Comment se débarasser de Bamital-AE ?

bonjour

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

o execute le , La fenêtre suivante va s'ouvrir::

http://i265.photobucket.com/albums/ii226/Marie_Ven/0001img-2421.png

o Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
o Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir:

[img]http://i265.photobucket.com/albums/ii226/Marie_Ven/0002img-40.png/img

o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.

o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.

o Si Suspicious file est indiqué, laisse l'option cochée sur Skip

o Clique sur Continue puis sur Reboot now pour redémarrer le PC.

o Envoie le rapport généré sur http://www.cijoint.fr/ dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

tutoriel--> http://support.kaspersky.com/viruses/solutions?qid=208280684

bonjour et merci de m'aider,

j'ai exécuté load_tdsskiller et voici les fenêtres que j'obtiens:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijNBiFubm.jpg
puis
http://www.cijoint.fr/cjlink.php?file=cj201010/cijMk4LRfK.jpg

quand je clique sur continue, je n'ai pas de reboot de proposé, je n'ai donc pas redémaré mon ordi

de plus à la racine de C: j'ai bien un répertoire "tdsskiller" mais pas "TDSSKiller_Quarantine" donc pas de fichier rapport

que faire?

Désolé, il était à la racine, directement dans c:\
le voilà donc:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijeum35zG.txt

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

j'ai désactivé avast et le firewall windows

j'ai fait un premier scan sans connexion internet:
ComboFix a alors rebooté mon poste avant de s'exécuter.
mais n'aiyant pas la main, je n'ai pas put rétablir la connection internet, donc pas d'install de la console de récupération possible
voici le rapport obtenu:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijhPO68t3.txt

J'ai ensuite lerancé un scan avec la connection internet active, et donc installation de la console de récupération.
remarque: le pc n'a pasrebooté pour ce éeme scan
voici le rapport alors obtenu:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijXH7JPz1.txt

c'est bien?

deux fichiers essentiels infectés...

Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://forum-aide-contre-virus.be/download/C_XX/SEAF.exe


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.

* Dans l'encadré blanc " Entrez ci dessous...." copie/colle ceci :

winlogon.exe



* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "

* Au niveau des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage )

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

................

même opération ensuite avec

explorer.exe

Je me doutais bien qu'avec ces noms là, ils devaient être important ces 2 fichiers...

voici le fichier log pour le SEAF sur pour "winlogon.exe": http://www.cijoint.fr/cjlink.php?file=cj201010/cijFzhbnK1.txt

et le fichier pour "explorer.exe": http://www.cijoint.fr/cjlink.php?file=cj201010/cij8JRJQBc.txt

il n' y a pas de quoi les remplacer dans ton pc...


Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier :

C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\winlogon.exe


Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers :

Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décocher masquer les extensions dont le type est connu

Puis fais «appliquer» pour valider les changements.

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

Il a fallut que je m'y reperenne à pas mal de fois pour obtenir enfin un résultat avec le premier fichier
voici donc le résultat pour explorer.exe:
http://www.virustotal.com/...

Pour le second, C:\WINDOWS\system32\winlogon.exe, pour le moment virustotal refuse de me faire une analyse.
Dès que j'arrive à obtenir un résultat, je poste ça.

et voici le résultat pour winlogon.exe:
http://www.virustotal.com/...

ok

les deux sont bien infecté et rien dans ton pc pour les remplacer..

as tu le cd de windows ?

oui, je dois avoir une sorte de CD de restaure qui était livré avec l'ordi mais que je n'ai jamais utilisé.

sinon, je dois aussi avoir des CD d'XP pro dans un coin.

(salut président)

je dois aussi avoir des CD d'XP pro dans un coin.

apres réflexion, tu dois être en SP3 et je pense que ca va pas le faire

télécharge et copie à la racine de C ces deux fichiers

http://sd-2.archive-host.com/membres/up/135518691112296573/explorer.exe

http://sd-2.archive-host.com/membres/up/135518691112296573/winlogon.exe


puis

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::



FCopy::

c:\explorer.exe | c:\windows\explorer.exe

c:\winlogon.exe | c:\windows\system32\winlogon.exe


* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

Bonjour,

voici le journal de combofix:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij2H3ZhXZ.txt

ok

refais un tourner combofix normalement (sans script ) et poste le rapport stp

Bonsoir,

voici un combofix normal:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijWFr3fLL.txt

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


File::

c:\documents and settings\Ai\Application Data\sdfsfs.bat
c:\documents and settings\Ai\Application Data\dsfsds.bat
c:\documents and settings\Vincent\Application Data\sdfsfs.bat
c:\documents and settings\Vincent\Application Data\dsfsds.bat

* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

Bonjour,

j'ai passé le script avec Combo fxe et voici le résultar

http://www.cijoint.fr/cjlink.php?file=cj201010/cijS6YREi3.txt

ok

Télécharge ZHPDiag ( de Nicolas coolman ).
http://telechargement.zebulon.fr/zhpdiag.html

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Voici le résulta:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijtp41TfF.txt