win 32 : malob-x

invite91012d57 · 27/09/2010, 16h12

Bonjour !

Hier soir (26/09/2010), mon antivurus Avast 4.8 (E.F) a commencé à s'alarmer d'un virus/ver qui serait niché à l'emplacement "User/Appdata/local/temp", nom du virus/ver : win 32 : malob-x.
Suite au message, mise en quarantaine et je vais directement voir l'emplacement désigné (en pensant que ma seul présence ferait fuir les indésirables

). Le Fichier TMP est bien vide et il a l'air d'être nétoyé... Juste le temps de fermer mon dossier qu'une autre alerte intervient, même virus, même emplacement, même fichier à quelques lettres près.
Je refais la mise en quarantaine et quelques minutes plus tard rebelote (ça l'a fait à peu près entre 6 et 10 fois et puis plus rien).

Malgrés l'arret des alertes, je me renseigne un peu sur le virus, lance du spybot, ccleaner et finis par un Malwarebytes, en nettoyant toutes recherches infectieuses trouvées...
Après une demi-heure, de recherche sur la toile, nouvelle attaque du virus/ver : win 32 : malob-x, similaire à la première (emplacement, nom... ).

Bref je tombe sur votre site, lis vos recomendations et avertissements en matière de Malwares.

Aujourd'hui, au démarage de l'ordinateur plus d'alerte Avast, pas d'attaque de pub en naviguant sur le net, rien de spécial...
Alors comme vous aurez pu le constater, je suis nul en informatique et j'aimerai faire appel à votre généreuse aide pour me débarasser de ce malwares qui je suppose est toujours présent.

Merci !

Voici les deux fichiers demandés :

**b marlow** · 27/09/2010, 20h41

Salut,
En effet on voit quelques traces d'infection, venant probablement du Photoshop cracké...
Poste les rapports de MBAM.

invite91012d57 · 27/09/2010, 21h06

Voilà le rapport :

**b marlow** · 28/09/2010, 08h24

cherche ce programme C:\Program Files\trend micro\ROFRIGUEZ.exe
double-clique dessus, clique sur Do a system scan only
coche ces lignes, ferme les fenetres actives puis clique sur le bouton Fixchecked:

R0 - HKLM\Software\Microsoft\Intern et Explorer\Main,Start Page = http://www.trooner.com/
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.e xe"
O4 - HKCU\..\Run: [StudioMicrosoft] c:\users\rofriguez\documents\m es fichiers reçus\photoshop cs4 portable\photoshopportable\app \winsxs\x86_microsoft.vc80.atl _1fc8b3b9a1e18e3b_8.0.50727.76 2_x-ww_cbb27474\microsoftstudio8.0 0.50727.762.exe
O4 - HKCU\..\Run: [DynastyKernel] c:\users\rofriguez\appdata\roa ming\installshield installation information\{7506d1cd-b7fe-40c7-ae1f-fe8666361700}\ikernelikernel.e xe
O4 - HKCU\..\Run: [WarriInstallShield] C:\Users\ROFRIGUEZ\AppData\Roa ming\InstallShield Installation Information\{7506D1CD-B7FE-40C7-AE1F-FE8666361700}\iKerneliKernel.e xe
O4 - HKCU\..\Run: [InstallShieldSAFlashPlayer6021 0] c:\users\rofrig~1\appdata\loca l\temp\0.6565381653287742.exe
O4 - HKCU\..\Run: [VisualMicrosoft] C:\Users\ROFRIGUEZ\Documents\M es fichiers reçus\Photoshop CS4 Portable\PhotoshopPortable\App \WinSxS\x86_Microsoft.VC80.ATL _1fc8b3b9a1e18e3b_8.0.50727.76 2_x-ww_cbb27474\MicrosoftStudio8.0 0.50727.762.exe
O4 - HKCU\..\Run: [GizmoDriveDelegate] RUNDLL32.EXE C:\PROGRA~1\GIZMO\GDRIVE.DLL,R emount_Startup_Images
O4 - HKCU\..\RunServices: [SetupSetup12.0.49985] C:\Users\ROFRIG~1\AppData\Loca l\Temp\0.6565381653287742.exe
O4 - HKCU\..\RunServices: [LotroLotroSignatures0.5.0.0] c:\users\rofriguez\desktop\dos sier bureau\logiciel lotro-signatures\lotrosignatureslotr o.exe
O4 - HKCU\..\RunServices: [OclockSpotli] c:\users\rofriguez\documents\m es fichiers reçus\photoshop cs4 portable\photoshopportable\app \photoshop\plug-ins\filters\lighting styles\oclockspotli.exe
O4 - HKCU\..\RunServices: [InstallInstall] c:\users\rofriguez\appdata\loc al\temp\{6c998e39-cc53-4562-942a-ab3248831254}\{9df0196f-b6b8-4c3a-8790-de42aa530101}\helpergame.exe
O4 - HKCU\..\RunServices: [AssetTEXTASST] c:\users\rofriguez\appdata\loc allow\adobe\shockwave player 11\xtras\download\adobesystems incorporated\textasset\textass ttext.exe
O4 - HKCU\..\RunServices: [DynastyiKernel1.00] C:\Users\ROFRIGUEZ\AppData\Roa ming\InstallShield Installation Information\{7506D1CD-B7FE-40C7-AE1F-FE8666361700}\iKerneliKernel.e xe
O4 - HKCU\..\RunServices: [SetupInstallShield] c:\users\rofrig~1\appdata\loca l\temp\0.6565381653287742.exe
O4 - HKCU\..\RunServices: [StudioATL80] C:\Users\ROFRIGUEZ\Documents\M es fichiers reçus\Photoshop CS4 Portable\PhotoshopPortable\App \WinSxS\x86_Microsoft.VC80.ATL _1fc8b3b9a1e18e3b_8.0.50727.76 2_x-ww_cbb27474\MicrosoftStudio8.0 0.50727.762.exe

supprime ce dossier c:\users\rofriguez\documents\m es fichiers reçus\photoshop cs4 portable

Tu peux aussi changer d'antivirus,>AntiVir (tuto)< est bien meilleur qu'avast.
Il est en français et tout aussi gratuit.
Si tu changes d'av ce qui est souhaitable, désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto puis fais un scan. Poste le rapport final.

Clique ici pour télécharger la dernière version.

A voir en vidéo sur Futura · Aujourd'hui

invite91012d57 · 28/09/2010, 14h14

Fait !

Avast désinstallé et Antivir installé (mise à jour et configuration aussi)
Par contre, j'ai eu des messages d'incompatibilités avec ma version windows lors de son installation.

Voici le rapport Antivir :

**b marlow** · 28/09/2010, 14h25

la version la plus récente d'antivir:
http://www.01net.com/telecharger/win...hes/13198.html
supprime l'autre et installe celle-ci.

invite91012d57 · 28/09/2010, 17h32

Nouvelle version Antivir installé (mise à jour et configuration).

Et nouveau rapport :

**b marlow** · 28/09/2010, 18h09

redémarre, relance RSIT puis poste le nouveau rapport log.txt

invite91012d57 · 28/09/2010, 18h26

Redémarage et rapport Rsit :

**b marlow** · 28/09/2010, 21h10

Télécharge DelFix de Xplode
Enregistre-le sur le Bureau
Lance-le, tape 2 et valide en appuyant sur la touche [Entrée]
Patiente quelques secondes puis poste le contenu du rapport qui s'ouvrira

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

Cela supprimera les outils ayant servi à la procédure.

invite91012d57 · 28/09/2010, 21h23

Rapport Delfix :

**b marlow** · 28/09/2010, 21h37

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

@+

invite91012d57 · 28/09/2010, 21h50

Un grand Merci pour le temps que tu m'as consacré b marlow !!
Je vais essayé de suivre les recommandations et un grand bravo à vous pour l'aide bénévole apportée...

Bonne soirée !

win 32 : malob-x

win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Re : win 32 : malob-x

Discussions similaires

win 32

win 32 S.O.S

win 98 SE ou win millenium

Réseau entre Win XP et Win 2000pro

réseau win 98 SE / Win XP famille