Infection par virus ou trojan Generic PWS.y

sebOM · Mars 7, 2009, 1:17

Bonjour,

Depuis hier mon PC est infecté par Generic PWS.y. Il me bloque les images sur Ineternet Explorer et il m’empêche d’accéder au Options des dossiers pour afficher les dossiers cachés. Du coup, je ne peux pas supprimer les fichiers infectés (cachés bien sur).

Comment s’en débarrassé ?

Merci pour l’aide !

cricri58 · Mars 7, 2009, 2:15

Salut

c est un Cheval de troie

télécharges -->Malwarebytes (mbam)

installes + mise a jour
et
Redémarre en “Mode sans échec” : redémarres ton ordinateur et tapote sur la touche F8 jusqu’à l’affichage du menu des options avancées de Windows, et sélectionne “Mode sans échec”.
Choisis ta session habituelle

Lances–> Malwarebytes (MBAM)

Puis vas dans l’onglet “Recherche”, coche “Exécuter un examen complet” puis “Rechercher”
Sélectionnse tes disques durs" puis clique sur “Lancer lexamen”
A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
Suppression des éléments détectés --> cliques sur Supprimer la sélection–> a Faire en cas d infections trouvées
S’il t’ es demandé de redémarrer, clique sur Yes

poste le rapport

si toujours des soucis poste un log Hijackthis–>Hijackthis

sebOM · Mars 7, 2009, 3:23

Salut,

Merci pour la réponse, on teste.

Le problème est qu’on ne peut pas démarrer en Mode sans échec. Peut-être parce que c’est un PC d’entreprise et qu’il faut s’identifier; On doit avoir des rôles limités par rapport à l’administrateur.

On te tiens au courant de la suite !

Seb

sebOM · Mars 7, 2009, 4:18

Re,

Voila le log. Il n’ a pas pu supprimmer certains fichiers. On a accès aux Options des Dossiers et aux fichiers cachés. Faut-il supprimer ces fichiers manuellement ?

On n’a pas les images sous IE.

Malwarebytes’ Anti-Malware 1.34
Version de la base de données: 1825
Windows 5.1.2600 Service Pack 2

07/03/2009 16:05:34
mbam-log-2009-03-07 (16-05-34).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 121351
Temps écoulé: 36 minute(s), 7 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 8
Elément(s) de données du Registre infecté(s): 5
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
D:\Documents and Settings\avaroux\svchost.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\drivers\services.exe (Trojan.Agent) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\hs3i7jdgfd.dll (Trojan.FakeAlert) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.Zlob.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler{c5bf49a2-94f3-42bd-f434-3604812c8955} (Trojan.Zlob.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[system] (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[system] (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run[system] (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jnskdfmf9eldfd (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\drivers\services.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\drivers\services.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\drivers\services.exe) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\hs3i7jdgfd.dll (Trojan.Zlob.H) -> Delete on reboot.
C:\WINDOWS\system32\drivers\services.exe (Trojan.Agent) -> Delete on reboot.
d:\Documents and Settings\avaroux\svchost.exe (Trojan.Agent) -> Delete on reboot.
d:\Documents and Settings\avaroux\Local Settings\Temp\csrssc.exe (Trojan.Downloader) -> Delete on reboot.
C:\userinit.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

En tous cas merci pour l’aide !