virus autorite nt et redémarrage Fermé

Question

Bonjour,
J'ai chopé un virus : AUTORITE NT/SYSTEM avec un compte à rebours, mon pc reboote par la suite, et en dessous un chemin d'accès affiché c:/windows/system32/llass.exe ou un truc comme ça
ca m'enerve j'ai télécharé un correctif mais rien n'y fait; je ne peux pas travailler à l'aise.
je vous colle mon rapport hijtacktis en espérant que vous m'aidiez a trouver une solution.
amicalement

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35:18, on 23/12/2008
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\drivers\SYSTMON.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Documents and Settings\j jacques\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.recherche.aol.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\windows\SYSTEM\blank.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer fourni par AOL
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\SYSTMON.EXE
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [SYSTMON.EXE] C:\WINDOWS\system32\drivers\SYSTMON.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 8.0 Icône AOL.lnk = C:\Program Files\AOL 8.0\aoltray.exe
O4 - Global Startup: Belkin 802.11g Wireless PCI Card Configuration Utility.lnk = C:\Program Files\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\utility.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\SYSTEM32\SHDOCVW.DLL
O9 - Extra button: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Program Files\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: Win32 Classes - 
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html

InfernO.vir · Answer

Salut tu as chopé un bon vieux virus sasser !

As-tu essayé Fixsasser ?

InfernO.vir · Answer

Tu es sur ton pc infecté la ?

Si non, demarre le pc infecté, ne t'occupe du compte a rebours,

Pour empêchert le redémarrage : 
Démarrer >> Exécuter >> tape shutdown -a (respecte les espaces) et valide Ok

jeanjacques32 · Answer

Non je n'ai pas esayé ton logiciel, je peux le trouver ou?
cependant pour la commande à taper je l'ai deja testée, mais le redémarrage n'est qu'eun peu retardé...

InfernO.vir · Answer

Regarde ici : https://www.broadcom.com/support/security-center

Sinon, peut-tu acceder au gestionnaire des taches, et tu arrete les processus viraux !

tant que le compte a rebours n'est pas arreté on ne pourra pas entamer une procedure de desinfection car 60 sec pour executer un fix c'est short !

jeanjacques32 · Answer

merci pour le lien, je vais regarder.
Je ne t'ai pas précisé, que je n'ai pas accès au gestionnaire des tâches ( " votre administrateur système a .... " )
je pense la cause est ce virus...
donc si je comprends bien cela va être compliqué à éradiquer?

jeanjacques32 · Answer

Le logiciel que tu m'as envoyé en lien ne m'a rien trouvé du tout...

InfernO.vir · Answer

Je ne sais pas si ca va etre tres utile mais on peut essayer 

* Télécharge ComboFix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (par sUBs) sur ton Bureau. 
* Déconnecte toi du net et désactive ton antivirus pour que Combofix puisse s'exécuter normalement. 
* Double clique combofix.exe 
* Tape sur la touche 1 (Yes) pour démarrer le scan. 

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer la machine. 

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

jeanjacques32 · Answer

Voila j'ai fait exactement ce que tu m'as dit.
voici le rapport.
ComboFix 08-12-23.01 - j jacques 2008-12-23 21:05:19.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professionnel 5.1.2600.0.1252.1.1036.18.126.31 [GMT 1:00]
Lancé depuis: c:\documents and settings\j jacques\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\start.exe
c:\windows\system32\.exe
c:\windows\system32\drivers\beep.sys
c:\windows\system32\drivers\null.sys
c:\windows\system32\encapi32.dll
c:\windows\system32\i
c:\windows\system32\LMOUSE32.DLL
c:\windows\system32\mdm.exe
c:\windows\system32\rmoc3260.dll
c:\windows\system32\SYSTMON.EXE
c:\windows\Web\default.htt

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-23 au 2008-12-23 ))))))))))))))))))))))))))))))))))))
.

