Virus Sytem Security 2009 aswUpdSv.exe

Fermé
pico92 - 3 août 2009 à 10:26
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
- 4 août 2009 à 02:15
Bonjour,

Pour installer la clé UBS Wi-Fi d'Orange j'ai désactivé le pare-feux Windows et j'ai oublié de le réactiver pour aller sur Internet. J'ai attrapé le virus Security System 2009, le message à l'écran est "Application cannot be executed. The file aswUpdSv.exe is infected."
La situation de mon PC :
- je ne peux plus accéder à aucune fonction du PC (Gestionnaire des tàches, Panneau de configuration (je ne peux rien lancer, p.ex la Restauration Syteme est inactive ou Opions Internet, ...),
- je ne peux rien faire avec Executer (fenêtre MsDos inaccessible, impossible de lancer une .exe).
- j'ai télécharger HijackThi en icône sur le Bureau mais je peux peux exécuter le .exe

La sistuation est-elle désespérée ou il y a-t-il des solutions pour la récupérer.
Merci de votre aide.
Pierre

21 réponses

sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 août 2009 à 10:31
Salut,


on va essayer de se sortir de cette situation ...


1- Démarrer en mode sans échec avec prise en charge du réseau :

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\

Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis l' option : Sans Échec avec prise en charge du réseau , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).



une fois dans ce mode , fait la suite pour avoir un diagnostique complet du PC ...

=====================


2-Télécharge ZHPDiag de Nicolas Coolman sur ton bureau :

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) .

> Lance ZHPDiag.

> une fois ZHPDiag ouvert, clique sur le bouton "option" ( la clé et le tournevis ) .

une liste apparait dans l'encadré principal > clique sur le bouton " Tous " ( important ! ).

> puis clique sur le bouton de "la loupe" pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "appareil photo" pour sauvegarder le rapport obtenu ...

Enregistres bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....



0
Content de savoir que la situation n'est pas désespérée.

Voici le résultat de ZHPDiad :http://www.cijoint.fr/cjlink.php?file=cj200908/cij4rNxiTh.txt

J'espère avoir correctement coché toutes les options.
La dernière option que j'ai pu cocher était "Recherche Heuristique Magic control (HSMI) (059). Durée d'éxécution 04s (court ?)

Pierre
0
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 août 2009 à 12:58
Bien ...


la suite ( toujours depuis le mode sans échec ):


Télécharge ZHpFix ( de Nicolas Coolman ) sur ton bureau :

http://www.moncompteur.com/compteurclick.php?idLink=17515

* double-clique sur "ZHPFix.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir un raccourci ) .

> Lance ZHPFix.


* Une fois l'outil ouvert , clique sur le bouton [ H ] ( "coller les ligne Helper" ) .

* Dans l'encadré principal , copie/colle ce qui est en citation ci-dessous ( et rien d'autre ! ) :


O4 - HKLM\..\Run: [19193124] C:\Documents and Settings\All Users\Application Data\19193124\19193124.exe
O43 - CFD:Common File Directory ----D- C:\Program Files\Microsoft Security Adviser
O42 - Logiciel: SystemSecurity2009



* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche à plus rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...



-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

-> une fois terminé , poste le contenu du rapport "ZHPFixReport.txt" obtenu ...

( ce rapport est en outre suavegardé ici > C:\program files\ZHPFix )


0
Désolé de répondre si tard, j'ai eu des soucis avec Orange qui a voulu faire de tests sur ma ligne.

Je n'ai pas été assez patient et en attendant ta réponse j'ai passé.

"C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe"

Quand j'ai eu ta réponse, j'ai exécuté le fix ZHPFIX.exe => < H > => n'a rien trouvé
Peut-être parce que j'ai utilisé Malwarebytes et tout supprimé (les Trojan, ...) ?

A tout hasard et pour que tu puisses me dire si tout est Ok, j'ai relancé un scan ZHPDiag.exe

Voici le résultat : http://www.cijoint.fr/cjlink.php?file=cj200908/cij0I0X0Wy.txt

Est-ce que mon PC est "clean" ou dois-je faire autre chose?

Merci
Pierre
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 août 2009 à 18:48
re,


c'est sympa ça ... -_-


bref ...


le PC est clean , j'en sais rien ... le rapport ZHPDiag n'est pas complet ... tu n'as pas coché toutes les options ... Donc recommence et poste le nouveau rapport obtenu ...


Poste aussi le rapport de Malwarebytes que tu as eu ... (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) ...


Et MBAM , tu l'as passé en mode sans échec ou en mode normal ? ....




0
Le rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj200908/cijPqzcUmQ.txt

La dernière option que j'ai pu cocher était "Recherche Heuristique Magic control (HSMI) (059).


Le rapport de Malwarebytes que j'ai passé à 13h30 avant correction :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijh9GMX4T.txt


Le rapport de Malwarebytes que je viens de passé à 19h14:

http://www.cijoint.fr/cjlink.php?file=cj200908/cij5cHVYp5.txt
0
Précision : les diagnostiques ont été passés en Mode sans Echec.
0
En mode Sans Echec, je ne peux pas cocher toutes les options dans ZHPDiag (pb affichage taille écran),
alors j'ai passé ZHPDiag en mode "Normal".

Le rapport ZHPDiag en mode "Normal" : http://www.cijoint.fr/cjlink.php?file=cj200908/cijoZKqjGd.txt

Pierre
0
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 août 2009 à 19:52
bien ...


En mode normal maintenant :



1- supprime tout ce qui se trouve dans la quarantaine de malwarebytes .


===============

2- Télécharge CCleaner :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
ou https://www.pcastuces.com/logitheque/ccleaner.htm
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .
Lors de l'installation:
-choisis bien "français" en langue .
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.

Un tuto ( aide ):
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm


---> Utilisation:
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .

! déconnecte toi et ferme toutes applications en cours !

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )


====================

3- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Ferme bien toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...


( Note : Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence : accepte !)


-> laisse faire le scan et ne touche pas au PC ...


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ... si tu essaies de poster les deux en même temps,
cela risque d'être trop long pour le forum ...


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

0
Désolé pour le retard à te répondre.

log.txt : http://www.cijoint.fr/cjlink.php?file=cj200908/cijfndPbZe.txt
0
2ème log de mbam.

info.txt : http://www.cijoint.fr/cjlink.php?file=cj200908/cijfndPbZe.txt
0
Je ne sais pas si j'ai corrcetement pose le 1er fichier de log mbam log.txt.
J'essaye une nouvelle fois :

log.txt : http://www.cijoint.fr/cjlink.php?file=cj200908/cijELEnkFO.txt
0
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 août 2009 à 22:28
bien ...


encore un peu de travail ...


Au faite , version de Windows non légitime ...
info à prendre en compte :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows




Puis rends toi sur ce site :

https://www.virustotal.com/gui/

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
C:\WINDOWS\system32\notepad.original.exe

Clique sur Send File ( = " Envoyer le fichier " ).

Un rapport va s'élaborer ligne à ligne.

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\WINDOWS\notepad.original.exe

Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...


( PS : utilise Cijoint uniquement pour ZHPDiag ... pour les autres rapport, fait un copier/coller directement sur le forum ... )

0
Au faite , version de Windows non légitime ...
info à prendre en compte :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows­ise-une-version-piratee

Tu me fait remarqué que j'utilise une version piraétée de Windows.

Effectivement j'ai dû réinstaller XP sur mon PC car après l'acquistion d'une Live Box et à cause de performances très médiocres sur Internet le technicien d'Orange ma conseillé de réinstaller mon PC. J'ai alors l'ai reintallé avec Windows XP swett.
Ma demande d'assistance auprès de Commentcamarche pourait-elle faire l'objet de poursuite de la part de Microsoft suite à des informations transmises par Commentcamarche ?

Les 2 fichiers ci-dessous sont des "Fichiers réanalysés".

C.WINDOWS.system32.notepad.original.exe.txt:

Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 0/41 (0%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: ___.
L'heure estimée de démarrage est entre ___ et ___ .
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.03 -
AhnLab-V3 5.0.0.2 2009.08.03 -
AntiVir 7.9.0.240 2009.08.03 -
Antiy-AVL 2.0.3.7 2009.08.03 -
Authentium 5.1.2.4 2009.08.03 -
Avast 4.8.1335.0 2009.08.03 -
AVG 8.5.0.406 2009.08.03 -
BitDefender 7.2 2009.08.03 -
CAT-QuickHeal 10.00 2009.08.03 -
ClamAV 0.94.1 2009.08.03 -
Comodo 1854 2009.08.03 -
DrWeb 5.0.0.12182 2009.08.03 -
eSafe 7.0.17.0 2009.08.03 -
eTrust-Vet 31.6.6655 2009.08.03 -
F-Prot 4.4.4.56 2009.08.03 -
F-Secure 8.0.14470.0 2009.08.03 -
Fortinet 3.120.0.0 2009.08.03 -
GData 19 2009.08.03 -
Ikarus T3.1.1.64.0 2009.08.03 -
Jiangmin 11.0.800 2009.08.03 -
K7AntiVirus 7.10.809 2009.08.03 -
Kaspersky 7.0.0.125 2009.08.03 -
McAfee 5697 2009.08.03 -
McAfee+Artemis 5697 2009.08.03 -
McAfee-GW-Edition 6.8.5 2009.08.03 -
Microsoft 1.4903 2009.08.03 -
NOD32 4302 2009.08.03 -
Norman 6.01.09 2009.08.03 -
nProtect 2009.1.8.0 2009.08.03 -
Panda 10.0.0.14 2009.08.03 -
PCTools 4.4.2.0 2009.08.03 -
Prevx 3.0 2009.08.03 -
Rising 21.41.02.00 2009.08.03 -
Sophos 4.44.0 2009.08.03 -
Sunbelt 3.2.1858.2 2009.08.03 -
Symantec 1.4.4.12 2009.08.03 -
TheHacker 6.3.4.3.375 2009.08.01 -
TrendMicro 8.950.0.1094 2009.08.03 -
VBA32 None 2009.08.03 -
ViRobot 2009.8.3.1865 2009.08.03 -
VirusBuster 4.6.5.0 2009.08.03 -
Information additionnelle
File size: 70656 bytes
MD5...: 99d277babcf5cac4fe1bfe2b7fd6ea61
SHA1..: 540a66d7168d65f848e38e07cdaa6a39be805f89
SHA256: 41d28256616a21a82036d87d0a97cf87f2bde3c30d65a1ffff0a5c350994deab
ssdeep: 1536:LwOnbNQKLjWDyy1o5I0kXgIHLfdeL+ggZNaSRY:hNQKPWDyDI0kXfLlICNZ
R

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (53.1%)
Windows Screen Saver (18.4%)
Win32 Executable Generic (12.0%)
Win32 Dynamic Link Library (generic) (10.6%)
Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x739d
timedatestamp.....: 0x48025287 (Sun Apr 13 18:35:51 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7748 0x7800 6.28 fb9c4c458431d938bbe74e6fba162b82
.data 0x9000 0x1ba8 0x800 1.15 3fd82fcc3cf0c0692e0e466248ee3fbf
.rsrc 0xb000 0x8e12 0x9000 5.02 5f5bb2d4e5b74f48becb874c851ee86b

