Win32 malware-gen [Résolu/Fermé]

Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 13:03 - Dernière réponse : Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention
- 14 avril 2010 à 13:28
Depuis hier mon antivirus avast me signale tout les 5 minutes que j'ai un virus sur mon ordinateur, je le supprime mais il revien toujours. Ce virus s'appelle "Win32 malware-gen".
Merci de m'aidez.
a+
Afficher la suite 

123 réponses

Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 7 avril 2010 à 13:05
+1
Utile
Bonjour,

On va analyser ton PC
Sous VISTA : Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection)

Télécharge RSIT et mets l'exécutable sur ton Bureau. ==>http://images.malwareremoval.com/random/RSIT.exe
Ferme toutes les applications et déconnecte toi dinternet
Lance RSIT:
- Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .
- Devant l'option "List files/folders created ..." , tu choisis : 1 months
- Clique ensuite sur " Continue " pour lancer l'analyse ...
- Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu s'il te le demande) et tu devras accepter la licence.

Le scan démarre et ne touche pas au PC ...
Une fois l'analyse terminée, deux fichiers texte s'ouvriront (avec le bloc-note).
Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches),
Tu peux utiliser www.cijoint.fr pour mettre un lien vers les deux rapports

PS: Pour info les rapports se trouvent dans C:\rsit

Smart
Cette réponse vous a-t-elle aidé ?  
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 13:14
0
Utile
Logfile of random's system information tool 1.06 (written by random/random)
Run by UTILISATEUR at 2010-04-07 13:12:23
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 44 GB (73%) free of 60 GB
Total RAM: 895 MB (54% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:12:36, on 07/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Orange\Systray\SystrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\lssas.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\UTILISATEUR.AR\Bureau\RSIT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Program Files\trend micro\UTILISATEUR.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange\SearchURLHook\SearchPageURL.dll
R3 - URLSearchHook: myBabylon English4 Toolbar - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyB0.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: myBabylon English4 Toolbar - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyB0.dll
O3 - Toolbar: myBabylon English4 Toolbar - {fc600575-3013-4e8e-941c-4b00dafce730} - C:\Program Files\myBabylon_English4\tbmyB0.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\Orange\SessionManager\SessionManager.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Google Updater] C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\lssas.exe
O4 - HKCU\..\Run: [Google Updater] C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\lssas.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 13:16
0
Utile
Voila et maintenant? =)
Au fait merci de t'occuper de moi.
Utilisateur anonyme - 7 avril 2010 à 13:18
0
Utile
1
c'est bien le scan hijackthis ?
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 7 avril 2010 à 13:25
Dans un r'apport RSIT il y a un rapport Hijackthis
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 13:19
0
Utile
C'est le scan que j'ai fait avec le logiciel RSIT.
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 13:21
0
Utile
Celui que ma demander de faire Smart91.
Utilisateur anonyme - 7 avril 2010 à 13:24
0
Utile
ok , celui ci , je ne le metrise pas ...
je laisse smart91 t'aider .
si jamais , tu n'as pas de reponse etc ... , previens moi et fais le scan de hijackthis .

bonne chance .
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 7 avril 2010 à 13:28
0
Utile
- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://forum-aide-contre-virus.be/download/AD-Remover.html
- Clique sur [b]TÉLÉCHARGER/b et enregistre-le sur ton bureau.
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Smart
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 13:40
0
Utile
.
======= RAPPORT D'AD-REMOVER 2.0.0.0,B | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 31/03/10 à 21:30
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:31:20 le 07/04/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: AR | Utilisateur actuel: UTILISATEUR (Administrateur)
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\liveplayer_exe.dat
C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp\liveplayer_skin.dat

