Au secours, mon PC est infecté !

[AbAt]

Bonsoir,

Hier soir j'ai été infecté par security tool que manifestement j'ai réussi a éradiquer ( mbam ne détecte plus rien )

Mais je voie qu'il ya autre chose, applications qui ne s'ouvrent pas, pop up de fausse analyses d'infections etc...

Je ne sais pas par ou commencer...

Merci.

 

A votre disposition, je bosse de nuit pour demande de rapport éventuels.

[Thanos]

salut

 

Si tu as fait un scan avec MalwareByte's Anti-Malware, poste son contenu stp >>

Pour cela lance MalwareByte's Anti-Malware, clique sur le Menu Rapports/Logs puis, sous "Eléments", sélectionne le rapport qui correspond à ton dernier scan (il y a la date du jour dans le nom du fichier).

Double-clique dessus > un rapport va s'afficher > copie/colle son contenu dans ton prochain message.

 

De plus lance ce scan stp =>

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

[AbAt]

Bonsoir Thanos,

merci de t'occuper de mon cas...

 

log MBAM

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4597

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

12/09/2010 20:37:22

mbam-log-2010-09-12 (20-37-22).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 178843

Temps écoulé: 23 minute(s), 23 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

 

Log et info rsit :

 

Cijoint.fr - Service gratuit de dépôt de fichiers

Cijoint.fr - Service gratuit de dépôt de fichiers

 

encore merci

[Thanos]

ok: Rend toi à cette adresse => VirusTotal - Free Online Virus, Malware and URL Scanner

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\WINDOWS\system32\drivers\nbbzghqf.sys

 

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

 

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

 

Fais de même avec celui ci => C:\WINDOWS\system32\dlo5B.dll

[AbAt]

Re,

alors pour le dlo5B ( a noter qu'il ya un .temp du meme nom au meme endroit):

 

 

Antivirus Version Last Update Result

AhnLab-V3 2010.09.12.01 2010.09.12 -

AntiVir 8.2.4.50 2010.09.12 -

Antiy-AVL 2.0.3.7 2010.09.12 -

Authentium 5.2.0.5 2010.09.11 -

Avast 4.8.1351.0 2010.09.12 Win32:Malware-gen

Avast5 5.0.594.0 2010.09.12 Win32:Malware-gen

AVG 9.0.0.851 2010.09.13 -

BitDefender 7.2 2010.09.13 Gen:Trojan.Heur.SC8aym92!Aoc

CAT-QuickHeal 11.00 2010.09.10 -

ClamAV 0.96.2.0-git 2010.09.13 -

Comodo 6059 2010.09.12 -

DrWeb 5.0.2.03300 2010.09.13 Trojan.Inject.10033

Emsisoft 5.0.0.37 2010.09.12 -

eSafe 7.0.17.0 2010.09.12 -

eTrust-Vet 36.1.7850 2010.09.12 -

F-Prot 4.6.1.107 2010.09.12 -

F-Secure 9.0.15370.0 2010.09.11 Gen:Trojan.Heur.SC8aym92!Aoc

Fortinet 4.1.143.0 2010.09.12 -

GData 21 2010.09.13 Gen:Trojan.Heur.SC8aym92!Aoc

Ikarus T3.1.1.88.0 2010.09.12 -

Jiangmin 13.0.900 2010.09.12 -

K7AntiVirus 9.63.2496 2010.09.11 -

Kaspersky 7.0.0.125 2010.09.13 -

McAfee 5.400.0.1158 2010.09.13 Suspect-AB!9982A6C1C61D

McAfee-GW-Edition 2010.1B 2010.09.12 -

Microsoft 1.6103 2010.09.12 -

NOD32 5445 2010.09.12 -

Norman 6.06.06 2010.09.12 -

nProtect 2010-09-12.01 2010.09.12 -

Panda 10.0.2.7 2010.09.12 -

PCTools 7.0.3.5 2010.09.13 -

Prevx 3.0 2010.09.13 -

Rising 22.64.06.00 2010.09.12 -

Sophos 4.57.0 2010.09.12 -

Sunbelt 6868 2010.09.13 -

SUPERAntiSpyware 4.40.0.1006 2010.09.12 -

Symantec 20101.1.1.7 2010.09.13 -

TheHacker 6.7.0.0.016 2010.09.12 -

TrendMicro 9.120.0.1004 2010.09.12 -

TrendMicro-HouseCall 9.120.0.1004 2010.09.13 -

VBA32 3.12.14.0 2010.09.08 -

ViRobot 2010.9.8.4031 2010.09.12 -

VirusBuster 12.65.2.0 2010.09.12 -

Additional information

Show all

MD5 : 9982a6c1c61d795fbeb57725f64f18da

SHA1 : 67cedaa3df019d917462e346c3dc48576a97a66a

SHA256: b43687c3641183be37bea3393deb3382e3aadafb9ccefaee6310449b3937f1ae

ssdeep: 12288:cZNlz0/B3RGnvFJS0mR6cMiacY9zn4PxJK2hSuukg26JAt5XwAfn4cykl/VMIV72:QNRU

