Virus infostealer

slt,



Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum


__________________________


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Hello,

J'ai effectué ta procédure et cela m'a effacé le virus !! Merci

ci-joint le rapport


[b]SDFix: Version 1.240 /b
Run by Rodolphe FAHRNI on 07.02.2009 at 16:08

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:

[b]Name /b:
new_drv

[b]Path /b:
\??\C:\WINDOWS\new_drv.sys

new_drv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

Trojan Files Found:

C:\WINDOWS\new_drv.sys - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMP1.tmp - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMP5.tmp - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMP51.tmp - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMPA.tmp - Deleted
C:\WINDOWS\9129837.exe - Deleted





Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-07 16:27:44
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\Real\\RealOne Player\\realplay.exe"="C:\\Program Files\\Real\\RealOne Player\\realplay.exe:*:Enabled:RealOne Player"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\\Documents and Settings\\Rodolphe FAHRNI\\Bureau\\nat emoticones.exe"="C:\\Documents and Settings\\Rodolphe FAHRNI\\Bureau\\nat emoticones.exe:*:Enabled:IncrediMail Installer"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Documents and Settings\\Rodolphe FAHRNI\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\nat emoticones.exe"="C:\\Documents and Settings\\Rodolphe FAHRNI\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\nat emoticones.exe:*:Enabled:IncrediMail Installer"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"="C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Wed 2 Jan 2008 48 ..SH. --- "C:\WINDOWS\S0625E80C.tmp"
Tue 27 Jan 2009 8,704 A..H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Bureau\a.exe"
Thu 18 Nov 2004 47,616 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\~WRL0001.tmp"
Sun 4 Jan 2009 25,600 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\~WRL1257.tmp"
Thu 10 May 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 11 Sep 2003 1,206 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\ccReg.reg"
Sat 10 May 2003 1,206 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\ccReg_old.reg"
Sat 10 May 2003 12,368 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\CommonClient_old.reg"
Thu 11 Sep 2003 12,368 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\CommonClient.reg"
Fri 3 Feb 2006 866,304 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Application Data\Microsoft\Word\~WRL0005.tmp"
Fri 3 Feb 2006 916,480 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Application Data\Microsoft\Word\~WRL3213.tmp"
Wed 28 Mar 2001 20,480 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\VOITURE\~WRL0004.tmp"
Wed 28 Mar 2001 21,504 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\VOITURE\~WRL0146.tmp"
Thu 9 Mar 2006 32,256 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL0766.tmp"
Thu 9 Mar 2006 34,304 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL1372.tmp"
Thu 9 Mar 2006 43,008 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL1422.tmp"
Thu 9 Mar 2006 43,520 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL2377.tmp"
Wed 23 Dec 1998 521,216 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\coupe de noel\2004\Viewer.exe"
Wed 23 Dec 1998 521,216 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\coupe de noel\2003\Besson\Viewer.exe"
Wed 23 Dec 1998 521,216 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\coupe de noel\2003\heizen\Viewer.exe"

[b]Finished!/b

ok

mais pour voir si rien d'autre fais la suite

a plus