Ver,Virus : Antivirus XP 2008

Bonjours à tous,

Je me suis fait infecter hier soir par un ver. Ce dernier est très chiant. Une fois installé, il modifie constament mon fond d’écran, bloque l’accès au pages internet avec IE (je me sers de FF donc sa ne me gène pas), et une îcone dans ma barre des tâches est apparue avec comme nom Antivirus XP 2008, qui me fait des “pseudo-scan” et qui m’annonce que mon ordi est une ruche a malware et companie… A oui ! Il bloque aussi régulièrement l’accès au Gestionnaire des taches. En écrivant ces logne, je viens de réussir a le lancer et a trouver le processus (ils sont surement plusieurs ? ) responsable de ce ver. Je viens a l’instant de le désactiver, ce qui a fait disparaitre Antivirus XP 2008 mais apparament le processus,lui, ce relance. Pour finir aussi, il a modifié très astucieusement mon écran de veille par le très emmerdant “BSODsuivitdefauxrebootdeXPetensuitereBSOD” … La premiere fois je me suit fait couillonner car je n’ai pas attendu la phase “reboot” mais après je m’en suis rendu compte.
Pour faire simple : dès le début de l’infection, Avast me l’a détecté mais n’a probablement pas réussi a le supprimer. J’ai donc lancer un scan complet de tout mes DD en mode minutieux. Jusqu’a maintenant, il n’a rien trouvé. J’ai lancer également un scan Ad-ware et j’ai suprimer quelque spyware mais pas la source du ver. Je suis meme aller voir manuellement les fichier responsable du ver et les ai supprimer a la main, mais peine perdue ^^.

Alors j’ai deux solutions : Soit je format et je réinstale mon DD avec mon OS.
Soit je le supprime de mon pc, mais là je vais avoir besoin de vous car je n’ai jamais été infecté par un ver et je ne sais pas du tout quoi faire.

Merci d’avance :wink:

Il semble qu’il y ait une solution ici :
XP Antivirus 2008 removal

Et là :
PC threat

Bonjour

Essaye Avira Antivir a jour Il t enlevera le Spyware

www.clubic.com…

a+:hello:


Re ou prends une version dvessai ANTIVIRUS 2009 de Kaspersky

www.kaspersky.com…

Je sais on va me dire qu on demande un Hijackthis avant !!!
Telecharge Malwarebytes
www.clubic.com…

Tutoriel
www.malekal.com…
:hello:


une Fois le fois le spyware enlevé avec Malwarebyte va Sur le Site Kaspersky Online Scanner pour un Controle

www.kaspersky.com…

:hello:

J’ai effectué le scan avec Malwarebyte, tout c’est bien déroulé et maintenant je suis entrain d’effectuer le scan Kaspersky, je vous donnerai les résultats.
Voici le log que j’ai sauvé du rapport de Malwarebyte :

No probs J ai Confiance et tant mieux pour toi

:super:

:hello:


J aimerai Savoir qu as-tu comme Firewall,antivirus et antiSpyware ?

A+

Oui, je les ai supprimés :wink: Effectivement le rapport n’en fait pas mention car je l’ai sauvegarder avant que je les effaces.

Je vais faire ça :slight_smile:

Edit : J’ai Avast Edition Familiale et j’utilise le parefeu de mon routeur. Jusqu’a maintenant je n’ai jamais eu de problème et je pense que cette infection vient d’un fichier que j’aurais moi meme téléchargé.


Voici le log de hijackthis :

Edité le 22/07/2008 à 19:30

Un bon Conseil Soit tu Prends Kaspersky Internet Securty 2009 payant + Malwarebytes

soit PC tools Firewall Plus (free)+Avira Antivir (free) +Malwrebytes 1.22 free) et le Futur sera assuré


Un Coucou A guigui1410 qui assure la continuité:super:
guigui14100 excuse:hello:
Normalement se Spyware s enleve bien soit avec Avira ou Malwrebytes:super:

Tiens moi au courant du déroulement et content de t avoir rendu service si c est le cas et pour d autres renseignements
pas de probs!:hello:

L’infection est encore présente dans ton log hijackthis

Désactive tes protections
Utilise Combofix
Laisse le travailler puis post le log…

Petite MAJ : Je n’ai plus de problème pour le moment (mais je supose qu’un ver est suffisament fourbe pour ne pas se montrer…), j’ai juste un message (de windows ? ) me disant que j’ai pas de protection résidente je crois et qui me propose d’en mettre une…je ne l’avais pas avant mon infection et je soupsone une saloperie. J’attend qu’il réapparaisse et je vous envois un screen, en attendant, voici vers quoi il m’envoi par le biais de IE lorsque je clique sur ENABLE : http://www.antispyware-review.info/?wmid=4663&pwebmid=XsIHn0DN9Q&a=

Et voici le message … img129.imageshack.us…

Le site renvoie a un site de rogue… Tu est toujours infecté fait ce que je t’ai dit juste au dessus

Voici le log de Combofix :

Upload sur virus total c’est fichier et colle le rapport en précisant de lequel fichier
Edité le 22/07/2008 à 21:01

Premier fichier :