GnvrS0mR6Uat4Px3hfukxeYwA4cE

File size : 729600 bytes

First seen: 2010-09-13 00:21:07

Last seen : 2010-09-13 00:21:07

TrID:

Win16/32 Executable Delphi generic (34.0%)

Generic Win/DOS Executable (32.9%)

DOS Executable Generic (32.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

sigcheck:

publisher....: aglrqmtrat Corporation

copyright....: © aglrqmtrat Corporation. All rights reserved.

product......: Microsoft_ Windows_ Operating System

description..: phbzhjeu DLL

original name: phbzhjeu.dll

internal name: phbzhjeu

file version.: 5.1.2600.5167

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

PEInfo: PE structure information

 

[[ basic data ]]

entrypointaddress: 0x17E000

timedatestamp....: 0x2A425E19 (Fri Jun 19 22:22:17 1992)

machinetype......: 0x14c (I386)

 

[[ 7 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

, 0x1000, 0x1B000, 0x16A00, 7.93, 90402a5be302a3e960937759bf563f55

.edata, 0x1C000, 0x2000, 0x200, 0.00, bf619eac0cdf3f68d496ea9344137e8b

.rsrc, 0x1E000, 0x3AC, 0x400, 3.73, 6b429cd6f1c46e6b12f50bdba7d4968c

.idata , 0x1F000, 0x1000, 0x200, 1.31, e1cbcc395e1702f66f3fd2780d7406b0

, 0x20000, 0xC4000, 0x200, 0.26, a4151568e37e410b58847c9e858db4cf

utscowtv, 0xE4000, 0x9A000, 0x99C00, 7.91, 55dd77689dd9ac9b7f46d7e0e7466cf9

cycknrqv, 0x17E000, 0x1000, 0x200, 3.20, 5699b1c3474c1489b6c5396502ba0575

 

[[ 2 import(s) ]]

kernel32.dll: lstrcpy

comctl32.dll: InitCommonControls

 

[[ 7 export(s) ]]

DllCanUnloadNow, DllGetClassObject, Pmcmacp, DllMain, DllRegisterServer, DllUnregisterServer, ServiceMain

Symantec reputation:Suspicious.Insight

 

VT Community

 

0

 

This file has never been reviewed by any VT Community member. Be the first one to comment on it!

 

VirusTotal Team

 

 

 

et le nbbzghqf.sys :

 

Antivirus Version Last Update Result

AhnLab-V3 2010.09.12.01 2010.09.12 -

AntiVir 8.2.4.50 2010.09.12 -

Antiy-AVL 2.0.3.7 2010.09.12 -

Authentium 5.2.0.5 2010.09.11 -

Avast 4.8.1351.0 2010.09.12 -

Avast5 5.0.594.0 2010.09.12 -

AVG 9.0.0.851 2010.09.13 -

BitDefender 7.2 2010.09.13 -

CAT-QuickHeal 11.00 2010.09.10 -

ClamAV 0.96.2.0-git 2010.09.13 -

Comodo 6059 2010.09.12 -

DrWeb 5.0.2.03300 2010.09.13 -

Emsisoft 5.0.0.37 2010.09.12 -

eSafe 7.0.17.0 2010.09.12 -

eTrust-Vet 36.1.7850 2010.09.12 -

F-Prot 4.6.1.107 2010.09.12 -

F-Secure 9.0.15370.0 2010.09.11 -

Fortinet 4.1.143.0 2010.09.12 -

GData 21 2010.09.13 -

Ikarus T3.1.1.88.0 2010.09.12 -

Jiangmin 13.0.900 2010.09.12 -

K7AntiVirus 9.63.2496 2010.09.11 -

Kaspersky 7.0.0.125 2010.09.13 -

McAfee 5.400.0.1158 2010.09.13 -

McAfee-GW-Edition 2010.1B 2010.09.12 -

Microsoft 1.6103 2010.09.12 -

NOD32 5445 2010.09.12 -

Norman 6.06.06 2010.09.12 -

nProtect 2010-09-12.01 2010.09.12 -

Panda 10.0.2.7 2010.09.12 -

PCTools 7.0.3.5 2010.09.13 -

Prevx 3.0 2010.09.13 -

Rising 22.64.06.00 2010.09.12 -

Sophos 4.57.0 2010.09.12 -

Sunbelt 6868 2010.09.13 -

SUPERAntiSpyware 4.40.0.1006 2010.09.12 -

Symantec 20101.1.1.7 2010.09.13 -

TheHacker 6.7.0.0.016 2010.09.12 -

TrendMicro 9.120.0.1004 2010.09.12 -

TrendMicro-HouseCall 9.120.0.1004 2010.09.13 -

VBA32 3.12.14.0 2010.09.08 -

ViRobot 2010.9.8.4031 2010.09.12 -

VirusBuster 12.65.2.0 2010.09.12 -

Additional information

Show all

MD5 : 4c3628e16bf32e97b5e38f1b1fcc510d

SHA1 : d36e761cb3f2dc150c8fe21d0d3dd0fde5c2ad14

SHA256: f9d0e6bae94f815d92469cd6f189736f11f8e51010c40b65d315f1df644a1fbd

ssdeep: 384:AJ0DpPIWUcWZKZ4E1X4J6nWVmOOEgv5RcyJZU+CnIRyHTAwZgV0c/AxRp7OCvVLb:ATTsTn

Wgv5TEn2eTA8JzRp7jNLp

File size : 23424 bytes

First seen: 2010-09-13 00:25:36

Last seen : 2010-09-13 00:25:36

TrID:

Generic Win/DOS Executable (49.9%)

DOS Executable Generic (49.8%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

sigcheck:

publisher....: Microsoft Corporation

copyright....: © Microsoft Corporation. All rights reserved.

product......: Microsoft_ Windows_ Operating System

description..: Universal Serial Bus Driver

original name: usbd.sys

internal name: usbd.sys

file version.: 5.1.2600.0 (XPClient.010817-1148)

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

PEInfo: PE structure information

 

[[ basic data ]]

entrypointaddress: 0x300

timedatestamp....: 0x3B7D8682 (Fri Aug 17 21:02:58 2001)

machinetype......: 0x14c (I386)

 

[[ 8 section(s) ]]

name, viradd, virsiz, rawdsiz, ntropy, md5

.text, 0x300, 0xFC, 0x100, 5.56, 59394ad2fd122ee4d08378038ddb5953

.rdata, 0x400, 0x5D, 0x80, 2.96, bfa27b8e812ab381b127c69f48a59a5d

PAGE, 0x480, 0x34E, 0x380, 6.19, 08c0255d9b891c63aaae8ee441a6ef98

.edata, 0x800, 0x4D6, 0x500, 5.14, 0396bd9d4db5aaf5cb0ac004680dca2e

INIT, 0xD00, 0xC6, 0x100, 3.72, 4758bdbfa0600d626bc4b75a0b52342c

.skvn, 0xE00, 0x4900, 0x4900, 7.89, a1bc93c7b34e1d22b9e5376b3a5889aa

.rsrc, 0x5700, 0x3E8, 0x400, 3.29, 904b60daf9a8e8efe8b5dde25bfc2de0

.reloc, 0x5B00, 0x36, 0x80, 1.37, 584b2806e09e6964a9b9a98f370cdd7b

 

[[ 1 import(s) ]]

NTOSKRNL.EXE: ZwQueryValueKey, ExAllocatePoolWithTag, RtlInitUnicodeString, ZwClose, IoOpenDeviceRegistryKey, ExFreePool

 

[[ 35 export(s) ]]

DllInitialize, DllUnload, USBD_AllocateDeviceName, USBD_CalculateUsbBandwidth, USBD_CompleteRequest, USBD_CreateConfigurationRequest, USBD_CreateConfigurationRequestEx, USBD_CreateDevice, USBD_Debug_GetHeap, USBD_Debug_LogEntry, USBD_Debug_RetHeap, USBD_Dispatch, USBD_FreeDeviceMutex, USBD_FreeDeviceName, USBD_GetDeviceInformation, USBD_GetInterfaceLength, USBD_GetPdoRegistryParameter, USBD_GetSuspendPowerState, USBD_GetUSBDIVersion, USBD_InitializeDevice, USBD_MakePdoName, USBD_ParseConfigurationDescriptor, USBD_ParseConfigurationDescriptorEx, USBD_ParseDescriptors, USBD_QueryBusTime, USBD_RegisterHcDeviceCapabilities, USBD_RegisterHcFilter, USBD_RegisterHostController, USBD_RemoveDevice, USBD_RestoreDevice, USBD_SetSuspendPowerState, USBD_WaitDeviceMutex, _USBD_CreateConfigurationRequestEx@8, _USBD_ParseConfigurationDescriptorEx@28, _USBD_ParseDescriptors@16

Symantec reputation:Suspicious.Insight

 

VT Community

 

0

 

This file has never been reviewed by any VT Community member. Be the first one to comment on it!

 

VirusTotal Team

 

 

voila ^^ Merci.

[Thanos]

salut

 

alors pour le dlo5B ( a noter qu'il ya un .temp du meme nom au meme endroit):

Je vois que tu as l'oeil

 

Ok on va utiliser un autre programme pour nettoyer =>

 

Désactive ton antivirus le temps du scan.

• Fais un clic sur le bouton droit de ta souris ICI
  
• Choisis Enregistrer la cible (du lien) sous > une fenêtre s'ouvre >>
  
• Dans le champs à droite de "Nom du Fichier" en bas de page, modifie le nom présent (ComboFix.exe) et met ceci >> AbAt.exe
  
• Enregistre-le fichier sur le Bureau: pour cela clique sur le bouton Enregistrer.
  
• Assure toi que tous les programmes soient fermés avant de lancer le fix!
  
• Fait un double clique sur AbAt.exe.
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.
  
• Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
  

 

**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

 

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, tu dois voir le message suivant:

• Tape sur la touche Y (Yes) pour poursuivre avec la recherche de nuisibles.
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  
• Si le rapport est trop long, poste le en deux fois.
  
• Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt