[marseye]

salut si kelkun pouvait m aider
svp

j'ai un petit message ki apparait a chaque fois ke je suis konnecté a internet ( j'ai le virus serwab sur mon ordi , de telechargé un antivirus)
je voudrais savoir si je suis vraiment contaminer
et si oui comment faire pour le supprimer


merçi de m'aider et me repondre tres vite. 

[marseye]

voila mon scan hijackthis

Log supprimé - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) 

[!aur3n7]

Bonjour marseye.

Ce log démontre bien la présence d'un petit adware ne représentant pas grand danger si ce n'est un affichage de publicités mais rien d'autre (pour le moment)
On va donc, si tu le veux bien, essayer de chercher un peu plus

=> Fais un scan en ligne avec Internet explorer
* Rend toi sur ce site http://webscanner.kaspersky.fr/
- Clique sur l'image de droite Kaspersky Online scanner
-- Une notice s'affichera , clique sur le bouton j'accepte (après en avoir pris connaissance bien sur)
note: Si le scanner n'a pas encore été installé (ActivX) un message te demandera si tu accepte ou non de le faire.
-- L'installation et la mise à jour de la base antivirale se feront automatiquement.
* Clique sur Suivant puis choisis Poste de travail pour lancer le scan
* Une fois le scan terminé sauvegarde le rapport Clique sur Enregistrer rapport sous
-- Pour le retrouver facilement met le sur le bureau
-- dans nom de fichier entre Kaspersky
-- A type de fichier choisis text file (*.txt) puis clique sur le bouton enregistrer
* Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

Note :
- En cas de problème vérifies ces quelques points http://www.malekal.com/scan_Av_en_ligne.html#mozTocId898809
- Ton antivirus résident pourrait empêcher ou perturber le déroulement du scan. Kaspersky conseille de le désactiver avant de lancer le scan. (pour la durée du scan uniquement)
- En cas de problème tu trouveras une démonstration animée sur le lien donné ou si besoin un tutoriel http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566 

[marseye]

deja je voudrais te remercier de m'aider

et voila celui de Kapersky

-------------------------------------------------------------------------------
Log supprimé 

[!aur3n7]

Bonsoir,

Rien de probant la non plus.

On va donc essayer d'approfondir un peu

=> Télécharge gmer : http://www.gmer.net/gmer.zip
-- Décompresse le sur ton bureau

Ferme toutes les applications non indispensables
- Lance Gmer.exe
* Onglet "rootkit"
-- Controle que la case [ ] "show all" soit bien décochée
* clique sur Scan
* une fois le scan terminé, clique sur "copy"
- Ouvre le bloc-note (Démarrer > tous les programmes > accessoire)
* Clique sur Edition puis choisis coller
* Enregistre ce fichier sur ton bureau
* Fais un copier coller de son contenu dans ta prochaine réponse

Note:
Il se peut que ton antivirus émet une alerte concernant Gmer, Ignore la et continu tout de même.

a+ 

[marseye]

a koi va servir ce scan par gmer, s il te plait?

parceque je trouve kil est long et il ya pleins fichiers

merci 

[!aur3n7]

Bonjour,

Ce scan Gmer sert à détecter les Rootkits. Les rootkits ne peuvent être détectés par de moyen standards il faut donc utiliser un scanne dédié à cette tache.

[marseye]

je n'arrive pa a enregistrer
parce que le programme bloque a la fin de fin de scan
et l ordi ram bcp et je suis obliger de le fermer
sa ait plusieurs fois que j 'essaye

ke doi je faire stp ?

merci 

[!aur3n7]

Bonjour,

Bon on va essayer avec Blacklight

=> Télécharge F-Secure Blacklight : (F-Secure) https://europe.f-secure.com/blacklight/try.shtml
* Clique en bas sur I accept
-- Dans la nouvelle fenêtre sur le lien Download Blacklight Beta graphical user interface version
-- Met le sur ton bureau
* Lance-le en double-cliquant sur le fichier blbeta.exe
-- Accepte la licence (après l'avoir lue), puis clique sur Scan
note : Ce scan peut prendre un certain temps il faut donc être patient
-- Une fois le scan terminé clique sur Next
important : N'utilise pas la fonction cleaning pour le moment.

-- Un rapport sera généré dans le même dossier que blbeta.exe (bureau) et se présente sous le nom fsbl-bxxxx.log (les xxxx sont des chiffres).
-- Fais un copier coller du contenu de ce fichier dans ta prochaine réponse.

note : si besoin un tutoriel est consultable ici http://www.malekal.com/tutorial_f-secure_BlackLight.html 

