Rootkit/adware.win32.xwprbnbq
Fermé
jul
-
25 sept. 2007 à 15:22
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 25 sept. 2007 à 22:37
philae83 Messages postés 12837 Date d'inscription mercredi 3 janvier 2007 Statut Contributeur sécurité Dernière intervention 8 décembre 2009 - 25 sept. 2007 à 22:37
A voir également:
- Rootkit/adware.win32.xwprbnbq
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Anti rootkit gratuit - Télécharger - Antivirus & Antimalwares
- Malwarebytes anti-rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
10 réponses
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
25 sept. 2007 à 15:29
25 sept. 2007 à 15:29
bonjour,
Télécharge navilog1 (Merci il.mafioso!)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valides.
/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\
* Patiente jusqu'au message : *** Analyse terminée le ..... ***
* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.
* Le rapport est en outre sauvegardé à la racine du disque <gras>(fixnavi.txt)</gras
Télécharge navilog1 (Merci il.mafioso!)
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
* Ensuite double clique sur navilog1.exe pour lancer l'installation.
* Une fois l'installation terminée, le fix s'exécutera automatiquement.
* (Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).
* Laisse-toi guider. Au menu principal, choisis 1 et valides.
/*\ Ne fais pas le choix 2,3 ou 4 sans notre avis/accord /*\
* Patiente jusqu'au message : *** Analyse terminée le ..... ***
* Appuie sur une touche comme demandé, le Bloc-notes va s'ouvrir.
* Copie-colle l'intégralité du rapport dans ta prochaine réponse. Referme le Bloc-notes.
* Le rapport est en outre sauvegardé à la racine du disque <gras>(fixnavi.txt)</gras
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
25 sept. 2007 à 15:34
25 sept. 2007 à 15:34
quand te dit il ça ?
il me propose la langue je fait f j'appuie sur un touche apres je continue de faire ce quil me dit et ça me mets ça
process.exe absent
process.exe absent
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
25 sept. 2007 à 15:42
25 sept. 2007 à 15:42
on va essayer autre chose,
supprime ce que tu viens de télécharger
puis
* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)
Enregistre le sur ton Bureau.
Double-clique fsbl.exe
Clique sur "I ACCEPT" .
clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe
supprime ce que tu viens de télécharger
puis
* Télécharge Blacklight
https://europe.f-secure.com/exclude/blacklight/index.shtml
(de F-Secure)
(le premier de la page)
Enregistre le sur ton Bureau.
Double-clique fsbl.exe
Clique sur "I ACCEPT" .
clique Scan puis Next
Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport,
sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Copie et colle le contenu de ce rapport dans ta prochaine réponse.
NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport,
car des fichiers légitimes peuvent être présents, tel wbemtest.exe
voila le raport blacklight
09/25/07 15:44:10 [Info]: BlackLight Engine 1.0.64 initialized
09/25/07 15:44:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/25/07 15:44:10 [Note]: 7019 4
09/25/07 15:44:10 [Note]: 7005 0
09/25/07 15:44:16 [Note]: 7006 0
09/25/07 15:44:16 [Note]: 7011 1476
09/25/07 15:44:16 [Note]: 7026 0
09/25/07 15:44:16 [Note]: 7026 0
09/25/07 15:44:16 [Note]: 7024 3
09/25/07 15:44:16 [Info]: Hidden process: C:\windows\system32\xwprbnbq.exe
09/25/07 15:44:22 [Note]: FSRAW library version 1.7.1022
09/25/07 15:47:56 [Info]: Hidden file: c:\WINDOWS\system32\xwprbnbq_nav.dat
09/25/07 15:47:56 [Note]: 10002 1
09/25/07 15:47:57 [Info]: Hidden file: c:\WINDOWS\system32\xwprbnbq.dat
09/25/07 15:47:57 [Note]: 10002 1
09/25/07 15:47:58 [Info]: Hidden file: C:\windows\system32\xwprbnbq.exe
09/25/07 15:47:58 [Note]: 10002 1
09/25/07 15:47:58 [Info]: Hidden file: c:\WINDOWS\system32\xwprbnbq_navps.dat
09/25/07 15:47:58 [Note]: 10002 1
09/25/07 15:49:31 [Note]: 7007 0
09/25/07 15:44:10 [Info]: BlackLight Engine 1.0.64 initialized
09/25/07 15:44:10 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/25/07 15:44:10 [Note]: 7019 4
09/25/07 15:44:10 [Note]: 7005 0
09/25/07 15:44:16 [Note]: 7006 0
09/25/07 15:44:16 [Note]: 7011 1476
09/25/07 15:44:16 [Note]: 7026 0
09/25/07 15:44:16 [Note]: 7026 0
09/25/07 15:44:16 [Note]: 7024 3
09/25/07 15:44:16 [Info]: Hidden process: C:\windows\system32\xwprbnbq.exe
09/25/07 15:44:22 [Note]: FSRAW library version 1.7.1022
09/25/07 15:47:56 [Info]: Hidden file: c:\WINDOWS\system32\xwprbnbq_nav.dat
09/25/07 15:47:56 [Note]: 10002 1
09/25/07 15:47:57 [Info]: Hidden file: c:\WINDOWS\system32\xwprbnbq.dat
09/25/07 15:47:57 [Note]: 10002 1
09/25/07 15:47:58 [Info]: Hidden file: C:\windows\system32\xwprbnbq.exe
09/25/07 15:47:58 [Note]: 10002 1
09/25/07 15:47:58 [Info]: Hidden file: c:\WINDOWS\system32\xwprbnbq_navps.dat
09/25/07 15:47:58 [Note]: 10002 1
09/25/07 15:49:31 [Note]: 7007 0
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
25 sept. 2007 à 15:57
25 sept. 2007 à 15:57
OK
alors voici la suite à donner
ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec
* Télécharge CCleaner
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite).
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
* télécharge Brute Force Uninstaller
http://www.merijn.org/files/bfu.zip
* FAIS UN CLIC-DROIT sur le lien ci dessous
http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".
Sauvegarde dans le dossier créé (c:\BFU)
* FAIS UN CLIC-DROIT sur le lien ci dessous
http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".
Sauvegarde dans le dossier créé (c:\BFU)
* télécharge Navipromo.zip (par lazzzy)
http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip
et décompresse-le sur ton bureau
* Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici
https://forum.pcastuces.com/default.asp#haut
à la lettre C
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Tape R "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois.
* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois
* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"
=> Supprime-les tous
* lance Ccleaner pour un nettoyage complet.
* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
alors voici la suite à donner
ces manips sont à faire dans l'ordre stp, imprime car il te faudra les faire en mode sans échec
* Télécharge CCleaner
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite).
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
* télécharge Brute Force Uninstaller
http://www.merijn.org/files/bfu.zip
* FAIS UN CLIC-DROIT sur le lien ci dessous
http://metallica.geekstogo.com/EGDACCESS.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger EGDACCESS.bfu, Type "Tous les fichiers".
Sauvegarde dans le dossier créé (c:\BFU)
* FAIS UN CLIC-DROIT sur le lien ci dessous
http://www.alt-shift-return.org/Info/Fichiers/Winsoftware.bfu
et choisis "Enregistrer sous" (dans IE c'est "Enregistrer le lien sous..")
afin de télécharger Winsoftware.bfu, Type "Tous les fichiers".
Sauvegarde dans le dossier créé (c:\BFU)
* télécharge Navipromo.zip (par lazzzy)
http://www.alt-shift-return.org/Info/Fichiers/Navipromo073.zip
et décompresse-le sur ton bureau
* Copie la suite des instructions dans un fichier texte, sur ton bureau. et redémarre en mode sans échec comme indiqué ici
https://forum.pcastuces.com/default.asp#haut
à la lettre C
Il faudra choisir ta session habituelle, pas le compte "Administrateur" ou autre.
* lance le fichier Navipromo.bat qui se trouve dans le dossier Navipromo, sur ton bureau.
* Tape R "Recherche et suppression automatique". Patiente.
S'il trouve quelque chose, tu verras défiler des lignes dans la fenêtre de commande et au bout de quelques instants, il faudra que tu appuies sur une touche pour que le nettoyage soit lancé. Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Relance l'outil, Sélectionne l'option "Suppression Heuristique", et patiente quelques minutes.
Lorsqu'il a terminé, ferme le rapport qui s'est ouvert
* Démarre le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : EGDACCESS.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu
Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
Clique exit pour fermer le programme BFU.
Recommence encore une fois.
* Démarre encore le "Brute Force Uninstaller" en double-cliquant sur BFU.exe.
* Clique sur le petit dossier jaune, à la droite de la boîte "Scriptline to execute", et double-clique sur : Winsoftware.bfu
- Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\Winsoftware.bfu
* Clique sur "Execute" et laisse-le faire son travail.
Attendre que "Complete script execution" apparaîsse et clique sur OK.
* Clique exit pour fermer le programme BFU.
Recommence encore une fois
* Démarrer -> panneau de configuration -> options internet
Clique sur l'onglet "Contenu" puis onglet "Certificats" et si tu trouves ceci, en particulier dans "éditeurs approuvés" :
electronic-group - egroup - Montorgueil - VIP - "Sunny Day Design Ltd"
=> Supprime-les tous
* lance Ccleaner pour un nettoyage complet.
* redémarre normalement et poste le contenu du fichier Navipromo.txt qui se trouve dans Poste de travail > disque C:\
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
je n'ai plus de rootkit
merci bien
mais comment savoir ou comment faire pour voir si il est bien parti
merci bien
mais comment savoir ou comment faire pour voir si il est bien parti
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
25 sept. 2007 à 21:50
25 sept. 2007 à 21:50
au vu du rapport de blacklight, tu es infecté, maintenant je t'ai donné des consignes à suivre, si tu ne veux pas les faire c'est ton problème. A toi de voir.
mais ne demande pas comment faire pour savoir si tout est ok, puisque pour moi ce ne l'est pas.
mais ne demande pas comment faire pour savoir si tout est ok, puisque pour moi ce ne l'est pas.
philae83
Messages postés
12837
Date d'inscription
mercredi 3 janvier 2007
Statut
Contributeur sécurité
Dernière intervention
8 décembre 2009
206
25 sept. 2007 à 22:37
25 sept. 2007 à 22:37
normal maintenant que j'ai vu
un probleme presiste#0
que tu n'es plus infecté, tu aurais au moins pu avoir la politesse de venir dire que tu avais déjà créé un autre topic et que did71 s'était occupé de toi.
C'est quand même un monde, nous sommes bénévoles, et un minimum de politesse me semble normal.....
TOPIC CLOS
un probleme presiste#0
que tu n'es plus infecté, tu aurais au moins pu avoir la politesse de venir dire que tu avais déjà créé un autre topic et que did71 s'était occupé de toi.
C'est quand même un monde, nous sommes bénévoles, et un minimum de politesse me semble normal.....
TOPIC CLOS