Virus HEUR:Trojan.Win32.Generic = la merde!Résolu/Fermé

Question

Bonjour,
Je n'arrive plus à ouvrir mon poste de travail depuis aujourd'hui...
J'ai installé Kaspersky2009 depuis quelques heurs, j'ai lancé une analyse complète et il m'as trouvé ça: HEUR:Trojan.Win32.Generic, il l'a mis directe en quarantaine (il y à une jolie flèche verte signifiant "correcte" à côté), cependant rien n'as changé!!! 

Symptômes:
-inaccessibilité au poste de travail ni à aucun CD inséré (sauf si celui ci possède un autorun tel Kaspersky)
-apparition d'un petit icône en bouclier rouge avec une croix dessus  genre bouclier windows quand quelque chose ne va pas. Ce bouclier me met le message: "you have a security problem!"
-des pages internet s'ouvrent avec différents messages genre: you have a security problem! do you want to resolve?
Ca me dirige vers des pages internet qui sont sensé "analyser" l'état de mon ordi et la présence de virus....

En claire c'est la merde.

Je voudrais savoir si ces symptômes sont du à ce virus ou bien à un autre et aussi s'il y à possibilité de l'éradiquer...
Merci d'avance

PS: je n'y connais pas grand chose en ordinateurs, si vous pouviez m'éviter un langage trop obscure :D

V-X · Accepted Answer

Re,

&#x25B6 Télécharge et installe MalwareByte's Anti-Malware
Malwarebyte

&#x25B6 Mets le à jour

&#x25B6 Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.

&#x25B6 Sélectionne Exécuter un examen complet si ce n'est pas déjà fait

&#x25B6 clique sur Rechercher

&#x25B6 Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

&#x25B6 Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

&#x25B6 Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

&#x25B6 Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune. 


Tutoriel pour MalwareByte's

V-X · Answer

Salut,

==>Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.

==>Double clique sur RSIT.exe pour lancer l'outil.

==>Clique sur ' continue ' à l'écran Disclaimer.

==>Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

==>Une fois le scan fini , 2 rapports vont apparaitre. Poste le contenu des 2 rapports
( log.txt & info.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Si un rapport ne passe pas faire une alerte à la conciergerie avec le /!\ jaune.

Super-PinGu · Answer

ça y est j'ai les deux rapports:
1- INFO

info.txt logfile of random's system information tool 1.05 2008-12-23 22:04:36

======Uninstall list======

-->C:\Program Files\Nero\Nero 7\nero\uninstall\UNNERO.exe /UNINSTALL
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player 10 ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Photoshop 7.0.1-->C:\WINDOWS\ISUN040C.EXE -f"C:\Program Files\Adobe\Photoshop 7.0\Uninst.isu" -c"C:\Program Files\Adobe\Photoshop 7.0\Uninst.dll"
Adobe Reader 8.1.2 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A81200000003}
Apple Mobile Device Support-->MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}
Apple Software Update-->MsiExec.exe /I{6956856F-B6B3-4BE0-BA0B-8F495BE32033}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
EasyCleaner-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\10\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{F5346614-B7C4-4E94-826A-E2363155233D}\setup.exe" -l0x9  -removeonly
Google Earth-->MsiExec.exe /I{1D14373E-7970-4F2F-A467-ACA4F0EA21E3}
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
iTunes-->MsiExec.exe /I{585776BC-4BD6-4BD2-A19A-1D6CB44A403B}
Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
Kaspersky Internet Security 2009-->MsiExec.exe /I{8CB14A64-CEF4-4C8F-B1C8-1C3B8752CB55}
Ma-Config.com plugin-->MsiExec.exe /I{D2D7529F-6B55-4C1C-BC9C-D6F1BCC066B6}
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{9011040C-6000-11D3-8CFE-0150048383C9}
Module de compatibilité pour Microsoft Office System 2007-->MsiExec.exe /X{90120000-0020-040C-0000-0000000FF1CE}
Mozilla Firefox (3.0.5)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
MS Access 97 SP2-->C:\Program Files\Microsoft Office\setup\setup.exe
Nero 7 Premium-->MsiExec.exe /X{A20A58C4-6784-4B4B-86CC-94E2E3671036}
NVIDIA Drivers-->C:\WINDOWS\system32
vudisp.exe UninstallGUI
NVIDIA nForce Utilities-->C:\WINDOWS\system32undll32.exe setupapi,InstallHinfSection Remove_SSUtilsNT 132 C:\WINDOWS\INF
vautlml.inf
PeerGuardian 2.0-->"C:\Program Files\PeerGuardian2\unins000.exe"
Pilotes NVIDIA nForce pour Windows 2000/XP-->rundll32.exe C:\WINDOWS\system32\NVNFINST.DLL,NvUninstallCrush
QuickTime-->MsiExec.exe /I{1838C5A2-AB32-4145-85C1-BB9B8DFA24CD}
SimCity 4-->C:\Program Files\Maxis\SimCity 4\EAUninstall.exe
TypingMaster Pro-->"C:\Program Files\TypingMaster\unins000.exe"
Winamp (remove only)-->"C:\Program Files\Winamp\UninstWA.exe"
Windows Live Messenger-->MsiExec.exe /I{F6326B60-1B1D-4ABF-BFCD-7B7404F44411}

======Security center information======

AV: Kaspersky Internet Security
FW: Kaspersky Internet Security

System event log

Computer Name: SUPER-PINGU
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Gestionnaire de connexions d'accès distant.

Record Number: 10537
Source Name: Service Control Manager
Time Written: 20081105182846.000000+060
Event Type: Informations
User: SUPER-PINGU\Super-PinGu

Computer Name: SUPER-PINGU
Event Code: 7036
Message: Le service Téléphonie est entré dans l'état : en cours d'exécution.

Record Number: 10536
Source Name: Service Control Manager
Time Written: 20081105182846.000000+060
Event Type: Informations
User: 

Computer Name: SUPER-PINGU
Event Code: 7036
Message: Le service Service de découvertes SSDP est entré dans l'état : en cours d'exécution.

Record Number: 10535
Source Name: Service Control Manager
Time Written: 20081105182846.000000+060
Event Type: Informations
User: 

Computer Name: SUPER-PINGU
Event Code: 7035
Message: Un contrôle Démarrer a correctement été envoyé au service Service de découvertes SSDP.

Record Number: 10534
Source Name: Service Control Manager
Time Written: 20081105182846.000000+060
Event Type: Informations
User: AUTORITE NT\SYSTEM

Computer Name: SUPER-PINGU
Event Code: 7036
Message: Le service NLA (Network Location Awareness) est entré dans l'état : en cours d'exécution.

Record Number: 10533
Source Name: Service Control Manager
Time Written: 20081105182846.000000+060
Event Type: Informations
User: 

Application event log

Computer Name: SUPER-PINGU
Event Code: 1025
Message: Produit : Kaspersky Internet Security 2009. Le fichier C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\prremote.dll est actuellement utilisé par le processus de nom '~tmpc' et d'identificateur '692'.

Record Number: 5246
Source Name: MsiInstaller
Time Written: 20081223192450.000000+060
Event Type: Informations
User: SUPER-PINGU\Super-PinGu

Computer Name: SUPER-PINGU
Event Code: 1025
Message: Produit : Kaspersky Internet Security 2009. Le fichier C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\PrKernel.ppl est actuellement utilisé par le processus de nom '~tmpc' et d'identificateur '692'.

Record Number: 5245
Source Name: MsiInstaller
Time Written: 20081223192449.000000+060
Event Type: Informations
User: SUPER-PINGU\Super-PinGu

Computer Name: SUPER-PINGU
Event Code: 1025
Message: Produit : Kaspersky Internet Security 2009. Le fichier C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\params.ppl est actuellement utilisé par le processus de nom '~tmpc' et d'identificateur '692'.

Record Number: 5244
Source Name: MsiInstaller
Time Written: 20081223192449.000000+060
Event Type: Informations
User: SUPER-PINGU\Super-PinGu

Computer Name: SUPER-PINGU
Event Code: 1025
Message: Produit : Kaspersky Internet Security 2009. Le fichier C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\kloehk.dll est actuellement utilisé par le processus de nom 'msiexec' et d'identificateur '2392'.

Record Number: 5243
Source Name: MsiInstaller
Time Written: 20081223192449.000000+060
Event Type: Informations
User: SUPER-PINGU\Super-PinGu

Computer Name: SUPER-PINGU
Event Code: 1025
Message: Produit : Kaspersky Internet Security 2009. Le fichier C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\kloehk.dll est actuellement utilisé par le processus de nom 'msiexec' et d'identificateur '2388'.

