Sujet Précédent Sujet Suivant

Infection Virus Rootkit

kenza -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour à tous,

Ne sachant plus quoi faire et avant mon dernier recours, formater mon disque, je fais appel à vous .
Il y a à peu près 3 mois, le virus "Win32-Trojan-Gen-(Other) a fait son apparition, j'ai du en mettre plus d'une centaine en quarantaine avec Avast. J'ai également eu les virus suivants (1 ou 2) :
Win32-AutoRun-AV (wrm)
Win32-Virtumonde-RX(Adw)
Win32-Spyware-gen(Trj)
Win32-Rootkit-gen(Rtk)

Depuis début avril Rootkit revient en force !! (j'en ai attrappé une vingtaine avec Avast et 29 avec Bitdefender).

J'ai trouvé la méthode préliminaire de désinfection sur votre site (1.CCleaner, 2. AVG Anti-Spyware, 3. BitDefender, 4. Hijackthis) que j'ai appliqué en dehors d'AVG Anti-Spyware que je n'ai pu installer.

Merci d'avance à celles et ceux qui pourront m'aider. Je tiens à préciser que je ne suis absolument pas experte
A voir également:

4 réponses

Réponse 1 / 4
eZula Messages postés 3509 Statut Contributeur 392
 
Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre
0
kenza
 
Rapport GenProc 2.523 [1] - 15/04/2009 à 18:11:39 - Windows XP

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante :


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :
- C:\Program Files\EsetOnlineScanner\log.txt

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

?? Désolée, mais je ne comprends rien !!!!!!
0
Réponse 2 / 4
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
slt

Slt,

scan avec malwarebyte , fais un scan rapide et colle le rapport obtenu et vire ce qui est trouvé:

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

______________________

Télécharge ici :

http://images.malwareremoval.com/random/RSIT.exe

random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

Double-clique sur RSIT.exe afin de lancer RSIT.

Clique Continue à l'écran Disclaimer.

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit
0
kenza
 
voici les 2 rapports

Logfile of random's system information tool 1.06 (written by random/random)
Run by Administrateur at 2009-04-15 18:17:20
Microsoft Windows XP Professionnel Service Pack 2
System drive F: has 161 MB (4%) free of 4 GB
Total RAM: 1024 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:17:37, on 15/04/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
D:\Programmes\Avast\aswUpdSv.exe
D:\Programmes\Avast\ashServ.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\HP\HP Software Update\HPWuSchd2.exe
F:\Program Files\HP\hpcoretech\hpcmpmgr.exe
D:\Programmes\Avast\ashDisp.exe
F:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
F:\Program Files\MultiRes\MultiRes.exe
E:\Program Files\iTunesHelper.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\MSN Messenger\MsnMsgr.Exe
E:\Program Files\RssReader\RssReader.exe
F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
F:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
D:\Programmes\Avast\ashMaiSv.exe
D:\Programmes\Avast\ashWebSv.exe
F:\Program Files\iPod\bin\iPodService.exe
F:\WINDOWS\system32\wuauclt.exe
F:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\HPZipm12.exe
F:\Program Files\Microsoft Office\Office10\OUTLOOK.EXE
F:\Program Files\Microsoft Office\Office10\WINWORD.EXE
F:\Program Files\Internet Explorer\iexplore.exe
F:\WINDOWS\System32\WScript.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\4DQ38TEJ\RSIT[1].exe
F:\Program Files\trend micro\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://home.free.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - F:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - F:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - F:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O4 - HKLM\..\Run: [HP Software Update] "F:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "F:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [avast!] "D:\Programmes\Avast\ashDisp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [MultiRes] F:\Program Files\MultiRes\MultiRes.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Program Files\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] F:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [RssReader] E:\Program Files\RssReader\RssReader.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = F:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = F:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Program Files\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - F:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Program Files\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://home.free.fr/
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programmes\Avast\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programmes\Avast\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programmes\Avast\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programmes\Avast\ashWebSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - F:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - F:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - F:\WINDOWS\system32\HPZipm12.exe
0
Réponse 3 / 4
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
analyse ces 3 fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/

F:\WINDOWS\system\svhost.exe
F:\WINDOWS\System32\87.scr
F:\WINDOWS\system\msile.exe
___________________

colle le rapport malwarebyte antimalware puis
___________________

télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.

déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)

double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

je me mets ceci de coté

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"F:\WINDOWS\system\svhost.exe"="F:\WINDOWS\system\svhost.exe:*:MSNETDED"
"F:\WINDOWS\System32\87.scr"="F:\WINDOWS\System32\87.scr:*:WindowsTelephony"
"F:\WINDOWS\System32\88.scr"="F:\WINDOWS\System32\88.scr:*:WindowsTelephony"
"F:\WINDOWS\System32\06.scr"="F:\WINDOWS\System32\06.scr:*:WindowsTelephony"
"F:\WINDOWS\System32\64.scr"="F:\WINDOWS\System32\64.scr:*:WindowsTelephony"
"F:\WINDOWS\system\msile.exe"="F:\WINDOWS\system\msile.exe:*:msile"
"F:\WINDOWS\System32\46.scr"="F:\WINDOWS\System32\46.scr:*:msile"
"F:\WINDOWS\System32\62.scr"="F:\WINDOWS\System32\62.scr:*:msile"
"F:\WINDOWS\system\msrsys32.exe"="F:\WINDOWS\system\msrsys32.exe:*:msrsys"
"F:\WINDOWS\System32\84.scr"="F:\WINDOWS\System32\84.scr:*:msrsys"
"F:\WINDOWS\System32\71.scr"="F:\WINDOWS\System32\71.scr:*:msrsys"
"F:\WINDOWS\system\services.exe"="F:\WINDOWS\system\services.exe:*:Microsoft Enabled"
"F:\WINDOWS\System32\50.scr"="F:\WINDOWS\System32\50.scr:*:Microsoft Enabled"
"F:\WINDOWS\system\netmon.exe"="F:\WINDOWS\system\netmon.exe:*:Microsoft Enabled"
"F:\WINDOWS\System32\38.scr"="F:\WINDOWS\System32\38.scr:*:MSNETDED"
"F:\WINDOWS\system\1sass.exe"="F:\WINDOWS\system\1sass.exe:*:Microsoft Enabled"
"F:\WINDOWS\System32\04.scr"="F:\WINDOWS\System32\04.scr:*:Microsoft Enabled"
0
kenza
 
J'ai un problème !! je ne trouve pas ces 3 fichiers ! Comment dois-je procéder ??

Merci encore pour ton aide
0
Réponse 4 / 4
jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 040
 
pas grave passe a la suite on verra après

a plus
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
a quoi sert softonic ?
durup1928 -
jacklyn -

25 réponses