Virus dans la barre des taches Fermé

Question

Bonjour,

J'ai un malware sur mon pc, ( pc fonctionne sans probleme ) mais j'ai une icône rouge dans la barre des taches.
j'ai fais une recherche approfondie avec mon anti-virus il m'a trouvé plein de trucs qu'il a supprimé.
Après redémarage, toujours l'icone rouge. j'ai été dans gestionnaire de tâches et j'ai terminer le processus de "braviax.exe", l'icône rouge a disparue, après redémarage il était a nouveau présent.

J'ai également supprimé "braviax.exe" et "winni.exe" dans C:/WINNT/systeme32.
Après redémarage toujours l'icône rouge.
J'ai téléchargé "Malwarebytes' Anti-Malware" j'en suis a une heure de scan et il m'a trouvé 4 éléments infecté pour l'instant.

j'ai vraiment besoin de vous pour la suite des opérations.

HELP ME. HELP ME. HELP ME.

kduc · Answer

Salut,

Poste le rapport Malwarebytes dès que possible ...

Ensuite, fais un scan HijackThis ...
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm 

... et poste le rapport dans le même message réponse, stp.

BIOTYFOOL · Answer

Salut kduc,

j'en suis a 1H30, toujours 4 éléments infectés, et il a pas l'air d'avoir finit bientôt.
Dès que c'est finit je poste le rapport.

jacques.gache · Answer

bonjour à vous deux sois patient j'en ai vu durer plus de 4 heures mais n'oublis pas de cliquer sur supprimer la sélection en fin d'analyse ou remove sélected si tu l'as pas installé en français

BIOTYFOOL · Answer

Salut,
2H, et toujours 4 fichiers infecté, il n'a pas moyen décourté, en cliquant sur abandonné par exemple.

BIOTYFOOL · Answer

Y manquait plus que ça, la fenêtre de MBAM a disparus,
quand je double clique sur le raccourci de MBAM j'ai une fenêtre qui me dit: MBAM est déjà en cours d'exécution.

BIOTYFOOL · Answer

(ne prenez pas en compte les 2 messages précédant)

Voici le rapport. (J'ai dus redémaré)  

Malwarebytes' Anti-Malware 1.24
Version de la base de données: 1033
Windows 5.1.2600 Service Pack 2

21:20:24 08/08/2008
mbam-log-8-8-2008 (21-20-24).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 203099
Temps écoulé: 2 hour(s), 50 minute(s), 32 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
C:\WINNT\system32\buritos.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\buritos (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\braviax (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{689C089C-6326-413A-8469-26E5EBD4A239}\RP1181\A0153100.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{689C089C-6326-413A-8469-26E5EBD4A239}\RP1181\A0153113.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{689C089C-6326-413A-8469-26E5EBD4A239}\RP1182\A0153143.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{689C089C-6326-413A-8469-26E5EBD4A239}\RP1182\A0153220.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\WINNT\system32\buritos.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINNT\buritos.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINNT\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.

JE N'AI PLUS D'ICONE ROUGE.

Je dois refaire la même opération avec "Hijack This" ???

jacques.gache · Answer

bonjour à vous , Kduc te demande de mettre suite au passage de malwarebytes un rapport hijackthis fais le ça nous permet de voir certainne chose et d'affiner la désinfection je te donne la procédure si tu as du mal pour le faire
 
postes un rapport hijackthis

HijackThis est un outil développé par merijn, capable de détecter les composants ajoutés à votre navigateur, les programmes lancés au démarrage du système, etc. Le programme vous permet de consulter tous les éléments et éventuellement de les retirer de l'ordinateur. HijackThis est, par exemple, en mesure de forcer le changement de la page d'accueil. Cette fonction est particulièrement utile lorsque votre navigateur ne vous permet plus de modifier la page d'accueil car un site se l'est appropriée ! Le logiciel peut également enregistrer des paramètres par défaut et ignorer certains éléments définis.

télécharge Hijackthis : http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis

.cliques sur download
.cliques sur download Hijackthis installer
.enregistres le sur le bureau
.Tu fermes tout les programmes ouverts y compris le navigateur. sauf ton anti-virus et pare-feux
.installes le , il va s'installer par défaut dans C:\Program Files\Trend Micro\HijackThis
.Cliques sur "Do a system scan and save the logfile"
.Cela va t'ouvrir un bloc note à la fin du scan.
.Copie son contenu et poste le dans ton prochain message. sinon le rapport est dans C:\Program Files\Trend Micro\HijackThis\ hijackthis "document texte"

des expliquations en images : http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm

kduc · Answer

...

(si ce n’ est déjà fait) Télécharge CCleaner ...
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite) et laisse-toi guider.
Ne coche pas >> "Ajouter la barre d' outils Yahoo".
Laisse-le s’ installer tel que …

Arrête le service Boonty Games :

Clique droit sur le Poste de travail, puis Gérer.
Double-clique sur Services et Applications, puis double-clique sur Services.
Dans la liste des services, cherche celui nommé précisément Boonty Games.
Double-clique dessus.
Vérifie que dans "Chemin d'accès des fichiers executables", tu as bien :

C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Si c'est le cas:
Dans "Etat du service", clique sur Arrêter ;
Dans "Type de démarrage", choisis Désactiver.
Fais OK pour fermer toutes les fenêtres.

Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche 
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

O1 - Hosts: 255.255.255.255 www.casinoxo.com  
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing) 
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll (file missing)
O4 - HKLM\..\Run: [DXM6Patch_981116] C:\WINNT\p_981116.exe /Q:A
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime  
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" 
O4 - HKCU\..\Run: [braviax] C:\WINNT\system32\braviax.exe
O20 - AppInit_DLLs: karina.dat
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis. 

Affiche les fichiers et dossiers cachés … 
Pour ce faire, tu vas dans un dossier, par ex. "Mes Images". 
Ensuite, clique sur > Outils > Options des dossiers ...  
clique sur l' onglet « Affichage » et ... 
coche --> Afficher les fichiers et dossiers cachés 
décoche > Masquer les extensions des fichiers dont le type est connu 
décoche > Masquer les fichiers protégés du système d' exploitation (recommandé). 
« Appliquer » et « OK ».

Ensuite, va dans > Démarrer > Poste de travail > C:\

et supprime le(s) fichier(s) en gras, ci-dessous, si tu le(s) trouves.

C:\WINNT\system32\braviax.exe  <-- le fichier

Vide la Corbeille. 

Remet les fichiers et dossiers cachés comme tu les as trouvés ! 

Relance HijackThis. 
Clique sur None of the above Just start The Program. 
Clique sur le bouton Config, puis sur le bouton Misc Tools. 
Ensuite choisis Delete a NT Service. 
Dans le champ tu copies exactement le nom suivant : Boonty Games, puis OK.

Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK[ dans la fenêtre qui s' affiche.  
(re)Lance le nettoyage et (re)confirme par OK.

----------
Sous IE, fais un scan en ligne avec Kaspersky
http://www.n9ws.com/webscanner/kavwebscan.html

En bas de page, clique sur > Accept.
Laisse faire les définitions, mises à jour et installation d' ActiveX.
Puis, clique sur Next (suivant) > My Computer (Poste de travail). 
Le scan commence. Patiente ...
Une fois le scan achevé, clique sur > Save report (enregistrer rapport sous …) 
et enregistre-le quelque part (ex. bureau ou « mes documents »).

Poste-le dans ta prochaine réponse.

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", 
va dans Ajout/Suppres… de progr., puis désinstalle On-Line Scanner. 
Ensuite, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.

BIOTYFOOL · Answer

Résumé des opérations:

* Dans propriétés de Boonty Games le statut de service était déjà arrêter.

