Infection BDC/Momibot.89088.B

[Gof]

Bonjour Fullzx14r

 

Désolé pour une réponse si tardive. J'ai eu du monde en fin de journée.

Pas de soucis, on a chacun nos impératifs.

 

Rends toi dans ton Internet Explorer > Outils > Options Internet > Onglet Connexion > Paramètre du réseau local > Paramètre réseau

• Assure toi que Utiliser un serveur Proxy... soit décoché
  
• Assure toi que Détecter automatiquement les paramètres de connexion soit coché
  
• Ferme Internet Explorer, redémarre le PC.
  

 

J'attends toujours le rapport MBAM, et les réponses à mes questions dans mon message précédent. A bientôt.

[Fullzx14r]

Voilà désolé c'est un peu chaotique car j'ai mes enfants à la maison pour fêter 3 anniversaires.

Rapport Malware

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4058

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

02/05/2010 14:09:34

mbam-log-2010-05-02 (14-09-34).txt

 

Type d'examen: Examen complet (C:\|D:\|M:\|N:\|O:\|)

Elément(s) analysé(s): 292654

Temps écoulé: 1 heure(s), 37 minute(s), 29 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 6

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\RnSafe (Rogue.SpywareCleaner2009) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\System Volume Information\_restore{8071731A-5EDF-44D7-BDD1-43047E95F0A3}\RP87\A0013225.exe (Hoax.BadJoke) -> Quarantined and deleted successfully.

M:\Documents\Mes fichiers reçus\logiciel\Advance MP3 Catalog Pro\amcpro.exe (Adware.UCMore) -> Quarantined and deleted successfully.

M:\Documents\Mes fichiers reçus\logiciel\Tuneup\TuneUp.Utilities.2009-keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

O:\System Volume Information\_restore{8071731A-5EDF-44D7-BDD1-43047E95F0A3}\RP84\A0012050.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

O:\Telechargement Utorrent\Megaupload\TU10\Keygen v2010.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.

C:\Documents and Settings\QUESNEL Bruno\Application Data\wiaservg.log (Malware.Trace) -> Quarantined and deleted successfully.

[Fullzx14r]

Pour info.

Je n'ai toujours pas accès à certaines pages IE comme winupdate et je ne peux pas envoyer de log hijackthis sur le site de zebulon.

Je suis systématiquement sur une page qui dit Internet ne peut pas afficher cette page web. idem avec un autre browser comme firefox par exemple

Par contre la mise à jour windows automatique semble fonctionner car 2 MAJ se sont faites tout à l'heure. Bizarre

Modifié le 2 mai 2010 par Fullzx14r

[Fullzx14r]

Je pense que vu l'heure on continuera demain soir pour les MAJ.

@plus

[Fullzx14r]

Pas de news on patiente. A demain

[Fullzx14r]

Slt Toujours rien suite à mon rapport malwarebyte. Je reste zen et en attente.

[Fullzx14r]

Hélas plus de news pour m'aider à régler mon souci.

Peut-être bientôt ??

On patiente

[Gof]

Bonjour Fullzx14r,

 

Navré des délais, une grosse semaine de boulot qui m'est tombée dessus, je ne l'ai pas vue arriver. Tu ne m'as pas répondu à ma question au sujet de ta réinstallation (ou réparation complète) à laquelle tu as semblé procéder il y a quelques temps ?

 

As-tu corrigé les paramètres de connexion des navigateurs, comme je te l'ai indiqué pour internet explorer ici dans ce post ? Le rapport MBAM a révélé des éléments, qui ont semble-t-il tous été traités.

 

Télécharge GMER Rootkit Scanner du lien suivant : http://www.gmer.net/#files

• - Clique sur le bouton "Download EXE"
  - Sauvegarde-le sur ton Bureau
  - Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
  - Ferme les fenêtres de navigateur ouvertes
  - Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) en faisant toujours un clic droit
  - Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
  - Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :
  

• • Sections
    
  • IAT/EAT
    
  • Devices
    
  • **Assure-toi que "Show All" est décoché**
    

• - Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
  - Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
  - Nomme le fichier"fab.txt" et sauvegarde-le sur le Bureau ;
  - Copie/colle le contenu de ce rapport dans ta réponse.
  

[Fullzx14r]

Merci pour la reprise de contact. Pas de problème je surveillais si tu revenait sur ce post et je sais ce qu'est une activité soutenue. Il faut parfois accepter qu'on ne fait pas ce qu'on veux

 

Le HD principal a lâcher il y a 3 semaines. J'ai du réinstaller un HD neuf et faire une réinstallation compléte du PC. Ayant des sauvegardes des mes datas sur d'autres disques, celles-ci ont été remises en place. Par contre WinXP +tous les logiciel que j'avais ont été réinstallés à neuf.

 

Les paramètres de connexion IE avaient été regardés. Ils étaient comme tu le recommandais. Je n'ai donc rien changé. Par contre je viens de vérifier à nouveau et le paramètre Détecter automatiquement les paramètres de connexion était décoché. Je l'ai recoché et redémarré le PC.

 

Je reviens donc ensuite pour répondre à la suite de ton message

[Fullzx14r]

Cela me semble bizarre pour un truc qui a tourné 1h et demi qu'il n'y ai que ça dans le rapport mais c'est ainsi

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-06 09:26:47

Windows 5.1.2600 Service Pack 3

Running: 4xx06uug.exe; Driver: C:\DOCUME~1\QUESNE~1\LOCALS~1\Temp\fxrdypob.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT BA7BD2C6 ZwCreateKey

SSDT BA7BD2BC ZwCreateThread

SSDT BA7BD2CB ZwDeleteKey

SSDT BA7BD2D5 ZwDeleteValueKey

SSDT BA7BD2DA ZwLoadKey

SSDT BA7BD2A8 ZwOpenProcess

SSDT BA7BD2AD ZwOpenThread

SSDT BA7BD2E4 ZwReplaceKey

SSDT BA7BD2DF ZwRestoreKey

SSDT BA7BD2D0 ZwSetValueKey

SSDT BA7BD2B7 ZwTerminateProcess

 

---- EOF - GMER 1.0.15 ----