Un virus inconnue

Résolu
RAMZI_PC Messages postés 33 Statut Membre -  
RAMZI_PC Messages postés 33 Statut Membre -
Bonjour,

il y a deux jours, mon pc est infectee par un virus que je le connait pas

ce virus cree un fichier (autorun.inf) dans les disques dur, voici son contenue :

******************************
[autorun]
;xbadvymjdjyvnnjoflabqoaz
shellexecute="RECYCLER\S-6-0-24-100027781-100002469-100025579-9836.com c:\"
;dqzmaryiaoiatqjmslizjkilzzixpifyccagqrhnlseaqkmuvjzrgadwobmuhqpmviibrkampjue
shell\Open\command="RECYCLER\S-6-0-24-100027781-100002469-100025579-9836.com c:\"
;lhnidfzhogmqbettpnzpgjxhtbeuzaqymqmvujetzqyvzknpqdesbubuvwtkls
shell=Open

*****************************

j'ai vérifié la liste des programmes de demarrage : il n y a rien de bizarre , de meme pour la liste des processus
chaque fois que je supprime ce fichier le LED de lecteur disquette s'allume et le fichier retourne
notant que j'admis un antivirus "bitdefender IS 2009" avec les derniers mise a jours mais il ne capte rien.
une aide SVP
Configuration: Windows XP
Firefox 3.0.5

8 réponses

  1. kduc Messages postés 1537 Statut Membre 133
     
    Bonjour/bonsoir

    Vide la Corbeille.

    Télécharge et installe SmitFraudFix :
    http://siri.urz.free.fr/Fix/SmitfraudFix.php (par S!Ri)

    Double-clique sur SmitfraudFix.exe
    Dans le menu, fais le choix 1 et appuie sur "Entrée" pour créer un
    rapport que tu trouveras à la racine du disque système C:\rapport.txt

    Poste-le.
    0
  2. RAMZI_PC Messages postés 33 Statut Membre 9
     
    lorsque j'ai téléchargée SmitFraudFix mon antivirus le supprimer en tant qu'un trojan (trojan.zlob.50795)

    en tout cas j'ai desactivee l'antivirus et je precede, voici le rapport : "il semble qu'il y a des malware"
    note : avant l'analyse j'ai effacee ce cle du registre (je pense que celui l'origine de ce prob): HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = http://search.bearshare.com/fr/
    --------------------------------------------------------------------------------------------------------------------------------------------

    SmitFraudFix v2.392

    Rapport fait à 14:33:46,56, 01/02/2009
    Executé à partir de C:\Documents and Settings\OTHMAN FAMILY\Application Data\IDM\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode normal

    »»»»»»»»»»»»»»»»»»»»»»»» Process

    C:\\WINDOWS\\System32\\smss.exe
    C:\\WINDOWS\\system32\\csrss.exe
    C:\\WINDOWS\\system32\\winlogon.exe
    C:\\WINDOWS\\system32\\services.exe
    C:\\WINDOWS\\system32\\lsass.exe
    C:\\WINDOWS\\system32\\svchost.exe
    C:\\WINDOWS\\system32\\svchost.exe
    C:\\Program Files\\Fichiers communs\\BitDefender\\BitDefender Update Service\\livesrv.exe
    C:\\Program Files\\BitDefender\\BitDefender 2009\\vsserv.exe
    C:\\WINDOWS\\System32\\svchost.exe
    C:\\WINDOWS\\system32\\svchost.exe
    C:\\WINDOWS\\system32\\svchost.exe
    C:\\WINDOWS\\Explorer.EXE
    C:\\WINDOWS\\system32\\ctfmon.exe
    C:\\WINDOWS\\system32\\LEXBCES.EXE
    C:\\WINDOWS\\system32\\spoolsv.exe
    C:\\WINDOWS\\system32\\LEXPPS.EXE
    C:\\Program Files\\Lexmark X1100 Series\lxbkbmgr.exe
    C:\\WINDOWS\\Mixer.exe
    C:\\PROGRA~1\\AOpen\\Keyboard\\Ikeymain.exe
    C:\\Program Files\\BitDefender\\BitDefender 2009\\bdagent.exe
    C:\\Program Files\\Java\\jre6\\bin\\jusched.exe
    C:\\Program Files\\SuperCopier2\\SuperCopier2.exe
    C:\\Program Files\\Salaat Time\\SalaatTime.exe
    C:\\Program Files\\Internet Download Manager\\IDMan.exe
    C:\\Program Files\\Lexmark X1100 Series\\lxbkbmon.exe
    C:\\Program Files\\Webshots\\webshots.scr
    C:\\Program Files\\BitDefender\\BitDefender 2009\\seccenter.exe
    C:\\Program Files\\Fichiers communs\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe
    C:\\Program Files\\Bonjour\\mDNSResponder.exe
    C:\\WINDOWS\\system32\\DRIVERS\\CDANTSRV.EXE
    C:\\Program Files\\Java\\jre6\\bin\\jqs.exe
    C:\\WINDOWS\\system32\\nvsvc32.exe
    C:\\Program Files\\Alcohol Soft\\Alcohol 120\\StarWind\\StarWindService.exe
    C:\\WINDOWS\\system32\\svchost.exe
    C:\\WINDOWS\\System32\\alg.exe
    C:\\Program Files\\Internet Download Manager\\IEMonitor.exe
    C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe
    C:\\Program Files\\Windows Live\\Contacts\\wlcomm.exe
    C:\\Program Files\\Windows Media Player\\wmplayer.exe
    C:\\WINDOWS\\system32\\DllHost.exe
    C:\\Program Files\\Mozilla Firefox\\firefox.exe
    C:\\Program Files\\Fichiers communs\\Adobe\\Updater5\\AdobeUpdater.exe
    C:\\WINDOWS\\system32\\NOTEPAD.EXE
    C:\\WINDOWS\\system32\\cmd.exe
    C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\

    C:\\autorun.inf PRESENT !