2008-12-23 21:02 . 2008-12-18 06:17 <REP> d-------- C:\32788R22FWJFW
2008-12-23 18:40 . 2008-12-23 18:40 <REP> d-------- C:\SOPHTEMP
2008-12-23 18:04 . 2008-12-23 20:39 71,725 --a------ C:\d9j6n1v4y8n8.exe
2008-12-23 16:19 . 2008-12-23 16:19 <REP> d-------- c:\windows\AU_Temp
2008-12-23 16:19 . 2008-12-23 16:19 <REP> d-------- c:\windows\AU_Log
2008-12-23 16:19 . 2008-12-23 16:19 507,904 --a------ c:\windows\TMUPDATE.DLL
2008-12-23 16:19 . 2008-12-23 16:19 294,912 --a------ c:\windows\PATCH.EXE
2008-12-23 16:19 . 2008-12-23 16:19 69,689 --a------ c:\windows\UNZIP.DLL
2008-12-23 16:19 . 2008-12-23 16:19 170 --a------ c:\windows\GetServer.ini
2008-12-23 15:04 . 2008-12-23 15:04 <REP> d-------- c:\program files\Opera
2008-12-23 14:37 . 2008-10-16 14:12 561,688 --a------ c:\windows\SYSTEM32\wuapi.dll
2008-12-23 14:37 . 2008-10-16 14:12 323,608 --a------ c:\windows\SYSTEM32\wucltui.dll
2008-12-23 14:37 . 2008-10-16 13:51 313,344 --a------ c:\windows\SYSTEM32\winhttp.dll
2008-12-23 14:37 . 2008-10-16 14:12 213,528 --a------ c:\windows\SYSTEM32\wuaucpl.cpl
2008-12-23 14:37 . 2008-10-16 14:09 43,544 --a------ c:\windows\SYSTEM32\wups2.dll
2008-12-23 14:37 . 2008-10-16 14:09 35,864 --a------ c:\windows\SYSTEM32\wucltui.dll.mui
2008-12-23 14:37 . 2008-10-16 14:08 34,328 --a------ c:\windows\SYSTEM32\wups.dll
2008-12-23 14:37 . 2008-10-16 14:08 27,672 --a------ c:\windows\SYSTEM32\wuapi.dll.mui
2008-12-23 14:37 . 2008-10-16 14:07 19,992 --a------ c:\windows\SYSTEM32\wuaueng.dll.mui
2008-12-23 14:31 . 2008-10-16 14:08 27,672 --a------ c:\windows\SYSTEM32\wuaucpl.cpl.mui
2008-12-23 14:30 . 2008-12-23 14:30 <REP> d---s---- c:\documents and settings\j jacques\UserData
2008-12-23 14:21 . 2008-12-23 14:21 <REP> d--h----- c:\windows\$xpsp1hfm$
2008-12-23 14:21 . 2003-05-11 16:26 31,744 --a------ c:\windows\SYSTEM32\xpsp1hfm.exe
2008-12-23 14:09 . 2008-12-23 17:43 17,965 --a------ C:\9j6n1v4y8n8.exe
2008-12-23 14:07 . 2008-12-23 14:07 169,472 -r-hs---- c:\windows\SYSTEM32\DRIVERS\SYSTMON.EXE
2008-12-23 14:04 . 2008-12-23 14:04 108,032 --ah----- c:\windows\SYSTEM32\smlt.exe
2008-12-23 09:01 . 2008-12-23 09:01 <REP> d---s---- c:\windows\SYSTEM32\Microsoft
2008-12-23 08:56 . 2008-12-23 08:56 <REP> d--hs---- c:\documents and settings\LocalService
2008-12-23 08:55 . 2008-12-23 08:56 <REP> d--hs---- c:\documents and settings\NetworkService
2008-12-23 08:55 . 2008-12-23 08:55 20,480 --a------ c:\windows\REGCARDS.OLD
2008-12-23 08:55 . 2008-12-23 08:55 8,192 --a------ c:\windows\REGLOCS.OLD
2008-12-23 08:52 . 2008-12-23 08:18 <REP> d--h----- c:\windows\SYSTEM32\config\systemprofile\Voisinage réseau
2008-12-23 08:52 . 2008-12-23 08:18 <REP> d--h----- c:\windows\SYSTEM32\config\systemprofile\Voisinage d'impression
2008-12-23 08:52 . 2008-12-23 08:18 <REP> d--h----- c:\windows\SYSTEM32\config\systemprofile\Modèles