( 9 imports )
> comdlg32.dll: PageSetupDlgW, FindTextW, PrintDlgExW, ChooseFontW, GetFileTitleW, GetOpenFileNameW, ReplaceTextW, CommDlgExtendedError, GetSaveFileNameW
> SHELL32.dll: DragFinish, DragQueryFileW, DragAcceptFiles, ShellAboutW
> WINSPOOL.DRV: GetPrinterDriverW, ClosePrinter, OpenPrinterW
> COMCTL32.dll: CreateStatusWindowW
> msvcrt.dll: _XcptFilter, _exit, _c_exit, time, localtime, _cexit, iswctype, _except_handler3, _wtol, wcsncmp, _snwprintf, exit, _acmdln, __getmainargs, _initterm, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, _controlfp, wcsncpy
> ADVAPI32.dll: RegQueryValueExW, RegCloseKey, RegCreateKeyW, IsTextUnicode, RegQueryValueExA, RegOpenKeyExA, RegSetValueExW
> KERNEL32.dll: GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetLocalTime, GetUserDefaultLCID, GetDateFormatW, GetTimeFormatW, GlobalLock, GlobalUnlock, GetFileInformationByHandle, CreateFileMappingW, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, SetUnhandledExceptionFilter, LoadLibraryA, GetModuleHandleA, GetStartupInfoA, GlobalFree, GetLocaleInfoW, LocalFree, LocalAlloc, lstrlenW, LocalUnlock, CompareStringW, LocalLock, FoldStringW, CloseHandle, lstrcpyW, ReadFile, CreateFileW, lstrcmpiW, GetCurrentProcessId, GetProcAddress, GetCommandLineW, lstrcatW, FindClose, FindFirstFileW, GetFileAttributesW, lstrcmpW, MulDiv, lstrcpynW, LocalSize, GetLastError, WriteFile, SetLastError, WideCharToMultiByte, LocalReAlloc, FormatMessageW, GetUserDefaultUILanguage, SetEndOfFile, DeleteFileW, GetACP, UnmapViewOfFile, MultiByteToWideChar, MapViewOfFile, UnhandledExceptionFilter
> GDI32.dll: EndPage, AbortDoc, EndDoc, DeleteDC, StartPage, GetTextExtentPoint32W, CreateDCW, SetAbortProc, GetTextFaceW, TextOutW, StartDocW, EnumFontsW, GetStockObject, GetObjectW, GetDeviceCaps, CreateFontIndirectW, DeleteObject, GetTextMetricsW, SetBkMode, LPtoDP, SetWindowExtEx, SetViewportExtEx, SetMapMode, SelectObject
> USER32.dll: GetClientRect, SetCursor, ReleaseDC, GetDC, DialogBoxParamW, SetActiveWindow, GetKeyboardLayout, DefWindowProcW, DestroyWindow, MessageBeep, ShowWindow, GetForegroundWindow, IsIconic, GetWindowPlacement, CharUpperW, LoadStringW, LoadAcceleratorsW, GetSystemMenu, RegisterClassExW, LoadImageW, LoadCursorW, SetWindowPlacement, CreateWindowExW, GetDesktopWindow, GetFocus, LoadIconW, SetWindowTextW, PostQuitMessage, RegisterWindowMessageW, UpdateWindow, SetScrollPos, CharLowerW, PeekMessageW, EnableWindow, DrawTextExW, CreateDialogParamW, GetWindowTextW, GetSystemMetrics, MoveWindow, InvalidateRect, WinHelpW, GetDlgCtrlID, ChildWindowFromPoint, ScreenToClient, GetCursorPos, SendDlgItemMessageW, SendMessageW, CharNextW, CheckMenuItem, CloseClipboard, IsClipboardFormatAvailable, OpenClipboard, GetMenuState, EnableMenuItem, GetSubMenu, GetMenu, MessageBoxW, SetWindowLongW, GetWindowLongW, GetDlgItem, SetFocus, SetDlgItemTextW, wsprintfW, GetDlgItemTextW, EndDialog, GetParent, UnhookWinEvent, DispatchMessageW, TranslateMessage, TranslateAcceleratorW, IsDialogMessageW, PostMessageW, GetMessageW, SetWinEventHook

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-

C.WINDOWS.notepad.exe.txt

Fichier NOTEPAD.EXE reçu le 2009.08.03 22:06:46 (UTC)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE


Résultat: 6/41 (14.64%)
en train de charger les informations du serveur...
Votre fichier est dans la file d'attente, en position: 2.
L'heure estimée de démarrage est entre 52 et 75 secondes.
Ne fermez pas la fenêtre avant la fin de l'analyse.
L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats.
Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier.
Votre fichier est, en ce moment, en cours d'analyse par VirusTotal,
les résultats seront affichés au fur et à mesure de leur génération.
Formaté Impression des résultats
Votre fichier a expiré ou n'existe pas.
Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie.

Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée.
Email:


Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.03 Trojan-Dropper!IK
AhnLab-V3 5.0.0.2 2009.08.03 -
AntiVir 7.9.0.240 2009.08.03 -
Antiy-AVL 2.0.3.7 2009.08.03 -
Authentium 5.1.2.4 2009.08.03 -
Avast 4.8.1335.0 2009.08.03 -
AVG 8.5.0.406 2009.08.03 -
BitDefender 7.2 2009.08.03 -
CAT-QuickHeal 10.00 2009.08.03 Trojan.Agent.ATV
ClamAV 0.94.1 2009.08.03 -
Comodo 1854 2009.08.03 -
DrWeb 5.0.0.12182 2009.08.03 -
eSafe 7.0.17.0 2009.08.03 -
eTrust-Vet 31.6.6655 2009.08.03 -
F-Prot 4.4.4.56 2009.08.03 -
F-Secure 8.0.14470.0 2009.08.03 -
Fortinet 3.120.0.0 2009.08.03 -
GData 19 2009.08.03 -
Ikarus T3.1.1.64.0 2009.08.03 Trojan-Dropper
Jiangmin 11.0.800 2009.08.03 -
K7AntiVirus 7.10.809 2009.08.03 -
Kaspersky 7.0.0.125 2009.08.03 -
McAfee 5697 2009.08.03 -
McAfee+Artemis 5697 2009.08.03 Artemis!2404AF56FF95
McAfee-GW-Edition 6.8.5 2009.08.03 -
Microsoft 1.4903 2009.08.03 -
NOD32 4302 2009.08.03 -
Norman 6.01.09 2009.08.03 -
nProtect 2009.1.8.0 2009.08.03 -
Panda 10.0.0.14 2009.08.03 -
PCTools 4.4.2.0 2009.08.03 -
Prevx 3.0 2009.08.03 High Risk Worm
Rising 21.41.02.00 2009.08.03 -
Sophos 4.44.0 2009.08.03 -
Sunbelt 3.2.1858.2 2009.08.03 Bulk Trojan
Symantec 1.4.4.12 2009.08.03 -
TheHacker 6.3.4.3.375 2009.08.01 -
TrendMicro 8.950.0.1094 2009.08.03 -
VBA32 3.12.10.9 2009.08.03 -
ViRobot 2009.8.3.1865 2009.08.03 -
VirusBuster 4.6.5.0 2009.08.03 -
Information additionnelle
File size: 34304 bytes
MD5...: 2404af56ff9556f4f7a584a60759591c
SHA1..: 65132720ec933aff3f186281be2689c4fdec23e4
SHA256: a03e609e7eaf21400641b4e5108497aada897227f53d6a786c444ac790611953
ssdeep: 384:HgpfGpNmjRVAgtaMV761sATD3nt/WL+dOAKfZjQ7kgv8ANap:cfxAgtaH1sA
TD3teL++vgv8ANap

PEiD..: -
TrID..: File type identification
Win32 Executable Generic (38.3%)
Win32 Dynamic Link Library (generic) (34.1%)
Win16/32 Executable Delphi generic (9.3%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1240
timedatestamp.....: 0x430d15c4 (Thu Aug 25 00:50:12 2005)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xd14 0xe00 5.37 ec0fe9d371e806bf8aa021e51dbfed90
.data 0x2000 0x40 0x200 0.24 eec913209c251667a263e74b6901fe07
.rdata 0x3000 0x510 0x600 1.63 32d974133fb919d926ef69c6f38c083e
.bss 0x4000 0xb0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x5000 0x41c 0x600 3.30 ed6215967b86880dd82a3be6b9837aec
.rsrc 0x6000 0x7000 0x6600 5.17 31bc35a3450692552894a022708d5f68

( 3 imports )
> ADVAPI32.DLL: RegCloseKey, RegOpenKeyExA, RegQueryValueExA
> KERNEL32.dll: AddAtomA, CloseHandle, CreateProcessA, ExitProcess, FindAtomA, GetAtomNameA, GetCommandLineA, GetModuleHandleA, GetStartupInfoA, SetUnhandledExceptionFilter
> msvcrt.dll: __getmainargs, __p__environ, __p__fmode, __set_app_type, _cexit, _fullpath, _iob, _onexit, _setmode, abort, atexit, fflush, fprintf, free, malloc, memset, signal, strcat, strcpy, strlen

( 0 exports )

PDFiD.: -
RDS...: NSRL Reference Data Set
-
0
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
4 août 2009 à 00:25
re,

Ma demande d'assistance auprès de Commentcamarche pourait-elle faire l'objet de poursuite de la part de Microsoft suite à des informations transmises par Commentcamarche ?

don't panique ! ... CCM n'as pour rôle de dénoncer qui que se soit ... si tu crois que tu es le seul à avoir une version pourri de Windows ... :))

le prb est surtout au niveau sécurité : t'ai beaucoup plus vulnérable que les autres car ton systeme est cracké et aucune mises à jour possibles donc gosse faille de sécurité ( lezs infectins pénètre beaucoup plus facilement ) ...

conseil > soit tu mets la main au porte-feuille , soit passe à linux ... ;)
Evite les comptes banquaire et les achats en ligne depuis un tel PC .



bref , la suite :


1- Télécharge OTM (de Old_Timer) sur ton Bureau.

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,


:Files
C:\WINDOWS\system32\notepad.original.exe
C:\WINDOWS\notepad.original.exe
C:\WINDOWS\system32\cmdow.exe

:Commands
[purity]
[emptytemp]
[Reboot]



et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même pour finir la suppression ...

Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).