(!) -- Fichiers temporaires supprimés.
.
HKCU\Software\fcn
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
HKCU\Software\PopCap
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\nnoooff
HKLM\Software\PopCap
.
(Orpheline) BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} (CLSID manquant)
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.0.19 (fr) *
.
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - browser.download.lastDir: D:\\Yeliz\\Photos, images
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - browser.startup.homepage: hxxp://www.google.com
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.0.19
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - keyword.URL: hxxp://www.searcheo.fr/renseignement?search&q=
C:\Documents and Settings\UTILISATEUR.AR\..\c6r8tnn6.default\prefs.js - privacy.popups.showBrowserMessage, false
.
.
* Internet Explorer Version 8.0.6001.18702 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\DOCUME~1\UTILIS~1.AR\LOCALS~1\Temp: 4 Fichier(s), 318 Dossier(s)
C:\WINDOWS\temp: 3 Fichier(s), 89 Dossier(s)
Temporary Internet Files: 0 Fichier(s), 20 Dossier(s)
.
C:\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 3076 Octet(s)
.
Fin à: 13:39:20, 07/04/2010
.
============== E.O.F - CLEAN[1] ==============
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - Modifié par Smart91 le 7/04/2010 à 13:56
0
Utile
OK. On avance.

/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto :http://www.commentcamarche.net/faq/sujet-8343-vista-desactiver-l-uac

Télécharge Malwarebytes

- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
-Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 13:49
0
Utile
Dois-je sélectionner tout les disques?
Et après avoir fini l'analyse et avoir efface les fichiers infecté dois-je redémarrer mon ordinateur ?
Le redémarrage prend-il bcp de temps ?
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 7 avril 2010 à 13:53
0
Utile
Fais le sur le disque system C: pour le moment. Poste le rapport avant de redemarrer le PC

Smart
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 13:53
0
Utile
1
ok mais si on me force a le redémarrer. Si j'ai pas le choix
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 7 avril 2010 à 14:04
Suis la procédure que j'ai donné
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 14:05
0
Utile
C pas prêt d'être finis je crois que ça va me prendre un peut beaucoup de temps sa fait déjà 10 minutes.
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 14:07
0
Utile
1
On avance bien ?
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 7 avril 2010 à 14:10
Ne t'inquiète pas l'analyse peut être longue.
Est-ce que tu as fais un examen rapide ou complet

Smart
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 14:10
0
Utile
Complet et j'ai choisi C:\
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 14:12
0
Utile
2
Est-ce que c'est grave si j'ai déjà 4 fichiers infectés :/
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 14:14
Le signale du virus continue encore a venir tout les 10 minutes
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 7 avril 2010 à 14:16
Attends que l'analyse soit complètement terminée. sauvegarde le rapport et poste le.
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 14:18
0
Utile
Ok jsuis passer a 8 fichiers infectés, j'ai peur ^^
Fasiler 93 Messages postés mardi 6 avril 2010Date d'inscription 15 janvier 2011 Dernière intervention - 7 avril 2010 à 14:39
0
Utile
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3962

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

07/04/2010 14:38:00
mbam-log-2010-04-07 (14-38-00).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 188481
Temps écoulé: 43 minute(s), 8 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\google updater (Backdoor.IRCBot) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\google updater (Backdoor.IRCBot) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Dossier(s) infecté(s):
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Fichier(s) infecté(s):
C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026514.exe (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026515.dll (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026516.dll (Adware.Gibmedia) -> No action taken.
C:\System Volume Information\_restore{633F3542-C6B4-4772-8334-27DDD7E290C5}\RP115\A0026517.exe (Adware.Gibmedia) -> No action taken.
C:\WINDOWS\system32\sdra64.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Documents and Settings\UTILISATEUR.AR\Local Settings\Temp\lssas.exe (Backdoor.IRCBot) -> No action taken.






Voila dois-je supprimer la selection ?
Smart91 29175 Messages postés dimanche 15 juillet 2007Date d'inscriptionContributeur sécuritéStatut 5 avril 2014 Dernière intervention - 7 avril 2010 à 14:43
0
Utile
Oui tout à fait
Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Smart
Win32 malware-gen - page 2