W32/Perlovga.A.1 Windows virus et TR/Drop.Small.apl

Bonjour,

Télécharge UsbFix (par El Desaparecido & C_XX) sur ton Bureau.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Double-clique sur UsbFix pour l'exécuter.

Choisis l'option 1 (Recherche).

Laisse travailler l'outil.

Poste le rapport UsbFix.txt.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Kaspersky, etc.) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

############################## | UsbFix V6.104 |

User : Antenne (Administrateurs) # RADIOEVASION
Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:24:30 | 15/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (5,45 Go free) [SYSTEME] # NTFS
D:\ -> Disque fixe local # 166,77 Go (51,67 Go free) [STOCKAGE] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 298,02 Go (242,01 Go free) [SAUVEGARDE] # FAT32

################## | Elements infectieux |

D:\autorun.inf
D:\copy.exe
D:\host.exe

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{c3dcdf4f-2b47-11dd-8e7f-806d6172696f}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.104 ! |

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

Double-clique sur UsbFix présent sur ton Bureau pour le lancer.

Choisis l'option 2 (Suppression).

Ton Bureau disparaîtra et le PC redémarrera.

Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

############################## | UsbFix V6.104 |

User : Antenne (Administrateurs) # RADIOEVASION
Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 12:36:38 | 15/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (5,41 Go free) [SYSTEME] # NTFS
D:\ -> Disque fixe local # 166,77 Go (51,67 Go free) [STOCKAGE] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 298,02 Go (242,01 Go free) [SAUVEGARDE] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1454471165-343818398-839522115-1004
Supprimé ! D:\autorun.inf
Supprimé ! D:\copy.exe
Supprimé ! D:\host.exe
Supprimé ! D:\Recycler\S-1-5-21-1177238915-343818398-725345543-1002
Supprimé ! D:\Recycler\S-1-5-21-1454471165-343818398-839522115-1004

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[26/05/2008 17:39|--a------|0] C:\AUTOEXEC.BAT
[26/05/2008 17:33|---hs----|216] C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] C:\Bootfont.bin
[12/04/2010 22:05|--a------|225705] C:\ComboFix.txt
[26/05/2008 17:39|--a------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[26/05/2008 17:39|-rahs----|0] C:\IO.SYS
[26/05/2008 17:39|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] C:\NTDETECT.COM
[12/04/2010 22:22|-rahs----|252240] C:\ntldr
[29/02/2004 17:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[15/04/2010 12:40|--a------|2026] C:\UsbFix.txt
[15/04/2010 12:20|--a------|77] C:\virus15042010.txt
[25/07/2008 21:08|--a------|163] C:\VundoFix.txt
[30/04/2009 22:15|--a------|44898954] D:\043009_202800.MP3
[29/07/2009 16:03|--a------|26663222] D:\072909_150000.MP3
[09/05/2006 21:36|-rahs----|34] D:\autorun.inf
[02/06/2009 17:26|--a------|542261248] D:\backup.pst
[02/06/2009 17:24|--a------|300314] D:\contacts.dbf
[13/05/2006 06:40|-rahs----|1211] D:\copy.exe
[22/09/2009 12:28|--a------|59392] D:\Grille 2009_2010.xls
[20/05/2006 20:19|-rahs----|70207] D:\host.exe
[01/10/2009 15:43|--a------|62976] D:\liens telechargements.doc
[04/07/1998 15:04|--a------|84992] D:\mda Dynamics.dll
[04/01/2010 15:01|--a------|71841] D:\problŠme.JPG
[22/06/2009 11:00|--ahs----|18944] D:\Thumbs.db

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_RADIOEVASION.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.104 ! |

Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.

Double-clique sur le fichier téléchargé pour lancer le processus d'installation.

Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.

Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.

Sélectionne Exécuter un examen rapide.

Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

Ferme tes navigateurs.

Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.

MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.

Pour les 2 fichier trouver , je ne les ai pas supprimés car en fait , c'est avec un logiciel qui nous serre énormément pour ce connecter a distance et la c'est ce que je fais actuellement ....

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3989

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/04/2010 13:38:53
mbam-log-2010-04-15 (13-38-53).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 112956
Temps écoulé: 3 minute(s), 52 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
C:\WINDOWS\system32\r_server.exe (Malware.Tool) -> No action taken.

Module(s) mémoire infecté(s):
C:\WINDOWS\system32\AdmDll.dll (PUP.RemoteAdmin) -> No action taken.

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\r_server.exe (Malware.Tool) -> No action taken.
C:\WINDOWS\system32\AdmDll.dll (PUP.RemoteAdmin) -> No action taken.

Pourquoi ne pas utiliser TeamViewer ?

en général il y a personne prés de ce pc a ce moment la ...
c'est radmin que nous utilisons ...

Tu peux refaire l'option 2 d'UsbFix ?

oki je refais de suite

apparemment les 2 fichier sont toujours infectés ....


############################## | UsbFix V6.104 |

User : Antenne (Administrateurs) # RADIOEVASION
Update on 14/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 17:34:38 | 15/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU E4600 @ 2.40GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition 8.0.1.30 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 19,53 Go (5,43 Go free) [SYSTEME] # NTFS
D:\ -> Disque fixe local # 166,77 Go (51,68 Go free) [STOCKAGE] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque fixe local # 298,02 Go (242,01 Go free) [SAUVEGARDE] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1454471165-343818398-839522115-1004
Supprimé ! D:\copy.exe
Supprimé ! D:\host.exe
Supprimé ! D:\Recycler\S-1-5-21-1454471165-343818398-839522115-1004

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[26/05/2008 17:39|--a------|0] C:\AUTOEXEC.BAT
[26/05/2008 17:33|---hs----|216] C:\boot.ini
[05/08/2004 14:00|-rahs----|4952] C:\Bootfont.bin
[12/04/2010 22:05|--a------|225705] C:\ComboFix.txt
[26/05/2008 17:39|--a------|0] C:\CONFIG.SYS
[?|?|?] C:\hiberfil.sys
[26/05/2008 17:39|-rahs----|0] C:\IO.SYS
[26/05/2008 17:39|-rahs----|0] C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] C:\NTDETECT.COM
[12/04/2010 22:22|-rahs----|252240] C:\ntldr
[29/02/2004 17:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[15/04/2010 18:00|--a------|1744] C:\UsbFix.txt
[15/04/2010 17:31|--a------|50667] C:\UsbFix_Upload_Me_RADIOEVASION.zip
[15/04/2010 12:20|--a------|77] C:\virus15042010.txt
[25/07/2008 21:08|--a------|163] C:\VundoFix.txt
[30/04/2009 22:15|--a------|44898954] D:\043009_202800.MP3
[29/07/2009 16:03|--a------|26663222] D:\072909_150000.MP3
[02/06/2009 17:26|--a------|542261248] D:\backup.pst
[02/06/2009 17:24|--a------|300314] D:\contacts.dbf
[13/05/2006 06:40|-rahs----|1211] D:\copy.exe
[22/09/2009 12:28|--a------|59392] D:\Grille 2009_2010.xls
[20/05/2006 20:19|-rahs----|70207] D:\host.exe
[01/10/2009 15:43|--a------|62976] D:\liens telechargements.doc
[04/07/1998 15:04|--a------|84992] D:\mda Dynamics.dll
[04/01/2010 15:01|--a------|71841] D:\problŠme.JPG
[22/06/2009 11:00|--ahs----|18944] D:\Thumbs.db

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

################## | Upload |

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_RADIOEVASION.zip : http://chiquitine.changelog.fr/Sample/Upload.php
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.104 ! |

Je ne comprends pas, ça les supprime mais ils sont toujours là.