2008-12-23 08:52 . 2008-12-23 08:18 <REP> d-------- c:\windows\SYSTEM32\config\systemprofile\Mes documents
2008-12-23 08:52 . 2008-12-23 08:18 <REP> dr------- c:\windows\SYSTEM32\config\systemprofile\Menu Démarrer
2008-12-23 08:52 . 2008-12-23 08:18 <REP> d-------- c:\windows\SYSTEM32\config\systemprofile\Favoris
2008-12-23 08:52 . 2008-12-23 08:18 <REP> d-------- c:\windows\SYSTEM32\config\systemprofile\Bureau
2008-12-23 08:51 . 2001-10-08 18:36 843,832 --a------ c:\windows\SYSTEM32\dllcache\tintlgnt.ime
2008-12-23 08:50 . 2001-10-08 18:36 1,875,968 --a------ c:\windows\SYSTEM32\dllcache\msir3jp.lex
2008-12-23 08:49 . 2001-10-08 18:36 1,158,818 --a------ c:\windows\SYSTEM32\dllcache\korwbrkr.lex
2008-12-23 08:48 . 2001-10-08 18:36 13,463,552 --a------ c:\windows\SYSTEM32\dllcache\hwxjpn.dll
2008-12-23 08:47 . 2001-08-23 17:47 2,134,528 --a------ c:\windows\SYSTEM32\dllcache\EXCH_smtpsnap.dll
2008-12-23 08:46 . 2008-12-23 08:46 <REP> d-------- c:\windows\SYSTEM32\xircom
2008-12-23 08:46 . 2008-12-23 08:46 <REP> d-------- c:\program files\microsoft frontpage
2008-12-23 08:45 . 2008-12-23 08:45 1,798 --a------ c:\windows\LnkStub.dat
2008-12-23 08:38 . 2008-12-23 08:18 <REP> d--h----- c:\documents and settings\j jacques\Voisinage réseau
2008-12-23 08:38 . 2008-12-23 08:18 <REP> d--h----- c:\documents and settings\j jacques\Voisinage d'impression
2008-12-23 08:38 . 2008-12-23 08:18 <REP> d--h----- c:\documents and settings\j jacques\Modèles
2008-12-23 08:38 . 2008-12-23 09:02 <REP> dr------- c:\documents and settings\j jacques\Mes documents
2008-12-23 08:38 . 2008-12-23 08:18 <REP> dr------- c:\documents and settings\j jacques\Menu Démarrer
2008-12-23 08:38 . 2008-12-23 09:02 <REP> dr------- c:\documents and settings\j jacques\Favoris
2008-12-23 08:38 . 2008-12-23 08:18 <REP> d-------- c:\documents and settings\j jacques\Bureau
2008-12-23 08:38 . 2008-12-23 08:38 <REP> d-------- c:\documents and settings\j jacques
2008-12-23 08:38 . 2008-12-23 08:38 240,128 --a------ c:\windows\SYSTEM32\migicons.exe
2008-12-23 08:36 . 2008-12-23 09:02 25,065 --a------ c:\windows\SYSTEM32\wmpscheme.xml
2008-12-23 08:36 . 2008-12-23 08:36 23,392 --a------ c:\windows\SYSTEM32\nscompat.tlb
2008-12-23 08:36 . 2008-12-23 08:36 16,832 --a------ c:\windows\SYSTEM32\amcompat.tlb
2008-12-23 08:36 . 2008-12-23 08:39 3,524 --a------ c:\windows\SYSTEM32\CONFIG.NT
2008-12-23 08:36 . 2008-12-23 08:36 0 --a------ c:\windows\control.ini
2008-12-23 08:33 . 2008-12-23 08:33 <REP> d--hs---- c:\documents and settings\All Users\DRM
2008-12-23 08:32 . 2008-12-23 08:32 749 -rah----- c:\windows\WindowsShell.Manifest
2008-12-23 08:32 . 2008-12-23 08:32 749 -rah----- c:\windows\SYSTEM32\wuaucpl.cpl.manifest
2008-12-23 08:32 . 2008-12-23 08:32 749 -rah----- c:\windows\SYSTEM32\sapi.cpl.manifest
