probleme virus probable

Question

Bonjour,
ou plutot bonsoir. J'ai eu un virus il y a peu de temps, je pensais l'avoir supprimer pour de bon apres de maintes reprises. en effet sur hijackthis ce virus n'apparait plus. Pourtant je remarque des problemes recurents. internet explorer qui se fige, malwarebytes qui ne s'installent pas correctement ou l'exe ne se lance pas, pareil pour spybot et d'autres antimalware-virus etc testés. Je ne pense pas etre une quiche en PC, mais la je n'y arrive plus, il doit forcement y avoir autre chose.
Je cherche donc quelqu'un de competent et disponible pour m'aider a resoudre ce probleme intempestif.

Je vous remercie d'avance.

Narco!4 · Answer

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

gen-hackman · Answer

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

ou :ZHPDiag

!! déconnecte toi et ferme toutes tes applications en cours !! 

* Clique droit sur le .zip que tu viens de télécharger et choisis " extraire tout " sur ton bureau ... 

* Double-clique sur "ZHPDiag.exe" pour lancer l'outil : 


> Clique sur le bouton " Tous " ( important ). 

> puis clique sur le bouton de "la loupe" pour lancer le scan . 


Laisses travailler l'outil ... 


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ... 

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ). 

Puis ferme le programme ... 


Enfin , poste le rapport obtenu sur : http://www.cijoint.fr/ , et renvoie le lien obtenu en echange

pitteh · Answer

tout d'abord merci pour la rapidité de réponse, premier problem le programme se lance corectement mais il n'a toujours pas fini de tester apres facilement 5 min d'attente, dois je attendre encore ?

Narco!4 · Answer

A qui tu répond ?

pitteh · Answer

ok me revoila avec le fichier text de ZHPdiag que voici :

 http://www.cijoint.fr/cjlink.php?file=cj200906/cijv406ESU.txt

par contre genproc ne semble pas fonctionner correctement.

Merci a vous au faite :)

Narco!4 · Answer

Lance C:\genproc\outil\debug.bat

gen-hackman · Answer

desole narco j avais pas vu que tu etais-là le premier :) je laisse la main :)

pitteh · Answer

Toujours pareil pour genproc il reste coincer a la phase de test. :(

Narco!4 · Answer

poste aussi
C:\genproc\arguments\debug.txt 
C:\genproc\arguments\debug1.txt

pitteh · Answer

pour debug :
Initialisation GenProc 2.596 [24/06/2009] à [23:12:54] 

*** Variables initiales SET et temporaires ***

ALLUSERSPROFILE=C:\Documents and Settings\All Users
APPDATA=C:\Documents and Settings\windows\Application Data
Arguments=C:\GenProc\Arguments
Canned=C:\GenProc\Canned
ChangeLog=C:\GenProc\ChangeLog
CheminBatch=C:\GenProc
CLIENTNAME=Console
CommonProgramFiles=C:\Program Files\Fichiers communs
ComptBagle=0
ComptFixWebHancer=0
ComptFxNdotN=0
ComptHaxfix=0
ComptLook2Me=0
ComptLop=0
ComptMBR=0
ComptMSNfix=0
ComptNavipromo=0
ComptPurity=0
ComptRemGAIN=0
ComptRustock=0
ComptSDfix=0
ComptSmitfraud=0
ComptToolbarSD=0
ComptUSBFix=0
ComptVundo=0
ComptWareOut=0
ComptWinSoftware=0
ComptYoog=0
COMPUTERNAME=044704020419
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
GenProcVersion=2.596
HOMEDRIVE=C:
HOMEPATH=\Documents and Settings\windows
LOGONSERVER=\044704020419
NUMBER_OF_PROCESSORS=2
OS=Windows_NT
outil=C:\GenProc\outil
Page=C:\GenProc\Page
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\PROGRA~1\FICHIE~1\SONICS~1\;C:\Program Files\IsoBuster
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 1, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0401
ProgramFiles=C:\Program Files
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOCUME~1\windows\LOCALS~1\Temp
TMP=C:\DOCUME~1\windows\LOCALS~1\Temp
USERDOMAIN=044704020419
USERNAME=windows
USERPROFILE=C:\Documents and Settings\windows
windir=C:\WINDOWS

 *** Liste des composants GenProc ***

C:\GenProc\Arguments
C:\GenProc\Canned
C:\GenProc\ChangeLog
C:\GenProc\GenProc.bat
C:\GenProc\outil
C:\GenProc\Page
C:\GenProc\Arguments\Argument.txt
C:\GenProc\Arguments\Debug.txt
C:\GenProc\Arguments\Debug1.txt
C:\GenProc\Arguments\design.css
C:\GenProc\Canned\ASquared.txt
C:\GenProc\Canned\Bagle2_Dl.txt
C:\GenProc\Canned\bfu_Dl.txt
C:\GenProc\Canned\CCleaner_48H.txt
C:\GenProc\Canned\CCleaner_Dl.txt
C:\GenProc\Canned\CCleaner_Exec.txt
C:\GenProc\Canned\FixWebHancer_Dl.txt
C:\GenProc\Canned\FixWebHancer_Exec.txt
C:\GenProc\Canned\FxNdotN_Dl.txt
C:\GenProc\Canned\FxNdotN_Exec.txt
C:\GenProc\Canned\HaxFix_Dl.txt
C:\GenProc\Canned\HaxFix_Exec.txt
C:\GenProc\Canned\Look2me_Dl.txt
C:\GenProc\Canned\Look2me_Exec.txt
C:\GenProc\Canned\Lop_Dl.txt
C:\GenProc\Canned\Lop_Exec.txt
C:\GenProc\Canned\MBR_Dl.txt
C:\GenProc\Canned\MBR_Exec.txt
C:\GenProc\Canned\MSE.txt
C:\GenProc\Canned\MSNfix_Dl.txt
C:\GenProc\Canned\MSNfix_Exec.txt
C:\GenProc\Canned\Navilog1_Dl.txt
C:\GenProc\Canned\Navilog1_Exec.txt
C:\GenProc\Canned\Purity_Dl.txt
C:\GenProc\Canned\Purity_Exec.txt
C:\GenProc\Canned\RemGAIN_Dl.txt
C:\GenProc\Canned\RemGAIN_Exec.txt
C:\GenProc\Canned\Rustock_Dl.txt
C:\GenProc\Canned\ScanAntivirusNod32.txt
C:\GenProc\Canned\ScanAntivirusPanda.txt
C:\GenProc\Canned\SDfix_Dl.txt
C:\GenProc\Canned\SDfix_Exec.txt
C:\GenProc\Canned\SmitfraudFix_Dl.txt
C:\GenProc\Canned\SmitfraudFix_Exec.txt
C:\GenProc\Canned\SpywareTerminator.txt
C:\GenProc\Canned\TeaTimer.txt
C:\GenProc\Canned\ToolbarSD_Dl.txt
C:\GenProc\Canned\ToolbarSD_Exec.txt
C:\GenProc\Canned\ToolCleaner.txt
C:\GenProc\Canned\USBFix_Dl.txt
C:\GenProc\Canned\USBFix_Exec.txt
C:\GenProc\Canned\Vundo_Dl.txt
C:\GenProc\Canned\Vundo_Exec.txt
C:\GenProc\Canned\Vundo_Recovery_Dl.txt
C:\GenProc\Canned\Winsoftware_bfu_Dl.txt
C:\GenProc\Canned\Winsoftware_bfu_Exec.txt
C:\GenProc\Canned\WORT_Dl.txt
C:\GenProc\Canned\WORT_Exec.txt
C:\GenProc\Canned\Yoog_Dl.txt
C:\GenProc\Canned\Yoog_Exec.txt
C:\GenProc\ChangeLog\BagleLog.txt
C:\GenProc\ChangeLog\FixWebHancerLog.txt
C:\GenProc\ChangeLog\FxNdotNLog.txt
C:\GenProc\ChangeLog\HaxFixLog.txt
C:\GenProc\ChangeLog\Look2MeLog.txt
C:\GenProc\ChangeLog\LopLog.txt
C:\GenProc\ChangeLog\MSNFixLog.txt
C:\GenProc\ChangeLog\NaviLog.txt
C:\GenProc\ChangeLog\PurityLog.txt
C:\GenProc\ChangeLog\RemGainLog.txt
C:\GenProc\ChangeLog\RustockLog.txt
C:\GenProc\ChangeLog\SDfixLog.txt
C:\GenProc\ChangeLog\SmitLog.txt
C:\GenProc\ChangeLog\ToolbarSDLog.txt
C:\GenProc\ChangeLog\USBFixAllDriveLog.txt
C:\GenProc\ChangeLog\USBFixLog.txt
C:\GenProc\ChangeLog\USBFixSystemLog.txt
C:\GenProc\ChangeLog\VundoLog.txt
C:\GenProc\ChangeLog\WareOutLog.txt
C:\GenProc\ChangeLog\WinSoftware.txt
C:\GenProc\ChangeLog\YoogLog.txt
C:\GenProc\ChangeLog\YoogLogFF.txt
C:\GenProc\outil\1.txt
C:\GenProc\outil\Affichages.bat
C:\GenProc\outil\Arborescence.txt
C:\GenProc\outil\Avertissement.txt
C:\GenProc\outil\CCleanerOK.txt
C:\GenProc\outil\Cherche_Navig.bat
C:\GenProc\outil\commandes.sed
C:\GenProc\outil\CompareDate.bat
C:\GenProc\outil\ControlSet.txt
C:\GenProc\outil\curl.exe
C:\GenProc\outil\DateInst.txt
C:\GenProc\outil\Debug.bat
C:\GenProc\outil\EnableWSH.bat
C:\GenProc\outil\EnableWSH.txt
C:\GenProc\outil\EnableWSH1.txt
C:\GenProc\outil\EpurOS.bat
C:\GenProc\outil\Exclusions.sed
C:\GenProc\outil\exe.txt
C:\GenProc\outil\GenVbs.bat
C:\GenProc\outil\GetVersion.exe
C:\GenProc\outil\grep.exe
C:\GenProc\outil\HaxFixOK.txt
C:\GenProc\outil\heure.txt
C:\GenProc\outil\HTTP_Request.bat
C:\GenProc\outil\icon_genproc.ico
C:\GenProc\outil\inf.txt
C:\GenProc\outil\Infection.bat
C:\GenProc\outil\Info.vbs
C:\GenProc\outil\Init_Debug.bat
C:\GenProc\outil\Interfaces.txt
C:\GenProc\outil\jour.vbs
C:\GenProc\outil\lab.bat
C:\GenProc\outil\Lancements.bat
C:\GenProc\outil\LecteursCD.vbs
C:\GenProc\outil\libiconv2.dll
C:\GenProc\outil\libintl3.dll
C:\GenProc\outil\Licence
C:\GenProc\outil\Listeproces.txt
C:\GenProc\outil\mbr.exe
C:\GenProc\outil\mois.vbs
C:\GenProc\outil\Norton.txt
C:\GenProc\outil\Norton.vbs
C:\GenProc\outil\OSVers.bat
C:\GenProc\outil\Parameters.txt
C:\GenProc\outil\Path.txt
C:\GenProc\outil\pcre3.dll
C:\GenProc\outil\regex2.dll
C:\GenProc\outil\Resident.bat
C:\GenProc\outil\Resident.vbs
C:\GenProc\outil\sed.exe
C:\GenProc\outil\ShellFolders.bat
C:\GenProc\outil\ShellFolders.txt
C:\GenProc\outil\Supprime.bat
C:\GenProc\outil\swreg.exe
C:\GenProc\outil\Termine.wav
C:\GenProc\outil\tmp.hiv
C:\GenProc\outil\Uninstall.bat
C:\GenProc\outil\uniq.exe
C:\GenProc\outil\Var.bat
C:\GenProc\outil\WinlogonNotify_Reg.txt
C:\GenProc\outil\Year.vbs
C:\GenProc\outil\[2].txt
C:\GenProc\outil\Licence\copying.txt
C:\GenProc\outil\Licence\license.txt
C:\GenProc\Page\GenProcPage
C:\GenProc\Page\GenProc[1].html
C:\GenProc\Page\GenProc[2].html
C:\GenProc\Page\GenProcPage\1.gif
C:\GenProc\Page\GenProcPage\2.gif
C:\GenProc\Page\GenProcPage\4.gif
C:\GenProc\Page\GenProcPage\aide.gif
C:\GenProc\Page\GenProcPage\design.css
C:\GenProc\Page\GenProcPage\important.gif

*** Liste des étapes franchies avec succès ***

OSVers 
EnableWSH 
UAC 
AVNorton 
EpurOS.bat 
Var.bat 
Lancements 
Protections résidentes 
TeaTimer 
SpywareTerminator 
ASquared 
Verif CCleaner 
Tests infections 
Rustock 
Bagle 
MBR 
HaxFix 
WareOut 






par contre rien pour debug1.

pitteh1 · Answer

Re, donc voila j'en suis toujours au meme point. Les liens google sont redirigés, impossible de faire un scan en ligne, certains forums d'aide communautaire sont carrement inaccessible ou masqués. la plupart des antimalware, antivirus ne veulent pas se lancés et mon norton se fait carrement shoutdown de temps a autres.
Selon la page internet ou je suis, genre si c'est un truc censé m'aider, la page internet se fige une fois sur trois, et je ne peut faire ctrl-alt-sup, je n'ai donc guere d'autre choix que de redemarrer le pc a chaque fois -_-.

Plz help.

gen-hackman · Answer

salut pour avancer :

Désactiver le TeaTimer de Spybot (Merci à Nico): 

Pour désactiver le TeaTimer : 
=> Ouvrir Spybot S&D 
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui". 
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.

* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

=> Décocher la ligne TeaTimer. 
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.

ensuite :

######## | XP _ Instal & recherche | #######


Telecharge et install UsbFix (de C_XX & Chiquitine29)

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau .

# Choisi l option 1 ( Recherche )

# Laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

ensuite :


Télécharger Smitfraudfix par S!RI :
 
Décompresser l'archive 
Exécuter le en double cliquant sur Smitfraudfix.cmd 
Appuyer sur une touche pour continuer 
Arriver à l'invite de commande, saisir la lettre L afin de basculer le fix en langue française 
Au menu, choisir l’option  Recherche 
Poster le rapport ainsi généré

pitteh1 · Answer

je n'avais plus spy bot de tte façon :)
voila pour usbfix :

############################## [ UsbFix V3.033 ]

# User : windows (Administrateurs) # 044704020419
# Update on 15/06/09 by C_XX
# Start at: 17:52:28 | 25/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

#               Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Norton Internet Security 2006 2006 [ Enabled | (!) Outdated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006
# FW : Norton Internet Security 2006[ Enabled ]2006

# A:\ # Disque amovible
# C:\ # Disque fixe local # 180,3 Go (134,41 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 372,61 Go (186,23 Go free) [dd externe 400 GO] # NTFS
# K:\ # Disque CD-ROM
# L:\ # Disque CD-ROM
# M:\ # Disque CD-ROM
# N:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main:   "Local Page"="C:\WINDOWS\system32\blank.htm" 
HKCU_Main:   "Search Page"="https://www.google.com/?gws_rd=ssl" 
HKCU_Main:   "Start Page"="https://www.google.fr/?gws_rd=ssl" 
HKLM_logon:  "Userinit"="C:\WINDOWS\SYSTEM32\Userinit.exe," 
HKLM_logon:  "DefaultUserName"="windows" 
HKLM_logon:  "AltDefaultUserName"="windows" 
HKLM_logon:  "LegalNoticeCaption"="" 
HKLM_logon:  "LegalNoticeText"="" 

HKLM_Run:    LVCOMSX=C:\WINDOWS\system32\LVCOMSX.EXE 
HKLM_Run:    ccApp="C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe" 
HKLM_Run:    Symantec PIF AlertEng="C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" 
HKLM_Run:    UnlockerAssistant="C:\Program Files\Unlocker\UnlockerAssistant.exe" -H 
HKLM_Run:    ProcessTamer=C:\Program Files\ProcessTamer\ProcessTamerTray.exe 
HKLM_Run:    nwiz=nwiz.exe /install 
HKLM_Run:    NvMediaCenter=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit 
HKLM_Run:    NvCplDaemon=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 
HKLM_Run:    SoundMan=SOUNDMAN.EXE 
HKLM_Run:    KernelFaultCheck=%systemroot%\system32\dumprep 0 -k 
HKLM_Run:    HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversionun\OptionalComponents= 
HKCU_Run:    msnmsgr="C:\Program Files\MSN Messenger\msnmsgr.exe" /background  
HKCU_Run:    ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe  
HKCU_Run:    DAEMON Tools="C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033  


################## [ Fichiers # Dossiers infectieux ]

Présent ! C:\install.exe  

################## [ Registre # Clés Run infectieuses ]

Présent ! HKLM\software\microsoft\security center "AntiVirusDisableNotify" ( 0x1 )  
Présent ! HKLM\software\microsoft\security center "FirewallDisableNotify" ( 0x1 )  

################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{8997c6fa-cda2-11dc-967a-00038a000015}\Shell\Auto\Command  
HKCU\...\Explorer\MountPoints2\{8997c6fa-cda2-11dc-967a-00038a000015}\Shell\AutoRun\Command  

################## [ ! Fin du rapport # UsbFix V3.033 ! ]

gen-hackman · Answer

ok la suite :)

pitteh1 · Answer

Voila pour smitfraudfix :



SmitFraudFix v2.422

Rapport fait à 18:09:07,25, 25/06/2009
Executé à partir de C:\Documents and Settings\windows\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\

C:\uniq PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\drivers\svchost.exe PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\windows


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\windows\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\windows\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\windows\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 

C:\Program Files\Google\googletoolbar1.dll PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\SYSTEM32\Userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E2166C3D-1C55-4066-9F58-778D508ED386}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E2166C3D-1C55-4066-9F58-778D508ED386}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E2166C3D-1C55-4066-9F58-778D508ED386}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E2166C3D-1C55-4066-9F58-778D508ED386}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

gen-hackman · Answer

######## | Suppression | ########

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisi l option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 


######### | Désinstallation | #######


# Double clic sur le raccourci UsbFix présent sur ton bureau

# Choisi l option Désinstaller  .... 

ensuite :

Nettoyage : 
Démarre en mode sans échec : 
Pour cela, tu tapotes la touche F8 dès le début de l’allumage du pc sans t’arrêter. 
Une fenêtre va s’ouvrir tu te déplaces avec les flèches du clavier sur démarrer en mode sans échec puis tape entrée. 
Une fois sur le bureau s’il n’y a pas toutes les couleurs et autres c’est normal ! 
(Si F8 ne marche pas utilise la touche F5). 

------------------------------------------------------------­---------------- 
Relance le programme Smitfraud, 
Cette fois choisit l’option 2, répond oui a tous ; 
Sauvegarde le rapport, 
Redémarre en mode normal, 
copie/colle le rapport sauvegardé sur le forum 

process.exe 
est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

pitteh · Answer

voila pour le log usbfix :

############################## [ UsbFix V3.033 ]

# User : windows (Administrateurs) # 044704020419
# Update on 15/06/09 by C_XX
# Start at: 00:00:00 | 25/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

#               Intel(R) Pentium(R) 4 CPU 3.00GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Enabled
# AV : Norton Internet Security 2006 2006 [ Enabled | (!) Outdated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006
# FW : Norton Internet Security 2006[ Enabled ]2006

# A:\ # Disque amovible
# C:\ # Disque fixe local # 180,3 Go (134,41 Go free) [HDD] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# J:\ # Disque fixe local # 372,61 Go (186,23 Go free) [dd externe 400 GO] # NTFS
# K:\ # Disque CD-ROM
# L:\ # Disque CD-ROM
# M:\ # Disque CD-ROM
# N:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\Iexplore.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus
avapsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Supprimé ! C:\install.exe    

################## [ Registre # Clés Run infectieuses ]

# HKLM\software\microsoft\security center "AntiVirusDisableNotify" # -> Reset sucessfully !  
# HKLM\software\microsoft\security center "FirewallDisableNotify" # -> Reset sucessfully !  

################## [ Registre # Mountpoints2 ]

Supprimé ! HKCU\...\Explorer\MountPoints2\{8997c6fa-cda2-11dc-967a-00038a000015}\Shell\Auto\Command  

################## [ Listing des fichiers présent ]

