Supprimer Win32.Packed.Tibs.R
Cette infection installe
plusieurs trojans et backdoor.
Cette infection transforme la
machine infectée en envoie de spam.
L'infection peut
aussi installer le rogue :
BraveSentryDétection
Win32.Packed.Tibs.R
Exemple de log avec
HijackThis
:
O4
- HKLM\..\Run: [runner1] C:\WINDOWS\updater.exe
61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4
- HKLM\..\Run: [Svcs: Dnscache]
C:\DOCUME~2\Pascal\LOCALS~1\Temp\6475\explorer.exe
O10
- Unknown file in Winsock LSP: c:\windows\system32\winhealer.dll
O10
- Unknown file in Winsock LSP: abcdefgh.dll
O10 - Unknown file
in Winsock LSP: abcdefgh.dll
Les fichiers présents :
C:\WINDOWS\system32\vexg4am1et2.exe
- détecté en Virus:Trj/Gagar.DN
C:\Windows\system32\3ti.exe
- détecté en Win32.Packed.Tibs.R
c:\Windows\system32\pdp.exe.exe
- détecté en MemScan:Trojan.Peed.LZ
/ Packed.Win32.Tibs.r / Worm:Win32/Nuwar.gen
C:\Windows\system32\cent.exe
- détecté en MemScan:Trojan.Peed.MD
C:\WINDOWS\system32\inst.exe
* détecté en Virus:W32/Nurech.X.worm
C:\documents
and settings\<user\Locals Settings\temp\maindll.dll - détecté en
Trojan.Win32.Agent.pk
C:\WINDOWS\b122.exe
- détecté en MaxFiles /
Adware.Softomate
C:\WINDOWS\system32\update45864519.exe
- détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\WINDOWS\system32\update23209606.exe
- détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\WINDOWS\system32\update58956977.exe
- détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\WINDOWS\system32\update03953493.exe
- détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\WINDOWS\system32\update95342169.exe
- détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
Si le fichier suivant est présent
: C:\Windows\system32\3ti.exe
Il
droppe un rootkit de cette forme :
C:\WINDOWS\system32\windev-45ed-4750.sys
C:\WINDOWS\system32\windev-peers.ini
Le
driver est de la forme windev-xxx-xxxx.sys
où x sont des lettres et chiffres.
Ce dernier créé des
services afin de pouvoir se cacher.
Les services reprennent la suite
de lettres et de chiffres avec en début un nom de service légitime :
HKLM\SYSTEM\CurrentControlSet\Services\winmgmt45ed-4750
HKLM\SYSTEM\CurrentControlSet\Services\Winsock45ed-4750
Ce
rootkit peut aussi être présent ajouté par
Trojan-peacomm:
C:\WINDOWS\system32\wincom32.sys
-> Rootkit.Agent.dhCette
infection peut-être accompagnée du Rootkit pe386 :
http://forum.malekal.com/ftopic982.phpSuppression
Win32.Packed.Tibs.R
Suivez
la procédure :
Procédure
de désinfection des Trojans/Backdoor
Etant
donné que l'infection installe des rootkits, il peut être recommandé de
vérifier sur le forum que votre machine est bien désinfectée.
Autres
Liens
Pour plus
d'informations, sur le fonctionnement des spywares et les conseils
à suivre :
Fonctionnement
et suppression des Vers/Spywares/Malwares sous Windows
Guide
de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike,
Winbound, etc..)
