comment se débarasser de Bamital-AE ?Fermé

Question

Bonjour à tous, 

Visiblement je ne suis pas le seul à rencontrer ce problème, mais à la lecture des autres post, la résolution de semble pas si simple.

Mon antivirus Avast détécte un virus: Win32:Bamital-AE

il semblerait que ce virus rende mes ouvertures de session windows plus difficiles: je dois m'y reprende à plusieurs fois avant que ma session s'ouvre entièrement.

voici un extrait du journal Avast:
"
23/10/2010 21:53:06	C:\WINDOWS\system32\winlogon.exe [L] Win32:Bamital-AE (0)
Durant le transfert du fichier vers la zone de quarantaine, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
Durant la suppression du fichier, l'erreur suivante s'est produite : Le fichier spécifié est en lecture seulement
"

quelqu'un pourrait-il m'aider pour supprimer ce virus?

Merci d'avance !

Configuration: Windows XP / Firefox 3.6.11

moment de grace · Answer

bonjour

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

o execute le , La fenêtre suivante va s'ouvrir:: 

http://i265.photobucket.com/albums/ii226/Marie_Ven/0001img-2421.png 

o Clique sur Start scan et laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC. 
o Si des fichiers infectés sont trouvées, une nouvelle fenêtre va s'ouvrir: 

[img]http://i265.photobucket.com/albums/ii226/Marie_Ven/0002img-40.png/img 

o Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut. 

o Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée. 

o Si Suspicious file est indiqué, laisse l'option cochée sur Skip 

o Clique sur Continue puis sur Reboot now pour redémarrer le PC. 

o Envoie le rapport généré sur http://www.cijoint.fr/ dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage). 

tutoriel--> https://support.kaspersky.com/5350

ganjakru69 · Answer

bonjour et merci de m'aider, 

j'ai exécuté load_tdsskiller et voici les fenêtres que j'obtiens: 
http://www.cijoint.fr/cjlink.php?file=cj201010/cijNBiFubm.jpg 
puis 
http://www.cijoint.fr/cjlink.php?file=cj201010/cijMk4LRfK.jpg 

quand je clique sur continue, je n'ai pas de reboot de proposé, je n'ai donc pas redémaré mon ordi 

de plus à la racine de C: j'ai bien un répertoire "tdsskiller" mais pas "TDSSKiller_Quarantine" donc pas de fichier rapport 

que faire?

ganjakru · Answer

Désolé, il était à la racine, directement dans c:\
le voilà donc:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijeum35zG.txt

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

ganjakru69 · Answer

j'ai désactivé avast et le firewall windows

j'ai fait un premier scan sans connexion internet:
ComboFix a alors rebooté mon poste avant de s'exécuter.
mais n'aiyant pas la main, je n'ai pas put rétablir la connection internet, donc pas d'install de la console de récupération possible
voici le rapport obtenu:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijhPO68t3.txt

J'ai ensuite lerancé un scan avec la connection internet active, et donc installation de la console de récupération.
remarque: le pc n'a pasrebooté pour ce éeme scan
voici le rapport alors obtenu:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijXH7JPz1.txt

c'est bien?

moment de grace · Answer

deux fichiers essentiels infectés...

Télécharge SEAF ( de C__XX ) sur ton bureau : 

ici https://www.androidworld.fr/


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encadré blanc " Entrez ci dessous...." copie/colle ceci : 

winlogon.exe



* Au niveau des " options des fichiers ", fait les réglages suivant : 
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ". 
> Coche la case devant " Afficher les ADS " 

* Au niveau des " options du registre " : 
> coche " chercher également dans le registre " 

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ... 
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

................

même opération ensuite avec

explorer.exe

ganjakru69 · Answer

Je me doutais bien qu'avec ces noms là, ils devaient être important ces 2 fichiers...

voici le fichier log pour le SEAF sur pour "winlogon.exe": http://www.cijoint.fr/cjlink.php?file=cj201010/cijFzhbnK1.txt
 
et le fichier pour "explorer.exe": http://www.cijoint.fr/cjlink.php?file=cj201010/cij8JRJQBc.txt

moment de grace · Answer

il n' y a pas de quoi les remplacer dans ton pc...


Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 

C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\winlogon.exe


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK


tuto pour t'aider

http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

ganjakru69 · Answer

Il a fallut que je m'y reperenne à pas mal de fois pour obtenir enfin un résultat avec le premier fichier
voici donc le résultat pour explorer.exe:
http://www.virustotal.com/file-scan/report.html?id=0c82567b90e4d2e52dfcb9af4aff8ab5c2dfea9da7a8f606112c750a37a1536c-1287930986

Pour le second, C:\WINDOWS\system32\winlogon.exe, pour le moment virustotal refuse de me faire une analyse.
Dès que j'arrive à obtenir un résultat, je poste ça.

ganjakru69 · Answer

et voici le résultat pour winlogon.exe:
http://www.virustotal.com/file-scan/report.html?id=8c6a140666fabaef2ea0f4439cc39424f9fa290f214056146a512d81c95ea5a4-1287933652

moment de grace · Answer

ok

les deux sont bien infecté et rien dans ton pc pour les remplacer..

as tu le cd de windows ?

ganjakru69 · Answer

oui, je dois avoir une sorte de CD de restaure qui était livré avec l'ordi mais que je n'ai jamais utilisé.

sinon, je dois aussi avoir des CD d'XP pro dans un coin.

moment de grace · Answer

(salut président)

je dois aussi avoir des CD d'XP pro dans un coin.

apres réflexion, tu dois être en SP3 et je pense que ca va pas le faire

télécharge et copie à la racine de C ces deux fichiers

http://sd-2.archive-host.com/membres/up/135518691112296573/explorer.exe

http://sd-2.archive-host.com/membres/up/135518691112296573/winlogon.exe


puis

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll:: 



FCopy:: 

c:\explorer.exe | c:\windows\explorer.exe 

c:\winlogon.exe | c:\windows\system32\winlogon.exe


* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

ganjakru69 · Answer

Bonjour,

voici le journal de combofix:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij2H3ZhXZ.txt

moment de grace · Answer

ok

refais un tourner combofix normalement (sans script ) et poste le rapport stp

ganjakru69 · Answer

Bonsoir,

voici un combofix normal:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijWFr3fLL.txt

moment de grace · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


File::

c:\documents and settings\Ai\Application Data\sdfsfs.bat 
c:\documents and settings\Ai\Application Data\dsfsds.bat 
c:\documents and settings\Vincent\Application Data\sdfsfs.bat 
c:\documents and settings\Vincent\Application Data\dsfsds.bat

* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

ganjakru69 · Answer

Bonjour,

j'ai passé le script avec Combo fxe et voici le résultar

http://www.cijoint.fr/cjlink.php?file=cj201010/cijS6YREi3.txt

moment de grace · Answer

ok

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

ganjakru69 · Answer

Voici le résulta:

http://www.cijoint.fr/cjlink.php?file=cj201010/cijtp41TfF.txt

Comment se débarasser de Bamital-AE ?

23 réponses

Discussions similaires

Newsletters