Virus Qui Tue Mes Antivirus ... !

zaka009 Messages postés 17 Statut Membre -  
 gen-hackman -
Bonjour,
Depuis quelque temps une infection a pénétré mon ordinateur sans m'en rendre compte et ma causé bcp de problèmes du genre :
_ Des problemes de connexion
_Le gestionnaire de taches et la base de registre .. qui sont" désactivés par l'administrateur " Alors que c'est moi l'admin ..
_Plus d'autres problemes ..

Et là, j'ai essayé bcp d'antivirus mais dès que je les installe, l'installation se ferme automatiquement ! Ou bien si ca se termine correctement le programme ne veut pas se lancer ..

J'ai trop besoin d'aide SVP
Merci d'avance ...
Configuration: Windows XP Internet Explorer 6.0

18 réponses

  1. gen-hackman
     
    bonjour :

    *****************************************************
    ************** Option 1 (Recherche) **************
    *****************************************************

    Télécharge FindyKill (de Chiquitine29 , C_XX , et Chimay8) sur ton bureau :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut .

    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...)

    * Double-clique sur le raccourci FindyKill qui est sur ton bureau pour lancer l'outil .

    * Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

    * Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

    Laisse travailler l'outil et ne touche à rien ...

    --> Poste le rapport qui apparait à la fin , sur le forum ...

    ( le rapport est sauvegardé aussi sous C:\FindyKill.txt )
    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

    0
  2. Utilisateur anonyme
     
    Bonjour.Tres certainement une infection bagle

    • Télécharges :
    • http://sd-1.archive-host.com/membres/up/127028005715545653/FindyKill.exe
    • \ !/Utilisateurs de Vista, il est nécessaire de désactiver l'UAC (contrôle des comptes utilisateurs) comme expliqué : ici
    • Lance l’ installation avec les paramètres par defaut

    • Double clic sur le raccourci FindyKill sur ton bureau
    • Au menu principal, choisi option 1 (Recherche)
    • Post le rapport FindyKill.txt

    • Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
    0
  3. zaka009 Messages postés 17 Statut Membre
     
    Merci pour les réponses ..
    Mais il se peut que le lien de findykill soit mort ?
    La page web est introuvable .. ?
    0
  4. gen-hackman
     
    conficker ?

    Télécharge DDS.scr de sUBs Sur le bureau.:

    L'outil ne nécessite pas d'installation.

    Lances-le en cliquant sur l'icône dds.scr

    Cette fenêtre DOS va apparaitre:

    Le scan ne doit pas dépasser trois minutes.
    Un premier rapport va s'ouvrir que tu enregistreras sous DDS.txt par défaut sur le bureau.
    Il te sera demandé si tu veux faire le scan optionnel.
    Accepte par Oui
    Un nouveau rapport s'ouvre que tu enregistres sous Attach.txt sur le bureau.
    Tu ne le fourniras que si nécessaire.
    Poste le rapport DDS.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. barnabe0057 Messages postés 14329 Date d'inscription   Statut Contributeur Dernière intervention   4 930
     
    Le lien de FindyKill fonctionne parfaitement.
    0
  7. zaka009 Messages postés 17 Statut Membre
     
    Le lien ne marche pas pour moi .. :s

    Bon merci Voila Le Rapport DDS

    DDS (Ver_09-06-26.01) - NTFSx86
    Run by Administrateur at 16:36:14,34 on 06/06/2009
    Internet Explorer: 6.0.2900.2180
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.1015.591 [GMT 2:00]

    ============== Running Processes ===============

    C:\WINDOWS\system32\svchost -k DcomLaunch
    svchost.exe
    C:\WINDOWS\System32\svchost.exe -k netsvcs
    svchost.exe
    svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\Menara\dslmon.exe
    C:\Program Files\Windows Live\Messenger\msnmsgr.exe
    C:\Program Files\Windows Live\Contacts\wlcomm.exe
    C:\WINDOWS\system32\NOTEPAD.EXE
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Documents and Settings\Administrateur\Bureau\dds.scr

    ============== Pseudo HJT Report ===============

    uStart Page = hxxp://www.menara.ma
    uWindow Title = Menara
    uInternet Connection Wizard,ShellNext = hxxp://www.menara.ma/
    BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\program files\spybot - search & destroy\SDHelper.dll
    BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
    BHO: Programme d'aide de l'Assistant de connexion Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\fichiers communs\microsoft shared\windows live\WindowsLiveLogin.dll
    uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
    uRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background
    uRun: [SpybotSD TeaTimer] c:\program files\spybot - search & destroy\TeaTimer.exe
    mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
    mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
    mRun: [Persistence] c:\windows\system32\igfxpers.exe
    dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
    StartupFolder: c:\docume~1\alluse~1\menudm~1\progra~1\dmarra~1\dslmon.lnk - c:\program files\menara\dslmon.exe
    uPolicies-system: DisableTaskMgr = 1 (0x1)
    uPolicies-system: DisableRegistryTools = 1 (0x1)
    IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe
    IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\program files\spybot - search & destroy\SDHelper.dll
    TCP: {77E4D1F7-98E1-459E-BB8D-C651A2A5009E} = 62.251.229.237 62.251.229.223
    Notify: igfxcui - igfxdev.dll

    ============= SERVICES / DRIVERS ===============

    R3 abp470n5;abp470n5;\??\c:\windows\system32\drivers\mdnnn.sys --> c:\windows\system32\drivers\mdnnn.sys [?]

