Besoin d'aide pour nettoyer un pc

Résolu
yotibop -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
Alors je me casse les dents sur le pc de ma frangine qui s'est fait vérolé par des virus/trojan type virtub, heur-backdoor enfin la panoplie des win32...Quelqu'un peut il m'aider? Je vous joint le rapport de Kaspersky et celui de hitjack this...
Je vous remercie par avance.

Yotibop
Configuration: Mac OS X
Firefox 3.0.10

74 réponses

  • 1
  • 2
  • 3
  • 4
Résumé de la discussion

Une machine Windows infectée par des malwares et trojans (Virut/Backdoor) pose une problématique centrale : identifier les infections, mettre à jour le système et choisir un antivirus efficace pour nettoyer sans réinfection. Selon les échanges, Kaspersky est efficace, avec Malwarebytes en complément, et une mise à jour Windows rigoureuse est cruciale; il faut aussi éviter les téléchargements risqués et vérifier les fichiers avant ouverture. Pour le nettoyage, plusieurs outils ont été évoqués : désactiver la restauration système, lancer USBFix, DRWeb et RSIT/SDFix, selon les situations rencontrées sur l'ordinateur actuellement. Certaines indications insistent sur la vérification de l'intégrité des données avant toute restauration et sur la préparation d'un support de sauvegarde sain, afin d'éviter la réinfection lors d'éventuelles réinstallations.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt on attend les rapports
    0
  2. yotibop
     
    re voici les rapports:

    Kapersky :

    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: c:\windows\system32\drivers\i386si.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP12\A0010345.sys
    non trouvé : virus P2P-Worm.Win32.Palevo.brx Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP12\A0010346.exe
    non trouvé : virus P2P-Worm.Win32.Palevo.dmi Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP12\A0010347.exe
    non trouvé : cheval de Troie Trojan.Win32.Buzus.aqyv Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP5\A0001071.exe
    non trouvé : cheval de Troie Trojan.Win32.Agent2.hxw Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP5\A0001073.exe
    non trouvé : cheval de Troie Backdoor.Win32.Nepoe.hp Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP6\A0001078.exe
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP6\A0001081.sys
    non trouvé : cheval de Troie Backdoor.Win32.Rbot.bni Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP6\A0002085.exe
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP6\A0002090.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP6\A0002095.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP6\A0003095.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP6\A0003114.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0003117.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0004114.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0004115.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0005114.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0005119.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0005128.sys
    non trouvé : cheval de Troie Trojan-Downloader.Win32.Small.jun Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0005140.exe
    non trouvé : cheval de Troie Trojan.Win32.Agent2.hxw Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0007128.exe
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0007134.sys
    non trouvé : cheval de Troie Trojan.Win32.Agent2.hxw Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0007141.exe
    non trouvé : cheval de Troie Trojan.Win32.Buzus.aqyv Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP7\A0007143.exe
    non trouvé : virus Email-Worm.Win32.Iksmas.ceu Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0007158.exe
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0007159.sys
    non trouvé : cheval de Troie Trojan.Win32.Agent2.hxw Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0007161.exe
    non trouvé : cheval de Troie Trojan.Win32.Buzus.aqyv Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0007166.exe
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0008143.sys
    non trouvé : cheval de Troie Trojan.Win32.Agent2.hxw Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0008144.exe
    non trouvé : cheval de Troie Trojan.Win32.Buzus.aqyv Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0008145.exe
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0008148.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0008158.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0009158.sys
    non trouvé : cheval de Troie Packed.Win32.Black.a Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0009159.exe
    réparé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010163.exe
    réparé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010164.exe
    non trouvé : cheval de Troie Backdoor.Win32.Nepoe.hp Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010165.exe
    non trouvé : virus P2P-Worm.Win32.Palevo.brx Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010167.exe
    non trouvé : cheval de Troie Trojan.Win32.Agent2.hxw Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010168.exe
    non trouvé : cheval de Troie Trojan.Win32.Buzus.aqyv Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010169.exe
    non trouvé : cheval de Troie Trojan-Downloader.Win32.Small.jun Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010170.exe
    non trouvé : cheval de Troie Trojan.Win32.Agent.axdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010178.exe
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010207.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010208.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010213.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010214.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010215.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010220.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010225.sys
    supprimé : cheval de Troie Trojan-Dropper.Win32.Agent.asdd Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010227.sys
    non trouvé : cheval de Troie Packed.Win32.Black.a Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010281.exe
    non trouvé : virus P2P-Worm.Win32.Palevo.dmi Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010305.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010306.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010307.EXE
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010308.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010309.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010310.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010311.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010312.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010313.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010314.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010315.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010316.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010317.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010318.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010319.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010320.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010321.exe
    non trouvé : virus Virus.Win32.Virut.av Le fichier: C:\System Volume Information\_restore{EC6BFBDE-57A3-40B2-8D5D-BE9DBD5FA390}\RP9\A0010322.exe
    supprimé : cheval de Troie Trojan-Downloader.BAT.Ftp.ab Le fichier: C:\WINDOWS\system32\o

    Hijackthis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:56:26, on 03/06/2009
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Apoint\Apoint.exe
    C:\Program Files\SigmaTel\C-Major Audio\stacmon.exe
    C:\WINDOWS\System32\ICO.EXE
    C:\WINDOWS\System32\ezSP_Px.exe
    C:\Program Files\Sony\HotKey Utility\HKserv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    C:\Program Files\Sony\HotKey Utility\HKWnd.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\Program Files\NETGEAR\WN111\wn111.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Program Files\PowerPanel\Program\PcfMgr.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\WINDOWS\System32\MsiExec.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\WINDOWS\System32\MsiExec.exe
    C:\Program Files\TeamViewer\Version4\TeamViewer.exe
    C:\Documents and Settings\Marie-Christine\Bureau\HiJackThis.eXe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\C-Major Audio\stacmon.exe
    O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
    O4 - HKLM\..\Run: [PromoReg] C:\sih.exe
    O4 - HKCU\..\Run: [32NFG94-H61-2SF-N1P-5M1ERH6L6] C:\RECYCLER\S-1-5-21-7670314149-2068962127-986588317-3670\winIgn.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-666956156-4013870634-1873546897-1005\..\Run: [32NFG94-H61-2SF-N1P-5M1ERH6L6] C:\RECYCLER\S-1-5-21-7670314149-2068962127-986588317-3670\winIgn.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: NETGEAR WN111 Smart Wizard.lnk = C:\Program Files\NETGEAR\WN111\wn111.exe
    O4 - Global Startup: PowerPanel.lnk = ?
    O8 - Extra context menu item: Ajouter ‡ Kaspersky Anti-BanniËre - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
    O9 - Extra button: Statistiques díAnti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
    O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
    O15 - Trusted Zone: *.sony-europe.com
    O15 - Trusted Zone: *.sonystyle-europe.com
    O15 - Trusted Zone: *.vaio-link.com
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe (file missing)
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok
    c'est pas gagné du tout!

    beaucoup sont dans la restauration systeme qu'il faudra purger mais ...

    par où commencer... pas évident car il y en a un paquet!!!!

    _____________________

    pour faire le point dans ce premier message : le suivant sera pour la tentative de décontamination!

    il y a effectivement une infection virut mais trouvée dans la restauration système ce qui laisse espérer!

    ____________________

    windows non a jour ... il faudrait mettre le sp2

    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
    Boot mode: Normal

    et donc ces infections dués à la non mise a jour de windows: ou virut

    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
    O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\System32\explorer.exe

    _______________________

    ceci sont des infections circulant par les clés usb, disques externes ... donc tous les pc en contact avec vos clés usb, toutes les cartes émoire branchées sur le pc ont été infectées!

    O4 - HKLM\..\Run: [PromoReg] C:\sih.exe
    O4 - HKCU\..\Run: [32NFG94-H61-2SF-N1P-5M1ERH6L6] C:\RECYCLER\S-1-5-21-7670314149-2068962127-986588317-3670\winIgn.exe
    O4 - HKUS\S-1-5-21-666956156-4013870634-1873546897-1005\..\Run: [32NFG94-H61-2SF-N1P-5M1ERH6L6] C:\RECYCLER\S-1-5-21-7670314149-2068962127-986588317-3670\winIgn.exe (User '?')
    0
  4. yotibop
     
    Merci jlp, rassure moi j'ai pas besoin de penser au suicide de suite ;)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    pour nettoyer:

    virut infectant les exécutables il faut commencer par lui :

    faire tout ceci pour le virer: si impossible il faudra formater ...