[quote=""]
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.7.22.2 2008.07.22 -
AntiVir 7.8.1.11 2008.07.22 -
Authentium 5.1.0.4 2008.07.22 -
Avast 4.8.1195.0 2008.07.22 -
AVG 8.0.0.130 2008.07.22 Downloader.Swizzor
BitDefender 7.2 2008.07.22 -
CAT-QuickHeal 9.50 2008.07.22 -
ClamAV 0.93.1 2008.07.22 -
DrWeb 4.44.0.09170 2008.07.22 -
eSafe 7.0.17.0 2008.07.22 -
eTrust-Vet 31.6.5974 2008.07.22 -
Ewido 4.0 2008.07.22 -
F-Prot 4.4.4.56 2008.07.21 -
F-Secure 7.60.13501.0 2008.07.22 Trojan-Downloader:W32/Agent.HAC
Fortinet 3.14.0.0 2008.07.22 W32/PolySmall.BP!tr
GData 2.0.7306.1023 2008.07.22 -
Ikarus T3.1.1.34.0 2008.07.22 Trojan.Win32.Busky.EC
Kaspersky 7.0.0.125 2008.07.22 -
McAfee 5344 2008.07.22 -
Microsoft 1.3704 2008.07.22 Trojan:Win32/Busky.EC
NOD32v2 3288 2008.07.22 a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman 5.80.02 2008.07.22 -
Panda 9.0.0.4 2008.07.22 -
PCTools 4.4.2.0 2008.07.22 -
Prevx1 V2 2008.07.22 Adware
Rising 20.54.12.00 2008.07.22 -
Sophos 4.31.0 2008.07.22 Mal/EncPk-DG
Sunbelt 3.1.1536.1 2008.07.18 -
Symantec 10 2008.07.22 -
TheHacker 6.2.96.385 2008.07.20 -
TrendMicro 8.700.0.1004 2008.07.22 -
VBA32 3.12.8.1 2008.07.22 -
VirusBuster 4.5.11.0 2008.07.22 -
Webwasher-Gateway 6.6.2 2008.07.22 -
Information additionnelle
File size: 81920 bytes
MD5…: 8eb2de3a9509681105e56cc87588ccbe
SHA1…: 36d951dd2ccd19e9ba282b4a5930028fa020d1a0
SHA256: 2c28f42187fb7b22228afaacb715df4b5e3e7eec5bc1e9958a2c348f360e54f4
SHA512: 3dde537f8c5ef7cc796f9ba6b9325befb0892047931e6545ed61bcadf0a9d120
60f83aa963df79d86061dc368ac1c9854f4ba18f98484fb7d0863333c7409bdf
PEiD…: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401ebd
timedatestamp…: 0x4884cf26 (Mon Jul 21 18:02:14 2008)
machinetype…: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.ojzkt 0x1000 0x10a3c 0x11000 6.75 8894e9f73995fb73a75d03c21bb48465
.ivhl 0x12000 0x5c8 0x1000 2.49 1282b8e70406b4a7b1f052f154ef9214
.lxbmtp 0x13000 0x5a38 0x1000 0.59 bd9efd2758dfdeb18e24d96c5562c081

( 4 imports )

KERNEL32.dll: GetCurrentProcessId, GetFileSize, CancelWaitableTimer, Sleep, SetCurrentDirectoryW, WaitForMultipleObjects, GetProcAddress, GetLocalTime, SetLastError, ResetEvent, GlobalAddAtomW, MoveFileW, InterlockedDecrement, ReadFile, GetCurrentProcess, SizeofResource, LoadLibraryA, FindClose, GlobalAlloc, SetThreadPriority, lstrcpyW, CreateThread
USER32.dll: ReleaseCapture, GetSystemMetrics, DestroyMenu, DrawTextW, RedrawWindow, MessageBoxW, IsDlgButtonChecked, PostMessageW, LoadCursorW, InvalidateRect, FillRect, UpdateWindow, LoadBitmapW, RegisterClassExW, GetKeyState, PostQuitMessage, DefWindowProcW, SystemParametersInfoW, SetLayeredWindowAttributes, PostThreadMessageW, WindowFromPoint, EnableWindow
GDI32.dll: LineTo, SelectObject, CreateICW, CreateBitmap
ADVAPI32.dll: RegSetValueExW, InitializeSecurityDescriptor, RegNotifyChangeKeyValue

( 0 exports )
Prevx info: []info.prevx.com…](http://info.prevx.com/aboutprogramtext.asp?PX5=73C63A6300108B0B405E01B386FADB00708716B0[/quote)

DEUXIEME :

TROISIEME :

QUATRIEME :

ET CINQUIEME :

Voila. :slight_smile:

Merci encore de m’aider !

Tu as des Fichiers infectés trouvé avec Malwarebytes ,pourquoi n elimes tu pas ???


J ai preconisé Antivir ou malwabytes ou Kaspersky Essaye Avira pas besoin d agoniser être Radical !!

Mais si je les ai enlevé. Comme je l’ai expliqué plus haut, j’ai pris ce log AVANT de les supprimer. C’est pour sa que ce n’est pas marqué.

Enregistre le sous le nom de CFScript.txt au même endroit que combofix
Puis fait glisser le fichier sur l’icone de combofix(désactive tes protection avant)
Edité le 22/07/2008 à 21:54

As-tu fais un Scan Kaspersky Online
www.kaspersky.com…
sinon fais :super:


Pas oublier de Renomer Hijackthis quand on l utilise ex: Monjack ou Jack.exe cause Vundo !!

guigui14100, que dois-je enregistrer ?