    =============== Created Last 30 ================

    2009-06-06 16:04 6,400 ac------ c:\windows\system32\dllcache\splitter.sys
    2009-06-06 16:04 6,400 a------- c:\windows\system32\drivers\splitter.sys
    2009-06-06 16:04 82,944 ac------ c:\windows\system32\dllcache\wdmaud.sys
    2009-06-06 16:04 82,944 a------- c:\windows\system32\drivers\wdmaud.sys
    2009-06-06 16:04 52,864 ac------ c:\windows\system32\dllcache\dmusic.sys
    2009-06-06 16:04 52,864 a------- c:\windows\system32\drivers\DMusic.sys
    2009-06-06 16:03 <DIR> --d----- c:\program files\CONEXANT
    2009-06-06 16:02 22,752 a------- c:\windows\system32\spupdsvc.exe
    2009-06-06 15:50 <DIR> --d----- c:\program files\Spybot - Search & Destroy
    2009-06-06 15:50 <DIR> --d----- c:\docume~1\alluse~1\applic~1\Spybot - Search & Destroy
    2009-06-06 15:50 <DIR> --d----- c:\documents and settings\administrateur\Tracing
    2009-06-06 15:41 <DIR> --d----- c:\program files\Microsoft
    2009-06-06 15:40 <DIR> --d----- c:\program files\Windows Live SkyDrive
    2009-06-06 15:27 <DIR> --d----- c:\program files\fichiers communs\Windows Live
    2009-06-06 15:14 <DIR> --ds---- c:\documents and settings\administrateur\UserData
    2009-06-06 15:01 184,320 a------- c:\windows\system32\igfxres.dll
    2009-06-06 14:55 4,876 a------- c:\windows\system32\d3d9caps.dat
    2009-06-06 14:51 <DIR> --d----- c:\program files\Menara
    2009-06-06 14:51 <DIR> --d----- c:\program files\fichiers communs\InstallShield
    2009-06-06 14:47 5,776,864 a------- c:\windows\system32\drivers\igxpmp32.sys
    2009-06-06 14:46 <DIR> --d-h--- c:\documents and settings\administrateur\Voisinage réseau
    2009-06-06 14:46 <DIR> --d-h--- c:\documents and settings\administrateur\Voisinage d'impression
    2009-06-06 14:46 <DIR> --d-h--- c:\documents and settings\administrateur\Modèles
    2009-06-06 14:46 <DIR> --d--r-- c:\documents and settings\administrateur\Mes documents
    2009-06-06 14:46 <DIR> --d--r-- c:\documents and settings\administrateur\Menu Démarrer
    2009-06-06 14:46 <DIR> --d--r-- c:\documents and settings\administrateur\Favoris
    2009-06-06 14:46 <DIR> --d----- c:\documents and settings\administrateur\Bureau
    2009-06-06 14:46 <DIR> --d----- c:\documents and settings\Administrateur
    2009-06-06 14:45 <DIR> --ds---- c:\windows\system32\Microsoft
    2009-06-06 14:44 8,192 a------- c:\windows\REGLOCS.OLD
    2009-06-06 14:42 9,728 ac------ c:\windows\system32\dllcache\rwnh.dll
    2009-06-06 14:41 285,184 ac------ c:\windows\system32\dllcache\fxscomex.dll
    2009-06-06 14:40 3,072 a------- c:\windows\system32\CONFIG.NT
    2009-06-06 14:40 0 a------- c:\windows\control.ini
    2009-06-06 14:40 23,392 a------- c:\windows\system32\nscompat.tlb
    2009-06-06 14:40 16,832 a------- c:\windows\system32\amcompat.tlb
    2009-06-06 14:40 316,640 a------- c:\windows\WMSysPr9.prx
    2009-06-06 14:40 <DIR> --dsh--- c:\documents and settings\all users\DRM
    2009-06-06 14:39 <DIR> --d-h--- c:\program files\WindowsUpdate
    2009-06-06 14:39 <DIR> --d----- c:\program files\Services en ligne
    2009-06-06 14:38 <DIR> --d----- c:\program files\fichiers communs\MSSoap
    2009-06-06 14:37 <DIR> --d----- c:\program files\Online Services
    2009-06-06 14:37 <DIR> --d----- c:\program files\Messenger
    2009-06-06 14:37 <DIR> --d----- c:\program files\MSN Gaming Zone
    2009-06-06 14:36 <DIR> --d----- c:\program files\Windows NT

    ==================== Find3M ====================

    2009-06-06 16:03 368,314 a------- c:\windows\system32\perfh00C.dat
    2009-06-06 16:03 49,054 a------- c:\windows\system32\perfc00C.dat
    2009-06-06 14:40 86,331 a------- c:\windows\pchealth\helpctr\offlinecache\index.dat
    2009-06-06 14:37 21,892 a------- c:\windows\system32\emptyregdb.dat

    ============= FINISH: 16:36:25,15 ===============
    0
  8. gen-hackman
     
    ---> Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort.

    ---> Télécharge OTM (OldTimer) sur ton Bureau :

    ---> Double-clique sur OTM.exe afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant ci-dessous :



    :processes
    explorer.exe

    :services
    abp470n5

    :files
    c:\windows\system32\drivers\mdnnn.sys

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
    "DisableTaskMgr"=-
    "DisableRegistryTools"=-

    :commands
    [purity]
    [emptytemp]
    [start explorer]
    [reboot]


    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt! puis ferme OTM

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log

    ensuite essaie ce lien pour findykill

    0
  9. zaka009 Messages postés 17 Statut Membre
     
    En fait j'ai pas d'antivirus a désactiver , ils peuvent pas s'installer... C'est ca le probleme !
    Sinon voici le rapport ...
    Et pour le lien de findykill il marche pas ... :s j'ai surement un problème !
    Je vais essayer en tout cas !

    All processes killed
    ========== PROCESSES ==========
    No active process named explorer.exe was found!
    ========== SERVICES/DRIVERS ==========

    Service\Driver abp470n5 deleted successfully.
    ========== FILES ==========
    File/Folder c:\windows\system32\drivers\mdnnn.sys not found.
    ========== REGISTRY ==========
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\\DisableTaskMgr not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\\DisableRegistryTools not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrateur
    ->Temp folder emptied: 4408413 bytes
    ->Temporary Internet Files folder emptied: 71783721 bytes

    User: All Users

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: LocalService
    ->Temp folder emptied: 0 bytes
    File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
    ->Temporary Internet Files folder emptied: 33170 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 402 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2114013 bytes
    %systemroot%\System32 .tmp files removed: 3072 bytes
    File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_1d24.dat scheduled to be deleted on reboot.
    Windows Temp folder emptied: 18420 bytes

    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 74,76 mb

    OTM by OldTimer - Version 3.0.0.3 log created on 06062009_165226

    Files moved on Reboot...
    C:\WINDOWS\temp\Perflib_Perfdata_1d24.dat moved successfully.

    Registry entries deleted on Reboot...
    0
  10. gen-hackman
     
    Desactive ton Anti-virus le temps de la manip car il est detecte a tort comme infection puis :

    Télécharge

    et enregistre-le sur ton bureau et pas ailleurs

    Execute-le (en tant qu'administrateur sous vista)

    choisis l'option en gras ci-dessous :

    1 : Elements du panneau de configuration (cpl)
    2 : Liste des .dll systeme
    3 : Listes des executables (.exe)
    4 : Liste des fichiers systeme (Drivers)
    5 : Liste du system32
    6 : Liste de tout le systeme
    7 : Liste des fichiers .tmp
    8 : Liste des fichiers racine
    9 : Liste des fichiers cachés
    0 : Liste des Processus Console

    puis "entrée"

    rends-toi récupérer le rapport où il t'est indiqué ,

    envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir ,

    puis envoie le fichier.

    un lien de cette forme va apparaitre :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    renvoie le lien tout frais dans ta prochaine reponse .
    0
  11. zaka009 Messages postés 17 Statut Membre
     
    Svp Quelqu'un peut me mettre findykill de ce lien Vers un autre lien sur un site en tant qu'upload ???

    http://sd-1.archive-host.com/membres/up/829108531491024/FindyKill2.exe

    SVp ..
    0
  12. zaka009 Messages postés 17 Statut Membre
     
    Mais ile me faut le findykill non ?
    0
  13. gen-hackman
     
    il t'est apparemment impossible de le telecharger alors je vais essayer de contourner en utilisant autre chose c est pour cela que je te demande de faire ca a la place
    0
  14. zaka009 Messages postés 17 Statut Membre
     
    Oui je sais mais dans votre post j'ai lu ca ...

    Télécharge

    et enregistre-le sur ton bureau et pas ailleurs

    Execute-le (en tant qu'administrateur sous vista)


    Bein jtélécharge quoi ?
    0
  15. gen-hackman
     
    ah ben le lien n a pas suivi zut :

    List_All
    0
  16. zaka009 Messages postés 17 Statut Membre
     
    Car des liens données la bas ne marchent toujours pas .. Et puis je voudrais bien une autre solution :s
    0
  17. zaka009 Messages postés 17 Statut Membre
     
    J'ai refait le scan HJ aujourd'hui ...

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:30:00, on 31/08/2009
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\igfxtray.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\WINDOWS\system32\igfxpers.exe
    C:\WINDOWS\system32\igfxsrvc.exe
    C:\Program Files\Menara\dslmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    F:\Documents\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.fr/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.files-ftp.com/~unicorni/phpBB2/index.php
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Menara
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
    O4 - Global Startup: DSLMON.lnk = C:\Program Files\Menara\dslmon.exe
    O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O14 - IERESET.INF: START_PAGE_URL=http://www.files-ftp.com/~unicorni/phpBB2/index.php
    0