[marseye]

voila ce ke le scan a trouvé


11/12/06 14:58:37 [Info]: BlackLight Engine 1.0.47 initialized
11/12/06 14:58:37 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/12/06 14:58:37 [Note]: 7019 4
11/12/06 14:58:37 [Note]: 7005 0
11/12/06 14:58:52 [Note]: 7006 0
11/12/06 14:58:52 [Note]: 7011 1316
11/12/06 14:58:53 [Note]: 7026 0
11/12/06 14:58:53 [Note]: 7026 0
11/12/06 14:58:53 [Note]: 7024 3
11/12/06 14:58:53 [Info]: Hidden process: C:\windows\system32\kotxmquydb.exe
11/12/06 14:58:53 [Note]: 7015 520
11/12/06 14:58:53 [Note]: 7015 5
11/12/06 14:58:54 [Note]: 7015 1592
11/12/06 14:58:54 [Note]: 7015 5
11/12/06 14:58:54 [Note]: 7015 1768
11/12/06 14:58:54 [Note]: 7015 5
11/12/06 14:58:54 [Note]: FSRAW library version 1.7.1020
11/12/06 15:08:09 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb.dat
11/12/06 15:08:09 [Note]: 10002 1
11/12/06 15:08:10 [Info]: Hidden file: C:\windows\system32\kotxmquydb.exe
11/12/06 15:08:10 [Note]: 10002 1
11/12/06 15:08:10 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb_nav.dat
11/12/06 15:08:15 [Note]: 10002 1
11/12/06 15:08:18 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb_navps.dat
11/12/06 15:08:18 [Note]: 10002 1 

[!aur3n7]

Re,

Voila donc quelques matière a travailler
=> Télécharge Killbox (Option^Explicit) http://www.downloads.subratam.org/KillBox.zip
- Clique sur KillBox Download Link pour le télécharger
-- Décompresse le sur le bureau
- Clique sur Démarrer exécuter tape notepad puis clique sur Ok
- Sélectionne le texte en citation et fais en un copier coller dans le blocnote (notepad)

[marseye]

je croix que c est le meme resultats


11/12/06 16:00:54 [Info]: BlackLight Engine 1.0.47 initialized
11/12/06 16:00:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/12/06 16:00:54 [Note]: 7019 4
11/12/06 16:00:54 [Note]: 7005 0
11/12/06 16:00:57 [Note]: 7006 0
11/12/06 16:00:57 [Note]: 7011 1548
11/12/06 16:00:57 [Note]: 7026 0
11/12/06 16:00:58 [Note]: 7026 0
11/12/06 16:00:58 [Note]: 7024 3
11/12/06 16:00:58 [Info]: Hidden process: C:\windows\system32\kotxmquydb.exe
11/12/06 16:00:58 [Note]: 7015 540
11/12/06 16:00:58 [Note]: 7015 5
11/12/06 16:00:58 [Note]: 7015 1692
11/12/06 16:00:58 [Note]: 7015 5
11/12/06 16:00:58 [Note]: 7015 1800
11/12/06 16:00:58 [Note]: 7015 5
11/12/06 16:00:58 [Note]: FSRAW library version 1.7.1020
11/12/06 16:09:21 [Info]: Hidden file: c:\RECYCLER\S-1-5-21-546024188-2725184113-3326631526-1006\Dc201\kotxmquydb.exe
11/12/06 16:09:21 [Note]: 10002 1
11/12/06 16:11:19 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb.dat
11/12/06 16:11:19 [Note]: 10002 1
11/12/06 16:11:20 [Info]: Hidden file: C:\windows\system32\kotxmquydb.exe
11/12/06 16:11:20 [Note]: 10002 1
11/12/06 16:11:20 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb_nav.dat
11/12/06 16:11:20 [Note]: 10002 1
11/12/06 16:11:20 [Info]: Hidden file: c:\WINDOWS\system32\kotxmquydb_navps.dat
11/12/06 16:11:20 [Note]: 10002 1
11/12/06 16:19:14 [Note]: 7007 0 

[marseye]

rapport hijackthis


Log supprimé - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) 

[marseye]

voila ce qui est ecrit a la fin de l operation sur killbox

PendingFileRename operation registry data has been removed by external process

et sa na rien effacer 

[!aur3n7]

OK,

On va faire ca manuellement car il y a un programme résident qui empeche la modification du registre et donc l'utilisation normale de Killbox


-- Redémarre en mode sans echec

* Important: Déplace Hijackthis dans un dossier qui lui sera dédié (c:\hijackthis)

- Relance Hijackthis
-- do a system scan only

Coche les cases dorrespondant à ces lignes


R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {C0BF0265-0893-9D45-44EC-D31DCEEA4755} - (no file)
O4 - HKLM\..\Run: [Platform Default Peak Glue] C:\Documents and Settings\All Users\Application Data\deletemetaplatformdefault\sect owns.exe O
4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ExitPing] C:\DOCUME~1\Bortalis\APPLIC~1\ABOUTD~1\Fast Plus.exe
O4 - HKCU\..\Run: [Cydoor] CD_Load.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk570YYGP
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

-- Clique sur Fix checked

=> Autorise l'affichage des fichiers et dossiers cachés

* Clique sur Démarrer >>> Panneau de configuration
* Dans le menu en haut clique sur Outils choisis Option des dossiers
* Sélectionne l'onglet Affichage
-- [X] Coche Afficher les Fichiers et dossiers cachés
-- [ ] Décoche Masquer les fichiers protégés du système d'exploitation
-- [ ] Décoche Masquer les extensions dont le type est connu
* clique succesivement sur
-- En haut Appliquer à tous les dossiers
-- En bas Appliquer et Ok pour valider les changements
* Ferme la fenêtre

Recherche et supprime ces fichiers

C:\windows\system32\kotxmquydb.exe
c:\WINDOWS\system32\kotxmquydb.dat
c:\WINDOWS\system32\kotxmquydb_nav.dat
c:\WINDOWS\system32\kotxmquydb_navps.dat

Redémarre en mode normal.

Refais un scan avec Blacklight pour s'assurer de la suppression.