Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

Virus infostealer

Dernière réponse le 7 fév 2009 à 18:59:36 blunt, le 3 fév 2009 à 22:17:28

Signaler ce message aux modérateurs

Bonjour,

Mon Norton antivirus à detecté un risque infostealer terminaison de procédure requise nombre 3 fichie 9129837.exe sous c:\windows infécté mais mis en quarantaine . JE n'arrive pas à le supprimer ( écran bleu ) ou idem si je ferme la boite de diaologue Norton ! J'arrive néanmoins à demarrer le PC normalement .

Que puis-je entreprendre pour supprimer ce virus

Merci
Rudi

Configuration: Windows XP
Internet Explorer 6.0

Meilleures réponses pour « virus infostealer » dans :

Virus infostealer.Lineage Voir

Virus infostealer Voir

Virus infostealer gampass HELP SVP Voir

[Virus] Que faire quand on est infecté ? VoirSi vous savez ou vous pensez être infecté par un virus Si vous savez ou vous pensez être infecté par un virus, il faut s'en occuper le plus rapidement possible car l'infection peut inviter d'autres infections dans votre PC et votre système risque...

Virus et Malwares ... Le truc pour les éliminer Voir

[Virus] System Volume Information VoirSommaire Explications Exemple Supprimer un virus logé dans le dossier System Volume Information sous Windows XP Informations supplémentaires Explications Le dossier System Volume Information est utilisé par Windows XP pour...

Virus infostealer Voir

Virus infostealer (Résolu) Voir

Virus infostealer.banco Voir

Télécharger AVG Anti-Virus Voir

Télécharger Kaspersky Anti-Virus Voir

Télécharger Kaspersky Anti-Virus 2010 Voir

Virus - Introduction aux virus VoirVirus Un virus est un petit programme informatique situé dans le corps d'un autre, qui, lorsqu'on l'exécute, se charge en mémoire et exécute les instructions que son auteur a programmé. La définition d'un virus pourrait être la suivante : « Tout...

Utilitaires de désinfection des principaux virus et vers VoirQu'est-ce qu'un kit de désinfection ? Un kit de désinfection est un petit exécutable dont le but est de nettoyer une machine infectée par un virus particulier. Chaque kit de désinfection est donc uniquement capable d'éradiquer un type de virus...

Ok mais pour voir si rien d'autre fais la suite a plus

Posez votre question Répondre

jlpjlp, le 3 fév 2009 à 22:21:38

Slt,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

__________________________

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

Répondre à jlpjlp

blunt, le 7 fév 2009 à 16:45:58

Hello,

J'ai effectué ta procédure et cela m'a effacé le virus !! Merci

ci-joint le rapport

[b]SDFix: Version 1.240 /b
Run by Rodolphe FAHRNI on 07.02.2009 at 16:08

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:

[b]Name /b:
new_drv

[b]Path /b:
\??\C:\WINDOWS\new_drv.sys

new_drv - Deleted

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

[b]Checking Files /b:

Trojan Files Found:

C:\WINDOWS\new_drv.sys - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMP1.tmp - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMP5.tmp - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMP51.tmp - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMPA.tmp - Deleted
C:\WINDOWS\9129837.exe - Deleted

Removing Temp Files

[b]ADS Check /b:

[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-07 16:27:44
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services /b:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\Real\\RealOne Player\\realplay.exe"="C:\\Program Files\\Real\\RealOne Player\\realplay.exe:*:Enabled:RealOne Player"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\\Documents and Settings\\Rodolphe FAHRNI\\Bureau\\nat emoticones.exe"="C:\\Documents and Settings\\Rodolphe FAHRNI\\Bureau\\nat emoticones.exe:*:Enabled:IncrediMail Installer"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Documents and Settings\\Rodolphe FAHRNI\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\nat emoticones.exe"="C:\\Documents and Settings\\Rodolphe FAHRNI\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\nat emoticones.exe:*:Enabled:IncrediMail Installer"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"="C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files /b:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Wed 2 Jan 2008 48 ..SH. --- "C:\WINDOWS\S0625E80C.tmp"
Tue 27 Jan 2009 8,704 A..H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Bureau\a.exe"
Thu 18 Nov 2004 47,616 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\~WRL0001.tmp"
Sun 4 Jan 2009 25,600 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\~WRL1257.tmp"
Thu 10 May 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 11 Sep 2003 1,206 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\ccReg.reg"
Sat 10 May 2003 1,206 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\ccReg_old.reg"
Sat 10 May 2003 12,368 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\CommonClient_old.reg"
Thu 11 Sep 2003 12,368 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\CommonClient.reg"
Fri 3 Feb 2006 866,304 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Application Data\Microsoft\Word\~WRL0005.tmp"
Fri 3 Feb 2006 916,480 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Application Data\Microsoft\Word\~WRL3213.tmp"
Wed 28 Mar 2001 20,480 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\VOITURE\~WRL0004.tmp"
Wed 28 Mar 2001 21,504 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\VOITURE\~WRL0146.tmp"
Thu 9 Mar 2006 32,256 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL0766.tmp"
Thu 9 Mar 2006 34,304 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL1372.tmp"
Thu 9 Mar 2006 43,008 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL1422.tmp"
Thu 9 Mar 2006 43,520 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL2377.tmp"
Wed 23 Dec 1998 521,216 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\coupe de noel\2004\Viewer.exe"
Wed 23 Dec 1998 521,216 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\coupe de noel\2003\Besson\Viewer.exe"
Wed 23 Dec 1998 521,216 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\coupe de noel\2003\heizen\Viewer.exe"

[b]Finished!/b

Répondre à blunt

jlpjlp, le 7 fév 2009 à 18:59:36

Ok

mais pour voir si rien d'autre fais la suite

a plus

Répondre à jlpjlp

Posez votre question Répondre