Supprimer Win32.Packed.Tibs.R

Supprimer Win32.Packed.Tibs.R



Cette infection installe plusieurs trojans et backdoor.
Cette infection transforme la machine infectée en envoie de spam.

L’infection peut aussi installer le rogue : BraveSentry

Détection Win32.Packed.Tibs.R

Exemple de log avec HijackThis :
O4 – HKLM..Run: [runner1] C:WINDOWSupdater.exe 61A847B5BBF72810358B2B27128065E9C084320161C4661227A755E9C2933154389A
O4 – HKLM..Run: [Svcs: Dnscache] C:DOCUME~2PascalLOCALS~1Temp6475explorer.exe

O10 – Unknown file in Winsock LSP: c:windowsSystem32\winhealer.dll

O10 – Unknown file in Winsock LSP: abcdefgh.dll
O10 – Unknown file in Winsock LSP: abcdefgh.dll

Les fichiers présents :

C:\Windows\System32vexg4am1et2.exe – détecté en Virus:Trj/Gagar.DN
C:\Windows\System32\\3ti.exe – détecté en Win32.Packed.Tibs.R
c:WindowsSystem32\pdp.exe.exe – détecté en MemScan:Trojan.Peed.LZ / Packed.Win32.Tibs.r / Worm:Win32/Nuwar.gen
C:\Windows\System32\\cent.exe – détecté en MemScan:Trojan.Peed.MD
C:\Windows\System32inst.exe * détecté en Virus:W32/Nurech.X.worm
C:documents and settings<userLocals Settingstempmaindll.dll – détecté en Trojan.Win32.Agent.pk
C:WINDOWSb122.exe – détecté en MaxFiles / Adware.Softomate

C:\Windows\System32update45864519.exe – détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\Windows\System32update23209606.exe – détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\Windows\System32update58956977.exe – détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\Windows\System32update03953493.exe – détecté en Proxy.Wopla.ag / Trojan.Agent.aiw
C:\Windows\System32update95342169.exe – détecté en Proxy.Wopla.ag / Trojan.Agent.aiw

Si le fichier suivant est présent : C:\Windows\System32\\3ti.exe
Il droppe un rootkit de cette forme :

C:\Windows\System32windev-45ed-4750.sys
C:\Windows\System32windev-peers.ini

Le driver est de la forme windev-xxx-xxxx.sys où x sont des lettres et chiffres.
Ce dernier créé des services afin de pouvoir se cacher.

Les services reprennent la suite de lettres et de chiffres avec en début un nom de service légitime :
HKLMSYSTEMCurrentControlSetServiceswinmgmt45ed-4750

HKLMSYSTEMCurrentControlSetServicesWinsock45ed-4750

Ce rootkit peut aussi être présent ajouté par Trojan-peacomm:
C:\Windows\System32wincom32.sys -> Rootkit.Agent.dh

Cette infection peut-être accompagnée du Rootkit pe386 : http://forum.malekal.com/rootkit-pe386-rustock-t982.html

Suppression Win32.Packed.Tibs.R

Suivez la procédure : Procédure de désinfection des Trojans/Backdoor

Etant donné que l’infection installe des rootkits, il peut être recommandé de vérifier sur le forum que votre machine est bien désinfectée.

Autres Liens

Pour plus d’informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 8 times, 1 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *