Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection Ou Faux Positif..?

BaronDuCiel

Par BaronDuCiel
dans Analyses et éradication malwares

 Partager

Messages recommandés

BaronDuCiel Junior Member

BaronDuCiel

Posté(e)
  • Auteur
Posté(e)

Hop, Analyse terminée ; j'te donne les résultats ;

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4316

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

15/07/2010 18:43:38

mbam-log-2010-07-15 (18-43-38).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elément(s) analysé(s): 221159

Temps écoulé: 40 minute(s), 40 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 9

Valeur(s) du Registre infectée(s): 3

Elément(s) de données du Registre infecté(s): 1

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 8

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\VRZJ8K91NT (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\JDK5SWFMZY (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\VO3N0SLJ2I (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\AVSolution (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\AVSolution (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\jdk5swfmzy (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\shell (Worm.AutoRun) -> Delete on reboot.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wcdrjund (Rogue.AntivirusSuite.Gen) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (D:\Documents and Settings\Propriétaire\Application Data\vfbu.exe,explorer.exe,D:\RECYCLER\S-1-5-21-0695960846-1497569149-250467181-2898\recycle.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

D:\WINDOWS\PRAGMArxnlbvtkbp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

D:\Documents and Settings\Propriétaire\Mes documents\Téléchargements\Everest Poker.exe (PUP.Casino) -> Quarantined and deleted successfully.

D:\RECYCLER\S-1-5-21-0695960846-1497569149-250467181-2898\recycle.exe (Worm.Autorun.B) -> Quarantined and deleted successfully.

D:\System Volume Information\_restore{241EB209-D09D-40F4-9D24-573C43952749}\RP171\A0051390.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

D:\WINDOWS\sclict.dll (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

D:\_OTM\MovedFiles\07152010_152619\d_documents and settings\propriétaire\local settings\application data\ccvjnwlra\bcynwsotssd.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

D:\WINDOWS\PRAGMArxnlbvtkbp\PRAGMAd.sys (Trojan.DNSChanger) -> Quarantined and deleted successfully.

D:\Documents and Settings\Propriétaire\Application Data\chrtmp (Malware.Trace) -> Quarantined and deleted successfully.

D:\Documents and Settings\All Users\Favoris\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.

Florinator Extrem Member

Florinator

Posté(e)
Posté(e) (modifié)

Re,

 

Parfait :super: , à part qu'il m'a sorti une chose que je voulais récupérer.

 

Affiche les dossiers cachés:

  • Va sur démarrer / poste de travail / outil / option des dossiers / puis affichage
  • Puis décoche "Masquer les extensions de fichiers" ainsi que "Masquer les fichier protégés du système"
  • Ensuite fais appliquer et ok

 

 

  • Rends toi sur senduit | Share easily.
  • Choisi ce fichier C:\_OTM\MovedFiles\07152010_152619.zip
  • A "Expire in" tu mets "2 days" puis "Upload"
  • A la fin de chargement tu as un lien
  • Poste le moi par MP seulement, je veux pas le voir trainer sur le forum.

 

 

Si et seulement si tu ne trouve pas ce fichier .Zip fais la suite


  •  
  • Ouvre MBAM, va sur l'onglet quarantaine.
  • Clique sur D:\_OTM\MovedFiles\07152010_152619\d_documents and settings\propriétaire\local settings\application data\ccvjnwlra\bcynwsotssd.exe puis fais "restaurer"
  • Ferme MBAM

 

 

  • Va sur ce fichier D:\_OTM\MovedFiles\07152010_152619\d_documents and settings\propriétaire\local settings\application data\ccvjnwlra\bcynwsotssd.exe puis compresse le.
  • Pour cela utilise Winrar
  • Aprés installation de Winrar, tu clique droit sur le fichier puis "Add to archive"
  • Ton fichier serat ainsi compressé, l'icône changera

 

 


  •  
  • Rends toi sur senduit | Share easily.
  • Choisi ce fichier compressé
  • A "Expire in" tu mets "2 days" puis "Upload"
  • A la fin de chargement tu as un lien
  • Poste le moi par MP seulement, je veux pas le voir trainer sur le forum.

 

 

=>Cette manipulation n'est pas simple pour un utilisateur lambda, si tu as un souci demande moi par MP sans problème, cette manipulation me permettra de récupérer le processus malveillant.

 

On finira ensuite de nettoyer ta machine complètement.

 

A++

Modifié par Florinator
Dr ethanol Junior Member

Dr ethanol

Posté(e)
Posté(e)

Désolé d'intervenir dans votre conversation mais voila je voulais juste remercier Florinator, car après avoir cherché sur internet et essayé différentes méthodes pour venir à bout de cette saleté, c'est en suivant cette méthode ci que j'ai vu les premières améliorations, j'en suis à l'étape 3 ! Donc merci à toi car ce petit tutorial était vraiment clair !

Florinator Extrem Member

Florinator

Posté(e)
Posté(e)

Bonjour, :)

 

Merci Dr Ethanol.

Cependant je déconseille fortement de reproduire les script tel que OTM sur n'importe quel autre machine, le script est fait pour le cas observé.

 

Baronduciel, j'ai vu que tu avais ouvert un autre sujet pour le pc de ton amie, où en es tu pour ce fichier sur ta machine?

 

A++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...