virus bravia QUI A DEGAGER kapersky Fermé

Question

Bonjour, je fait parti de ceux qui ont recu un virus de dingue. D'un coup plus de kapersky mais un nouveau logiciel REANIMATOR accompagné du fameux BRAVIA. Impossible a l'enlever.... ilm revien toujours....
impossible dutiliser un outil tel que ad-aware, spybot...etc.
voici le rapport:
SmitFraudFix v2.305

Rapport fait à 20:51:12,68, 18/03/2008
Executé à partir de C:\Documents and Settings\MDS SYSTEMES\Local Settings\Temporary Internet Files\Content.IE5\X8HCCXOJ\SmitfraudFix[1]\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program Files\Sitecom\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\Fichiers communs\InterVideo\DeviceService\DevSvc.exe
C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe
C:\WINDOWS\system32
vsvc32.exe
C:\Program Files\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\system32\srksrv.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program Files\Sony\VAIO Event Service\VESMgr.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe
C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment\VzRs\VzRs.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Steek\Steekup\Steekup.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Sitecom\Logiciel Bluetooth\BTTray.exe
C:\OLIFAXVX\TOOLBAR.EXE
C:\PROGRA~1\Sitecom\LOGICI~1\BTSTAC~1.EXE
C:\Program Files\PC Connectivity Solution\NclBTHandler.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\MDS SYSTEMES


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\MDS SYSTEMES\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\MDSSYS~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="cru629.dat"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DefaultDomainName"="MDSSYSTEMES"
"DefaultUserName"="MDS SYSTEMES"
"System"=""
"AltDefaultUserName"="MDS SYSTEMES"
"AltDefaultDomainName"="MDSSYSTEMES"


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.32.177

Description: Intel(R) PRO/Wireless 2200BG Network Connection - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.54.252
DNS Server Search Order: 212.27.53.252

HKLM\SYSTEM\CCS\Services\Tcpip\..\{3482C509-4EA2-487E-BB3E-6C0A007175CD}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{75108549-A0F8-4FB2-8213-125D9483BFE3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D03818AA-BE71-4EA2-BACD-176AB7F9B00B}: NameServer=212.27.54.252,212.27.32.177
HKLM\SYSTEM\CS1\Services\Tcpip\..\{3482C509-4EA2-487E-BB3E-6C0A007175CD}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{75108549-A0F8-4FB2-8213-125D9483BFE3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D03818AA-BE71-4EA2-BACD-176AB7F9B00B}: NameServer=212.27.54.252,212.27.32.177
HKLM\SYSTEM\CS2\Services\Tcpip\..\{3482C509-4EA2-487E-BB3E-6C0A007175CD}: NameServer=212.27.54.252,212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{75108549-A0F8-4FB2-8213-125D9483BFE3}: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\..\{D03818AA-BE71-4EA2-BACD-176AB7F9B00B}: NameServer=212.27.54.252,212.27.32.177
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.54.252 212.27.53.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

doudou · Answer

pour enlever "bravia.exe" qui se trouve dans c:\windows\system32, il faut procéder par les étapes suivantes:
Changer l'extension de bravia, dans le cas qui nous occupait j'ai mis .dou;
Relancer le PC et dès que la session est ouverte, aller dans c:\documents and settins\(nom du compte)\Local Settings\Temp;
Sélectionner tout et faire delete en appyant sur la touche majuscule en même temps (ne pas passer par la corbeille).
Recommencer l'opération pour chaque compte.
Aller dans le panneau de configuration - Options internet - historique de navigation - supprimer (supprimer tout).
Faire tourner le CCleaner et vous aller voir qu'il fait apparaître l'extension .dou comme inconnue. Nettoyer toute la base de registre.
Relancer le PC et "bravia est mort de sa belle mort.
Doudou (Bonne merde)

Virus bravia QUI A DEGAGER kapersky

1 réponse

Discussions similaires