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS\\system

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS\\Web

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS\\system32

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\WINDOWS\\system32\\LogFiles

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\Documents and Settings\\OTHMAN~1

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\DOCUME~1\\OTHMAN~1\\LOCALS~1\\Temp

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\Documents and Settings\\OTHMAN FAMILY\\Application Data

    »»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\DOCUME~1\OTHMAN~1\Favoris

    »»»»»»»»»»»»»»»»»»»»»»»» Bureau

    »»»»»»»»»»»»»»»»»»»»»»»» C:\\Program Files

    »»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues

    »»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

    [HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\Desktop\\Components\0]
    "Source"="About:Home"
    "SubscribedURL"="About:Home"
    "FriendlyName"="Ma page d'accueil"

    »»»»»»»»»»»»»»»»»»»»»»»» o4Patch
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    o4Patch
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Windows]
    "AppInit_DLLs"="sockspy.dll"

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon]
    "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
    DNS Server Search Order: 192.168.1.1

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  3. kduc Messages postés 1537 Statut Membre 133
     
    Salut,

    Redémarre le PC en mode sans échec :
    https://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm
    (méthode F8 de préférence)

    Double-clique sur SmitfraudFix.exe
    Dans le menu, fais le choix 2 et appuie sur "Entrée".
    Puis, aux deux questions qui te seront posées, réponds O (oui) et appuie
    sur "Entrée" ....
    Un redémarrage sera peut être nécessaire pour terminer la procédure de nettoyage.
    Le rapport se trouve à la racine du disque système C:\rapport.txt

    Poste-le.
    0
  4. RAMZI_PC Messages postés 33 Statut Membre 9
     
    SmitFraudFix v2.392

    Rapport fait à 20:35:34,57, 01/02/2009
    Executé à partir de C:\Documents and Settings\OTHMAN FAMILY\Bureau\SmitfraudFix
    OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
    Le type du système de fichiers est NTFS
    Fix executé en mode sans echec

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

    »»»»»»»»»»»»»»»»»»»»»»»» hosts

    127.0.0.1 localhost

    »»»»»»»»»»»»»»»»»»»»»»»» VACFix

    VACFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

    S!Ri's WS2Fix: LSP not Found.

    »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

    GenericRenosFix by S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

    »»»»»»»»»»»»»»»»»»»»»»»» IEDFix

    IEDFix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

    Agent.OMZ.Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» 404Fix

    404Fix
    Credits: Malware Analysis & Diagnostic
    Code: S!Ri

    »»»»»»»»»»»»»»»»»»»»»»»» RK

    »»»»»»»»»»»»»»»»»»»»»»»» DNS

    HKLM\SYSTEM\CCS\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\..\{C97D3560-3451-40B4-82FE-5B80A412CBFA}: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
    HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

    »»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

    »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "System"=""

    »»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

    Nettoyage terminé.

    »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
    !!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

    SrchSTS.exe by S!Ri
    Search SharedTaskScheduler's .dll

    »»»»»»»»»»»»»»»»»»»»»»»» Fin
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kduc Messages postés 1537 Statut Membre 133
     
    ...

    Fais un clic-droit sur le lien ci-dessous :
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (par AndyManchesta)

    Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..")
    et sauvegarde-le (Enregistrer dans) sur le Bureau.

    Important : dans "Nom du fichier" enregistre (renomme) "sdfix" ou "SdFix.exe" en sd-fix.exe

    Redémarre en mode sans échec ...
    https://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm
    (de préférence par F8 au démarrage).

    --------------------------------------------
    Tu n' auras pas accès à Internet pendant le "mode sans échec".
    Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
    sur le "bureau" pour l' avoir à ta disposition.
    --------------------------------------------

    Sur le bureau, double-clique sur sd-fix.exe et choisis Install pour l'extraire sur le Bureau.
    Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur
    RunThis.cmd (ou RunThis.bat) pour lancer le script.

    Appuie sur Y pour commencer le processus de nettoyage.
    Il va supprimer les services et les entrées du Registre des trojans trouvés puis te
    demandera d'appuyer sur une touche pour redémarrer. Fais-le.

    Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va
    continuer à s'exécuter et supprimer des fichiers.

    Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
    Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

    Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera
    Aussi dans le dossier SDFix sous le nom Report.txt.

    Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

    ---
    Ensuite, ...

    Fais un scan HijackThis ...
    http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ... et poste le rapport.
    0
  7. RAMZI_PC Messages postés 33 Statut Membre 9
     
    say j'ai resolue le probleme au mode sans echec
    merci
    0
  8. kduc Messages postés 1537 Statut Membre 133
     
    Salut,

    En es-tu sûr ?
    0
  9. RAMZI_PC Messages postés 33 Statut Membre 9
     
    oui

    merci

    j'ai fait aussi un nettoyage de registre

    est say

    tout les fichiers (autorun.inf et S-6-0-24-100027781-100002469-100025579-9836.com) sont effacée ainsi que tout les clés.
    0