2008-12-23 08:32 . 2008-12-23 08:32 749 -rah----- c:\windows\SYSTEM32\nwc.cpl.manifest
2008-12-23 08:32 . 2008-12-23 08:32 749 -rah----- c:\windows\SYSTEM32\ncpa.cpl.manifest
2008-12-23 08:32 . 2008-12-23 08:32 749 -rah----- c:\windows\SYSTEM32\cdplayer.exe.manifest
2008-12-23 08:32 . 2008-12-23 08:32 488 -rah----- c:\windows\SYSTEM32\WindowsLogon.manifest
2008-12-23 08:32 . 2008-12-23 08:32 488 -rah----- c:\windows\SYSTEM32\logonui.exe.manifest
2008-12-23 08:30 . 2008-12-23 08:30 <REP> d-------- c:\windows\SYSTEM32\Restore
2008-12-23 08:29 . 2001-10-08 18:38 2,533,888 --a------ c:\windows\SYSTEM32\dllcache\msoeres.dll
2008-12-23 08:27 . 2008-12-23 08:28 21,892 --a------ c:\windows\SYSTEM32\emptyregdb.dat
2008-12-23 08:27 . 2008-12-23 08:27 37 --a------ c:\windows\vbaddin.ini
2008-12-23 08:27 . 2008-12-23 08:27 36 --a------ c:\windows\vb.ini
2008-12-23 08:25 . 2001-10-08 18:36 1,267,200 --a------ c:\windows\SYSTEM32\dllcache\cimwin32.dll
2008-12-23 08:24 . 2001-08-17 20:49 12,672 --a------ c:\windows\SYSTEM32\DRIVERS\wADV01nt.sys
2008-12-23 08:24 . 2001-08-17 20:49 12,288 --a------ c:\windows\SYSTEM32\DRIVERS\wADV02NT.sys
2008-12-23 08:24 . 2001-08-17 20:49 12,160 --a------ c:\windows\SYSTEM32\DRIVERS\wSiINTxx.sys
2008-12-23 08:24 . 2001-08-17 20:49 12,032 --a------ c:\windows\SYSTEM32\DRIVERS\wADV05NT.sys
2008-12-23 08:22 . 2001-08-23 17:18 56,960 --a------ c:\windows\SYSTEM32\DRIVERS\redbook.sys
2008-12-23 08:22 . 2001-08-17 20:12 23,070 --a------ c:\windows\SYSTEM32\DRIVERS\RTL8139.sys
2008-12-23 08:21 . 2001-08-23 17:46 585,344 --a------ c:\windows\SYSTEM32\i81xdnt5.dll
2008-12-23 08:21 . 2001-08-17 20:49 138,240 --a------ c:\windows\SYSTEM32\DRIVERS\i81xnt5.sys
2008-12-23 08:21 . 2001-08-18 06:24 135,040 --a------ c:\windows\SYSTEM32\DRIVERS\portcls.sys
2008-12-23 08:21 . 2001-08-23 17:47 117,248 --a------ c:\windows\SYSTEM32\ksproxy.ax
2008-12-23 08:21 . 2001-08-17 20:20 96,256 --a------ c:\windows\SYSTEM32\DRIVERS\ac97intc.sys
2008-12-23 08:21 . 2001-08-23 17:47 70,144 --a------ c:\windows\SYSTEM32\usbui.dll
2008-12-23 08:21 . 2001-08-17 22:01 57,344 --a------ c:\windows\SYSTEM32\DRIVERS\drmk.sys
2008-12-23 08:21 . 2001-08-23 17:47 4,096 --a------ c:\windows\SYSTEM32\ksuser.dll
2008-12-23 08:18 . 2008-12-23 08:18 <REP> d--h----- c:\documents and settings\Default User\Voisinage réseau
2008-12-23 08:18 . 2008-12-23 08:18 <REP> d--h----- c:\documents and settings\Default User\Voisinage d'impression
2008-12-23 08:18 . 2008-12-23 08:18 <REP> d--h----- c:\documents and settings\Default User\Modèles
2008-12-23 08:18 . 2008-12-23 08:18 <REP> d-------- c:\documents and settings\Default User\Mes documents
2008-12-23 08:18 . 2008-12-23 08:18 <REP> dr------- c:\documents and settings\Default User\Menu Démarrer
2008-12-23 08:18 . 2008-12-23 08:18 <REP> d-------- c:\documents and settings\Default User\Favoris
