[Résolu] PC infecté par ipexewin.exe

[angelique]

Qaund je fais ça avec la commande.......il me met un message d'erreur

 

Impossible de trouver le fichier iwbi.exe

Voulez-vous en créer un nouveau?

 

J e fais quoi?

 

tu laisses tomber.

 

 

ok on change la methode !car t'as pas le bon catchme, désolée!!!

 

• Télécharge DiagHelp ( de Malekal_morte ) : http://www.malekal.com/download/DiagHelp.zip

dezippe le

 

• double clic sur catchme dans le dossier diaghelp

 

selectionne l'onglet script et copie_colle dans la fenetre le contenu du cadre ci dessous et clic start., puis redemarre et execute turlututu.reg

 

files to kill:
c:\windows\system32:imwbi.exe

 

 

 

• tu dois maintenant avoir catchme.zip et .log sur ton bureau , upload le .zip et poste le contenu du .log

[angelique]

je reviens vers 17H

[jaja33]

A près catchme, message : script completed with errors

 

Je redémarre et lance turlututu

 

A+

[jaja33]

Voilà j'ai enfin le zip et le log!!

 

Voilà pour le log

 

detected NTDLL code modification:

ZwQueryDirectoryFile, ZwQuerySystemInformation

 

 

Processing "Files to kill:"

 

read file error: c:\windows\system32:iwbi.exe, Le fichier spécifié est introuvable.

[MAD­]

Bonjour jaja33.

 

Le nom de fichier était erroné, c'est imwbi.exe et non iwbi.exe

Recommence les manipulations préconisées par angélique.

[jaja33]

Voilà le fichier log avec le bon nom de fichier imwbi.exe

 

detected NTDLL code modification:

ZwQueryDirectoryFile, ZwQuerySystemInformation

 

 

Processing "Files to kill:"

 

file zipped: c:\windows\system32:imwbi.exe -> catchme.zip -> imwbi.exe ( 130759 bytes )

PE file "c:\windows\system32:imwbi.exe" killed successfully

 

 

 

Par contre, windows m'an envoyé plein de messages d'erreurs quand j'ai rallumé

Et antivir a bippé très souvent (au moins 30 fois!!)

[jaja33]

Voilà le lien pour le catchme.zip

 

<merci pour le lien , c'est recupéré , lien supprimé pour securité des lecteurs>

 

J'espère que c'est ce que vous vouliez.....

Modifié le 8 décembre 2008 par angelique
suppression du link

[angelique]

Oups merci Mad pour la correction imwbi.exe et non iwbi.exe , erreur de frappe

 

Par contre, windows m'an envoyé plein de messages d'erreurs quand j'ai rallumé

 

bah la bebete est carrement bien ancrée au systeme donc c'est normal , mais pas cool je sais!

 

Et antivir a bippé très souvent (au moins 30 fois!!)

 

sur quel fichier? catchme.zip ??

 

• reposte un nouveau rapport Gmer stp

[MAD­]

Outre des infections bénignes, vous aviez une menace de type "stealer". Le troyen stealer d'origine russe nommé Pinch est conçu pour extorquer des données sensibles. La variante que nous avons étudié révèle que les pirates ont été en mesure d'intercepter vos communications. Une compromission des données personnelles peut avoir des effets néfastes: détournements financiers (Bank Fraud), utilisation frauduleuse de votre ordinateur (Zombie), usurpations d'identités (Identity Theft), etc... autres effets collatéraux. Nous vous recommandons de changer vos mots de passe et de bien vérifier à vos comptes. Si vous apercevez des anomalies sur vos relevés bancaires, contactez immédiatement votre banque. Nous sommes disposés à vous accompagner dans vos démarches dans le cadre d'une plainte, nous vous fournirons les éléments en temps voulu.

 

Je laisse angélique continuer.

Bon courage à vous deux.

[jaja33]

Voilà le rapport Gmer

 

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-12-08 17:13:59

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.14 ----

 

SSDT F7C92B04 ZwCreateThread

SSDT F7C92AF0 ZwOpenProcess

SSDT F7C92AF5 ZwOpenThread

SSDT F7C92AFF ZwTerminateProcess

SSDT F7C92AFA ZwWriteVirtualMemory

 

---- User code sections - GMER 1.0.14 ----

 

.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1292] USER32.dll!DialogBoxParamW 7E3A555F 5 Bytes JMP 4437F2C1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1292] USER32.dll!DialogBoxIndirectParamW 7E3B2032 5 Bytes JMP 4451166F C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1292] USER32.dll!MessageBoxIndirectA 7E3BA04A 5 Bytes JMP 445115F0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1292] USER32.dll!DialogBoxParamA 7E3BB10C 5 Bytes JMP 44511634 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1292] USER32.dll!MessageBoxExW 7E3D05D8 5 Bytes JMP 4451157C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1292] USER32.dll!MessageBoxExA 7E3D05FC 5 Bytes JMP 445115B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1292] USER32.dll!DialogBoxIndirectParamA 7E3D6B50 5 Bytes JMP 445116AA C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\IEXPLORE.EXE[1292] USER32.dll!MessageBoxIndirectW 7E3E62AB 5 Bytes JMP 443A1676 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

 

---- Devices - GMER 1.0.14 ----

 

AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr.sys (Family Safety Filter Driver/Microsoft Corporation)

 

---- Files - GMER 1.0.14 ----

 

ADS C:\WINDOWS\system32:imwbi.exe 130759 bytes executable

 

---- EOF - GMER 1.0.14 ----