* Dans Hijackthis la ligne: O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe   n'était plus là.

* Dans C\WINNT\systeme32, le fichier braviax.exe n'était plus là.

* Après avoir effacé Boonty Games dans Hijack This, j'ai eu une fenêtre  
Bit Defender me disant "Critical Error etc..." J'ai fais cancel. Toutes les options de Bit Defender étaient désactivées et impossible de les changées. 
Après redémarage tout est rentré dans l'ordre ( bizar !) 

* Nettoyage avec CCleaner, R.A.S.

* Sur le site de Kaspersky, après l'initialisation, il me dis: "Echec du chargement du contrôle Active X.
Vous devez êtres administrateur et configuré le niveau de sécurité sur moyen."
Je télécharge le contrôle Active X, et là, il me dis: "C'est périmé." alors je le supprime, et il me dit: "vous devez êtes administrateur." etc... etc...

Je ne sais pas quoi faire.

kduc · Answer

...

Vérifie tes ActivesX (paramétrage) :

Va dans le menu Outils > Options Internet d'Internet Explorer.
Dans l'onglet "Sécurité", places-toi sur la zone "Internet" et
clique sur "Valeurs par défaut".
Ensuite, clique sur l'onglet "Avancé" et clique aussi sur "Valeurs par défaut".
Vérifie aussi que tes « ActiveX » sont bien paramétrés comme indiqué ici :

http://membres.lycos.fr/dude2005/reglages/activex_scan.png

Reconnectes-toi sur le site Kaspersky et tu verras qu'avant de télécharger 
l'ActiveX, au dessus dans la barre de IE, il faut l' autoriser.

http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm

BIOTYFOOL · Answer

Mes réglages active x étais tous déjà comme tu m'a dis, ainsi que mes paramètres sécurité.  

Quand je le télécharge je dois redemarer, et tout de suite après le demarage il y a une fenêtre qui dit:
windows ne trouvent pas C:\WINNT\systeme32\kaspersky, verifié que vous avez correctement entré le nom et essayez a nouveau...  

J'ai été voir a systeme32, et j'ai trouvé kaspersky lab\kaspersky online scan\kaspersky .

Alors je l'ai viré, j'ai recommencé et ça ma fait la même chose que décrit plus haut.

Je comprend pas...?! Iil ni a pas un autre moyen ?

kduc · Answer

...

Scanne en ligne avec BitDefender ...
https://forum.pcastuces.com/sujet.asp?f=25&s=31584&page=1 ... pour voir.

Poste (copie-colle) le rapport dans ton prochain message.

BIOTYFOOL · Answer

Voici le rapport bit defender online scane:

BitDefender Online Scanner
	

 
	

 

Rapport d'analyse généré à: Sat, Aug 09, 2008 - 23:16:58

 
	

 
	

 

Voie d'analyse: A:\;C:\;D:\;
	

 
	

 

 
	

 
	

 

Statistiques

Temps
	

00:56:01

Fichiers
	

122722

Directoires
	

9811

Secteurs de boot
	

2

Archives
	

717

Paquets programmes
	

14468
	

 
	

 

Résultats

Virus identifiés
	

0

Fichiers infectés
	

0

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

0
	

 
	

 

Info sur les moteurs

Définition virus
	

1436115

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

16

Archive des plugins
	

43

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

5
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

Aucun virus trouvé.

kduc · Answer

...

Comment se comporte le PC ?

BIOTYFOOL · Answer

Ca a l'air d'être tout bon ( pour l'instant ).
Depuis quel que temps j'avais un écrans bleu windows au démarage ( pas tous le temps ) et il me semble que ça ne le fait plus depuis le scan de malware byte, donc je suis très content de mettre débarassé de ces MER***.
En tout cas, je tiens a te remercié pour ton aide, ainsi qu'a jacques gache.

MERCI BEAUCOUP.

Virus dans la barre des taches

15 réponses

Discussions similaires