    1/ désactiver la restauration systeme:
    https://www.informatruc.com
    2/ passer DR WEB, puis AVPTool ,kaspersky pour verifier

    et me coller le rapport DR web et kaspersky

    http://www.commentcamarche.net/faq/sujet 16138 comment supprimer virut

    ____________________________

    si virut est virer et meme si il ne l'ai pas avant de sauvegarder les données ils faut désinfecter les supports externes (clé usb...) sans les ouvrir en lançant usbfix option 2

    Télécharge et installe UsbFix de C_XX & Chiquitine29
    http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe
    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir</gras>

    # Double clic sur le raccourci UsbFix présent sur ton bureau .

    # Choisi l option 2 ( Recherche )

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaitra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    ___________________________________

    mettre un rapport rsit:

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
    1. yotibop
       
      Je fais tout ça jlp (encore merci). Bon le problème c'est que je travaille sur son pc avec teamviewer, donc comme là elle est partie pour les redémarrages je dois attendre qu'elle revienne mais si tu le veux bien je te colle les différents rapports dès que possible ;)
      cordialement
      0
  7. yotibop Messages postés 49 Statut Membre
     
    alors aux nouvelles :
    rapport usbfix

    ############################## [ UsbFix V3.028 | Cleaning ]

    # User : Marie-Christine (Administrateurs) # NOM-GROH3CJKU8R
    # Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 22:19:20 | 03/06/2009

    #
    #
    # Internet Explorer 6.0.2900.2180
    # Windows Firewall Status : Enabled

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
    C:\Program Files\TeamViewer\Version4\TeamViewer.exe

    ################## [ Fichiers # Dossiers infectieux ]

    ################## [ Registre # Clés Run infectieuses ]

    ################## [ Registre # Mountpoints2 ]

    ################## [ Listing des fichiers présent ]

    [15/04/2003 11:25|--a------|0] - C:\AUTOEXEC.BAT
    [03/06/2009 18:33|-rahs----|216] - C:\boot.ini
    [30/08/2002 14:00|-rahs----|4952] - C:\Bootfont.bin
    [15/04/2003 11:25|--a------|0] - C:\CONFIG.SYS
    [?|?|?] - C:\hiberfil.sys
    [15/04/2003 11:25|-rahs----|0] - C:\IO.SYS
    [15/04/2003 11:25|-rahs----|0] - C:\MSDOS.SYS
    [03/06/2009 18:10|-rahs----|47564] - C:\NTDETECT.COM
    [03/06/2009 18:10|-rahs----|251712] - C:\ntldr
    [?|?|?] - C:\pagefile.sys
    [03/06/2009 22:24|--a------|1759] - C:\UsbFix.txt
    [18/11/2003 00:04|-r-h-----|0] - F:\MEMSTICK.IND
    [03/06/2009 20:34|--a------|1522] - F:\BOOTEX.LOG
    [28/10/2008 15:12|--a------|502507] - G:\bassin emploi hate normandie.pdf
    [26/09/2008 12:14|--a------|81408] - G:\DEFINITIONS DE COMPTABILITES.doc
    [27/05/2008 13:59|--a------|59392] - G:\resp qualit‚ devel durable.doc
    [04/02/2008 08:41|--a------|183296] - G:\cellule photovoltaique.doc
    [15/12/2008 09:43|--a------|386285] - G:\rapport de stage 3Šme.jpg
    [28/05/2009 17:15|--a------|179779] - G:\DM avril09.pdf
    [30/03/2009 10:19|--a------|71680] - G:\tableau productivit‚.xls
    [07/04/2009 14:50|--a------|61440] - G:\CV DUJARDIN MC.doc
    [11/03/2009 15:51|--a------|49152] - G:\plaquette forum.doc
    [03/06/2009 20:34|--a------|1618] - G:\BOOTEX.LOG
    [27/03/2009 15:55|--a------|32091] - G:\listing NAF1396Z.pdf
    [01/04/2009 15:34|--a------|358069] - G:\CCIroannais.pdf
    [27/03/2009 15:56|--a------|1863161] - G:\fiches 1396Z.pdf
    [10/04/2009 11:58|--a------|57344] - G:\Chef Projet Innovation TUT.doc
    [26/05/2009 09:38|--a------|352032] - G:\WindowsXP-KB822603-x86-FRA.exe
    [01/06/2009 17:46|--a------|401720] - G:\HiJackThis.eXe
    [03/06/2009 09:21|--a------|5585] - G:\hijackthis 3juin.txt
    [03/06/2009 09:13|--a------|1204041] - G:\bitdefeder online3 juin.html

    ################## [ Vaccination ]

    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # F:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## [ ! Fin du rapport # UsbFix V3.028 ! ]
    Rsit ne veut pas se lancer....
    j'attends le rapport de kaspersky...
    A suivre
    0
  8. yotibop Messages postés 49 Statut Membre
     
    Rapport Dr Web:
    Kill_P.exe;C:\UsbFix\Tools;Tool.Prockill;;
    gcamkt.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    gtkgejqw.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    henmi.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    lxmlolya.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    ndsua.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    ntlfsdg.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    oydqock.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    qjic.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    rskwtg.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    rwjtwx.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    wzppevq.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    xcrrhwjx.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    xqibc.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;
    ynbizx.exe;C:\WINDOWS\system32;Win32.HLLW.Lime.4;Supprimé.;

    KASPERSKY N'A RIEN TROUVE

    RAPPORT HITJACKTHIS :

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:26:09, on 04/06/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
    C:\Program Files\TeamViewer\Version4\TeamViewer.exe
    C:\Program Files\Apoint\Apoint.exe
    C:\Program Files\SigmaTel\C-Major Audio\stacmon.exe
    C:\WINDOWS\system32\ICO.EXE
    C:\WINDOWS\System32\ezSP_Px.exe
    C:\Program Files\Sony\HotKey Utility\HKserv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    C:\Program Files\Messenger\msmsgs.exe
    C:\Program Files\NETGEAR\WN111\wn111.exe
    C:\Program Files\PowerPanel\Program\PcfMgr.exe
    C:\Program Files\Apoint\Apntex.exe
    C:\Program Files\Sony\HotKey Utility\HKWnd.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Marie-Christine\Bureau\HiJackThis.eXe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
    O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
    O4 - HKLM\..\Run: [SigmaTel StacMon] C:\Program Files\SigmaTel\C-Major Audio\stacmon.exe
    O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
    O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
    O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
    O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-666956156-4013870634-1873546897-1005\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: NETGEAR WN111 Smart Wizard.lnk = C:\Program Files\NETGEAR\WN111\wn111.exe
    O4 - Global Startup: PowerPanel.lnk = ?
    O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
    O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
    O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
    O15 - Trusted Zone: *.sony-europe.com
    O15 - Trusted Zone: *.sonystyle-europe.com
    O15 - Trusted Zone: *.vaio-link.com
    O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
    O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe (file missing)
    O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TeamViewer 4 (TeamViewer4) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
    0
  9. yotibop Messages postés 49 Statut Membre
     
    dernier rapport usb fix

    # Update on 02/06/09 by Chiquitine29, C_XX & Chimay8
    # WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
    # Start at: 11:44:49 | 04/06/2009

    #
    #
    # Internet Explorer 6.0.2900.2180
    # Windows Firewall Status : Enabled

    ############################## [ Processus actifs ]

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\spupdsvc.exe
    C:\Program Files\TeamViewer\Version4\TeamViewer_Service.exe
    C:\Program Files\TeamViewer\Version4\TeamViewer.exe

    ################## [ Fichiers # Dossiers infectieux ]

    H:\autorun.inf # -> fichier appelé : "H:\d1vmq.exe" ( absent ! )
    Deleted ! H:\autorun.inf

    ################## [ Registre # Clés Run infectieuses ]

    # HKLM\software\microsoft\security center\\ "AntiVirusOverride" # -> Reset sucessfully !

    ################## [ Registre # Mountpoints2 ]

    ################## [ Listing des fichiers présent ]

    [15/04/2003 11:25|--a------|0] - C:\AUTOEXEC.BAT
    [03/06/2009 18:33|-rahs----|216] - C:\boot.ini
    [30/08/2002 14:00|-rahs----|4952] - C:\Bootfont.bin
    [15/04/2003 11:25|--a------|0] - C:\CONFIG.SYS
    [?|?|?] - C:\hiberfil.sys
    [15/04/2003 11:25|-rahs----|0] - C:\IO.SYS
    [15/04/2003 11:25|-rahs----|0] - C:\MSDOS.SYS
    [03/06/2009 18:10|-rahs----|47564] - C:\NTDETECT.COM
    [03/06/2009 18:10|-rahs----|251712] - C:\ntldr
    [?|?|?] - C:\pagefile.sys
    [04/06/2009 11:48|--a------|2016] - C:\UsbFix.txt
    [29/05/2009 16:13|--a------|210416] - G:\zaSetup_fr.exe
    [01/04/2008 14:21|--a------|24578952] - H:\AdbeRdr812_fr_FR.exe
    [07/04/2008 16:00|--a------|39424] - H:\CV C‚cile.doc
    [31/03/2009 09:15|--a------|58368] - H:\CV DUJARDIN MC.doc
    [17/03/2009 14:52|--a------|23552] - H:\Marie.doc
    [14/05/2009 15:52|--a------|7321] - H:\signature AFP.htm
    [14/09/2008 20:02|--a------|17408] - H:\suivi entretiens.xls
    [05/12/2008 16:36|--a------|17408] - H:\voiture.xls

    ################## [ Vaccination ]

    # C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # D:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # G:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.
    # H:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

    ################## [ ! Fin du rapport # UsbFix V3.028 ! ]
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    surtout ne restaure pas le pc sinon tu remets les infections!!!

    j'ai dis de la désactiver ....

    il en reste

    ton windows est légal ou pas?
    _____________________

    puis

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

    _____________________

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  11. yotibop Messages postés 49 Statut Membre
     
    Impossible d'installer SDFix car KAPERsky détecte une Huer-invader à la fin du téléchargement et le bloque
    PS: oui mon windows est tout ce qui a de plus légal.
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    désactive kaspersky le temps de faire sdfix

    c'est un faux positif
    0
    1. yotibop Messages postés 49 Statut Membre
       
      Sdfix:


      [b]SDFix: Version 1.240 [/b]
      Run by Marie-Christine on 04/06/2009 at 17:41

      Microsoft Windows XP [version 5.1.2600]
      Running From: C:\Documents and Settings\Marie-Christine\Bureau\SDFix

      [b]Checking Services [/b]:


      Restoring Default Security Values
      Restoring Default Hosts File

      Rebooting


      [b]Checking Files [/b]:

      Trojan Files Found:

      C:\WINDOWS\SYSTEM32\SSMS.EXE - Deleted
      C:\WINDOWS\system32\.exe - Deleted
      C:\WINDOWS\system32\explorer.exe - Deleted
      C:\WINDOWS\system32\firewall.exe - Deleted
      C:\WINDOWS\system32\i - Deleted
      C:\WINDOWS\system32\Isass.exe - Deleted
      C:\WINDOWS\system32\logon.exe - Deleted
      C:\WINDOWS\system32\ssms.exe - Deleted





      Removing Temp Files

      [b]ADS Check [/b]:



      [b]Final Check [/b]:

      catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-06-04 17:46:40
      Windows 5.1.2600 Service Pack 2 NTFS

      scanning hidden processes ...

      scanning hidden services & system hive ...

      scanning hidden registry entries ...

      scanning hidden files ...

      scan completed successfully
      hidden processes: 0
      hidden services: 0
      hidden files: 0


      [b]Remaining Services [/b]:




      Authorized Application Key Export:

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
      "C:\\WINDOWS\\System32\\cbntzwoz.exe"="C:\\WINDOWS\\System32\\cbntzwoz.exe:*:Enabled:Ultimate Tool"
      "C:\\WINDOWS\\System32\\gvcelny.exe"="C:\\WINDOWS\\System32\\gvcelny.exe:*:Enabled:Ultimate Tool"
      "C:\\WINDOWS\\System32\\ykejf.exe"="C:\\WINDOWS\\System32\\ykejf.exe:*:Enabled:Ultimate Tool"
      "\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:enabled:@shell32.dll,-1"
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
      "C:\\Program Files\\CCleaner\\uninst.exe"="C:\\Program Files\\CCleaner\\uninst.exe:*:Enabled:Uninstall CCleaner"
      "C:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe"="C:\\Program Files\\TeamViewer\\Version4\\TeamViewer.exe:*:Enabled:TeamViewer 4"

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
      "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

      [b]Remaining Files [/b]:


      File Backups: - C:\DOCUME~1\MARIE-~1\Bureau\SDFix\backups\backups.zip

      [b]Files with Hidden Attributes [/b]:

      Wed 3 Jun 2009 1,069,056 A..H. --- "C:\WINDOWS\system32\fxabmaa.exe"
      Mon 1 Jun 2009 592,896 A..H. --- "C:\WINDOWS\system32\nsbek.exe"
      Wed 3 Jun 2009 1,069,056 A..H. --- "C:\WINDOWS\system32\ojtgzdnl.exe"
      Fri 2 Jun 2006 2,302,800 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\63fc91dd374f6ee602349c6eb961d9e6\BIT3F.tmp"
      Thu 4 Jun 2009 45,408,615 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8a2a5ecd72c62a4fe04757ab8c19e933\download\BIT18.tmp"

      [b]Finished![/b]

      0
  13. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok cela avance !

    analyse ces 3 fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/

    C:\WINDOWS\system32\fxabmaa.exe
    C:\WINDOWS\system32\nsbek.exe
    C:\WINDOWS\system32\ojtgzdnl.exe
    0
    1. yotibop Messages postés 49 Statut Membre
       
      Pas moyen de les trouver!
      c bon je l ai trouvé
      0
  14. yotibop Messages postés 49 Statut Membre
     
    rapport virus total:

    C:\WINDOWS\system32\fxabmaa.exe :

    AntivirusVersionDernière mise à jourRésultat
    a-squared4.0.0.1012009.06.04-
    AhnLab-V35.0.0.22009.06.04Win-Trojan/Nepoe.1056768
    AntiVir7.9.0.1802009.06.04-
    Antiy-AVL2.0.3.12009.06.04-
    Authentium5.1.2.42009.06.03-
    Avast4.8.1335.02009.06.04-
    AVG8.5.0.3392009.06.04BackDoor.RBot.BI
    BitDefender7.22009.06.04-
    CAT-QuickHeal10.002009.06.04Backdoor.Nepoe.hp
    ClamAV0.94.12009.06.04-
    Comodo12572009.06.04-
    DrWeb5.0.0.121822009.06.04-
    eSafe7.0.17.02009.06.04-
    eTrust-Vet31.6.65392009.06.04-
    F-Prot4.4.4.562009.06.03-
    F-Secure8.0.14470.02009.06.04-
    Fortinet3.117.0.02009.06.04-
    GData192009.06.04-
    IkarusT3.1.1.59.02009.06.04-
    K7AntiVirus7.10.7542009.06.04-
    Kaspersky7.0.0.1252009.06.04-
    McAfee56362009.06.04-
    McAfee+Artemis56362009.06.04-
    McAfee-GW-Edition6.7.62009.06.04Virus.Win32.FileInfector.gen (suspicious)
    Microsoft1.47012009.06.04-
    NOD3241312009.06.04-
    Norman6.01.092009.06.03-
    nProtect2009.1.8.02009.06.04-
    Panda10.0.0.142009.06.03-
    PCTools4.4.2.02009.06.02-
    Prevx3.02009.06.04-
    Rising21.32.34.002009.06.04Backdoor.Win32.Undef.dom
    Sophos4.42.02009.06.04Sus/UnkPacker
    Sunbelt3.2.1858.22009.06.03-
    Symantec1.4.4.122009.06.04-
    TheHacker6.3.4.3.3392009.06.03-
    TrendMicro8.950.0.10922009.06.04-
    VBA323.12.10.62009.06.03-
    ViRobot2009.6.4.17692009.06.04-
    VirusBuster4.6.5.02009.06.04-
    Information additionnelle
    File size: 1069056 bytes
    MD5...: c61a4065c95d2010acb67021d43d4ff4
    SHA1..: 0c1698d915dae6077bd99f83f16dcd2beccbcf12
    SHA256: 50d261f2ac58193e9560e807dfba37c7bfab58d27bcc0821d653203f39888378
    ssdeep: -
    0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok fais les deux autres
    0
  16. yotibop Messages postés 49 Statut Membre
     
    C:\WINDOWS\system32\nsbek.exe

    Formaté Impression des résultats
    AntivirusVersionDernière mise à jourRésultat
    a-squared4.0.0.1012009.06.04-
    AhnLab-V35.0.0.22009.06.04-
    AntiVir7.9.0.1802009.06.04-
    Antiy-AVL2.0.3.12009.06.04-
    Authentium5.1.2.42009.06.03-
    Avast4.8.1335.02009.06.04-
    AVG8.5.0.3392009.06.04BackDoor.RBot.BI
    BitDefender7.22009.06.04-
    CAT-QuickHeal10.002009.06.04-
    ClamAV0.94.12009.06.04-
    Comodo12572009.06.04-
    DrWeb5.0.0.121822009.06.04-
    eSafe7.0.17.02009.06.04-
    eTrust-Vet31.6.65392009.06.04-
    F-Prot4.4.4.562009.06.03-
    F-Secure8.0.14470.02009.06.04-
    Fortinet3.117.0.02009.06.04-
    GData192009.06.04-
    IkarusT3.1.1.59.02009.06.04-
    K7AntiVirus7.10.7542009.06.04-
    Kaspersky7.0.0.1252009.06.04-
    McAfee56362009.06.04-
    McAfee+Artemis56362009.06.04-
    McAfee-GW-Edition6.7.62009.06.04Virus.Win32.FileInfector.gen (suspicious)
    Microsoft1.47012009.06.04-
    NOD3241312009.06.04-
    Norman6.01.092009.06.03-
    nProtect2009.1.8.02009.06.04-
    Panda10.0.0.142009.06.03-
    PCTools4.4.2.02009.06.02-
    Prevx3.02009.06.04-
    Rising21.32.34.002009.06.04-
    Sophos4.42.02009.06.04Sus/UnkPacker
    Sunbelt3.2.1858.22009.06.03-
    Symantec1.4.4.122009.06.04-
    TheHacker6.3.4.3.3392009.06.03-
    TrendMicro8.950.0.10922009.06.04-
    VBA323.12.10.62009.06.03-
    ViRobot2009.6.4.17692009.06.04-
    VirusBuster4.6.5.02009.06.04-
    Information additionnelle
    File size: 592896 bytes
    MD5 : 915bb044d3b6ff7e66c3e1957a986356
    SHA1 : 26f02d307fe494c66b43a6b6817b5bf0ccf3651b
    SHA256: 8315b71b23e0a4587fb15f1fe8b2ce694f4b4244f09da789c9fb41a8387b6f37
    PEInfo: PE Structure information
    0
  17. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    télécharge OTMoveIt
    http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.

    double-clique sur OTMoveIt.exe pour le lancer.
    copie la liste qui se trouve en citation ci-dessous,
    et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
    (attention bien mettre :files)

    :processes
    explorer.exe
    :files
    C:\WINDOWS\system32\fxabmaa.exe
    C:\WINDOWS\system32\nsbek.exe
    C:\WINDOWS\system32\ojtgzdnl.exe
    :commands
    [purity]
    [emptytemp]
    [start explorer]

    clique sur MoveIt! pour lancer la suppression.
    le résultat apparaitra dans le cadre "Results".
    clique sur Exit pour fermer.
    poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

    il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.

    ____________________

    scanne RAPIDE avec
    MalwareByte's Anti-Malware après mise a jour, en mode normal et vire ce qui est trouvé et colle le rapport

    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/­

    _______________________

    puis pour faire le point et voir si il reste des infections:

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  18. yotibop Messages postés 49 Statut Membre
     
    et le dernier C:\WINDOWS\system32\ojtgzdnl.exe :

    mêmes que pour le 1er:

    AntivirusVersionDernière mise à jourRésultat
    a-squared4.0.0.1012009.06.04-
    AhnLab-V35.0.0.22009.06.04Win-Trojan/Nepoe.1056768
    AntiVir7.9.0.1802009.06.04-
    Antiy-AVL2.0.3.12009.06.04-
    Authentium5.1.2.42009.06.03-
    Avast4.8.1335.02009.06.04-
    AVG8.5.0.3392009.06.04BackDoor.RBot.BI
    BitDefender7.22009.06.04-
    CAT-QuickHeal10.002009.06.04Backdoor.Nepoe.hp
    ClamAV0.94.12009.06.04-
    Comodo12572009.06.04-
    DrWeb5.0.0.121822009.06.04-
    eSafe7.0.17.02009.06.04-
    eTrust-Vet31.6.65392009.06.04-
    F-Prot4.4.4.562009.06.03-
    F-Secure8.0.14470.02009.06.04-
    Fortinet3.117.0.02009.06.04-
    GData192009.06.04-
    IkarusT3.1.1.59.02009.06.04-
    K7AntiVirus7.10.7542009.06.04-
    Kaspersky7.0.0.1252009.06.04-
    McAfee56362009.06.04-
    McAfee+Artemis56362009.06.04-
    McAfee-GW-Edition6.7.62009.06.04Virus.Win32.FileInfector.gen (suspicious)
    Microsoft1.47012009.06.04-
    NOD3241312009.06.04-
    Norman6.01.092009.06.03-
    nProtect2009.1.8.02009.06.04-
    Panda10.0.0.142009.06.03-
    PCTools4.4.2.02009.06.02-
    Prevx3.02009.06.04-
    Rising21.32.34.002009.06.04Backdoor.Win32.Undef.dom
    Sophos4.42.02009.06.04Sus/UnkPacker
    Sunbelt3.2.1858.22009.06.03-
    Symantec1.4.4.122009.06.04-
    TheHacker6.3.4.3.3392009.06.03-
    TrendMicro8.950.0.10922009.06.04-
    VBA323.12.10.62009.06.03-
    ViRobot2009.6.4.17692009.06.04-
    VirusBuster4.6.5.02009.06.04-
    0
  19. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok fais le message 20

    car malheuresement c'est pas finit, c'est ce qui arrive quand windows n'est pas a jour depuis des années et que l'on télécharge n'importe quoi ...

    a plus
    0
  20. yotibop Messages postés 49 Statut Membre
     
    le rapport C:\_OTMoveIt\MovedFiles.:

    ========== PROCESSES ==========
    Process explorer.exe killed successfully.
    ========== FILES ==========
    C:\WINDOWS\system32\fxabmaa.exe moved successfully.
    C:\WINDOWS\system32\nsbek.exe moved successfully.
    C:\WINDOWS\system32\ojtgzdnl.exe moved successfully.
    ========== COMMANDS ==========
    User's Temp folder emptied.
    User's Internet Explorer cache folder emptied.
    File delete failed. C:\Documents and Settings\Marie-Christine\Local Settings\Temporary Internet Files\Content.IE5\JMCHO9G0\40a43e84b1968314dd0c23469c98035d48702e971540cdf70a16bae211567a36-1244133076[1].htm scheduled to be deleted on reboot.
    File delete failed. C:\Documents and Settings\Marie-Christine\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    User's Temporary Internet Files folder emptied.
    Local Service Temp folder emptied.
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    Local Service Temporary Internet Files folder emptied.
    Network Service Temp folder emptied.
    Network Service Temporary Internet Files folder emptied.
    Windows Temp folder emptied.
    Temp folders emptied.
    Explorer started successfully

    OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 06042009_183911
    0
  • 1
  • 2
  • 3
  • 4