Record Number: 5242
Source Name: MsiInstaller
Time Written: 20081223192449.000000+060
Event Type: Informations
User: SUPER-PINGU\Super-PinGu

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QuickTime\QTSystem\
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 10 Stepping 0, AuthenticAMD
"PROCESSOR_REVISION"=0a00
"NUMBER_OF_PROCESSORS"=1
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"CLASSPATH"=.;C:\Program Files\QuickTime\QTSystem\QTJava.zip
"QTJAVA"=C:\Program Files\QuickTime\QTSystem\QTJava.zip

-----------------EOF-----------------




2- LOG

Logfile of random's system information tool 1.05 (written by random/random)
Run by Super-PinGu at 2008-12-23 22:04:26
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 32 GB (64%) free of 50 GB
Total RAM: 1023 MB (64% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:04:34, on 23/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\DOCUME~1\SUPER-~1\LOCALS~1\Temp\a.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\DOCUME~1\SUPER-~1\LOCALS~1\Temp\csrssc.exe
C:\WINDOWS\system32
vsvc32.exe
C:\DOCUME~1\SUPER-~1\LOCALS~1\Temp\~tmpb.exe
C:\DOCUME~1\SUPER-~1\LOCALS~1\Temp\~tmpc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Super-PinGu\Bureau\RSIT.exe
C:\Program Files	rend micro\Super-PinGu.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [Cognac] C:\DOCUME~1\SUPER-~1\LOCALS~1\Temp\~tmpb.exe
O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\SUPER-~1\LOCALS~1\Temp\a.exe
O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOCUME~1\SUPER-~1\LOCALS~1\Temp\csrssc.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Super-PinGu · Answer

L'analyse est en cours, il y à déjà 8infectés.

Super-PinGu · Answer

Je te suis vraiment reconnaissant, tout remarche comme sur des roulettes!!! Je peut de nouveau accéder au poste de travail, je n'ai plus cet icône de pub ni les fenêtres associées!!! Merci beaucoup!!!

Je pense qu'il est bon de garder Malwarebytes' Anti-Malware pour effectuer des vérifications en plus de kaspersky, va tu dans ce sens? Ou est il mauvais de "croiser" deux programmes antiviraux? A chaque fois que l'on poste pour un virus (ce qui j'espere n'arrivera plus) il faut mieux donner les rapports du logiciel que tu m'as passé (RSIT)? 

PS: merci à comment ça marche d'exister ainsi (et surtout) à ses utilisateurs!


Voici le rapport:

Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1538
Windows 5.1.2600 Service Pack 2

23/12/2008 23:06:17
mbam-log-2008-12-23 (23-06-17).txt

Type de recherche: Examen complet (C:\|G:\|I:\|)
Eléments examinés: 102008
Temps écoulé: 44 minute(s), 1 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 7
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 10

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{9233c3c0-1472-4091-a505-5580a23bb4ac} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\MSFox (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Jnskdfmf9eldfd (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSFox (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Cognac (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions (Hijack.FolderOptions) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Super-PinGu\Local Settings\Temp\~tmpe.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\All Users\Application Data\CrucialSoft Ltd\MS AntiSpyware 2009\msas2009.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Super-PinGu\Local Settings\Temp\csrssc.exe (Trojan.Downloader) -> Delete on reboot.
C:\Documents and Settings\Super-PinGu\Local Settings\Temp\a.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Documents and Settings\Super-PinGu\Local Settings\Temp\~tmpb.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Documents and Settings\Super-PinGu\Local Settings\Temp\~tmpa.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\Super-PinGu\Local Settings\Temp\~tmpc.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\Documents and Settings\Super-PinGu\Local Settings\Temp\~tmpd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

V-X · Answer

Re,

Redémarre ton PC normalement

Ensuite tu me refait un log RSIT.

Pour malwarebyte ,oui garde le .

Sylvestre33 · Answer

J'ai eu aujourd'hui un problème similaire : Kaspersky 2009 m'a signalé le même virus.
Mais moi, j'ai Kaspersky en place depuis longemps, donc je suis étonné que ce virus n'ait pas été bloqué.
J'ai, semble-t-il, réussi à m'en débarasser en faisant une analyse complète en mode sans échec.
Mais maintenant, à chaque redémarrage, un message apparait disant qu'il manque un fichier "luwupane.dll".
Google ne donne rien sur ce nom