2008-12-23 08:18 . 2008-12-23 08:18 <REP> d-------- c:\documents and settings\Default User\Bureau
2008-12-23 08:18 . 2008-12-23 08:18 <REP> d--h----- c:\documents and settings\All Users\Modèles
2008-12-23 08:18 . 2008-12-23 08:18 <REP> dr------- c:\documents and settings\All Users\Menu Démarrer
2008-12-23 08:18 . 2008-12-23 08:18 <REP> d-------- c:\documents and settings\All Users\Favoris
2008-12-23 08:18 . 2008-12-23 08:18 <REP> dr------- c:\documents and settings\All Users\Documents
2008-12-23 08:18 . 2008-12-23 08:18 <REP> d-------- c:\documents and settings\All Users\Bureau
2008-12-23 08:18 . 2001-10-08 18:38 1,624,406 --a------ c:\windows\SYSTEM32\dllcache\NT5.CAT
2008-12-23 08:17 . 2008-12-23 08:17 <REP> d-------- c:\windows\SYSTEM32\CatRoot2
2008-12-23 08:17 . 2008-12-23 08:17 <REP> d-------- c:\windows\SYSTEM32\CatRoot
2008-12-23 08:17 . 2008-12-23 08:17 <REP> d--h----- c:\documents and settings\Default User
2008-12-23 08:17 . 2008-12-23 08:17 <REP> d-------- c:\documents and settings\All Users
2008-12-23 08:17 . 2008-12-23 08:17 <REP> d-------- C:\Documents and Settings
2008-12-23 08:16 . 2008-12-23 08:54 3,545 --a------ c:\windows\SYSTEM32\$winnt$.inf
2008-12-23 08:02 . 2008-12-23 08:02 <REP> d--hs---- C:\undo
2008-12-23 07:59 . 2008-12-23 07:59 512 ---hs---- C:\BOOTSECT.DOS
2008-12-23 07:58 . 2008-12-23 07:58 15,305 --a------ c:\windows\config.dmp
2008-12-23 07:58 . 2008-12-23 07:58 6,267 --a------ c:\windows\upgrade.htm
2008-12-23 07:57 . 2008-12-23 07:57 <REP> d-------- c:\windows\MDMUPGLG
2008-12-23 07:49 . 2008-12-23 07:49 0 --a------ c:\windows\ffe04679_{34D59EE1-D0C6-11DD-BA65-D2F452CF273E}.tmp
2008-12-23 07:49 . 2008-12-23 07:49 0 --a------ c:\windows\ffe04679_{34D59EE0-D0C6-11DD-BA65-D2F452CF273E}.tmp
2008-12-21 13:06 . 2008-12-21 13:06 0 --a------ c:\windows\ffc0ffaf_{22D86541-CF60-11DD-BA65-001150909D3F}.tmp
2008-12-21 13:06 . 2008-12-21 13:06 0 --a------ c:\windows\ffc0ffaf_{22D86540-CF60-11DD-BA65-001150909D3F}.tmp
2008-12-21 12:55 . 2008-12-21 12:55 0 --a------ c:\windows\ffc0fa37_{B2832EC1-CF5E-11DD-BA65-001150909D3F}.tmp
2008-12-21 12:55 . 2008-12-21 12:55 0 --a------ c:\windows\ffc0fa37_{B2832EC0-CF5E-11DD-BA65-001150909D3F}.tmp
2008-12-21 12:45 . 2008-12-21 12:45 0 --a------ c:\windows\ffc0f5e9_{47821B01-CF5D-11DD-BA65-001150909D3F}.tmp
2008-12-21 12:45 . 2008-12-21 12:45 0 --a------ c:\windows\ffc0f5e9_{47821B00-CF5D-11DD-BA65-001150909D3F}.tmp
2008-12-21 11:27 . 2008-12-21 11:27 <REP> d-------- C:\SAVE
2008-12-21 11:25 . 2008-12-21 11:25 0 --a------ c:\windows\ffc0fc25_{20721C01-CF52-11DD-BA65-001150909D3F}.tmp
2008-12-21 11:25 . 2008-12-21 11:25 0 --a------ c:\windows\ffc0fc25_{20721C00-CF52-11DD-BA65-001150909D3F}.tmp
2008-12-21 11:23 . 2008-12-21 11:23 0 --a------ c:\windows\SYSTEM\TEMP.000