[04/04/2005 08:29|-rahs----|215] - C:\BOOT.BAK
[01/11/2008 16:01|-rahs----|296] - C:\BOOT.INI
[05/08/2004 14:00|-rahs----|4952] - C:\Bootfont.bin
[05/08/2004 14:00|-rahs----|263488] - C:\cmldr
[24/08/2005 04:40|--a------|184] - C:\drwtsn32.log
[04/04/2005 08:19|--a------|5765] - C:\DWNLOG.TXT
[01/01/2005 14:35|--a------|3850713] - C:\EasyShare.dmp
[07/11/2007 08:00|--a------|17734] - C:\eula.1028.txt
[07/11/2007 08:00|--a------|17734] - C:\eula.1031.txt
[07/11/2007 08:00|--a------|10134] - C:\eula.1033.txt
[07/11/2007 08:00|--a------|17734] - C:\eula.1036.txt
[07/11/2007 08:00|--a------|17734] - C:\eula.1040.txt
[07/11/2007 08:00|--a------|118] - C:\eula.1041.txt
[07/11/2007 08:00|--a------|17734] - C:\eula.1042.txt
[07/11/2007 08:00|--a------|17734] - C:\eula.2052.txt
[07/11/2007 08:00|--a------|17734] - C:\eula.3082.txt
[02/01/2005 07:26|--a------|0] - C:\fjsokl.exe
[07/11/2007 08:00|--a------|1110] - C:\globdata.ini
[?|?|?] - C:\hiberfil.sys
[04/04/2005 08:32|--ahs----|960] - C:\hlhjaw3o.sys
[07/11/2007 08:00|--a------|843] - C:\install.ini
[07/11/2007 08:03|--a------|76304] - C:\install.res.1028.dll
[07/11/2007 08:03|--a------|96272] - C:\install.res.1031.dll
[07/11/2007 08:03|--a------|91152] - C:\install.res.1033.dll
[07/11/2007 08:03|--a------|97296] - C:\install.res.1036.dll
[07/11/2007 08:03|--a------|95248] - C:\install.res.1040.dll
[07/11/2007 08:03|--a------|81424] - C:\install.res.1041.dll
[07/11/2007 08:03|--a------|79888] - C:\install.res.1042.dll
[07/11/2007 08:03|--a------|75792] - C:\install.res.2052.dll
[07/11/2007 08:03|--a------|96272] - C:\install.res.3082.dll
[02/01/2005 07:26|-rahs----|0] - C:\IO.SYS
[04/04/2005 08:33|--ah-----|733] - C:\IPH.PH
[11/09/2007 17:53|--a------|102] - C:\LevelParTimes.csv
[21/08/2006 17:03|--a------|85] - C:\LuResult.txt
[02/01/2005 07:26|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 14:00|-rahs----|47564] - C:\NTDETECT.COM
[06/10/2008 04:42|-rahs----|251712] - C:
tldr
[?|?|?] - C:\pagefile.sys
[25/06/2009 18:11|--a------|5385] - C:apport.txt
[22/08/2006 01:14|--a------|12297] - C:esultat.txt
[02/04/2005 09:59|--a------|1156] - C:\SAUDIT.TXT
[25/06/2009 01:03|--ah-----|268] - C:\sqmdata00.sqm
[25/06/2009 02:47|--ah-----|268] - C:\sqmdata01.sqm
[25/06/2009 05:26|--ah-----|268] - C:\sqmdata02.sqm
[25/06/2009 16:26|--ah-----|268] - C:\sqmdata03.sqm
[25/06/2009 16:41|--ah-----|268] - C:\sqmdata04.sqm
[25/06/2009 16:51|--ah-----|268] - C:\sqmdata05.sqm
[25/06/2009 17:16|--ah-----|268] - C:\sqmdata06.sqm
[25/06/2009 17:48|--ah-----|268] - C:\sqmdata07.sqm
[23/06/2009 13:44|--ah-----|268] - C:\sqmdata08.sqm
[23/06/2009 14:47|--ah-----|268] - C:\sqmdata09.sqm
[23/06/2009 15:30|--ah-----|268] - C:\sqmdata10.sqm
[23/06/2009 16:04|--ah-----|268] - C:\sqmdata11.sqm
[23/06/2009 16:16|--ah-----|268] - C:\sqmdata12.sqm
[23/06/2009 18:33|--ah-----|268] - C:\sqmdata13.sqm
[24/06/2009 16:05|--ah-----|268] - C:\sqmdata14.sqm
[24/06/2009 17:08|--ah-----|268] - C:\sqmdata15.sqm
[24/06/2009 18:50|--ah-----|268] - C:\sqmdata16.sqm
[24/06/2009 19:52|--ah-----|268] - C:\sqmdata17.sqm
[24/06/2009 20:51|--ah-----|268] - C:\sqmdata18.sqm
[24/06/2009 21:24|--ah-----|268] - C:\sqmdata19.sqm
[25/06/2009 01:03|--ah-----|244] - C:\sqmnoopt00.sqm
[25/06/2009 02:47|--ah-----|244] - C:\sqmnoopt01.sqm
[25/06/2009 05:26|--ah-----|244] - C:\sqmnoopt02.sqm
[25/06/2009 16:26|--ah-----|244] - C:\sqmnoopt03.sqm
[25/06/2009 16:41|--ah-----|244] - C:\sqmnoopt04.sqm
[25/06/2009 16:51|--ah-----|244] - C:\sqmnoopt05.sqm
[25/06/2009 17:16|--ah-----|244] - C:\sqmnoopt06.sqm
[25/06/2009 17:48|--ah-----|244] - C:\sqmnoopt07.sqm
[23/06/2009 13:44|--ah-----|244] - C:\sqmnoopt08.sqm
[23/06/2009 14:47|--ah-----|244] - C:\sqmnoopt09.sqm
[23/06/2009 15:30|--ah-----|244] - C:\sqmnoopt10.sqm
[23/06/2009 16:04|--ah-----|244] - C:\sqmnoopt11.sqm
[23/06/2009 16:16|--ah-----|244] - C:\sqmnoopt12.sqm
[23/06/2009 18:33|--ah-----|244] - C:\sqmnoopt13.sqm
[24/06/2009 16:05|--ah-----|244] - C:\sqmnoopt14.sqm
[24/06/2009 17:08|--ah-----|244] - C:\sqmnoopt15.sqm
[24/06/2009 18:50|--ah-----|244] - C:\sqmnoopt16.sqm
[24/06/2009 19:52|--ah-----|244] - C:\sqmnoopt17.sqm
[24/06/2009 20:51|--ah-----|244] - C:\sqmnoopt18.sqm
[24/06/2009 21:24|--ah-----|244] - C:\sqmnoopt19.sqm
[02/11/2008 02:56|--ahs----|3072] - C:\Thumbs.db
[14/06/2004 12:45|--a------|7046] - C:\TXTSETUP.OEM
[02/01/2005 07:26|--a------|0] - C:\uniq
[25/06/2009 18:33|--a------|7519] - C:\UsbFix.txt
[07/11/2007 08:00|--a------|5686] - C:\vcredist.bmp
[07/11/2007 08:09|--a------|1442522] - C:\VC_RED.cab
[07/11/2007 08:12|--a------|232960] - C:\VC_RED.MSI
[25/06/2009 03:57|--a------|1812] - C:\VundoFix.txt
[22/08/2006 01:36|--a------|1492] - C:\WINDOWSvundofix.reg

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  
# J:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.  

################## [ ! Fin du rapport # UsbFix V3.033 ! ]

gen-hackman · Answer

ok :)

pitteh1 · Answer

voila la suite :

SmitFraudFix v2.422

Rapport fait à 18:42:00,98, 25/06/2009
Executé à partir de C:\Documents and Settings\windows\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\uniq supprimé
C:\WINDOWS\system32\drivers\svchost.exe supprimé
C:\Program Files\Google\googletoolbar1.dll supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E2166C3D-1C55-4066-9F58-778D508ED386}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E2166C3D-1C55-4066-9F58-778D508ED386}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E2166C3D-1C55-4066-9F58-778D508ED386}: NameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E2166C3D-1C55-4066-9F58-778D508ED386}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
 
Nettoyage terminé. 
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

gen-hackman · Answer

Télécharge OTL de OLDTimer

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant scan all users

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé

pitteh1 · Answer

le scan semble se bloquer a HKEY_CURRENT_USER.

Je vais manger mais laisse tourner le programme, on sait jamais, a toute a l'heure je te dirai quoi :)

gen-hackman · Answer

ok :)

pitteh1 · Answer

le programme est bel et bien resté bloquer, mais j'ai reçu un log malgres tout que voila : 

http://www.cijoint.fr/cjlink.php?file=cj200906/cijXARadBI.txt

gen-hackman · Answer

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O4 - HKLM..\RunOnceEx: []  File not found
@Alternate Data Stream - 2945072 bytes -> C:\WINDOWS\system32:exeplorer

:files
C:\WINDOWS\System32	mp.reg
C:\*.sqm
C:\Documents and Settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
C:\Documents and Settings\windows\Application Data\Checkflow

:commands
[emptytemp]
[start explorer]
[reboot]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

ensuite :

Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
  - Coche    Afficher les fichiers et dossiers cachés
  - Décoche Masquer les extensions des fichiers dont le type est connu
  - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

 C:\WINDOWS\System32\driverssvs.sys 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

pitteh1 · Answer

voila le log OTL : 

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named TeaTimer.exe was found!
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx\ deleted successfully.
ADS C:\WINDOWS\system32:exeplorer deleted successfully.
========== FILES ==========
C:\WINDOWS\System32	mp.reg moved successfully.
C:\sqmdata00.sqm moved successfully.
C:\sqmdata01.sqm moved successfully.
C:\sqmdata02.sqm moved successfully.
C:\sqmdata03.sqm moved successfully.
C:\sqmdata04.sqm moved successfully.
C:\sqmdata05.sqm moved successfully.
C:\sqmdata06.sqm moved successfully.
C:\sqmdata07.sqm moved successfully.
C:\sqmdata08.sqm moved successfully.
C:\sqmdata09.sqm moved successfully.
C:\sqmdata10.sqm moved successfully.
C:\sqmdata11.sqm moved successfully.
C:\sqmdata12.sqm moved successfully.
C:\sqmdata13.sqm moved successfully.
C:\sqmdata14.sqm moved successfully.
C:\sqmdata15.sqm moved successfully.
C:\sqmdata16.sqm moved successfully.
C:\sqmdata17.sqm moved successfully.
C:\sqmdata18.sqm moved successfully.
C:\sqmdata19.sqm moved successfully.
C:\sqmnoopt00.sqm moved successfully.
C:\sqmnoopt01.sqm moved successfully.
C:\sqmnoopt02.sqm moved successfully.
C:\sqmnoopt03.sqm moved successfully.
C:\sqmnoopt04.sqm moved successfully.
C:\sqmnoopt05.sqm moved successfully.
C:\sqmnoopt06.sqm moved successfully.
C:\sqmnoopt07.sqm moved successfully.
C:\sqmnoopt08.sqm moved successfully.
C:\sqmnoopt09.sqm moved successfully.
C:\sqmnoopt10.sqm moved successfully.
C:\sqmnoopt11.sqm moved successfully.
C:\sqmnoopt12.sqm moved successfully.
C:\sqmnoopt13.sqm moved successfully.
C:\sqmnoopt14.sqm moved successfully.
C:\sqmnoopt15.sqm moved successfully.
C:\sqmnoopt16.sqm moved successfully.
C:\sqmnoopt17.sqm moved successfully.
C:\sqmnoopt18.sqm moved successfully.
C:\sqmnoopt19.sqm moved successfully.
C:\Documents and Settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357} moved successfully.
C:\Documents and Settings\windows\Application Data\Checkflow moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 152196 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes
 
User: LocalService
->Temp folder emptied: 115348 bytes
->Temporary Internet Files folder emptied: 230594 bytes
 
User: NetworkService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 34704 bytes
 
User: Propriétaire
 
User: windows
->Temp folder emptied: 24613 bytes
->Temporary Internet Files folder emptied: 3842826 bytes
->Java cache emptied: 2955 bytes
 
%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\msdownld.tmp folder deleted successfully.
%systemroot% .tmp files removed: 19569 bytes
%systemroot%\System32 .tmp files removed: 5081088 bytes
Windows Temp folder emptied: 664 bytes
 
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 9,16 mb
 
Error: Unable to interpret <[start explorer] > in the current context!
 
OTL by OldTimer - Version 3.0.5.3 log created on 06252009_201926

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

pitteh1 · Answer

voila le log de virustotal : Fichier rsvs.sys reçu le 2009.06.25 18:37:12 (UTC)Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.06.25 - AhnLab-V3 5.0.0.2 2009.06.25 Win-Trojan/Avenger.61440 AntiVir 7.9.0.196 2009.06.25 - Antiy-AVL 2.0.3.1 2009.06.25 - Authentium 5.1.2.4 2009.06.25 - Avast 4.8.1335.0 2009.06.25 - AVG 8.5.0.339 2009.06.25 - BitDefender 7.2 2009.06.25 - CAT-QuickHeal 10.00 2009.06.25 - ClamAV 0.94.1 2009.06.25 - Comodo 1417 2009.06.25 - DrWeb 5.0.0.12182 2009.06.25 - eSafe 7.0.17.0 2009.06.25 Win32.Banker eTrust-Vet 31.6.6579 2009.06.25 - F-Prot 4.4.4.56 2009.06.25 - F-Secure 8.0.14470.0 2009.06.25 - Fortinet 3.117.0.0 2009.06.25 - GData 19 2009.06.25 - Ikarus T3.1.1.59.0 2009.06.25 - Jiangmin 11.0.706 2009.06.25 Hoax.Agent.f K7AntiVirus 7.10.768 2009.06.19 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.06.25 - McAfee 5657 2009.06.25 - McAfee+Artemis 5657 2009.06.25 - McAfee-GW-Edition 6.7.6 2009.06.25 - Microsoft 1.4803 2009.06.25 - NOD32 4189 2009.06.25 - Norman 6.01.09 2009.06.25 W32/Renos.CNZ nProtect 2009.1.8.0 2009.06.25 - Panda 10.0.0.16 2009.06.24 Rootkit/Agent.LNB PCTools 4.4.2.0 2009.06.25 Trojan-PWS.Bancos.PWN Prevx 3.0 2009.06.25 High Risk Worm Rising 21.35.34.00 2009.06.25 - Sophos 4.43.0 2009.06.25 - Sunbelt 3.2.1858.2 2009.06.25 - Symantec 1.4.4.12 2009.06.25 - TheHacker 6.3.4.3.353 2009.06.24 - TrendMicro 8.950.0.1094 2009.06.25 - ViRobot 2009.6.25.1804 2009.06.25 Hoax..Agent.61440 VirusBuster 4.6.5.0 2009.06.25 - Information additionnelle File size: 61440 bytes MD5...: 589312a3b46721c5a751e4d5222a89be SHA1..: 3a497d3968a4f6e3c648d196da38e5f98e75ec30 SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae ssdeep: 768:UzNrXvTHr4DU6K5H5VLvDcLugwoMcq5+x7J1uQ9VP:QTG2VrOuN+lJpP
PEiD..: - TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd394
timedatestamp.....: 0x476b398b (Fri Dec 21 03:56:59 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0xd756 0xd780 5.52 e0dc8fff10e3a7c6343455cd02a67954
.rdata 0xdb80 0x10e 0x180 3.44 d2fd0bc28e070ccc67879e04b7cd5302
.data 0xdd00 0xc0 0x100 0.04 66a415a49d751cb335895306ecfb3389
INIT 0xde00 0x376 0x380 5.17 79cc3d62ef3ba8053786e08dc9b6cddc
.reloc 0xe180 0xe2c 0xe80 6.60 4f845320301140370066cbceee4c5e4c

( 1 imports )
> ntoskrnl.exe: ZwWriteFile, wcslen, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, wcscat, wcscpy, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePoolWithTag, RtlPrefixUnicodeString, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwOpenFile, ZwSetInformationFile, KeTickCount, ZwQueryInformationFile, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set
- ThreatExpert info: https://www.symantec.com?md5=589312a3b46721c5a751e4d5222a89be Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0D0120F6002DA0A9F00500511CA22500289EA8D6 Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.18 2009.06.25 - AhnLab-V3 5.0.0.2 2009.06.25 Win-Trojan/Avenger.61440 AntiVir 7.9.0.196 2009.06.25 - Antiy-AVL 2.0.3.1 2009.06.25 - Authentium 5.1.2.4 2009.06.25 - Avast 4.8.1335.0 2009.06.25 - AVG 8.5.0.339 2009.06.25 - BitDefender 7.2 2009.06.25 - CAT-QuickHeal 10.00 2009.06.25 - ClamAV 0.94.1 2009.06.25 - Comodo 1417 2009.06.25 - DrWeb 5.0.0.12182 2009.06.25 - eSafe 7.0.17.0 2009.06.25 Win32.Banker eTrust-Vet 31.6.6579 2009.06.25 - F-Prot 4.4.4.56 2009.06.25 - F-Secure 8.0.14470.0 2009.06.25 - Fortinet 3.117.0.0 2009.06.25 - GData 19 2009.06.25 - Ikarus T3.1.1.59.0 2009.06.25 - Jiangmin 11.0.706 2009.06.25 Hoax.Agent.f K7AntiVirus 7.10.768 2009.06.19 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.06.25 - McAfee 5657 2009.06.25 - McAfee+Artemis 5657 2009.06.25 - McAfee-GW-Edition 6.7.6 2009.06.25 - Microsoft 1.4803 2009.06.25 - NOD32 4189 2009.06.25 - Norman 6.01.09 2009.06.25 W32/Renos.CNZ nProtect 2009.1.8.0 2009.06.25 - Panda 10.0.0.16 2009.06.24 Rootkit/Agent.LNB PCTools 4.4.2.0 2009.06.25 Trojan-PWS.Bancos.PWN Prevx 3.0 2009.06.25 High Risk Worm Rising 21.35.34.00 2009.06.25 - Sophos 4.43.0 2009.06.25 - Sunbelt 3.2.1858.2 2009.06.25 - Symantec 1.4.4.12 2009.06.25 - TheHacker 6.3.4.3.353 2009.06.24 - TrendMicro 8.950.0.1094 2009.06.25 - ViRobot 2009.6.25.1804 2009.06.25 Hoax..Agent.61440 VirusBuster 4.6.5.0 2009.06.25 - Information additionnelle File size: 61440 bytes MD5...: 589312a3b46721c5a751e4d5222a89be SHA1..: 3a497d3968a4f6e3c648d196da38e5f98e75ec30 SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae ssdeep: 768:UzNrXvTHr4DU6K5H5VLvDcLugwoMcq5+x7J1uQ9VP:QTG2VrOuN+lJpP
PEiD..: - TrID..: File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xd394
timedatestamp.....: 0x476b398b (Fri Dec 21 03:56:59 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x400 0xd756 0xd780 5.52 e0dc8fff10e3a7c6343455cd02a67954
.rdata 0xdb80 0x10e 0x180 3.44 d2fd0bc28e070ccc67879e04b7cd5302
.data 0xdd00 0xc0 0x100 0.04 66a415a49d751cb335895306ecfb3389
INIT 0xde00 0x376 0x380 5.17 79cc3d62ef3ba8053786e08dc9b6cddc
.reloc 0xe180 0xe2c 0xe80 6.60 4f845320301140370066cbceee4c5e4c

( 1 imports )
> ntoskrnl.exe: ZwWriteFile, wcslen, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, wcscat, wcscpy, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePoolWithTag, RtlPrefixUnicodeString, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwOpenFile, ZwSetInformationFile, KeTickCount, ZwQueryInformationFile, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion

( 0 exports )
PDFiD.: - RDS...: NSRL Reference Data Set
- ThreatExpert info: https://www.symantec.com?md5=589312a3b46721c5a751e4d5222a89be Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0D0120F6002DA0A9F00500511CA22500289EA8D6

pitteh1 · Answer

information complementaire : j'ai du choper ces virus sur les 4 derniers jours je pense, depuis ce delai mon ordi est beaucoup plus long que d'a coutume a demarrer, et ne demarre pas forcement, il se fige a la page de demarrage ou quand les icones du bureau sont censés apparaitre. Mais bon je pense que tous ces problemes sont liés, car ils ont survenus 4 jours auparavant.

gen-hackman · Answer

ok essaie de supprimer ce dossier manuellement :

C:\WINDOWS\System32\drivers\rsvs.sys 

ensuite :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



Télécharges :

Malwarebytes  

ou  :

Malwarebytes

* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

* Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Complet" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

pitteh1 · Answer

j'ai reussi a supprimer le fichier rsvs.sys manuellement, par contre j'ai bien telecharger malwarebytes, mais impossible de le lancer (comme d'habitude :(), tu me conseils un redemarage ?

gen-hackman · Answer

oui essaie

pitteh1 · Answer

ok me revoila, y a une bonne et une mauvaise nouvelle :
- la bonne : mon pc redemarre aussi vite qu'avant (c'est un tres bon point)
- les mauvaises :D : * le setup de mbam ne veut toujours pas se lancer
                              * j'ai l'impression qu'au demarrage ya un prog qui demarre en background, je vois une         sorte de page qui s'affiche et s'eteint hyper vite donc pas le temps de voir ce que c'est.

gen-hackman · Answer

ok refais OTL comme plus haut stp

pitteh1 · Answer

Le scan ou le runfix ? 
merci a toi en tout cas :) je vois que tu as la main pour ce genre de chose, et qu'en + tu geres plusieurs personnes en meme temps, bravo a toi, tu ne t'appeles pas hackman pour rien :)

gen-hackman · Answer

lol :)

le scan stp comme demandé au post 20

pitteh1 · Answer

voilou : 

http://www.cijoint.fr/cjlink.php?file=cj200906/cijtIo3gBy.txt

j'ai un log extras si tu veux.

gen-hackman · Answer

oui poste-le aussi stp

pitteh1 · Answer

Et le log extras : 


http://www.cijoint.fr/cjlink.php?file=cj200906/cijRyFrZBb.txt

gen-hackman · Answer

Double clic sur OTL.exe pour le lancer.


Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans la zone sous Customs Scans/Fixes

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
TeaTimer.exe

:services
LVPrcSrv

:OTL
O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\WINDOWS\System32
wprovau.dll (Microsoft Corporation)

:files
C:\Documents and Settings\windows\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
C:\WINDOWS\System32\DonationCoder_processtamer_InstallInfo.dat
C:\Documents and Settings\windows\Local Settings\Application Data\DonationCoder_processtamer_InstallInfo.dat
C:\Documents and Settings\windows\Application Data\fltk.org

:commands
[emptytemp]
[start explorer]
[reboot]


Clique sur RunFix pour lancer la suppression.


Poste le rapport.

==========
ensuite redemarre et retente Malwarebytes

pitteh · Answer

Re, depuis la derniere manip d'hier il m'est impossible d'acceder a internet. j'ai verifier si cela venait de la connexion, mais j'ai bel et bien ma connexion sur ma play3. 
internet explorer ne reconnait pas les liens que je lui demande alors qu,ils sont correct,j'ai tenté une reparation, mais il bloque a la derniere phase au niveau du dns alors qu'il est parfaitement configurer sur ma machine et ma live box. je suis totalement.

pitteh · Answer

je crois que je suis bon pour un formatage. mon fichier userinit.exe a ete supprimé, je suis dans l'incapacité d'acceder a mon bureau,quand je choisis mon compte d'utilisateur il fait la melodie de demarrage et aussitot la melodiie de fermeture. lemode sans echec ne fonctionne pas non plus, bref je ne peux acceder a ma machine.
j'aimerai savoir s'il y a ume solution possible ou si je n'ai guere le choix de tout formater.
De plus en plus costauds ces virus.

pitteh · Answer

j'essaye de reparer windows via le cd d'instal, je te tiens au courant hackman.

pitteh · Answer

Voila donc je ramene des nouvelles : je n'ai pu reparer windows. j'ai donc formater, et reinstaller un xp pro.
sachant que mon DD externe etait contaminé et qu'on avait entamer les demarches pour le desinfecter j'aimerai savoir s'il a toujours ce maudit virus, et si c'est le cas qu'est ce que risque.
repondez svp :(.

gen-hackman · Answer

ben salut normalement avec usbfix on l'a decontaminé ton DDE

Probleme virus probable

43 réponses

Votre réponse

Discussions similaires

Newsletters