Super-PinGu · Answer

voici le LOG

Logfile of random's system information tool 1.05 (written by random/random)
Run by Super-PinGu at 2008-12-23 23:28:10
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 32 GB (64%) free of 50 GB
Total RAM: 1023 MB (70% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:13, on 23/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\sstray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\PeerGuardian2\pg2.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Super-PinGu\Bureau\RSIT.exe
C:\Program Files	rend micro\Super-PinGu.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\Program Files\PeerGuardian2\pg2.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

V-X · Answer

Re,

@Sylvestre33,

Comment faire sont propre topic sur CCM

A++

Super-PinGu · Answer

Merci gars ;)

V-X · Answer

Re,

Comment va ton pc?
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Télécharge toolscleaner sur ton Bureau : 

toolscleaner

* Double-clique sur ToolsCleaner2.exe et laisse le travailler 

* Clique sur Recherche et laisse le scan se terminer. 

* Clique sur Suppression pour finaliser. 

* Tu peux, si tu le souhaites, te servir des Options facultatives. 

* Clique sur Quitter, pour que le rapport puisse se créer. 

* Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta réponse
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Désactive et réactive la Restauration du système :
 
1 Dans la barre des tâches de Windows, clique sur Démarrer.
 
2 Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
 
3 Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"

4 Clique sur Appliquer.
  
5 Ensuite décoche "Désactiver la restauration du systeme"

6 clique sur appliquer puis ok

7 vas créer un point de restauration dans accessoires----outils systeme----restauration du systeme.

Comment mettre en résolu le topic
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Des informations intéressantes pour toi et ton PC :

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance :
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement).

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) :
-> http://secubox.aldria.com/topic-2373.html

=============================================================

=> Il faut mettre a jour la console Java régulièrement aussi :

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions.
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme.
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé .
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

=============================================================

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC :

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page.

===========================================================

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) :

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html

================================================================

--> Pour une meilleur sécurité lorsque tu surfes , je te conseille d'utiliser FireFox :
télécharge le ici -> https://www.commentcamarche.net/telecharger/ 111 firefox

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

--> Tutorial pour sécuriser Firefox :
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/

=================================================================
=> Rappel sur les principales causes d'infection :


* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci :

Les dangers des cracks : http://forum.malekal.com/ftopic893.php

->Le crack dans toute sa splendeur, journal d'une infection attendue :
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack :
http://secuboxlabs.fr/archives/computertoday.html


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent):

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/

Pourquoi éviter le P2P :
> http://www.libellules.ch/
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793
> https://lexpansion.lexpress.fr/actualite-economique/


* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment :
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité :

MSN prévention :
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte


Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/
https://forum.malekal.com/viewtopic.php?f=45&t=5544

=================================================================
( merci le sioux )

Super-PinGu · Answer

Tu adressait ce message et l'utilisation de tools cleaner à moi ou bien à Sylvestre33?
PS: tools cleaner es un programme du genre de easycleaner ou bien rien à voir?

V-X · Answer

Re,

Toolscleaner sert a effacer les logs utiliser pour te désinfecter.

Ensuite tu me poste le rapport et bien sur supprime tout ce qu'il trouve.

Super-PinGu · Answer

voici le rapport:
[ Rapport ToolsCleaner version 2.2.9 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\Rsit: trouvé !
C:\Documents and Settings\Super-PinGu\Bureau\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !



PS: qu'es qu'un log? juste un rapport d'analyse?

V-X · Answer

Re,

Tu peut faire la suppression de ce qu'il a trouvé.

Un log et un rapport.

A++

big maama · Answer

je suis désolé
mais dire d'installer des trucs en plus style antimalware ou anti machin chose truc n'est pas une vraie solution.
la meilleure solution est de rentrer dans le pc , lui faire un bon scan avec un bon antivirus. domage !!!! vous avez pris norton et kan vous faites des mises a jour ya ncore norton qui vient avec ses p'tits bras musclés. norton est la pire des merdes pour vous envoyer des virus et vous faire acheter la contre médication. bordell !!!! faudra bien que ça cesse tout ça . le mieux est de virer tout norton via  démarrer==> panneau de configuration ==> symantec ou norton
voire les 2
un reboot du pc
sa aide bien
ensuite on vas dans démarrer et voir dans "démarrer" ==> executer ==> regedit ==> virtualdevicedrivers ==> fenètre a droite ==> VDD 'klik double" ==> supprimer cette merde ki mets norton ou symantec
et vala c facile non?
on reboot le pc et on est plus emmerdé 
c sa ké bien

Virus HEUR:Trojan.Win32.Generic = la merde!

16 réponses

Discussions similaires

Newsletters