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-23 13:07 134,656 ----a-w c:\windows\SYSTEM32\sfc_os.dll
2008-12-20 17:21 155,995 ----a-w c:\windows\JAVA\Packages\4O8C2CJT.ZIP
2008-12-08 09:59 32,768 --sh--w C:\VIDEOROM.BIN
2008-10-16 13:13 1,809,944 ----a-w c:\windows\SYSTEM32\wuaueng.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\SYSTEM32\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\SYSTEM32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\SYSTEM32\wuauclt.exe
1999-06-10 15:11 266 --sh--w c:\program files\desktop.ini
1999-06-10 15:11 11,208 ---h--w c:\program files\folder.htt
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SlowFile Icon Overlay]
@="{7D688A77-C613-11D0-999B-00C04FD655E1}"
[HKEY_CLASSES_ROOT\CLSID\{7D688A77-C613-11D0-999B-00C04FD655E1}]
2001-10-08 17:38 8379392 --a------ c:\windows\SYSTEM32\SHELL32.DLL

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\ctfmon.exe" [2001-10-08 20480]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-06-02 1660952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SYSTMON.EXE"="c:\windows\system32\drivers\SYSTMON.EXE" [2008-12-23 169472]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2001-10-08 20480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VDOM"= vdowave.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\setup\disabledrunkeys]
"LoadPowerProfile"=Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
"Multimedia Keyboard"=c:\program files\Netropa\Multimedia Keyboard\MMKeybd.exe
"Onscreen Display"=c:\program files\Netropa\Onscreen Display\OSD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile\AuthorizedApplications\List]
"\\??\\c:\\WINDOWS\\system32\\winlogon.exe"= \??\c:\windows\system32\winlogon.exe:*:enabled:@shell32.dll,-1

