Posez votre question Signaler

Virus infostealer

blunt - Dernière réponse le 7 févr. 2009 à 18:59
Bonjour,
Mon Norton antivirus à detecté un risque infostealer terminaison de procédure requise nombre 3 fichie 9129837.exe sous c:\windows infécté mais mis en quarantaine . JE n'arrive pas à le supprimer ( écran bleu ) ou idem si je ferme la boite de diaologue Norton ! J'arrive néanmoins à demarrer le PC normalement .
Que puis-je entreprendre pour supprimer ce virus
Merci
Rudi
Lire la suite 

Virus infostealer »

3 réponses
Réponse
+0
moins plus
slt,



Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum


__________________________


Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
Ajouter un commentaire
Réponse
+0
moins plus
Hello,

J'ai effectué ta procédure et cela m'a effacé le virus !! Merci

ci-joint le rapport


[b]SDFix: Version 1.240 /b
Run by Rodolphe FAHRNI on 07.02.2009 at 16:08

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services /b:

[b]Name /b:
new_drv

[b]Path /b:
\??\C:\WINDOWS\new_drv.sys

new_drv - Deleted



Restoring Default Security Values
Restoring Default Hosts File

Rebooting


[b]Checking Files /b:

Trojan Files Found:

C:\WINDOWS\new_drv.sys - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMP1.tmp - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMP5.tmp - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMP51.tmp - Deleted
C:\DOCUME~1\RODOLP~1\LOCALS~1\Temp\TMPA.tmp - Deleted
C:\WINDOWS\9129837.exe - Deleted





Removing Temp Files

[b]ADS Check /b:



[b]Final Check /b:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-07 16:27:44
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services /b:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Internet Explorer\\iexplore.exe"="C:\\Program Files\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"C:\\Program Files\\Real\\RealOne Player\\realplay.exe"="C:\\Program Files\\Real\\RealOne Player\\realplay.exe:*:Enabled:RealOne Player"
"C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Program Files\\Microsoft ActiveSync\\wcescomm.exe:*:Enabled:ActiveSync Connection Manager"
"C:\\Documents and Settings\\Rodolphe FAHRNI\\Bureau\\nat emoticones.exe"="C:\\Documents and Settings\\Rodolphe FAHRNI\\Bureau\\nat emoticones.exe:*:Enabled:IncrediMail Installer"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"C:\\Documents and Settings\\Rodolphe FAHRNI\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\nat emoticones.exe"="C:\\Documents and Settings\\Rodolphe FAHRNI\\Local Settings\\Temp\\ImInstaller\\IncrediMail\\nat emoticones.exe:*:Enabled:IncrediMail Installer"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Program Files\\iTunes\\iTunes.exe"="C:\\Program Files\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe"="C:\\Program Files\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:Battlefield 2"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"="C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe:*:Enabled:Logitech Desktop Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files /b:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes /b:

Wed 2 Jan 2008 48 ..SH. --- "C:\WINDOWS\S0625E80C.tmp"
Tue 27 Jan 2009 8,704 A..H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Bureau\a.exe"
Thu 18 Nov 2004 47,616 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\~WRL0001.tmp"
Sun 4 Jan 2009 25,600 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\~WRL1257.tmp"
Thu 10 May 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 11 Sep 2003 1,206 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\ccReg.reg"
Sat 10 May 2003 1,206 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\ccReg_old.reg"
Sat 10 May 2003 12,368 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\CommonClient_old.reg"
Thu 11 Sep 2003 12,368 A..HR --- "C:\Program Files\Fichiers communs\Symantec Shared\Registry Backup\CommonClient.reg"
Fri 3 Feb 2006 866,304 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Application Data\Microsoft\Word\~WRL0005.tmp"
Fri 3 Feb 2006 916,480 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Application Data\Microsoft\Word\~WRL3213.tmp"
Wed 28 Mar 2001 20,480 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\VOITURE\~WRL0004.tmp"
Wed 28 Mar 2001 21,504 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\VOITURE\~WRL0146.tmp"
Thu 9 Mar 2006 32,256 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL0766.tmp"
Thu 9 Mar 2006 34,304 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL1372.tmp"
Thu 9 Mar 2006 43,008 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL1422.tmp"
Thu 9 Mar 2006 43,520 ...H. --- "C:\Documents and Settings\All Users\Documents\KATRIN\INFORMATIQUE\Exemples Cours Word MFC 2000\~WRL2377.tmp"
Wed 23 Dec 1998 521,216 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\coupe de noel\2004\Viewer.exe"
Wed 23 Dec 1998 521,216 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\coupe de noel\2003\Besson\Viewer.exe"
Wed 23 Dec 1998 521,216 ...H. --- "C:\Documents and Settings\Rodolphe FAHRNI\Mes documents\Rudi\coupe de noel\2003\heizen\Viewer.exe"

[b]Finished!/b
Ajouter un commentaire
Réponse
+1
moins plus
ok

mais pour voir si rien d'autre fais la suite

a plus
Ajouter un commentaire
Ce document intitulé « virus infostealer » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
5 extensions si vous voulez revenir à l'ancien Facebook