backdoor.win32/ircbot.dl

backdoor.win32/ircbot.dl - Virus/Spywares - Windows & Software

Marsh Posté le 18-04-2010 à 21:39:30    

Bonsoir,
 
Voila j'ai ce petit ver depuis quelque temps et j'arrive pas à m'en débarrasser, j'utilise Microsoft Security qui me le supprime à chaque fois que je démarre mon Pc mais il y a rien à faire il revient aussi tôt.
 
Quel logiciel utiliser pour s'en débarrasser ?
 
Ver en question :
 
- backdoor.win32/ircbot.dl
 
 :hello:


Message édité par snooppi le 18-04-2010 à 21:40:09
Reply

Marsh Posté le 18-04-2010 à 21:39:30   

Reply

Marsh Posté le 18-04-2010 à 22:06:49    

bonsoir
 
si tu veux bien nous allons commencer par faire une analyse détaillée  de ton Pc pour voir ce qu'il se passe
 

  • Télécharge ZHPDiag
  • clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
  • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
  • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
  • Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 18-04-2010 à 22:29:25    

Merci pour ta réponse, j'ai utiliser Bitdefender mais il trouver rien, il faut peut étre que je fasse ce scan lorsque le ver est présent ?
 
Voici le résultat de mon scan,  
 
http://www.cijoint.fr/cjlink.php?f [...] YdK6Cx.txt


Message édité par snooppi le 18-04-2010 à 22:42:12
Reply

Marsh Posté le 18-04-2010 à 22:54:20    

Tu es victime d'une infection par "ver msn"
 
N'as tu pas dernièrement téléchargé un fichier venant d'un de tes contacts ou cliquer sur un lien qu'il te proposait?
tanf que l'infection n'a pas été supprimée, il va falloir prévenir tes contacts par un autre moyen que msn qu'ils n'acceptent pas de télécharger un fichier ou de cliquer sur un lien qui vient de ta part.Ne te sers plus de Msn / live messenger.
par la suite il serait prûdent que tu changes de mot de passe et d'adresse Msn / livemessenger
 
voilà ce que tu vas faire maintenant:
 
 

  • Télécharge Malwarebytes antimalware  
  • Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  • Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
  • L'analyse peut durer un bon moment.....
  • Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
  • Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
  • Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée


 
 
 
 
 
 
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 19-04-2010 à 00:03:12    

Merci pour ton aide, j'espere que ça va rentrer dans l'ordre.
 
Voici le résultat du rapport.
 
###########
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org
 
Version de la base de données: 4005
 
Windows 6.0.6000
Internet Explorer 7.0.6000.17037
 
19/04/2010 00:01:44
mbam-log-2010-04-19 (00-01-44).txt
 
Type d'examen: Examen complet (A:\|B:\|C:\|D:\|E:\|F:\|H:\|)
Elément(s) analysé(s): 191574
Temps écoulé: 38 minute(s), 5 seconde(s)
 
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2
 
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
 
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\startup (Backdoor.Bot) -> Quarantined and deleted successfully.
 
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
 
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
 
Fichier(s) infecté(s):
C:\Users\KRiSs\AppData\Roaming\rssms32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\KRiSs\AppData\Roaming\Microsoft\Svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
 
###########
 
Je redemarre mon PC à présent, je verrais si le ver ce manifeste.

Reply

Marsh Posté le 19-04-2010 à 00:20:09    

fais ceci maintenant afin de voir si il n'y a pas de reste ou une autre infection
 

  • Télécharge ZHPDiag
  • clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
  • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
  • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
  • Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 19-04-2010 à 00:36:02    

Merci pour ton aide,
 
Voici,
 
 http://www.cijoint.fr/cjlink.php?f [...] 2Sp7cl.txt

Reply

Marsh Posté le 19-04-2010 à 00:56:45    

le ver a installé une infection qui risque de se propager par clé usb,pour supprimer cette infection et ensuite protéger ton ordinateur et tes supports usb,voilà ce que tu dois faire:
 
Désactive l'UAC de vista tu la réactiveras à la fin de la désinfection pour t'aider suis : ce tutoriel
 
Ferme toutes tes applications et enregistre le travail en cours.
 
Munis toi de tous tes supports amovibles (clés usb,disque durs externes,etc...)
 

  • Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
  • tutoriel recherche
  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
  • Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement (sous vista clic droit et "exécuter en tant qu'administrateur" )
  • Choisi l'option 1 (recherche)
  • Laisse travailler l'outil
  • Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur ce site et poste moi le lien qui te sera fourni
  • Note : le rapport UsbFix.txt est sauvegardé a la racine du disque


Important: Ne poste pas le rapport directement sur ce forum
 
    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
     
 
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 19-04-2010 à 09:33:52    

Reply

Marsh Posté le 19-04-2010 à 09:44:45    


l'infection a bien été repérée => tu dois maintenant relancer UsbFix pour supprimer l'infection sur tous les supports et les vacciner:
 

  • tutoriel nettoyage
  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
  • Double clic sur le raccourci UsbFix présent sur ton bureau
  • choisi l'option 2 ( Suppression )
  • Ton bureau disparaîtra et le pc redémarrera .
  • Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
  • Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
  • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
  • ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
  •  /!\ UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://chiquitine.changelog.fr/Sample/Upload.php
  • Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
  • Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
  • Il faut sélectionner "UsbFix" dans le menu déroulant
  • Merci d'avance pour ta contribution !!


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 19-04-2010 à 09:44:45   

Reply

Marsh Posté le 19-04-2010 à 10:02:48    

Ok merci beaucoup pour ton aide.

Reply

Marsh Posté le 19-04-2010 à 13:01:49    

n'oublie pas de me monter le rapport de suppression ;) tjrs en passant par cijoint.fr


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 20-04-2010 à 18:52:44    

Reply

Marsh Posté le 20-04-2010 à 20:23:04    

bonsoir
 
parfait ,tu peux débrancher tes supports externes ils sont maintenant vaccinés ainsi que ton disque dur
 
comment se comporte ton PC? as tu toujours des alertes MSE?
 
si tout va bien fais ceci:
 

  • Télécharge:   HijackThis sur ton bureau  
  • Installe le programme
  • lance HijackThis (sous vista clique droit et Exécuter en tant qu'administrateur)  
  • Clique sur "Do a system scan and save a logfile"
  • patiente le bloc-notes va s'ouvrir => enregistre le fichier au format *.txt  

ensuite héberge le rapport sur cijoint.fr et poste moi le lien qui te sera fourni.
 
rappel:edition/sélectionner tout/copier/coller  
ou(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 21-08-2010 à 21:16:26    

Bonsoir,
 
Comme je possède exactement le même problème que snooppi, j'ai choisis de ne pas recréer un topic, et de demander de l'aide ici même.
 
J'ai pour le moment fait la première manip indiqué par glops31, et j'ai donc mis mon rapport ZHPDiag ici : http://www.cijoint.fr/cjlink.php?f [...] 7lJNAk.txt
 
Merci d'avance !

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed