4 trojans et un virus coriaces Fermé

Question

Bonjour,

j'ai lu le forum et j'ai commencé les démarches classiques , CCLEANER , VAG , AVAST , spybot
mais rien n'y fait, ils sont toujours là :-(
les betes en questions sont :
SHeur.AJDZ
generic13.AFUT
BackDoor.Generic_r.GL
Dropper.generic.AKWU
WIN32/virut

voici ce que j'ai comme rapport HIJACK

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57:06, on 09/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/search/ie.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\PROGRA~1\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32	scupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32un.cmd (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Sélection intelligente HP - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\Hewlett-Packard\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

eZula · Answer

Bonjour, 

télécharge GenProc http://www.genproc.com/GenProc.exe 

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

salverius · Answer

Rapport GenProc 2.584 [1]
@ 09/06/2009 à 14:59:53  
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout. 

# Etape 1/ Télécharge :
 
- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe (Chiquitine29) sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/ 

 Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage 

# Etape 3/ 

 Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !" 
- Ensuite poste le rapport C:\FindyKill.txt


----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.584 09/06/2009 à 15:00:20 
Bagle:le 09/06/2009 à 15:00:22 "C:\Documents and Settings\Admin\Application Data\hidn" 

~~ Fin à 15:00:23 ~~

eZula · Answer

suis la procédure

salverius · Answer

euh ??

c'est en fait le rapport de HIJACK que j'avais mis dans mon tout premier message pour gagner du temps , 
car j'avais déjà effectué le nettoyage avec Ccleaner etc ...

eZula · Answer

Ccleaner etc

que faut-il entendre par "etc" ?

salverius · Answer

par etc , j'entendais , AVAST , kapersy , AVG , spybot

je viens de passer finfykill en mode recherche , je n'ai pas osé faire le mode effacé sans vous consulter .

voici le résultat :


############################## | FindyKill V5.002 |

# User : Admin () # XPSP2-26D75C835
# Update on 07/06/09 by Chiquitine29
# Start at: 21:23:45 | 09/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Athlon(tm) 64 Processor 3500+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]
# AV : avast! antivirus 4.8.1335 [VPS 090608-0] 4.8.1335 [ Enabled | Updated ]
# FW : Pare-feu personnel Trend Micro[ Enabled ]5.5

# C:\ # Disque fixe local # 298,08 Go (193,41 Go free) # NTFS
# D:\ # Disque CD-ROM # 452,8 Mo (0 Mo free) [WinXpPro4.8] # CDFS
# E:\ # Disque fixe local # 233,75 Go (11,7 Go free) # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\eMule\emule.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\AVG\AVG8\avgui.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\AVG\AVG8\avgscanx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Java\jre6\bin\java.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

Présent ! D:\autorun.inf  

################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Admin\Application Data |

Présent ! C:\Documents and Settings\Admin\Application Data\hidn  

################## | Autres ... |


################## | C:\Documents and Settings\Admin\Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK]  
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK]  
Présent ! [HKU\S-1-5-21-1482476501-448539723-839522115-1003\Software\UBISOFT]  
Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify" 0x1  
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify" 0x1  
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify" 0x1  

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )  
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )  
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | ! Fin du rapport # FindyKill V5.002 ! |

eZula · Answer

OK. Après tu posteras un nouveau rapport GenProc

salverius · Answer

voila genproc 

Rapport GenProc 2.584 [3]
@ 09/06/2009 à 21:52:55  
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]

 Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html

# Etape 1/ Télécharge :
 
- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe (Chiquitine29) sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/ 

 Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage 

# Etape 3/ 

 Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !" 
- Ensuite poste le rapport C:\FindyKill.txt


----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.584 09/06/2009 à 15:00:20 
Bagle:le 09/06/2009 à 15:00:22 "C:\Documents and Settings\Admin\Application Data\hidn" 

# Détections [2] GenProc 2.584 09/06/2009 à 17:47:08 
Bagle:le 09/06/2009 à 17:47:08 "C:\Documents and Settings\Admin\Application Data\hidn" 

# Détections [3] GenProc 2.584 09/06/2009 à 21:53:03 
Bagle:le 09/06/2009 à 21:53:03 "C:\Documents and Settings\Admin\Application Data\hidn" 

~~ Fin à 21:53:03 ~~

eZula · Answer

D'abord Findykill, ensuite GenProc

salverius · Answer

??

c'est ce que je viens de faire non ? un rapport de Findykill,et puis un de  GenProc ?

salverius · Answer

faut il peut être que je passe findykill en mode supprimer ?

salverius · Answer

voila , je viens de refaire findykill puis genproc voici les résultats :


############################## | FindyKill V5.002 |

# User : Admin (Utilisateurs) # XPSP2-26D75C835
# Update on 07/06/09 by Chiquitine29
# Start at: 22:38:39 | 09/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Athlon(tm) 64 Processor 3500+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]
# AV : avast! antivirus 4.8.1335 [VPS 090609-0] 4.8.1335 [ Enabled | Updated ]
# FW : Pare-feu personnel Trend Micro[ Enabled ]5.5

# C:\ # Disque fixe local # 298,08 Go (193,41 Go free) # NTFS
# D:\ # Disque CD-ROM # 452,8 Mo (0 Mo free) [WinXpPro4.8] # CDFS
# E:\ # Disque fixe local # 233,75 Go (11,7 Go free) # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

Présent ! D:\autorun.inf  

################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Admin\Application Data |

Présent ! C:\Documents and Settings\Admin\Application Data\hidn  

################## | Autres ... |

Rapport GenProc 2.584 [5]
@ 09/06/2009 à 22:41:38  
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]

# Etape 1/ Télécharge :
 
- FindyKill http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe (Chiquitine29) sur le Bureau.


Note importante : l'infection bagle s'installant au moyen d'un crack/keygen, tu dois IMPERATIVEMENT supprimer ce type de fichier.

# Etape 2/ 

 Lance l'installation avec les paramètres par défaut
- Double-clique sur le raccourci FindyKill sur le Bureau (sous Vista : clic droit sur le raccourci --> Exécuter en temps qu'Administrateur)
- Au menu principal, sélectionne l'option 1 (Recherche)
- Le rapport est sauvegardé à la racine du disque dur (C:\FindyKill.txt )
Avant de faire quoi que ce soit d'autre, il est fortement recommandé de poster le rapport sur le forum pour avoir l'avis d'un spécialiste.Après confirmation par un intervenant qualifié du forum, passe au nettoyage 

# Etape 3/ 

 Branche toutes tes sources de données externes au PC (clés USB, disques durs externes, lecteurs mp3, iPod...) sans les ouvrir- Relance FindyKill,
- Cette fois, sélectionne l'option 2 (Suppression) au menu principal.
- Il y aura 2 redémarrages, laisse travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !" 
- Ensuite poste le rapport C:\FindyKill.txt


----------------------------------------------------------------------

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.584 09/06/2009 à 15:00:20 
Bagle:le 09/06/2009 à 15:00:22 "C:\Documents and Settings\Admin\Application Data\hidn" 

# Détections [2] GenProc 2.584 09/06/2009 à 17:47:08 
Bagle:le 09/06/2009 à 17:47:08 "C:\Documents and Settings\Admin\Application Data\hidn" 

# Détections [3] GenProc 2.584 09/06/2009 à 21:53:03 
Bagle:le 09/06/2009 à 21:53:03 "C:\Documents and Settings\Admin\Application Data\hidn" 

# Détections [4] GenProc 2.584 09/06/2009 à 22:39:03 
Bagle:le 09/06/2009 à 22:39:05 "C:\Documents and Settings\Admin\Application Data\hidn" 

# Détections [5] GenProc 2.584 09/06/2009 à 22:41:44 
Bagle:le 09/06/2009 à 22:41:44 "C:\Documents and Settings\Admin\Application Data\hidn" 

~~ Fin à 22:41:44 ~~

salverius · Answer

j'ai pris les devants , en lançant le mode supprimer de finykill
voici le rapport , suivi de celui de genproc :
merci de me dire quoi faire ensuite s'il y a lieu ???


############################## | FindyKill V5.002 |

# User : Admin (Utilisateurs) # XPSP2-26D75C835
# Update on 07/06/09 by Chiquitine29
# Start at: 22:51:27 | 09/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Athlon(tm) 64 Processor 3500+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]
# AV : avast! antivirus 4.8.1335 [VPS 090609-0] 4.8.1335 [ Enabled | Updated ]
# FW : Pare-feu personnel Trend Micro[ Enabled ]5.5

# C:\ # Disque fixe local # 298,08 Go (193,41 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 233,75 Go (11,7 Go free) # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |

Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf  

################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Admin\Application Data |

Supprimé ! C:\Documents and Settings\Admin\Application Data\hidn  

################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]  
Supprimé ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK]  
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK]  
Supprimé ! [HKU\S-1-5-21-1482476501-448539723-839522115-1003\Software\UBISOFT]  
Value ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify" -> Reset sucessfully !  
Value ! [HKLM\software\microsoft\security center] "FirewallDisableNotify" -> Reset sucessfully !  
Value ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify" -> Reset sucessfully !  

################## | Etat / Services / Informations |

# Mode sans echec restauré ! 

# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Documents and Settings\Admin\.housecall6.6\"patch.exe""  
05/12/2006 16:12 |Size 218736 |Crc32 12c79c8b |Md5 b9a80ba0083fb8196f8ca0bef053ea4e  
 
"C:\Documents and Settings\Admin\Bureau\DEFCON\Claire\Windows Office 2007 Enterprise (with working serial)\Windows Office 2007 Enterprise\"setup.exe""  
28/10/2006 09:30 |Size 463152 |Crc32 e20a8d25 |Md5 95b8a4245a6cd37d36e56fae5a23e2b1  
 
"C:\Documents and Settings\Admin\Bureau\DEFCON\Claire\Windows Office 2007 Enterprise (with working serial)\Windows Office 2007 Enterprise\Enterprise.WW\"ose.exe""  
28/10/2006 08:14 |Size 145184 |Crc32 68a22f15 |Md5 5a432a042dae460abe7199b758e8606c  
 
"C:\Documents and Settings\Admin\Bureau\DEFCON\Claire\Windows Office 2007 Enterprise (with working serial)\Windows Office 2007 Enterprise\Office.en-us\"dwtrig20.exe""  
28/10/2006 08:14 |Size 434528 |Crc32 20f846fb |Md5 29e177c7bb7343f365f12ad9a8af4c48  
 
"C:\Documents and Settings\Admin\Bureau\TISP32FR_eval\Setup\Patch\32bit\223\"TISPthTl.exe""  
05/06/2009 09:19 |Size 249808 |Crc32 f12e2f99 |Md5 11dfa24d85fef205b97a568ed92c9b68  
 
"C:\Documents and Settings\Admin\Bureau\Windows Genuine Advantage Validation v1.8.32.0.CRACKED\Windows.Genuine.Advantage.Validation.v1.8.32.0.CRACKED\"WgaTray.exe""  
13/12/2008 08:37 |Size 332672 |Crc32 ea21eeeb |Md5 255ed9eeade644186ba4cd5df0da1a51  
 

################## | ! Fin du rapport # FindyKill V5.002 ! |


Rapport GenProc 2.584 [6]
@ 09/06/2009 à 23:09:35  
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


# Etape 1/ Télécharge :
ToolsCleaner! http://pc-system.fr/ (A.Rothstein & Dj QUIOU) sur ton Bureau.

# Etape 2/
- Double-clique sur ToolsCleaner2.exe pour le lancer.
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options Facultatives.
- Clique sur Quitter pour obtenir le rapport C:\TCleaner.txt
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).

# Etape 3/
Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 23:11:27 ~~

eZula · Answer

Supprime les cracks /keygens et autres saletés de la section 

################## | Cracks / Keygens / Serials |

du rapport findykill, 

Ensuite fais ce que suggère GenProc

salverius · Answer

voila , j'ai effectué findykill en mode supprimer ,
j'ai ensuite manuellement enlever les clé infecté,
mais il reste des zone infectieuses dans la base de registre et je n'ose pas y toucher de peur de planter le système:

################## | Registre / Clés infectieuses |

Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]  
Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK]  
Présent ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK]  

################## | Etat / Services / Informations |

j'ai fait regedit pour voir où sont ces clés , mais je ne sais pas comment les supprimer sans risques.

ps : merci pour tous vos conseils en passant .

eZula · Answer

tu as bien fait ceci avant

Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html 

?

Nshox · Answer

bonjour
une autre solution serai d'enlever ton disque dur et de la scaner avec un antivirus sur un autre PC.
Cela m'est deja arriver et à bien fonctionner.
Car en scan sur la machine infecter le virus se régenrer a chaque fois. 

Bonne chance.

Nshox · Answer

une petite aide si jamais le virus refuse de se supprimer tu peu utiliser ce logiciel qui permet de supprimer les fichier qie le refus mais il faut faire attention quand meme:

https://www.clubic.com/telecharger-fiche55442-fileassassin.html

sinon pour le registre je pense que ccleaner pourrai te les effacer car mainteneat que tu a effacer le virus les clef ne sont plus valide.

salverius · Answer

bilan des courses :

voici le résultat de findykill


############################## | FindyKill V5.002 |

# User : Admin (Utilisateurs) # XPSP2-26D75C835
# Update on 07/06/09 by Chiquitine29
# Start at: 11:21:25 | 10/06/2009
# Website : http://pagesperso-orange.fr/NosTools/findykill.html

# AMD Athlon(tm) 64 Processor 3500+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : AVG Anti-Virus Free 8.5 [ Enabled | Updated ]
# AV : avast! antivirus 4.8.1335 [VPS 090609-0] 4.8.1335 [ Enabled | Updated ]
# FW : Pare-feu personnel Trend Micro[ Enabled ]5.5

# C:\ # Disque fixe local # 298,08 Go (193,88 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque fixe local # 233,75 Go (5,46 Go free) # NTFS
# F:\ # Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |

Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf  

################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\Admin\Application Data |


################## | Autres ... |


################## | Temporary Internet Files |


################## | Registre / Clés infectieuses | 

Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK]  
Supprimé ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_M_HOOK]  
Supprimé ! [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_M_HOOK]  

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 


################## | PEH ... |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # FindyKill V5.002 ! |

puis celui de genproc :

Rapport GenProc 2.584 [7]
@ 10/06/2009 à 11:49:28  
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.10) [Navigateur par défaut]

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
- C:\Program Files\EsetOnlineScanner\log.txt

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 11:50:10 ~~ 

par contre , mauvaise suprise , 
AVG viens de détecter un des trojan ( DROPPER. generic.AKWU ) 
et il est dans "Temporary Internet Files"
fichiers que je ne peux pas supprimer ,
même avec l'aide du logiciel : http://www.clubic.com/telecharger-fiche55442-fileassassin.ht­ml

eZula · Answer

Fais le scan nod32

Nshox · Answer

Ah M**** , c'est dommage que tu n'est qu'un pc avec la methode que je t'ai proposer plus haut cela aurai fonctionner car les virus que tu as meme si tu arrive à les supprimer vont se régenerer.

salverius · Answer

je viens de faire nod 32 ( enfin la version d'évaluation de 30 jours )
2h30 de scan , rien  signaler .

j'ai aussi un agréable message qui s'affiche :

"l'instruction à "0x595c16e2" emploie l'adresse mémoire " 0x011d005c". la mémoire ne peut pas être "read".
cliquez sur ok pour terminer le programme.
cliquez sur Annuler pour déboguer le programme. "

je désespère ...

eZula · Answer

SHeur.AJDZ
generic13.AFUT
BackDoor.Generic_r.GL
Dropper.generic.AKWU
WIN32/virut

tu peux donner les chemins de ces fichiers ? car les alias c'est bien beau, mais ça ne donne pas grand-chose comme info exploitable à ce stade

salverius · Answer

ok voici les chemines d'accès :
pour: Dropper.generic.AKWU

C:\documents and settings\Network Service\local Settings\Temporary internet Files\Content.IE5\K7U9UPML\x[1]
C:\documents and settings\Network Service\local Settings\Temporary internet Files\Content.IE5\OJMPOZMN\x[1]
C:\documents and settings\Network Service\local Settings\Temporary internet Files\Content.IE5\S12V8J25\x[3]
C:\documents and settings\Network Service\local Settings\Temporary internet Files\Content.IE5\S12V8J25\x[5]

pour : BackDoor.Generic_r.GL

C:\documents and settings\Network Service\local Settings\Temporary internet Files\Content.IE5\S12V8J25\x[6]

eZula · Answer

ces fichiers sont dans le cache d'un navigateur merdique, sans grand intérêt pour nous. Virut, il est où ?

Nshox · Answer

C'est le virus qui se régenere dés qu'on le supprime!

salverius · Answer

nouvelles localisation pour les trojans : ( SHeur2.AJDZ )

C\WINDOWS\system32\71.scr
C\WINDOWS\system32\83.scr

rien pour le virus  ( VIRUT )

Nshox · Answer

Je sais que je rabbache mais cette situation m'est arriver.
La seule solution que j'ai trouver c'etait de prendre mon disque dur et de l'emener chez un ami, tu le branche en esclave et tu fait un scan avec avat par ex du 2eme disque dur infecter et tu supprime tout les virus qu'il te trouve.
Pour etre vraiment sur j'avai refait un scan avec dr.web et tout avait etait nettoyer correctement.

Sinon essaye en mode sans echec et sans prise en charge reseau de tuer les processus infectieux au demarrage de faire des scan antivirus.

bon courage

salverius · Answer

bilan des courses :

j'ai effectué des scan avec nod32
puis avast et avg en mode sans echec,
rien n'y a fait , je reste toujours avec ses virus et trojans ,

je vais donc passer à une méthode bcp plus radicale , je vais réinstaller windows,
car je ne vois pas d'amélioration significative malgré tout les nettoyages effectués
si qq'un à une bonne idée de dernière minute , je suis preneur .
merci à tous pour les conseils donnés .
a+

salverius · Answer

ah bon ?

si je formate mon disque dur , le répartitionne et réinstalle windows , il peut encore rester qque chose dessus ( Virut en l'occurrence ) ???

salverius · Answer

tout simplement le fait que VIRUT faisait parti de la première liste de virus et trojan détectés sur mon PC ( par AVG il me semble) ,

mais depuis , je n'en ai plus aucune trace ,je ne sais pas s'il a été effacé , ou si les scan ne le voient tout simplement plus .

Nshox · Answer

Passe un coup de Malwarebytes' Anti-Malware (MBAM) dispo ici:
http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware

Il fait le lien entre les .exe et les cle de registre, il fait des sauvgarde des cle de registre infecter avant de les supprimer.

salverius · Answer

ok , je viens d'effectuer ce scan voici le résultat :

Malwarebytes' Anti-Malware 1.37
Version de la base de données: 2288
Windows 5.1.2600 Service Pack 2

16/06/2009 20:48:33
mbam-log-2009-06-16 (20-48-33).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 120339
Temps écoulé: 8 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\winamp.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

JE n'ai effacé que les 2 fichiers correspondant a un nom de trojan,et hijack
pas les 3 autres dites moi s'il faut les éliminer aussi .

Nshox · Answer

Les 3 autres clef informe que ton centre de sécuriter est désactiver , les mise à jour automatique aussi et l'antivirus aussi.
Mais je pense que c'est toi qui à du les désactiver. Si ce n'est pas le cas tu peux les supprimer.
Apparament tu n'est plus infecter.

Voila tu est enfin arriver Bravo!

salverius · Answer

bonjour , 

je ne suis pas aussi optimiste ,
car le bouclier d'avg , bloque régulièrement backdoor et dropper
le bon coté , c'est que je n'entends plus parler de virut .

Trying2 · Answer

Hello,

Un petit coucou par ici:

Tu as bien fait ceci? Et supprimer éventuellement d'autres non détectés par Findykill?

Parce que sinon on va tourner en rond...

salverius · Answer

voila le dernier rapport genproc

Rapport GenProc 2.590 [3]
@ 17/06/2009 à 19:37:43  
@ Windows XP Service Pack 2 - Mode normal
@ Mozilla Firefox (3.0.11) [Navigateur par défaut]

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Fais scanner le(s) fichier(s) suivant(s) sur ce site https://www.virustotal.com/gui/ :


C:\Documents and Settings\Admin.XPSP2-53C91E3D3\Local Settings\Temp
ro.tmp\" 


et poste le(s) rapport(s) obtenu(s) dans ta prochaine réponse.

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 19:39:36 ~~ 



je vais donc m'exécuter dans cette nouvelle tache .

salverius · Answer

voila le résultat de virus total.

Information additionnelle
File size: 5903656 bytes
MD5   : d1ab724228eef2b41f70bbb29f7a82e5
SHA1  : 097d0f57876ba8c40826d51f20bfb9b1fb3e887f
SHA256: c37dc385bb5201bc9593396fdd27f1a5733dbdb2764f443adb70ecd01c8ca8d3
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x5F3128
timedatestamp.....: 0x493FCC6E (Wed Dec 10 15:04:30 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x277C14 0x278000 6.62 ea7b9c96bd6ece7eedab840f69002a0e
.rdata 0x279000 0xBD180 0xBE000 4.61 95f471f1292e2efeaaf1856f008f7a70
.data 0x337000 0x1ACC0 0x15000 5.47 618849ab1a61c0f5285340aa3ccb2be7
.rsrc 0x352000 0x253578 0x254000 5.97 b32d4b62e215d0ad63cb1f6bf93cfac9

( 0 imports )


( 0 exports )
TrID  : File type identification
InstallShield setup (42.6%)
Win32 Executable MS Visual C++ (generic) (37.3%)
Win32 Executable Generic (8.4%)
Win32 Dynamic Link Library (generic) (7.5%)
Generic Win/DOS Executable (1.9%)
ssdeep: 49152:BQuAgLuD1XbBtKqGv5Hhq5e6GPaBM2C9qTbJCZ0V+7qN4eTtH+ewyZRlO8OJZp:BQ7yH5SBw9qTq0EqN4Q+J
PEiD  : -
RDS   : NSRL Reference Data Set

------------------------------------------------------------------------

ps : hier j'ai formaté mon ordi et effectivement , les trojans ont survécu puisque avg les a repéré ensuite ,
pour ce qui est des chemins d'accès , je ne les ai pas relevé , j'efface systématiquement tout ce qui passe en quarantaine,
mais je noterai toutes les info à la prochaine prise.

j'en profite pour remercier tous ceux qui m'aident dans cette aventure ;-(

salverius · Answer

voici ce qu'il y a dans la quarantaine d'AVG
ceci corresponds à des blocages du bouclier résident.
le scan d'AVG ne trouve rien ...

dropper.generic.AKWU : C\WINDOWS\system32\25.scr
worm/generic_c.ABP : c\WINDOWS\system32\00.scr
worm/generic_c.ABP : c\WINDOWS\system32\32.scr
Backdoor.Generic_r.GL : C\documents and settings\adminXPSP2\local settings	emporary Internet Files\Content.IE5\KRODJEMA\x[1]

je vais formater à nouveau le disque DUR ( avec killdisk cette fois ci )
histoire de voir ce que ça donne .

4 trojans et un virus coriaces

39 réponses

Discussions similaires