S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;\??\c:\progra~1\Belkin\BELKIN~1.11G\DNINDIS5.SYS []
S3 NtApm;Pilote d'interface NT APM/hérité;c:\windows\System32\DRIVERS\NtApm.sys [2008-12-23 9472]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
CryptSvc
DMServer
DHCP
ERSvc
EventSystem
HidServ
LanmanWorkstation
Messenger
Netman
TrkWks
W32Time
WZCSVC

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - LocalService
Alerter
LmHosts

*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>IEPerUser]
RUNDLL32.EXE IEDKCS32.DLL,BrandIE4 SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{44BBA851-CC51-11CF-AAFA-00AA00B6015C}]
rundll32.exeadvpack.dll
.
Contenu du dossier 'Tâches planifiées'

2008-12-23 c:\windows\Tasks\Rappel d'expiration de la désinstallation.job
- c:\windows\System32\OOBE\oobebaln.exe [2001-10-08 18:38]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mLocal Page = c:\windows\SYSTEM\blank.htm
mWindow Title = Microsoft Internet Explorer fourni par AOL
uInternet Settings,ProxyOverride = <local>
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - c:\windows\web\related.htm
IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - c:\windows\web\related.htm -

O16 -: DirectAnimation Java Classes - file://c:\windows\SYSTEM\dajava.cab
c:\windows\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Internet Explorer Classes for Java - file://c:\windows\SYSTEM\iejava.cab
c:\windows\Downloaded Program Files\Internet Explorer Classes for Java.osd

O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso4.cab
c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-23 21:10:38
Windows 5.1.2600 FAT NTAPI

detected NTDLL code modification:
ZwOpenFile

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(360)
c:\windows\system32\ODBC32.dll

- - - - - - - > 'lsass.exe'(416)
c:\windows\System32\dssenh.dll
.
Heure de fin: 2008-12-23 21:12:22
ComboFix-quarantined-files.txt 2008-12-23 20:12:20

Avant-CF: 1 497 735 168 octets libres
Après-CF: 1,509,687,296 octets libres

269

InfernO.vir · Answer

Ok du mieux ?

Télécharge OTMoveIt3 par OldTimer : http://download.bleepingcomputer.com/oldtimer/OTMoveIt3.exe

Enregistre ce fichier sur le Bureau.
Fais un double clic sur OTMoveIt2.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
Copie les lignes ci-dessous en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

C:\d9j6n1v4y8n8.exe 
C:\9j6n1v4y8n8.exe


Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
Clique sur le bouton rouge Moveit!.
Ferme OTMoveIt3
Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTMoveIt\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

jeanjacques32 · Answer

Merci beaucoup
J'ai fait ce que tu m'as dit
voilà le rapport, apparament infructueux..
Error: Unable to interpret <C:\d9j6n1v4y8n8.exe > in the current context!
Error: Unable to interpret <C:\9j6n1v4y8n8.exe > in the current context!

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12232008_220430

InfernO.vir · Answer

Telecharge FindyKill sur ton bureau : 

https://www.malekal.com/tutorial-findykill/ 

--> Lance l installation avec les paramètres par défaut 

--> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir 


--> Double clic sur le raccourci FindyKill sur ton bureau 

--> Au menu principal,choisi l option 1 (Recherche) 

--> Post le rapport FindyKill.txt 

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

jeanjacques32 · Answer

Merci
Mais j'ai fait ce que tu m'as dit sans résultat, lorsque je lance le logiciel, j'ai une fenêtre noire qui me dit que " Le fichier spécifié est introuvable " malgré plusieurs réinstallations...

InfernO.vir · Answer

---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau. 
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation. 
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte. 
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche. 
---> Sélectionne Exécuter un examen rapide. 
---> Clique sur Rechercher. L'analyse démarre. 

A la fin de l'analyse, un message s'affiche : 

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. 
---> Ferme tes navigateurs. 
Si des malwares ont été détectés, clique sur Afficher les résultats. 
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine. 
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.--
[$écurité|Viru$]-->Respect lors des désinfections<--STOP aux boulets !!-->Je suis présent seulement le week-end, ce n'est pas pour autant qu'il faut creer un autre topic !!

InfernO.vir

jeanjacques32 · Answer

merci, voici mon rapport
que dois-je faire ensuite?
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1538
Windows 5.1.2600 

23/12/2008 23:25:44
mbam-log-2008-12-23 (23-25-44).txt

Type de recherche: Examen rapide
Eléments examinés: 43430
Temps écoulé: 7 minute(s), 43 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

jeanjacques32 · Answer

je te précise que j'ai toujours ce probleme de redémarrage...

InfernO.vir · Answer

slt,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 

• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Virus autorite nt et redémarrage

16 réponses

Discussions similaires