Infecté par Backdoor.Bifrose.E

[sylman03]

Bonjour, l'ordinateur de ma fille est infecté par le virus Backdoor.Bifrose.E et n'arrivons pas à le supprimer. Le probleme a été découvert à la suite que ma fille est victime d'un hackeur qui lui vole ses comptes facebook et msn et ce à chaque fois qu'elle en crée un nouveau, il a fait le coup a plusieurs jeunes filles de la région et promet de leur remettre leur compte si elles leurs font un show (sex) sur cam. Les petites sont mineures et lui majeur...Une plainte a été fait au service de police mais j'ai l'impression quils feront pas grand chose.

Comment faire pour supprimer de daner virus, ma fille ne peut plus se servir de son ordi.......

Je suis découragée
J'attend de vos nouvelles

[jeanmimigab]

Bonjours et bienvenue chez nous,

Ne te fait pas de bile, on va désinfecter ton pc et on le sécurisera un maximum en fin de désinfection .

commence par cela stp...

>télécharges >> Malwarebytes <<
>Installes le et mets le à jours avant le scan
> choisis "exécuter un examen rapide" et à la fin du scan , coches tous les éléments trouvés,et cliques sur supprimer la sélection.
> et ensuite postes moi le rapport stp.

@++




Notre ami

[sylman03]

Merci de ton aide, je te jure qu'elle est grandement appréciée en ce moment.......

Voici les résultats du rappoet fait:

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3404
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2009-12-21 13:44:25
mbam-log-2009-12-21 (13-44-14).txt

Type de recherche: Examen rapide
Eléments examinés: 108424
Temps écoulé: 10 minute(s), 55 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 10
Valeur(s) du Registre infectée(s): 7
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{0ad618b7-97be-4ec1-820a-97f06fc8d0b8} (Password.Stealer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0ad618b7-97be-4ec1-820a-97f06fc8d0b8} (Password.Stealer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{90b8b761-df2b-48ac-bbe0-bcc03a819b3b} (Adware.Zango) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0ad618b7-97be-4ec1-820a-97f06fc8d0b8} (Password.Stealer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0ad618b7-97be-4ec1-820a-97f06fc8d0b8} (Password.Stealer) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\SmartShopper (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Bifrost (Backdoor.Bifrose) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\Client\Extensions\spam blocker for ms outlook (Adware.Hotbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\bn (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\d1 (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\d2 (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\d3 (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\gd (Trojan.Ambler) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MSN\pr (Trojan.Ambler) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
C:\WINDOWS\system32\Bifrost (Backdoor.Bifrose) -> No action taken.
C:\WINDOWS\system32\LocalService (Worm.Archive) -> No action taken.

Fichier(s) infecté(s):
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\photo diporama.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\photo diporama.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Bifrost\logg.dat (Backdoor.Bifrose) -> No action taken.
C:\WINDOWS\system32\Bifrost\server.exe (Backdoor.Bifrose) -> No action taken.
C:\WINDOWS\system32\ca.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\GroupPolicy000.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\inform.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\q1.dat (Malware.Trace) -> No action taken.
C:\WINDOWS\GnuHashes.ini (Malware.Trace) -> No action taken.
C:\Documents and Settings\Propriétaire\Application Data\addons.dat (Bifrose.Trace) -> No action taken.

[sylman03]

Re bonjour,
Une fois tout supprimé, elle a refait un autre test avec Malawerbites et aucun virus detecté. Présentement elle fait un test avec Kaspersky..... Je te redonne des nouvelles dès que j'en ai. Le test envoyé plus haut, elle m'avait donné le rapport avant la desinfection et non apres... merci

[sylman03]

Certains m'ont dit de formater l'ordi afin de m'en débarasser définitivement et pour etre certain quil n'y est plus.... Un formatage aurait-il réglé le probleme.........

[jeanmimigab]

bonjours sylman03

Certains m'ont dit de formater l'ordi afin de m'en débarasser définitivement et pour etre certain quil n'y est plus....

Formater pour un "bifrose", c'est comme changer de voiture lorsque la roue est à plat...

ton infection est sérieuse mais pas si violente que cela, ont devrait en venir à bout facilement

on vas contrôler ton pc...

Télécharge >> TFC.exe << impérativement sur ton bureau

Ferme tous les programmes en cour de fonctionnement...

Fait un double-clic sur l'icône de TFC pour le lancer

Une demande va apparaitre pour te demander de redémarrer ton pc, cliques sur "YES" et laisse faire TFC.

ensuite...

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer

* Assures toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Output" (en haut à droite) la case "minimal Output" soit cochée.

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "Custom scanx/fixes"

%SYSTEMDRIVE%\NDIS.sys /s /md5
%SYSTEMDRIVE%\ACPI.sys /s /md5
%SYSTEMDRIVE%\CLASSPNP.SYS /s /md5
%SYSTEMDRIVE%\*.exe
%SYSTEMDRIVE%\eventlog.dll /s /md5
%SYSTEMDRIVE%\scecli.dll /s /md5
%SYSTEMDRIVE%\netlogon.dll /s /md5
%SYSTEMDRIVE%\cngaudit.dll /s /md5
%SYSTEMDRIVE%\sceclt.dll /s /md5
%SYSTEMDRIVE%\ntelogon.dll /s /md5
%SYSTEMDRIVE%\logevent.dll /s /md5
%SYSTEMDRIVE%\iaStor.sys /s /md5
%SYSTEMDRIVE%\nvstor.sys /s /md5
%SYSTEMDRIVE%\atapi.sys /s /md5
%SYSTEMDRIVE%\IdeChnDr.sys /s /md5
%SYSTEMDRIVE%\viasraid.sys /s /md5
%SYSTEMDRIVE%\AGP440.sys /s /md5
%SYSTEMDRIVE%\vaxscsi.sys /s /md5
%SYSTEMDRIVE%\nvatabus.sys /s /md5

* Cliques sur l'icône "RunScan" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

@++


Notre ami