========================

2- Télécharge GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) :
http://www.genproc.com/GenProc.exe

!!Déconnecte toi et ferme tes applications en cours !!


* double-clique sur GenProc.exe pour lancer le scan et laisse faire ...

* A la question "faites vous aidez sur un forum..." > clique sur " oui " .

-> poste le contenu du rapport qui s'ouvre ...


Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html

IMPORTANT : poste le rapport et ne fais rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .




0
Merci de ton conseil.
Je n'avais même pas consience en utilisant cette version de ne pas pouvoir bénéficier des correctifs de sécurité de microsoft. Quand on voit le temps passé pour supprimer un virus comme System Security 2009, ça donne la à réfléchir ainsi que les peines enourrues "2 ans maximum et d'une amende maximale de 150 000 €.
Linux, une bonne idée que je vais creuser.

OTM :
C:\_OTM\MovedFiles@08042009_003218.log :

All processes killed
========== FILES ==========
C:\WINDOWS\system32\notepad.original.exe moved successfully.
C:\WINDOWS\notepad.original.exe moved successfully.
C:\WINDOWS\system32\cmdow.exe moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 54483584 bytes
->Temporary Internet Files folder emptied: 7734860 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 34968841 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
C:\WINDOWS\NV11681772.TMP folder deleted successfully.
%systemroot% .tmp files removed: 34176002 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_53c.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 149781 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 125,52 mb


OTM by OldTimer - Version 3.0.0.5 log created on 08042009_003218

Files moved on Reboot...
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
File C:\WINDOWS\temp\Perflib_Perfdata_53c.dat not found!

Registry entries deleted on Reboot...

GenProc.exe :
E:\_OTM\MovedFiles\08042009_003218.log
0
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
4 août 2009 à 01:07
vu,


le rapport Genproc maintenant ....

0
Désolé pour cet oubli.

Genproc :
C:\Genproc\Arguments\GenProc[2].txt :

Rapport GenProc 2.611 [2] - 04/08/2009 à 1:20:21
@ Windows XP Service Pack 3 - Mode normal
@ Mozilla Firefox (3.0) [Navigateur par défaut]

# Etape 1/ Télécharge :

- USBFix http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe (Chiquitine29) sur le Bureau, et procède simplement à son installation.


Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** Administrateur *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[2]" sur ton bureau).


# Etape 2/

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir, puis double-clique sur le raccourci USBFix présent sur ton Bureau : choisis l' option 2 (Suppression), ton bureau disparaitra et le pc redémarrera. Au redémarrage, USBFix scannera ton pc, laisse travailler l'outil.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport UsbFix.txt situé dans C:\ ;
- Un nouveau rapport HijackThis http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/hijackthis-version-install-sujet_199100_1.htm ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [2] GenProc 2.611 04/08/2009 à 1:20:28
USBFix:le 04/08/2009 à 1:21:51 "C:\WINDOWS\System32\mmm.exe"

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 1:22:14 ~~
0
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
4 août 2009 à 01:41
Bien ...


la suite donc :


Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

0
C:\UbsFix.txt :


############################## | UsbFix V6.013 |

User : Administrateur (Administrateurs) # SWEET-C7DD6B222
Update on 03/08/09 by Chiquitine29 & C_XX
Start at: 01:59:49 | 04/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Pentium(R) 4 CPU 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1335 [VPS 090803-0] 4.8.1335 [ Enabled | Updated ]

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 9,77 Go (4,42 Go free) # NTFS
D:\ -> Disque fixe local # 1,96 Go (1,96 Go free) # FAT
E:\ -> Disque fixe local # 44,16 Go (29,87 Go free) [DATA] # NTFS
F:\ -> Disque CD-ROM # 0 Mo (0 Mo free) [Audio CD] # CDFS
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\mmm.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\OrangeHSS\Launcher\Launcher.exe
C:\Program Files\WinMover\WinMover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\OrangeHSS\systray\systrayapp.exe
C:\Program Files\OrangeHSS\Deskboard\deskboard.exe
C:\Program Files\OrangeHSS\connectivity\connectivitymanager.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! C:\WINDOWS\system32\mmm.exe

################## | Other | https://www.virustotal.com/gui/ |


################## | Registre # Clés Run infectieuses |

Présent ! HKLM\Software\Microsoft\Windows\CurrentVersion\Run "Mmm"

################## | Registre # Mountpoints2 |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.013 ! |
0