Infection par un trojan : Magania et OnLIneGa

KVK -  
 KVK -
Bonjour,

Je me suis rendu compte il y a quelques jours que je suis infecté par un ou deux troyens. D'après les recherches que j'ai réalisé, ces troyens (Win32.magania et Win32.OnLineGames associés à 3 fichiers 2u.com, 1ogf.exe et upw.bat) m'ont été transmis via un disque dur externe (dans le cadre d'un groupe de travail) et ont contaminé tout mon système (2 ordis portables dont 1 qui n'a pas Internet, 1 dd externe et 1 clé USB).

J'ai énormément besoin de mon matériel pour de nombreuses activités professionnelles et au lieu d'envisager un nettoyage par antivirus (j'ai fait tourné Kaspersky sur le pc internet qui a été nettoyé mais qui est très instable depuis lors : écran bleu et erreur fatale quotidiennement, compliqué pour l'autre ordi qui est sans Internet). Après nettoyage des clés, l'ordi sans aucune connexion remet à chaque fois la contamination. L'autre ordi semble nettoyé mais est devenu très instable. Je pensais faire un reformatage (au grand maux les grands remèdes...) mais n'étant pas une pointure en informatique, j'avais plusieurs questions :

1) Puis-je graver un CD sans risque de contamination sur mes données ? (ou comment m'en assurer ?)
2) Si j'effectue un reformatage, suis-js sûr d'éradiquer l'infection ? Quel type de formatage dois-je faire pour en être sûr ?
3) Comment bien nettoyer la clé et le DD en sachant que l'infection semble toucher le fichier autorun de la clé et que le disque dur contient de nombreux fichiers "système" (je ne sais pas en quoi ils sont utiles pour le fonctionnement, c'est un Freecom Mobile Drive XXS) ?

Ca me gâche la vie depuis plusieurs jours, étant très informatisé pour mes différents travaux (mais surtout en sachant que c'est "petit programme" sont souvent réalisé dans l'objectif d'"ennuyer" les gens) mais ça me rassure de voir qu'il y a plusieurs personnes bien sympathiques sur ce forum qui aident les gens de manière très charitable (et efficace), merci à eux, c'est vraiment une action très positive.
A voir également:

22 réponses

  • 1
  • 2
Réponse 1 / 22
Elitemoumoute Messages postés 443 Statut Membre 91
 
Salut,

Pour répondre à tes question :

1) Puis-je graver un CD sans risque de contamination sur mes données ? (ou comment m'en assurer ?)
Cela dépends, si c'est un ver, cela est très probable, cependant, si tu dis que c'est un trojan, méfie toi tout de même. Pour vérifier, utilise un scanner antivirus performant ! (n'utilise pas avast!). Si tu as peu de fichiers, tu peux les uploader sur https://www.virustotal.com/gui/ pour scanner.
2) Si j'effectue un reformatage, suis-js sûr d'éradiquer l'infection ? Quel type de formatage dois-je faire pour en être sûr ?
Après un formatage, normalement, tu n'as plus de problèmes, sauf si le virus à attaqué ton bios ou ta ram. Je pense que le formatage résoudra ton problème.
3) Comment bien nettoyer la clé et le DD en sachant que l'infection semble toucher le fichier autorun de la clé et que le disque dur contient de nombreux fichiers "système" (je ne sais pas en quoi ils sont utiles pour le fonctionnement, c'est un Freecom Mobile Drive XXS) ?
Normalement, si tu formate, les fichiers systèmes devraient ne pas être effacés (a confirmer)
0
KVK
 
Merci de vos réponses.

- Quelle est la différence entre un ver et un troyen ?
- J'envisage le reformatage parce qu'un de mes deux pc est non connectés à Internet et je ne souhaite pas/n'est pas le matériel pour le brancher. Et un reformatage, c'est un peu fastidieux mais c'est peut être la solution la plus "propre"

- pour les périphériques, le problème avéré sur la clé est que les 2 fichiers touchés n'apparaissent pas sous window (il apparaisse sur l'ordi - Mac - d'un ami sans le contaminer) et qu'un reformatage ne les atteint donc pas. Un reformatage ne me permet donc pas d'être sur de bien nettoyer le DD et la clé et dans le cas d'un formatage de ou des ordis, je ne souhaite pas que les periph. réamène la contamination.

