Utilisateur anonyme - 22 oct. 2013 à 19:25
Bonjour,

Et voilà.... PC de nouveau infecté par W32/blaster.worm

(oui j'étais déjà venu pour cela il y a quelques mois )


Merci une nouvelle fois de votre aide! (et pourtant depuis la dernière fois je faisais bien des scans et tout :/ )

Voici le rapport roguekiller fait sur le pc infecté.

RogueKiller V8.7.2 [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Mathieu [Droits d'admin]
Mode : Recherche -- Date : 10/13/2013 19:44:18
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤
[Rogue.AntiSpy-SP] iwdefender.exe -- C:\Documents and Settings\All Users\Application Data\iwdefender.exe[-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 2 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internet Security (C:\Documents and Settings\All Users\Application Data\iwdefender.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-391235094-707264586-1443687803-1005\[...]\Run : Internet Security (C:\Documents and Settings\All Users\Application Data\iwdefender.exe [-]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Jonction] Antimalware : C:\Program Files\Microsoft Security Client\Antimalware >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] Backup : C:\Program Files\Microsoft Security Client\Backup >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] CleanUpPolicy.xml : C:\Program Files\Microsoft Security Client\CleanUpPolicy.xml >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] ConfigSecurityPolicy.exe : C:\Program Files\Microsoft Security Client\ConfigSecurityPolicy.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] en-us : C:\Program Files\Microsoft Security Client\en-us >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] eppmanifest.dll : C:\Program Files\Microsoft Security Client\eppmanifest.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] FR-FR : C:\Program Files\Microsoft Security Client\FR-FR >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] LegitLib.dll : C:\Program Files\Microsoft Security Client\LegitLib.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsMpRes.dll : C:\Program Files\Microsoft Security Client\MsMpRes.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] msseces.exe : C:\Program Files\Microsoft Security Client\msseces.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] MsseWat.dll : C:\Program Files\Microsoft Security Client\MsseWat.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] setup.exe : C:\Program Files\Microsoft Security Client\setup.exe >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] setupres.dll : C:\Program Files\Microsoft Security Client\setupres.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] shellext.dll : C:\Program Files\Microsoft Security Client\shellext.dll >> \systemroot\system32\config [-] --> TROUVÉ
[ZeroAccess][Jonction] sqmapi.dll : C:\Program Files\Microsoft Security Client\sqmapi.dll >> \systemroot\system32\config [-] --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Rogue.AntiSpy-SP|ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 adobeereg.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) (Lecteurs de disque standard) - ST9160411ASG +++++
--- User ---
[MBR] 9e8eabf1712833d2c83e16a48d326639
[BSP] 1eb893d1e2ce6df2a0c69f15319c6d1f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 196 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 401625 | Size: 152429 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) (Lecteurs de disque standard) - LaCie Hard Drive USB Device +++++
--- User ---
[MBR] c644860fcd1e2841d8ea3fba34803add
[BSP] b94ea316de53086c9c6543174f50ab2e : Empty MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[0]_S_10132013_194418.txt >>

34 réponses

Précédent
  • 1
  • 2
Réponse 21 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 18/10/2013 à 20:34
ok c'est fait.

donc mon pc est ok maintenant ? je veux dire nous avons encore à faire ?
0
Réponse 22 / 34
Utilisateur anonyme
18 oct. 2013 à 20:49
il reste quelques bricoles à faire si le pc fonctionne normalement :D


0
Réponse 23 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 18/10/2013 à 20:58
gné?
(ça se voit que j'en peux plus et que je ne rêve que d'une chose = utiliser mon pc et mettre ce sujet en résolu? mdr ! merci de ta patience en tout cas ;) )
c'est que j'aimerai clôturer tout ça par un grand merci, mais je fais "jack à dit" donc tant que tu ne dis pas "c'est bon", c 'est que ce n est pas terminé --'
0
Réponse 24 / 34
Utilisateur anonyme
18 oct. 2013 à 21:04
justement, je ne suis pas devant le pc, donc redémarre le pour voir s'il fonctionne normalement, puis on finaliser après 2 étapes :D



0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
18 oct. 2013 à 21:14
oui ça marche normalement :)
0
Réponse 26 / 34
Utilisateur anonyme
19 oct. 2013 à 07:20
super,
la suite et fin en 2 étapes !


1/


Télecharge Delfix sur ton bureau :

ICI

ou



Coche les cases suivantes :
=> Réactive l'Uac (juste pour Vista, Seven et W8)
=> Supprimer les outils de désinfection (coché par défaut)
=> Purger la restauration système
=> Réinitialisation des paramètres système


* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
* Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport
** le rapport est stocké à cet emplacement : C:\DelFix.txt
Attention : Le rapport est unique et est supprimé à chaque fois que l'on ré-exécute une ou plusieurs options de DelFix.



2/





* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)



0
Réponse 27 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
19 oct. 2013 à 13:50
bonjour :)

voici pour le rapport

# DelFix v10.5 - Rapport créé le 19/10/2013 à 13:48:00
# Mis à jour le 17/10/2013 par Xplode
# Nom d'utilisateur : Mathieu - ADV_MATH
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\Qoobox
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Documents and Settings\Mathieu\Bureau\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[R2].txt
Supprimé : C:\AdwCleaner[R3].txt
Supprimé : C:\AdwCleaner[R4].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\AdwCleaner[S3].txt
Supprimé : C:\AdwCleaner[S4].txt
Supprimé : C:\ComboFix.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\TDSSKiller.2.8.16.0_17.10.2013_14.54.30_log.txt
Supprimé : C:\TDSSKiller.2.8.16.0_17.10.2013_14.56.32_log.txt
Supprimé : C:\TDSSKiller.2.8.16.0_17.10.2013_15.07.35_log.txt
Supprimé : C:\TDSSKiller.2.8.16.0_18.10.2013_15.12.09_log.txt
Supprimé : C:\TDSSKiller.3.0.0.14_17.10.2013_14.57.04_log.txt
Supprimé : C:\Documents and Settings\Mathieu\Bureau\ComboFix.exe
Supprimé : C:\Documents and Settings\Mathieu\Bureau\combofix1.txt
Supprimé : C:\Documents and Settings\Mathieu\Bureau\RKreport[0]_D_10132013_210117.txt
Supprimé : C:\Documents and Settings\Mathieu\Bureau\RKreport[0]_H_10132013_212238.txt
Supprimé : C:\Documents and Settings\Mathieu\Bureau\RKreport[0]_S_10132013_210057.txt
Supprimé : C:\Documents and Settings\Mathieu\Bureau\RogueKiller.exe
Supprimé : C:\Documents and Settings\Mathieu\Bureau\tdsskiller.exe
Supprimé : C:\Documents and Settings\Mathieu\Bureau\tdsskiller.zip
Supprimé : C:\Documents and Settings\Mathieu\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\Mathieu\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Mathieu\Bureau\ZHPDiag1.txt
Supprimé : C:\Documents and Settings\Mathieu\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\Mathieu\Bureau\ZHPDiag2.Txt
Supprimé : C:\Documents and Settings\Mathieu\Bureau\ZHPFix.lnk
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe
Supprimée : HKLM\SOFTWARE\Swearware
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~ Purge de la restauration système ...

Supprimé : RP #1125 [Point de vérification système | 07/23/2013 13:56:26]
Supprimé : RP #1126 [Point de vérification système | 07/25/2013 15:19:40]
Supprimé : RP #1127 [Point de vérification système | 07/26/2013 15:24:06]
Supprimé : RP #1128 [Software Distribution Service 3.0 | 07/26/2013 21:31:30]
Supprimé : RP #1129 [Point de vérification système | 07/28/2013 15:33:54]
Supprimé : RP #1130 [Point de vérification système | 07/30/2013 12:09:07]
Supprimé : RP #1131 [Point de vérification système | 07/31/2013 14:27:39]
Supprimé : RP #1132 [Point de vérification système | 08/02/2013 10:07:08]
Supprimé : RP #1133 [Point de vérification système | 08/03/2013 10:50:30]
Supprimé : RP #1134 [Point de vérification système | 08/05/2013 15:16:46]
Supprimé : RP #1135 [Point de vérification système | 08/07/2013 13:53:44]
Supprimé : RP #1136 [Point de vérification système | 08/08/2013 14:53:07]
Supprimé : RP #1137 [Point de vérification système | 08/09/2013 21:46:08]
Supprimé : RP #1138 [Point de vérification système | 08/12/2013 10:12:30]
Supprimé : RP #1139 [Point de vérification système | 08/13/2013 10:28:05]
Supprimé : RP #1140 [Software Distribution Service 3.0 | 08/14/2013 22:54:35]
Supprimé : RP #1141 [Point de vérification système | 08/16/2013 13:51:03]
Supprimé : RP #1142 [Point de vérification système | 08/18/2013 19:00:02]
Supprimé : RP #1143 [Point de vérification système | 08/20/2013 12:58:36]
Supprimé : RP #1144 [Point de vérification système | 08/22/2013 10:19:38]
Supprimé : RP #1145 [Point de vérification système | 08/23/2013 10:35:56]
Supprimé : RP #1146 [Point de vérification système | 08/24/2013 16:06:17]
Supprimé : RP #1147 [Point de vérification système | 08/26/2013 11:43:59]
Supprimé : RP #1148 [Point de vérification système | 08/27/2013 12:19:55]
Supprimé : RP #1149 [Software Distribution Service 3.0 | 08/28/2013 11:50:42]
Supprimé : RP #1150 [Point de vérification système | 08/30/2013 10:50:21]
Supprimé : RP #1151 [Point de vérification système | 08/31/2013 10:57:10]
Supprimé : RP #1152 [Point de vérification système | 09/01/2013 11:36:00]
Supprimé : RP #1153 [Point de vérification système | 09/02/2013 11:44:47]
Supprimé : RP #1154 [Point de vérification système | 09/03/2013 13:04:24]
Supprimé : RP #1155 [Point de vérification système | 09/04/2013 15:52:16]
Supprimé : RP #1156 [Point de vérification système | 09/06/2013 12:49:43]
Supprimé : RP #1157 [Point de vérification système | 09/09/2013 13:21:53]
Supprimé : RP #1158 [Point de vérification système | 09/10/2013 17:59:11]
Supprimé : RP #1159 [Point de vérification système | 09/12/2013 21:07:01]
Supprimé : RP #1160 [Software Distribution Service 3.0 | 09/13/2013 10:17:08]
Supprimé : RP #1161 [Software Distribution Service 3.0 | 09/13/2013 17:29:05]
Supprimé : RP #1162 [Software Distribution Service 3.0 | 09/13/2013 22:23:55]
Supprimé : RP #1163 [Point de vérification système | 09/16/2013 14:19:22]
Supprimé : RP #1164 [Point de vérification système | 09/19/2013 11:08:59]
Supprimé : RP #1165 [Point de vérification système | 09/20/2013 11:26:00]
Supprimé : RP #1166 [Point de vérification système | 09/22/2013 13:01:00]
Supprimé : RP #1167 [Point de vérification système | 09/23/2013 13:58:39]
Supprimé : RP #1168 [Point de vérification système | 09/24/2013 14:14:17]
Supprimé : RP #1169 [Point de vérification système | 09/26/2013 11:33:26]
Supprimé : RP #1170 [Point de vérification système | 09/27/2013 11:37:44]
Supprimé : RP #1171 [Point de vérification système | 09/28/2013 21:45:27]
Supprimé : RP #1172 [Point de vérification système | 09/30/2013 12:24:25]
Supprimé : RP #1173 [Point de vérification système | 10/02/2013 15:14:34]
Supprimé : RP #1174 [Point de vérification système | 10/07/2013 11:04:57]
Supprimé : RP #1175 [Point de vérification système | 10/08/2013 11:50:52]
Supprimé : RP #1176 [Point de vérification système | 10/10/2013 15:40:17]
Supprimé : RP #1177 [Software Distribution Service 3.0 | 10/10/2013 22:35:41]
Supprimé : RP #1178 [Point de vérification système | 10/12/2013 21:57:38]
Supprimé : RP #1179 [Software Distribution Service 3.0 | 10/13/2013 16:37:04]
Supprimé : RP #1180 [Software Distribution Service 3.0 | 10/13/2013 19:16:33]
Supprimé : RP #1181 [Point de vérification système | 10/14/2013 20:00:31]
Supprimé : RP #1182 [Software Distribution Service 3.0 | 10/15/2013 07:26:08]
Supprimé : RP #1183 [Software Distribution Service 3.0 | 10/16/2013 09:36:43]
Supprimé : RP #1184 [Software Distribution Service 3.0 | 10/17/2013 11:38:55]
Supprimé : RP #1185 [Point de vérification système | 10/18/2013 12:19:57]
Supprimé : RP #1186 [Software Distribution Service 3.0 | 10/18/2013 13:37:08]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########
0
Réponse 28 / 34
Utilisateur anonyme
19 oct. 2013 à 14:03
super,


que dit ton antivirus ?


0
Réponse 29 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
Modifié par merci bien le 19/10/2013 à 16:19
merci et re
bon..
l'antivirus me dis

toujours Rogue:Win32/FakeRean en date de ce jour

file:C:\System Volume Information\_restore{7F06EDF5-C529-4657-A0A2-A39C96FDE661}\RP1175\A0183027.exe
mon antivirus vient de le supprimer

J'avais lancer teamspeak et un jeu online, étrangement hier soir ça passait impec, ce jour j'ai surfé = impec.
....Je lance ts et le game, vlan me revoilà avec un rogue
moralité = je viens de mettre à jour team speak

en gros apparemment le rogue reviens à partir de quelque chose, une action ? (à partir de quoi sur mon pc ?) mais il est bloqué par mon antivirus (ouf)
0
Réponse 30 / 34
Utilisateur anonyme
19 oct. 2013 à 19:07
C:\System Volume Information

ceci est la restauration système, l'infection est là dedans, il suffit de virer tous les points de restauration système depuis le panneau de configuration !

ça n'a rien à voir avec ton jeu !


0
Réponse 31 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
20 oct. 2013 à 00:23
ok me voilà rassuré. pour les points de restauration j espère que tu pourras me dire comment car je ne le sais pas :(

merci
0
Réponse 32 / 34
Utilisateur anonyme
20 oct. 2013 à 07:59
Clic droit sur poste de travail

propriétés

restauration du système

tu coches "désactiver la restauration du système".

Normalement tous tes point de restauration devraient être effacés, y compris le dernier créé par Delfix.

clique sur valider pour conformer,

patiente un peu.


puis décoche ensuite la case, et recrée un nouveau point, ça peut servir ;-)


sache que ces points ne sont pas éternels, donc Windows en crée régulièrement.


0
Réponse 33 / 34
merci bien Messages postés 31 Date d'inscription dimanche 2 juin 2013 Statut Membre Dernière intervention 31 mars 2017 2
22 oct. 2013 à 19:22
MERCI beaucoup à toi de ton accompagnement pour que la machine re fonctionne correctement. bonne continuation :))
0
Réponse 34 / 34
Utilisateur anonyme
22 oct. 2013 à 19:25
sur ce, bon surf ;-)


0

Discussions similaires

W32 L32: correspondance entre taille US et taille française
efg -
sibel -

6 réponses
À quoi correspond 32x32 US en taille française pour un jean ?
Alison1958 -
Thordendall -

1 réponse
Taille Us - taille française
Utilisateur anonyme -
Utilisateur anonyme -

3 réponses
Commande internet correspondance taille US pour jean homme.
Larkos -
Zabou -

5 réponses
Win32:Adware-gen [Adw]
nico -
nico -

98 réponses