- Pour les solutions proposées par les autres, ca me semble bien mais j'avais déjà vu ces conseils pour d'autres interventions. Les hic :

*un ordi n'est pas connecté à Internet
*l'autre ordi est sous Kaspersky et il semble qu'il soit à peu près nettoyé mais que le système en a pris un coup (erreur fatale à chaque démarrage et problème de plusieurs fichiers corrompus bien que ça ne m'empêche pas de bosser après)
0
Réponse 2 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Salut,

Si tu veux on peut verifier avec RSIT qui est juste un utilitaire de diagnostic :

Telecharges RSIT " Random's System Information Tool " sur ton bureau : http://images.malwareremoval.com/random/RSIT.exe

- Fermes toutes les applications en cours et double clic sur RSIT.exe
- Selectionnes " Continue " à l'ecran >> RSIT va analyser le pc et verifier si l'outil hijackthis ( version à jour) est present sur le pc, si ce n'est pas le cas, RSIT le telechargera >> acceptes la license
- Une fois l'analyse terminée, 2 rapports.txt s'ouvrent, log.txt à l'écran et info.txt dans la barre des taches
- Postes le contenu des 2 rapports
.
0
KVK
 
Voila. A noter que kaspersky est déconnecté (car il bloque les explorateurs internet) parce que je l'ai téléchargé uniquement pour le nettoyage et que la mise a jour date de 2 jours (même si il indique que la màj est dépassée).

LOG

Logfile of random's system information tool 1.06 (written by random/random)
Run by nom at 2009-05-06 19:58:03
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 817 MB (3%) free of 28 GB
Total RAM: 190 MB (13% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:36, on 6/05/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Documents and Settings\nom\Local Settings\Temporary Internet Files\Content.IE5\RS6QFYG3\RSIT[1].exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\trend micro\nom.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.acer.com/worldwide/selection.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.5000.1021\fr-be\msntb.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [iamapp] C:\Program Files\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - https://onedrive.live.com/
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.be/ImageUploader5.cab
O16 - DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} (Image Uploader) - http://www.extrafilm.be/ImageUploader4.cab
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Program Files\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
0
Réponse 3 / 22
mister bine Messages postés 323 Statut Membre 267
 
telecharger usbfix

Voici un tuto : http://pagesperso-orange.fr/FindyKill.Ad.Remover/uac_vista.html





Telecharge et install UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

# Choisis l'option 1 ( Recherche )

# Laisse travailler l outil.

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )



2) ##################### | Vista _ Suppression | ########################



Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

# choisi l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.




# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "éxécuter en tant qu'administrateur" .

# Choisis l'option 5 ( Désinstaller ) ....
0
Réponse 4 / 22
mister bine Messages postés 323 Statut Membre 267
 
telecharger usbfix

Voici un tuto : http://pagesperso-orange.fr/FindyKill.Ad.Remover/uac_vista.html





Telecharge et install UsbFix de C_XX & Chiquitine29

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

# Choisis l'option 1 ( Recherche )

# Laisse travailler l outil.




2) ##################### _ Suppression | ########################



Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

# choisi l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.




# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi "éxécuter en tant qu'administrateur" .

# Choisis l'option 5 ( Désinstaller ) ....
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Re,

Si je peux déjà te conseiller, c'est de rajouter de la ram : 190 MB --> tu n'iras pas loin avec ça !!!


-Telecharges et installes UsbFix de C_XX & Chiquitine29

Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)
0
Réponse 6 / 22
KVK
 
USBfix


############################## [ UsbFix V3.017 # Scan ]

# User : nom (Administrateurs) # ACER-86U03S59CR
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 20:45:00 | 6/05/2009

# Mobile AMD Athlon(tm) XP 2400+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ (!) Disabled | (!) Outdated ]
# FW : Norton Internet Security[ Enabled ]2002

# C:\ # Disque fixe local # 27,47 Go (810,64 Mo free) [ACER] # FAT32
# D:\ # Disque fixe local # 9,76 Go (8,67 Go free) [ACERDATA] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 298,02 Go (276,4 Go free) [FREECOM HDD] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.google.be/?gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="nom"
HKLM_logon: "AltDefaultUserName"="nom"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: LaunchApp=Alaunch
HKLM_Run: VTTimer=VTTimer.exe
HKLM_Run: SoundMan=SOUNDMAN.EXE
HKLM_Run: AGRSMMSG=AGRSMMSG.exe
HKLM_Run: SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
HKLM_Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM_Run: LManager=C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
HKLM_Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
HKLM_Run: Symantec NetDriver Monitor=C:\PROGRA~1\SYMNET~1\SNDMon.exe
HKLM_Run: iamapp=C:\Program Files\Norton Internet Security\IAMAPP.EXE
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM_Run: AVP="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: MsnMsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

Found ! C:\WINDOWS\system32\gasretyw1.dll
Found ! C:\WINDOWS\system32\nmdfgds1.dll
C:\autorun.inf # -> fichier appelé : "C:\e2.cmd" ( absent ! )
Found ! C:\0bcobed.exe
Found ! C:\0xuc.com
Found ! C:\1ogf.exe
Found ! C:\2u.com
Found ! C:\cqxj.exe
Found ! C:\cqxj.exe
Found ! C:\ej10fkdo.bat
Found ! C:\em8tqm.cmd
Found ! C:\eyt.exe
Found ! C:\g1ljsm.com
Found ! C:\husyu8n.exe
Found ! C:\jm3cx96.bat
Found ! C:\minm.cmd
Found ! C:\npee.com
Found ! C:\o3n9k.com
Found ! C:\qwtb.com
Found ! C:\qwtb.com
Found ! C:\upw.bat
Found ! C:\vwewav8.com
Found ! C:\autorun.inf
D:\autorun.inf # -> fichier appelé : "D:\e2.cmd" ( absent ! )
Found ! D:\0bcobed.exe
Found ! D:\0xuc.com
Found ! D:\1ogf.exe
Found ! D:\2u.com
Found ! D:\cqxj.exe
Found ! D:\cqxj.exe
Found ! D:\ej10fkdo.bat
Found ! D:\em8tqm.cmd
Found ! D:\eyt.exe
Found ! D:\g1ljsm.com
Found ! D:\husyu8n.exe
Found ! D:\jm3cx96.bat
Found ! D:\minm.cmd
Found ! D:\npee.com
Found ! D:\o3n9k.com
Found ! D:\qwtb.com
Found ! D:\qwtb.com
Found ! D:\upw.bat
Found ! D:\vwewav8.com
Found ! D:\autorun.inf
Found ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center\\ "AntiVirusOverride"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )
Found ! HKLM\software\microsoft\security center\\ "FirewallDisableNotify"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{1242b750-292e-11de-bd21-00c09f32f3b8}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{1242b750-292e-11de-bd21-00c09f32f3b8}\Shell\open\Command
HKCU\Software\Microsoft\....\MountPoints2\{7d030e60-7af0-11da-b53e-00c09f32f3b8}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{7d030e60-7af0-11da-b53e-00c09f32f3b8}\Shell\explore\Command
HKCU\Software\Microsoft\....\MountPoints2\{7d030e60-7af0-11da-b53e-00c09f32f3b8}\Shell\open\Command
HKCU\Software\Microsoft\....\MountPoints2\{93b06840-93f8-11d9-b3fd-00c09f32f3b8}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{93b06840-93f8-11d9-b3fd-00c09f32f3b8}\Shell\open\Command

################## [ ! Fin du rapport # UsbFix V3.017 ! ]
0
KVK
 
Vu les données affichées, pouvez-vous me répondre à la question de l'autre ordi. La création d'un CD de mes données puis le reformatage peuvent se faire sans risque au vue du type d'infection ou il y a t'il des précautions à prendre ?
0
Réponse 7 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)sans les ouvrir

# Double-cliques sur le raccourci UsbFix présent sur ton bureau et choisis éxécuter en tant qu'administrateur .

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisses travailler l'outil.

# Ensuite postes le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
0
Réponse 8 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Vu les données affichées, pouvez-vous me répondre à la question de l'autre ordi. La création d'un CD de mes données puis le reformatage peuvent se faire sans risque au vue du type d'infection ou il y a t'il des précautions à prendre ?


- Pourquoi ne pas desinfecter ?

USBFix fait du trés bon boulot !!! on peut voir ça aprés si tu veux ?
0
KVK
 
USBFix a tourné, l'ordi a redemarré...a planté comme d'hab quelques minutes après le redémarrage et après un deuxième reboot (automatique) me voilà. Comment savoir si je suis clean ?

Merci bcp pour ton temps
0
Réponse 9 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Postes le rapport qui se trouve à la racine du disque C stp
0
Réponse 10 / 22
KVK
 
############################## [ UsbFix V3.017 # Cleaning ]

# User : nom (Administrateurs) # ACER-86U03S59CR
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 20:59:00 | 6/05/2009

# Mobile AMD Athlon(tm) XP 2400+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ (!) Disabled | (!) Outdated ]
# FW : Norton Internet Security[ Enabled ]2002

# C:\ # Disque fixe local # 27,47 Go (809,2 Mo free) [ACER] # FAT32
# D:\ # Disque fixe local # 9,76 Go (8,67 Go free) [ACERDATA] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 298,02 Go (276,4 Go free) [FREECOM HDD] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Program Files\Symantec\LiveUpdate\NDETECT.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\WINDOWS\system32\gasretyw1.dll
0
Réponse 11 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Il doit y avoir des bugs sur le site, tu es le 2eme a m'envoyer un rapport USBFix incomplet !

- Peux tu reessayer de l'envoyer completement stp?
0
KVK
 
le fichier s'arrete la !
0
Réponse 12 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Telecharge et installe ccleaner : https://filehippo.com/download_ccleaner/
- Durant l'installation, n'installe pas la barre d'outils yahoo et decoche la case " ajouter l'option des mises à jour"

- Une fois installé, fermes toutes les applications en cours et lance ccleaner
- clic >> option >> avancé et decoches " effacer les fichiers etc... plus vieux que 48h
- Selectionne " nettoyeur " >> clic sur Analyse puis nettoyage, puis referme le programme...

------------------------

Telecharges Combofix et enregistres le sur ton bureau

http://download.bleepingcomputer.com/sUBs/ComboFix.exe -

/!\ Desactives ton antivirus et la garde de ton antispyware ( si tu en as un) /!\

- Deconnectes toi et fermes toutes les applications en cours
- Double clic sur Combofix.exe >> un message apparait > réponds " oui "
- ( Il est conseillé d'installer la console de recuperations)
- Selectionnes la langue et presse la touche 1 ( yes) pour lancer le scan

/!\ Ne touche ni à la souris, ni au clavier durant le scan, cela pourrait figer l'ordi /!\

- A la fin du scan, Combofix aura besoin de redemarrer pour finir la desinfection, laisses le faire
- Une fois terminé, un rapport s'affiche, poste son contenu que tu peux aussi trouver à c:\combofix.txt
---------------------------

0
KVK
 
Pourquoi USBfix ne fonctionne pas ?
0
KVK > KVK
 
L'autre ordinateur sera une priorité mais il n'est pas relié à Internet.

Que puis-je faire pour m'assurer que le CD d'achive que je vais graver n'est pas touché (pas de scan possible fichier par fichier car plus de 500 fichiers et de plus, le ver/troyen touche des fichiers souvent invisibles sur les périphériques usb - autorun,etc. - pensez-vous qu'une contamination de type "autorun du cd" ou d'un autre type puisse arriver pendant la gravure ?

N'importe quel type de formatage sera suffisant pour tout nettoyer ou il faut un certain niveau ?
0
Réponse 13 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Déjà, il faudrait peut etre s'occuper de celui-ci !!!

- Le rapport USBFix n'est pas complet, peux-tu au moins refaire l'option1 afin qu'on sache quoi ?

- Pour l'autre pc, sans rapport, je ne pourrais pas te donner de réponse, car il existe des infections ou meme aprés un formatage, si tout n'a pas été fais dans les règles, l'infection reviendrait aussitot, je parle de Virut, Virtob, Sality, donc je ne peux pas m'engager à te donner une réponse si je ne connais pas l'origine de l'infection...
0
Réponse 14 / 22
KVK
 
J'ai posté l'option 1 à 20h06
0
Réponse 15 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
* Je sais que tu as posté l'option1, mais le rapport de l'option2 n'est pas complet !!! Donc, j'aimerais savoir si USBFix a dégommé les infections en totalité ou pas !!!
0
Réponse 16 / 22
KVK
 
etape 1
Il semble encore avoir de l'infection, je refais la 2


############################## [ UsbFix V3.017 # Scan ]

# User : nom (Administrateurs) # ACER-86U03S59CR
# Update on 06/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 9:23:25 | 7/05/2009

# Mobile AMD Athlon(tm) XP 2400+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : Kaspersky Anti-Virus 8.0.0.506 [ (!) Disabled | (!) Outdated ]
# FW : Norton Internet Security[ Enabled ]2002

# C:\ # Disque fixe local # 27,47 Go (733,81 Mo free) [ACER] # FAT32
# D:\ # Disque fixe local # 9,76 Go (8,67 Go free) [ACERDATA] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 298,02 Go (276,4 Go free) [FREECOM HDD] # FAT32

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Program Files\Norton Internet Security\NISSERV.EXE
C:\Program Files\Norton Internet Security\SymProxySvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Norton Internet Security\IAMAPP.EXE
C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.google.be/?gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="nom"
HKLM_logon: "AltDefaultUserName"="nom"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: LaunchApp=Alaunch
HKLM_Run: VTTimer=VTTimer.exe
HKLM_Run: SoundMan=SOUNDMAN.EXE
HKLM_Run: AGRSMMSG=AGRSMMSG.exe
HKLM_Run: SynTPLpr=C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
HKLM_Run: SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
HKLM_Run: LManager=C:\PROGRA~1\LAUNCH~1\QtZpAcer.EXE
HKLM_Run: TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
HKLM_Run: Symantec NetDriver Monitor=C:\PROGRA~1\SYMNET~1\SNDMon.exe
HKLM_Run: iamapp=C:\Program Files\Norton Internet Security\IAMAPP.EXE
HKLM_Run: SunJavaUpdateSched="C:\Program Files\Java\jre1.5.0_09\bin\jusched.exe"
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM_Run: AVP="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: MsnMsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

################## [ Informations ]


################## [ Fichiers # Dossiers infectieux ]

C:\autorun.inf # -> fichier appelé : "C:\e2.cmd" ( absent ! )
Found ! C:\0bcobed.exe
Found ! C:\0xuc.com
Found ! C:\1ogf.exe
Found ! C:\2u.com
Found ! C:\cqxj.exe
Found ! C:\cqxj.exe
Found ! C:\ej10fkdo.bat
Found ! C:\em8tqm.cmd
Found ! C:\eyt.exe
Found ! C:\g1ljsm.com
Found ! C:\husyu8n.exe
Found ! C:\jm3cx96.bat
Found ! C:\minm.cmd
Found ! C:\npee.com
Found ! C:\o3n9k.com
Found ! C:\qwtb.com
Found ! C:\qwtb.com
Found ! C:\upw.bat
Found ! C:\vwewav8.com
Found ! C:\autorun.inf
D:\autorun.inf # -> fichier appelé : "D:\e2.cmd" ( absent ! )
Found ! D:\0bcobed.exe
Found ! D:\0xuc.com
Found ! D:\1ogf.exe
Found ! D:\2u.com
Found ! D:\cqxj.exe
Found ! D:\cqxj.exe
Found ! D:\ej10fkdo.bat
Found ! D:\em8tqm.cmd
Found ! D:\eyt.exe
Found ! D:\g1ljsm.com
Found ! D:\husyu8n.exe
Found ! D:\jm3cx96.bat
Found ! D:\minm.cmd
Found ! D:\npee.com
Found ! D:\o3n9k.com
Found ! D:\qwtb.com
Found ! D:\qwtb.com
Found ! D:\upw.bat
Found ! D:\vwewav8.com
Found ! D:\autorun.inf
Found ! F:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

Found ! HKLM\software\microsoft\security center\\ "AntiVirusOverride"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )
Found ! HKLM\software\microsoft\security center\\ "FirewallDisableNotify"
# -> ( Value = 0x1 | Good = 0x0 Bad = 0x1 )

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{1242b750-292e-11de-bd21-00c09f32f3b8}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{1242b750-292e-11de-bd21-00c09f32f3b8}\Shell\open\Command
HKCU\Software\Microsoft\....\MountPoints2\{7d030e60-7af0-11da-b53e-00c09f32f3b8}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{7d030e60-7af0-11da-b53e-00c09f32f3b8}\Shell\explore\Command
HKCU\Software\Microsoft\....\MountPoints2\{7d030e60-7af0-11da-b53e-00c09f32f3b8}\Shell\open\Command
HKCU\Software\Microsoft\....\MountPoints2\{93b06840-93f8-11d9-b3fd-00c09f32f3b8}\Shell\AutoRun\command
HKCU\Software\Microsoft\....\MountPoints2\{93b06840-93f8-11d9-b3fd-00c09f32f3b8}\Shell\open\Command

################## [ ! Fin du rapport # UsbFix V3.017 ! ]
0
Réponse 17 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Salut,

Il semble encore avoir de l'infection, je refais la 2


- Avant, j'aimerais avoir --> Je vois Norton internet security et Kaspersky antivirus 2009

* Si tu as 2 antivirus sur ton pc, ça ne va pas le faire, risques de conflits entre eux...
0
Réponse 18 / 22
KVK
 
Norton est le firewall. Kaspersky est tout nouveau, il a été placé pour tenter d'enrayer l'infection (que Norton n'a pas détecté vu que ce n'est pas un antivirus).

USBfix semble pas optimal parce que quand il redémarre, mon ordi plante (erreur système et écran bleu) et je ne sais pas si USBfix a pu faire entièrement son boulot.
0
Réponse 19 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Norton est le firewall. Kaspersky est tout nouveau, il a été placé pour tenter d'enrayer l'infection (que Norton n'a pas détecté vu que ce n'est pas un antivirus).

- Pour moi, N-I-S c'est le pack Norton ( antivirus,Firewall, antispyware, antispam etc, etc....), donc ça peut porter à confusion...

Fais ce qui est demandé ICI stp et suis bien les instructions...
0
KVK
 
ComboFix 09-05-07.A0 - nom 08/05/2009 13:46.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.190.72 [GMT 2:00]
Lancé depuis: c:\documents and settings\nom\Bureau\ComboFix.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated)
FW: Norton Internet Security *disabled*
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\jm3cx96.bat
C:\minm.cmd
C:\upw.bat
c:\windows\system32\mdm.exe
D:\2u.com
D:\Autorun.inf
D:\ej10fkdo.bat
D:\em8tqm.cmd
D:\husyu8n.exe
D:\jm3cx96.bat
D:\minm.cmd
D:\upw.bat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


((((((((((((((((((((((((((((( Fichiers créés du 2009-04-08 au 2009-05-08 ))))))))))))))))))))))))))))))))))))
.

2009-05-30 20:19 . 2009-05-30 20:19 -------- d-----w c:\windows\system32\Kaspersky Lab
2009-05-29 16:08 . 2009-05-29 16:08 -------- d-sh--w C:\FOUND.004
2009-05-28 19:37 . 2009-05-28 19:37 -------- d-sh--w C:\FOUND.003
2009-05-28 15:35 . 2009-05-28 15:35 105774 --sh--r C:\ymxf2.exe
2009-05-07 07:38 . 2009-05-07 07:38 -------- d-sh--w C:\FOUND.016
2009-05-07 06:56 . 2009-05-07 06:56 -------- d-sh--w C:\FOUND.015
2009-05-06 19:04 . 2009-05-06 19:04 -------- d-sh--w C:\FOUND.014
2009-05-06 18:43 . 2009-05-06 18:43 -------- d-----w C:\UsbFix
2009-05-06 17:58 . 2009-05-06 17:58 -------- d-----w c:\program files\trend micro
2009-05-06 17:58 . 2009-05-06 17:58 -------- d-----w C:\rsit
2009-05-06 15:04 . 2009-05-06 15:04 -------- d-sh--w C:\FOUND.013
2009-05-05 17:46 . 2009-05-05 17:46 -------- d-sh--w C:\FOUND.012
2009-05-05 17:35 . 2009-05-05 17:35 -------- d-sh--w C:\FOUND.011
2009-05-05 17:26 . 2009-05-05 17:26 -------- d-sh--w C:\FOUND.010
2009-05-04 17:59 . 2009-05-04 17:59 -------- d-sh--w C:\FOUND.009
2009-05-04 07:57 . 2009-05-04 07:57 -------- d-sh--w C:\FOUND.008
2009-05-04 07:39 . 2009-05-04 07:39 -------- d-sh--w C:\FOUND.007
2009-05-04 07:29 . 2009-05-04 07:29 -------- d-sh--w C:\FOUND.006
2009-05-01 09:34 . 2009-05-01 09:34 -------- d-sh--w C:\FOUND.005
2009-05-01 09:18 . 2009-05-01 11:37 101287 ----a-w c:\windows\system32\drivers\klin.dat
2009-05-01 09:18 . 2009-05-01 11:37 89601 ----a-w c:\windows\system32\drivers\klick.dat
2009-05-01 09:16 . 2009-05-08 11:51 32 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-05-01 09:16 . 2009-05-08 11:51 32 --sha-w c:\windows\system32\drivers\fidbox2.dat
2009-05-01 09:16 . 2009-05-01 09:16 -------- d-----w c:\program files\Kaspersky Lab
2009-05-01 09:16 . 2009-05-01 09:16 -------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2009-05-01 09:10 . 2009-05-01 09:10 -------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files
2009-04-25 06:39 . 2009-04-25 06:39 106749 --sh--r C:\npee.com
2009-04-24 10:37 . 2009-04-24 10:36 109167 --sh--r C:\vwewav8.com
2009-04-17 07:40 . 2009-02-06 10:10 227840 ------w c:\windows\system32\dllcache\wmiprvse.exe
2009-04-17 07:40 . 2009-03-06 14:20 286720 ------w c:\windows\system32\dllcache\pdh.dll
2009-04-17 07:40 . 2009-02-09 11:23 111104 ------w c:\windows\system32\dllcache\services.exe
2009-04-17 07:40 . 2009-02-09 10:53 401408 ------w c:\windows\system32\dllcache\rpcss.dll
2009-04-17 07:40 . 2009-02-09 10:53 473600 ------w c:\windows\system32\dllcache\fastprox.dll
2009-04-17 07:40 . 2009-02-09 10:53 685568 ------w c:\windows\system32\dllcache\advapi32.dll
2009-04-17 07:40 . 2009-02-09 10:53 735744 ------w c:\windows\system32\dllcache\lsasrv.dll
2009-04-17 07:40 . 2009-02-09 10:53 453120 ------w c:\windows\system32\dllcache\wmiprvsd.dll
2009-04-17 07:40 . 2009-02-09 10:53 739840 ------w c:\windows\system32\dllcache\ntdll.dll
2009-04-17 07:39 . 2008-12-16 12:31 354304 ------w c:\windows\system32\dllcache\winhttp.dll
2009-04-17 07:39 . 2008-04-21 21:15 219136 ------w c:\windows\system32\dllcache\wordpad.exe
2009-04-16 20:13 . 2009-04-16 20:14 -------- d--h--w c:\windows\PIF
2009-04-14 07:51 . 2009-04-14 07:51 109163 --sh--r C:\qwtb.com
2009-04-08 21:05 . 2009-04-08 21:05 -------- d-sh--w C:\FOUND.002

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-08 11:51 . 2009-05-01 09:16 32 --sha-w c:\windows\system32\drivers\fidbox2.idx
2009-05-08 11:51 . 2009-05-01 09:16 32 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-05-01 11:37 . 2008-01-29 15:29 33808 ----a-w c:\windows\system32\drivers\klbg.sys
2009-04-17 12:21 . 1979-12-31 22:00 64922 ----a-w c:\windows\system32\perfc00C.dat
2009-04-17 12:21 . 1979-12-31 22:00 447222 ----a-w c:\windows\system32\perfh00C.dat
2009-04-02 14:48 . 2009-04-02 14:48 108083 --sh--r C:\o3n9k.com
2009-03-30 18:11 . 2003-09-01 10:59 83587 ----a-w c:\windows\PCHealth\HelpCtr\OfflineCache\index.dat
2009-03-06 14:20 . 1979-12-31 22:00 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:13 . 2006-06-23 11:28 826368 ----a-w c:\windows\system32\wininet.dll
2009-02-20 17:10 . 2004-08-19 23:09 78336 ----a-w c:\windows\system32\ieencode.dll
2009-02-15 17:17 . 2009-02-15 17:17 1172 ----a-w c:\windows\mozver.dat
2009-02-10 17:06 . 2002-08-29 09:42 2068096 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-02-09 13:05 . 1979-12-31 22:00 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-09 11:24 . 1979-12-31 22:00 2191104 ----a-w c:\windows\system32\ntoskrnl.exe
2009-02-09 11:23 . 1979-12-31 22:00 111104 ----a-w c:\windows\system32\services.exe
2009-02-09 10:53 . 2005-07-26 03:38 401408 ----a-w c:\windows\system32\rpcss.dll
2009-02-09 10:53 . 1979-12-31 22:00 739840 ----a-w c:\windows\system32\ntdll.dll
2009-02-09 10:53 . 1979-12-31 22:00 735744 ----a-w c:\windows\system32\lsasrv.dll
2009-02-09 10:53 . 1979-12-31 22:00 685568 ----a-w c:\windows\system32\advapi32.dll
1999-04-06 11:27 . 1999-04-06 11:27 99840 ----a-w c:\program files\Fichiers communs\IRAABOUT.DLL
1998-12-09 01:53 . 1998-12-09 01:53 70144 ----a-w c:\program files\Fichiers communs\IRAMDMTR.DLL
1998-12-09 01:53 . 1998-12-09 01:53 48640 ----a-w c:\program files\Fichiers communs\IRALPTTR.DLL
1998-12-09 01:53 . 1998-12-09 01:53 31744 ----a-w c:\program files\Fichiers communs\IRAWEBTR.DLL
1998-12-09 01:53 . 1998-12-09 01:53 186368 ----a-w c:\program files\Fichiers communs\IRAREG.DLL
1998-12-09 01:53 . 1998-12-09 01:53 17920 ----a-w c:\program files\Fichiers communs\IRASRIAL.DLL
2009-05-30 08:51 . 2006-11-22 17:57 67696 ----a-w c:\program files\mozilla firefox\components\jar50.dll
2009-05-30 08:51 . 2006-11-22 17:57 54376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll
2009-05-30 08:51 . 2006-11-22 17:57 34952 ----a-w c:\program files\mozilla firefox\components\myspell.dll
2009-05-30 08:51 . 2006-11-22 17:57 46720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll
2009-05-30 08:51 . 2006-11-22 17:57 172144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"SynTPLpr"="c:\program files\Synaptics\SynTP\SynTPLpr.exe" [2002-11-15 126976]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2002-11-18 561152]
"LManager"="c:\progra~1\LAUNCH~1\QtZpAcer.EXE" [2003-08-22 282624]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2004-02-18 151597]
"Symantec NetDriver Monitor"="c:\progra~1\SYMNET~1\SNDMon.exe" [2006-06-05 95960]
"iamapp"="c:\program files\Norton Internet Security\IAMAPP.EXE" [2001-08-30 377984]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 49263]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2009-05-01 206088]
"VTTimer"="VTTimer.exe" - c:\windows\system32\VTTimer.exe [2003-05-07 36864]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2003-05-14 55296]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2003-04-01 88267]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
HP Digital Imaging Monitor.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2005-5-11 282624]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29/01/2008 17:29 33808]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30/04/2008 17:06 24592]
S3 98f5036d-0bea-433a-9105-5a7850abf36b;98f5036d-0bea-433a-9105-5a7850abf36b;\??\e:\player\cds300.dll --> e:\player\cds300.dll [?]
S3 AVPsys;AVPsys;\??\c:\windows\system32\drivers\cdaudio.sys --> c:\windows\system32\drivers\cdaudio.sys [?]
S3 rtl8180;Realtek RTL8180 Wireless LAN (Mini-)PCI NIC NT Driver;c:\windows\system32\drivers\RTL8180.sys [1/09/2003 13:33 173184]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - NISSERV
*Deregistered* - NISUM
*Deregistered* - Nla
*Deregistered* - Pml Driver HPZ12
*Deregistered* - PolicyAgent
*Deregistered* - ProtectedStorage
*Deregistered* - RasMan
*Deregistered* - RpcSs
*Deregistered* - SamSs
*Deregistered* - Schedule
*Deregistered* - seclogon
*Deregistered* - SENS
*Deregistered* - SharedAccess
*Deregistered* - ShellHWDetection
*Deregistered* - Spooler
*Deregistered* - srservice
*Deregistered* - SSDPSRV
*Deregistered* - stisvc
*Deregistered* - SymProxySvc
*Deregistered* - SymWSC
*Deregistered* - TapiSrv
*Deregistered* - TermService
*Deregistered* - Themes
*Deregistered* - TrkWks
*Deregistered* - UMWdf
*Deregistered* - W32Time
*Deregistered* - WebClient
*Deregistered* - winmgmt
*Deregistered* - WMDM PMSP Service
*Deregistered* - wscsvc
*Deregistered* - wuauserv
*Deregistered* - WZCSVC

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1242b750-292e-11de-bd21-00c09f32f3b8}]
\Shell\AutoRun\command - F:\qwtb.com
\Shell\open\Command - F:\qwtb.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d030e60-7af0-11da-b53e-00c09f32f3b8}]
\Shell\AutoRun\command - F:\2u.com
\Shell\explore\Command - F:\2u.com
\Shell\open\Command - F:\2u.com

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93b06840-93f8-11d9-b3fd-00c09f32f3b8}]
\Shell\AutoRun\command - upw.bat
\Shell\open\Command - upw.bat
.
Contenu du dossier 'Tâches planifiées'

2009-05-08 c:\windows\Tasks\Symantec NetDetect.job
- c:\program files\Symantec\LiveUpdate\NDETECT.EXE [2003-12-23 16:38]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.be/
uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/
FF - ProfilePath - c:\documents and settings\nom\Application Data\Mozilla\Firefox\Profiles\zlr1z4rx.default\
FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-08 13:55
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1434109735-4168701361-813958858-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3144)
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\CTSvcCDA.EXE
c:\program files\Norton Internet Security\NISUM.EXE
c:\windows\system32\wdfmgr.exe
c:\windows\System32\MsPMSPSv.exe
c:\program files\Norton Internet Security\NISSERV.EXE
c:\program files\Norton Internet Security\SymProxySvc.exe
c:\program files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
c:\program files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
c:\program files\Hewlett-Packard\Digital Imaging\Product Assistant\bin\hprblog.exe
.
**************************************************************************
.
Heure de fin: 2009-05-08 14:03 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-05-08 12:03

Avant-CF: 1.047.150.592 octets libres
Après-CF: 1.735.655.424 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

250
0
Réponse 20 / 22
Ced_King Messages postés 3519 Date d'inscription   Statut Contributeur Dernière intervention   572
 
Bonjour,

- Es-tu sure de ne plus avoir l'antivirus Norton ?

Si c'est pârce que tu éprouves de la difficulté a desinstaller Norton, tu peux utiliser l'utilitaire de Symantec :

http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

- Pourquoi n'installes tu pas tout simplement un autre pare-feu, gratuit, tu peux en trouver de trés bons :

http://www.malekal.com/menu_tutorials_logiciels.php

Note : 1 seul pare-feu et 1 seul antivirus par pc

---------------------------

Télécharges ATF Cleaner par Atribune sur ton bureau

- Démarres ATF-Cleaner et coches toutes les cases.

- Cliques sur <Empty Selected> et au message "Done Cleaning" sur <Ok>
NB : Si tu utilises Firefox ou Opera :

- Cliques sur Firefox ou Opera en haut puis choisis <Select All>.

- Cliques sur le bouton <Empty Selected> (NB : Si tu veux conserver tes mots de passe sauvegardés alors cliques sur <No> à l'invite).

- Cliques sur <Main> pour revenir à menu principal

- Cliques sur <Exit>, du menu prinicipal, pour quitter ATFcleaner.
NB : Si le prefetch est nettoyé le redémarrage du PC sera plus lent.

-----------------------------

> Avec Combofix :

- Crées un nouveau document texte : clic droit de souris sur le bureau => Nouveau => Document Texte, et copies/colles dedans les lignes en gras suivantes :



KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1242b750-292e-11de-bd21-00c09f32f3b8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d030e60-7af0-11da-b53e-00c09f32f3b8}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{93b06840-93f8-11d9-b3fd-00c09f32f3b8}]

Files::
C:\ymxf2.exe
C:\npee.com
C:\qwtb.com
C:\vwewav8.com
C:\o3n9k.com
F:\qwtb.com
F:\2u.com



- Enregistres ce fichier sous le nom CFScript (Type du fichier : tous les fichiers)

- Fermes tous tes navigateurs web (donc copies ou imprimes les instructions suivantes avant si besoin est).

- Désactives ton antivirus et tes autres protections résidentes Antispyware, pare-feu, le temps du scan seulement.

- Fais un glissé/déposé de ce fichier CFScript sur le programme ComboFix.exe comme sur le lien :
http://img517.imageshack.us/img517/8662/cfscript10uc2.gif

( Cliques sur le fichier CFScript, maintiens le doigt enfoncé et glisses la souris pour que l'icône du CFScript vienne recouvrir celle de Combofix. Relâches alors le bouton de la souris).

- Combofix va démarrer et scanner le pc...

- Patientes le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal !

- Ne touches à rien tant que le scan n'est pas terminé sinon le PC peut planter !

- Une fois le scan achevé, un rapport va s'afficher: postes le stp.



0

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
cheval de troie trojan
idnoder -
idnoder -

42 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses