ça y est mon ordi est infecté !!!!

Question

Bonjour,

voilà le problème , ce matin une fenêtre m'est apparu en me disant qu'avast avait détecté un logiciel malvaillant qui porte le titre suivant : Win32 : Rootkit-gen et le nom du fichier étant msnun4er9.dll.  Avast me recommandait de le mettre en quarantaine, ce que j'ai fait.  Cependant, en fouillant sur le net à la recherche d'une explication à ce fameux virus on propose je ne sais combien de solutions différentes, finalement je comprend plus rien.

Est-ce que cela serait possible d'avoir une solution simple qui règlerait le problème ?  Car présentement en plus d'avoir ce virus mon lecteur cd ouvre et ferme sans raison de temps à autres, j'ignore si cela est en lien avec le virus ou pas.

Autre point à souligner, j'ai malwarebytes anti-malware sur mon ordi et je lui ai fait faire un scan en mode sans échec et il a rien trouvé.  

Fihnalement, est-ce que mon ordi est une cause désespéré ?

gen-hackman · Answer

bonjour on va quand meme essayer de le sauver :)

Desactive la protection residente de ton antivirus et ton parefeu si present , le temps du scan

Telecharge  List'em et enregistre-le sur ton bureau et pas ailleurs

double-clic (Pour vista clic droit "executer en tant qu'administrateur")sur l'icone présent sur le bureau pour le lancer

laisse travailler l'outil, le scan devrait durer moins de 10 mn

une fois le scan Terminé le rapport s'affiche

colle son contenu si des fichiers sont detectés dans ta prochaine reponse ici.

evelou · Answer

Merci beaucoup pour votre précieuse aide c'est grandement apprécié !

Alors j'ignore si j'ai désactivé mon pare-feu et mon antivirus de la bonne méthode, j'ai procédé ainsi : dans ms config j'ai désactivé tout ce qui concernait avast et mon pare-feu puis j'ai redémaré.

J'ai installé le logiciel suivant religieusement les indications que vous m'avez donné et voici le rapport :

List'em by g3n-h@ckm@n 1.0.1.6 

2009-08-15 10:24:50,42 

Microsoft Windows XP [version 5.1.2600]

Infections possibles 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : ¤¤¤¤¤¤¤¤¤¤ 

"C:\WINDOWS\system32\Ijl11.dll" 
C:\WINDOWS\System32\SET44.tmp 
C:\WINDOWS\System32\SET46.tmp 
C:\WINDOWS\System32\SET52.tmp 
C:\WINDOWS\System32\SET5B.tmp 
C:\WINDOWS\System32\SET5C.tmp 
C:\WINDOWS\System32\SET5D.tmp 
C:\WINDOWS\System32\SET60.tmp 
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : ¤¤¤¤¤¤¤¤¤¤

HKLM\Software\Microsoft\Windows\CurrentVersion\Run "msconfig"  
"HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM"  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}  
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}  
HKCU\SOFTWARE\SWEETIE  
 
 
--------EOF------------




Maintenant j'attend patiemment la suite

merci encore :)

gen-hackman · Answer

ok :)

Télécharge OTL de OLDTimer

&#9654 Double clic sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:files
C:\WINDOWS\System32\SET*.tmp
C:\WINDOWS\system32\Ijl11.dll 

:commands
[emptytemp]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

ensuite :


&#9654 Télécharge Ad-remover ( de C_XX ) sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

&#9654 Double clique sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 Double-clique sur le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis l'option "L" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

&#9654 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

evelou · Answer

Eh bien voici les rapports suite aux interventions que vous m'avez recommandées :

Rapport de OTL :

All processes killed
Error: Unable to interpret <processes > in the current context!
Error: Unable to interpret <explorer.exe > in the current context!
Error: Unable to interpret <iexplore.exe > in the current context!
Error: Unable to interpret <firefox.exe > in the current context!
Error: Unable to interpret <msnmsgr.exe > in the current context!
Error: Unable to interpret <Teatimer.exe > in the current context!
========== FILES ==========
C:\WINDOWS\System32\SET44.tmp moved successfully.
C:\WINDOWS\System32\SET46.tmp moved successfully.
C:\WINDOWS\System32\SET52.tmp moved successfully.
C:\WINDOWS\System32\SET5B.tmp moved successfully.
C:\WINDOWS\System32\SET5C.tmp moved successfully.
C:\WINDOWS\System32\SET5D.tmp moved successfully.
C:\WINDOWS\System32\SET60.tmp moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ijl11.dll
C:\WINDOWS\system32\ijl11.dll NOT unregistered.
C:\WINDOWS\system32\ijl11.dll moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 4538861 bytes

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 4538861 bytes

User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 11275153 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 832289 bytes

User: Propriétaire
File delete failed. C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF6206.tmp scheduled to be deleted on reboot.
->Temp folder emptied: 773916407 bytes
->Temporary Internet Files folder emptied: 23719449 bytes
->Java cache emptied: 22879305 bytes
->FireFox cache emptied: 15768954 bytes
->Google Chrome cache emptied: 6315537 bytes

User: Propriï¿½ire

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2134506 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_4f8.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 74962852 bytes
RecycleBin emptied: 2405963 bytes

Total Files Cleaned = 899,59 mb

OTL by OldTimer - Version 3.0.10.7 log created on 08152009_105222

Files\Folders moved on Reboot...
C:\Documents and Settings\Propriétaire\Local Settings\Temp\~DF6206.tmp moved successfully.
File move failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS\temp\Perflib_Perfdata_4f8.dat moved successfully.

Registry entries deleted on Reboot...

Et puis le rapport obtenu avec Ad-remover :
.
======= RAPPORT D'AD-REMOVER 1.1.4.5_O | UNIQUEMENT XP/VISTA/SEVEN =======
.
Mit à jour par C_XX le 24/06/2009 à 7:10 PM
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:03:58, 2009-08-15 | Mode Normal | Option: CLEAN
Exécuté de: C:\Program Files\Ad-remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: CENTRE-B9B588F4 | Utilisateur actuel: Propri‚taire
.
Administrateur: Administrateur
N'est pas administrateur: ASPNET
N'est pas administrateur: HelpAssistant *Desactive*
N'est pas administrateur: Invité *Desactive*
Administrateur: Propriétaire
N'est pas administrateur: SUPPORT_388945a0 *Desactive*
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1A0AADCD-3A72-4B5F-900F-E3BB5A838E2A}
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BC4FFE41-DE9F-46fa-B455-AAD49B9F9938}
HKCU\Software\SWEETIE
HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM
HKU\S-1-5-18\Software\SWEETIE
HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{BC4FFE41-DE9F-46FA-B455-AAD49B9F9938}
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\980289C22F80A7C4BB9323DC61255E4E
HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Components\FA96423FE2B98E248A3B23548D1E22D9
.
C:\Program Files\Macrogaming\SweetIM
C:\Program Files\Macrogaming\SweetIMBarForIE
C:\Program Files\Macrogaming\SweetIM\conf
C:\Program Files\Macrogaming\SweetIM\data
C:\Program Files\Macrogaming\SweetIM\update
C:\Program Files\Macrogaming\SweetIM\conf\users
C:\Program Files\Macrogaming\SweetIM\conf\users\carolyne.gignac@hotmail.com
C:\Program Files\Macrogaming\SweetIM\conf\users\doucesailes4@hotmail.com
C:\Program Files\Macrogaming\SweetIM\conf\users\maevelou@hotmail.com
C:\Program Files\Macrogaming\SweetIM\conf\users\main_user_config.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\meopencher420@hotmail.com
C:\Program Files\Macrogaming\SweetIM\conf\users\minnone_18@hotmail.com
C:\Program Files\Macrogaming\SweetIM\conf\users\nicolasbaril029@hotmail.com
C:\Program Files\Macrogaming\SweetIM\conf\users\carolyne.gignac@hotmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\carolyne.gignac@hotmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\doucesailes4@hotmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\doucesailes4@hotmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\maevelou@hotmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\maevelou@hotmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\meopencher420@hotmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\meopencher420@hotmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\minnone_18@hotmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\minnone_18@hotmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\nicolasbaril029@hotmail.com\emoticons_shortcut.xml
C:\Program Files\Macrogaming\SweetIM\conf\users\nicolasbaril029@hotmail.com\user_config.xml
C:\Program Files\Macrogaming\SweetIM\data\contentdb
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100B2.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100D1.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100E8.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000100FA.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00010104.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002005C.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020069.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002006A.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002006B.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002006D.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002006E.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020071.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020072.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020073.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020075.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020076.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002007D.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0002008A.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00020092.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200B8.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200B9.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200C6.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\000200D2.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00030001.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00030003.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00030007.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0003001D.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004001A.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004002A.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\0004004A.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00050001.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\00050002.dat
C:\Program Files\Macrogaming\SweetIM\data\contentdb\cache_indx.dat
C:\Program Files\Macrogaming\SweetIM\update\lastversioninfo.xml
C:\Program Files\Macrogaming\SweetIMBarForIE\Thumbs.db
C:\Program Files\Macrogaming
C:\Documents and Settings\Propri‚taire\Bureau\SweetImSetup.exe
C:\Documents and Settings\Propri‚taire\Bureau\Raccourcis Bureau non utilis‚s\SweetIMSetup.exe

(!) -- Fichiers temporaires supprimés.

.
============== Scan additionnel ==============
.

* Mozilla FireFox Version 3.5.1 *

Nom du profil: ah0jq49i.default (Propri‚taire)
.
(Prefs.js) user_pref("browser.startup.homepage_override.mstone", "rv:1.9.1.1");
.
.

* Internet Explorer Version 7.0.5730.11 *

[HKEY_CURRENT_USER\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Search bar: hxxp://www.google.com/ie
Search Page: hxxp://www.google.com
Search Page: hxxp://www.google.com
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

============== Suspect (Cracks, Serials ... ) ==============

.
C:\Documents and Settings\Propri‚taire\Application Data\HouseCall 6.6\patch.exe
.
===================================
.
7526 Octet(s) - C:\Ad-Report-CLEAN.log
.
0 Fichier(s) - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp
2 Fichier(s) - C:\WINDOWS\Temp
.
18 Fichier(s) - C:\Program Files\Ad-remover\BACKUP
1 Fichier(s) - C:\Program Files\Ad-remover\QUARANTINE
.
Fin à: 11:32:01 | 2009-08-15
.
============== E.O.F ==============
.

Alors est-ce que le tout est maintenant réglé ? Mon lecteur cd semble cessé d'avoir la bougeotte, depuis que ad-remover a fait un scan.

gen-hackman · Answer

&#9654 Double clic sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".

evelou · Answer

Oupsss, j'ignorais que je ne devais pas coller sur le site mes rapports d'analyse ...

Donc voici le lien pour le rapport OTL

http://www.cijoint.fr/cjlink.php?file=cj200908/cijQib9S18.txt 


Et voici le lien pour le rapport EXTRA

http://www.cijoint.fr/cjlink.php?file=cj200908/ciji32Nlnl.txt


J'attend la suite de vos précieuses indications afin de venir à bout de tous ces virus et autres cochonneries !

gen-hackman · Answer

attention à ton entourage quelqu'un a mis un keylogger dans ton pc et peut enregistrer tout dce que tu fais avec ton clavier , ne vas plus sur tes comptes à code pour l instant , tant qu'on a pas fini(banque , msn , etc)

je peux meme te dire qu'il a été installé à 11.20 h du matin

&#9654 Double clic sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
rkfree.exe

:services
windll64
binconf

:OTL
O4 - HKLM..\Run: [rkfree] C:\Program Files\Wchess\rkfree.exe (Logixoft)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
@Alternate Data Stream - 3020 bytes -> C:\Documents and Settings\All Users\Application Data\rkfree:cfg
@Alternate Data Stream - 200 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:8927A071
@Alternate Data Stream - 113 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"Picasa Media Detector"=-
"QuickTime Task"=-
"SetDefPrt"=-
"msnmsgr"=-
"swg"=-

:files
C:\Documents and Settings\All Users\Application Data\rkfree
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
C:\fc621b2832b085b5841ce56f3d
C:\Documents and Settings\Propriétaire\Bureau\Listem.exe
C:\Program Files\Wchess

:commands
[emptytemp]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

evelou · Answer

Mon dieu moi qui pensais avoir un petit problème de rien du tout ... je ne suis pas au bout de mes peines à ce que je vois ...

gen-hackman · Answer

11.20 h du matin le 9.08  precisement

evelou · Answer

D'accord, je crois avoir résolu le problème.  Je suis allée sur un site où l'on peut downloader des keyloggers et j'ai essayé d'en installer plusieurs jusqu'à ce que je tombe sur un qui m'indiquait un message que je ne pouvais pas l'installer car il se trouvait déjà sur mon ordi.  J'ai downloadé l'outil pour le désinstaller et je crois m'en être débarassé.

On peut passer à la prochaine étape :)

gen-hackman · Answer

ok et bien fais donc ce que j t ai demandé ensuite car il y est toujours dans ton pc , et il tourne meme en ce moment precis

evelou · Answer

Je t'envoie le rapport directement ici où je dois l'envoyer via  le lien : http://www.cijoint.fr/  ?

evelou · Answer

Désolé j'avais mal lu, j'avais la réponse à ma question sous les yeux !

Donc, voici le rapport :


All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
No active process named rkfree.exe was found!
========== SERVICES/DRIVERS ==========

Service\Driver windll64 deleted successfully.

Service\Driver binconf deleted successfully.
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\rkfree not found.
File C:\Program Files\Wchesskfree.exe not found.
Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.
File oft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab not found.
Starting removal of ActiveX control Microsoft XML Parser for Java
Registry error reading value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\DownloadInformation\INF .
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\Microsoft XML Parser for Java\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\Microsoft XML Parser for Java\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\ipp\ deleted successfully.
File Protocol\Handler\ipp - No CLSID value found not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\msdaipp\ deleted successfully.
File Protocol\Handler\msdaipp - No CLSID value found not found.
Unable to delete ADS C:\Documents and Settings\All Users\Application Datakfree:cfg .
ADS C:\Documents and Settings\All Users\Application Data\TEMP:8927A071 deleted successfully.
ADS C:\Documents and Settings\All Users\Application Data\TEMP:DFC5A2B2 deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Picasa Media Detector deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\SetDefPrt deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\msnmsgr not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\swg not found.
========== FILES ==========
File\Folder C:\Documents and Settings\All Users\Application Datakfree not found.
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86 moved successfully.
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86 moved successfully.
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906} moved successfully.
C:\fc621b2832b085b5841ce56f3d\i386 moved successfully.
C:\fc621b2832b085b5841ce56f3d\amd64 moved successfully.
C:\fc621b2832b085b5841ce56f3d moved successfully.
C:\Documents and Settings\Propriétaire\Bureau\Listem.exe moved successfully.
C:\Program Files\Wchess moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Propriétaire
->Temp folder emptied: 240 bytes
->Temporary Internet Files folder emptied: 6604509 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
 
User: Propriï¿½ire
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS	emp\Perflib_Perfdata_4c0.dat scheduled to be deleted on reboot.
Windows Temp folder emptied: 16639 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 6,35 mb
 
 
OTL by OldTimer - Version 3.0.10.7 log created on 08152009_134949

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS	emp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
C:\WINDOWS	emp\Perflib_Perfdata_4c0.dat moved successfully.

Registry entries deleted on Reboot...


Par contre, mon lecteur CD fait encore des siennes et il a même augmenté la cadence ... Est-ce que ce problème est relié à un logiciel malvaillant quelquonque ou simplement parce qu'il est défectueux ?

gen-hackman · Answer

&#9654 Télécharge SystemLook sur ton Bureau.

&#9654 Double-clique sur SystemLook.exe pour le lancer.

&#9654 Copie-colle le texte situé entre les deux espaces ci-dessous dans la zone texte de SystemLook :

:dir
C:\Documents and Settings\All Users\Application Data\rkfree

&#9654 Clique sur le bouton Look pour démarrer l'examen.

&#9654 A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie-colle le rapport dans ta prochaine réponse.

Note : Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt

evelou · Answer

Voilà le rapport :

SystemLook v1.0 by jpshortstuff (22.05.09)
Log created at 15:20 on 15/08/2009 by Propriétaire (Administrator - Elevation successful)

========== dir ==========

C:\Documents and Settings\All Users\Application Data\rkfree - Unable to find folder.

-=End Of File=-


Croyez-vous que nous allons enfin voir jaillire la lumière au bout du tunnel ...

gen-hackman · Answer

mais oui !!


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



&#9654 Télécharge :

Malwarebytes  

ou  :

Malwarebytes

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

evelou · Answer

Je possède déjà malwarebyte sur mon ordinateur et j'ai fait un scan complet ce matin et il m'indiquait qu'il n'avait rien trouvé.  Dois-je lui faire faire un nouveau scan ?

gen-hackman · Answer

oui et mets-le à jour juste avant

evelou · Answer

J'ai fait la mise à jour tel que demandé, il n'a rien détecté.  Voici le rapport final :

Malwarebytes' Anti-Malware 1.39
Version de la base de données: 2522
Windows 5.1.2600 Service Pack 2

2009-08-15 18:47:46
mbam-log-2009-08-15 (18-47-46).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 219342
Temps écoulé: 1 hour(s), 43 minute(s), 42 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

îl n est pas à jour

gen-hackman · Answer

bien refais OTL stp

evelou · Answer

Bonjour Gen-Hackman, 

alors, j'ai fait le scan avec  OTL.  Cependant, je n'ai rien changé ou coché, j'ai seulement cliqué sur Runscan.

La dernière fois que vous m'aviez demandé un rapport de OTL j'avais dû vous le faire parvenir via le site http://www.cijoint.fr  Je ne prend donc pas de chance et je vous le fais parvenir de la même façon.

Voici le lien :  http://www.cijoint.fr/cjlink.php?file=cj200908/cijdyKH29X.txt 

J'attend votre verdict ...

gen-hackman · Answer

ok desolé j'etais en train d'apporter des modifs à mon programme lol

pour OTL je souhaite :

colonne de gauche : tout sur "ALL"
cocher Allusers , Lop , purity

si tu as "extras" sur ton bureau supprime-le avant de lancer

essaie de m'envoyer les deux rapports stp par cijoint

evelou · Answer

Il n'y a pas de faute ... je suis bien consciente que je ne suis pas la priorité dans votre existence et j'apprécie beaucoup le coup de pouce que vous me donnez !

Alors j'ai refais le scan avec OTL et suivi les indications que vous m'avez données.

Le rapport OTL se trouve sur le lien suivant :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijuEKFrR9.txt 


Le rapport EXTRA :

http://www.cijoint.fr/cjlink.php?file=cj200908/cijBmK5eoI.txt 

J'attend la suite des procédures :)

gen-hackman · Answer

supprime List'em , retelecharge-le et repassse-le stp

evelou · Answer

Donc, j'ai fais le scan sans avoir désactivé le pare-feu et mon anti-virus.  La dernière fois que vous m'aviez demandé d'utiliser List-em j'avais dû le faire.  Je vous envoie le rapport sans que mon pare-feu et anti-virus soient désactivés.  Si cette étape était cruciale juste à me le signifer et je ferai le tout correctement (du moins je l'espère !)

List'em by g3n-h@ckm@n 1.0.2.5 

updated on 17.08.2009 ::::: 17.00 


Microsoft Windows XP [version 5.1.2600]
 

2009-08-17    14:48:47,70 

Infections : 
========== 
 

¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents : 

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"  
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"  
"C:\WINDOWS\jautoexp.dat"  
 
¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes : 

 
¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch : 

ACRORD32.EXE-13285B88.pf
AD-R.EXE-10F9E53B.pf
AGENTSVR.EXE-002E45AB.pf
ALG.EXE-0F138680.pf
APPLEMOBILEDEVICESERVICE.EXE-2220AFA1.pf
ASHAVAST.EXE-12F63458.pf
ASHCHEST.EXE-0FED8209.pf
ASHSIMPL.EXE-14F851AB.pf
ATTRIB.EXE-39EAFB02.pf
AVAST.SETUP-032170A8.pf
BRMFCMON.EXE-10EF0A6D.pf
CHCP.COM-18156052.pf
CMD.EXE-087B4001.pf
DEFRAG.EXE-273F131E.pf
DFRGNTFS.EXE-269967DF.pf
DRWTSN32.EXE-2B4B52AC.pf
DUMPREP.EXE-1B46F901.pf
DW20.EXE-0F7C73AD.pf
DWWIN.EXE-30875ADC.pf
ERUNT.EXE-11A8D3E4.pf
EXPLORER.EXE-082F38A9.pf
FINDSTR.EXE-0CA6274B.pf
FIREFOX.EXE-28641590.pf
FSUM.COM-36822244.pf
GOOGLECRASHHANDLER.EXE-1A9F3296.pf
GOOGLETOOLBARNOTIFIER.EXE-3629C61D.pf
GOOGLEUPDATE.EXE-1E123D86.pf
GOOGLEUPDATER.EXE-2CAF5929.pf
GOOGLEUPDATERSERVICE.EXE-3AB369BE.pf
GREP.COM-30632777.pf
HELPSVC.EXE-2878DDA2.pf
IEXPLORE.EXE-27122324.pf
IMAPI.EXE-0BF740A4.pf
INFOCARD.EXE-14622E55.pf
INSTALLER_LAVASOFT_ARIES_ROOT-30129F80.pf
IPODSERVICE.EXE-3192DE38.pf
ITUNES.EXE-1A268432.pf
Layout.ini
LISTEM.EXE-2874C715.pf
LISTEM[1].EXE-1348E9F8.pf
LISTEM[1].EXE-2E9FD7CB.pf
LOGONUI.EXE-0AF22957.pf
MBAM-DOR.EXE-203884D2.pf
MBAM-SETUP.EXE-07BB094E.pf
MBAM-SETUP.TMP-1C7A2940.pf
MBAM.EXE-0BEE0439.pf
MBAMGUI.EXE-1286D63B.pf
MMC.EXE-39071BCC.pf
MODE.COM-31685BAE.pf
MOFCOMP.EXE-01718E95.pf
MRT.EXE-1B4A8D49.pf
MRTSTUB.EXE-03515248.pf
MSCONFIG.EXE-35E4DAE9.pf
MSHTA.EXE-331DF029.pf
MSIEXEC.EXE-2F8A8CAE.pf
MSNMSGR.EXE-030AB647.pf
MSXML6-KB954459-ENU-X86.EXE-1BCA1CD9.pf
NIRCMD.COM-35BF857A.pf
NOTEPAD.EXE-189578DA.pf
NOTEPAD.EXE-336351A9.pf
NTOSBOOT-B00DFAAD.pf
OFFICELIVESIGNIN.EXE-042374FE.pf
OTL.EXE-12B49ED6.pf
PROCESS.COM-0458B762.pf
RASAUTOU.EXE-18B88A68.pf
REG.EXE-0D2A95F7.pf
REGEDIT.EXE-1B606482.pf
REGSVR32.EXE-25EEFE2F.pf
RKFREE_SETUP.EXE-0850F94A.pf
RUNDLL32.EXE-11CCD5B1.pf
RUNDLL32.EXE-13DA0E71.pf
RUNDLL32.EXE-14FC201E.pf
RUNDLL32.EXE-17B341D7.pf
RUNDLL32.EXE-2138A4AF.pf
RUNDLL32.EXE-22E35C38.pf
RUNDLL32.EXE-24DBE541.pf
RUNDLL32.EXE-268BFF96.pf
RUNDLL32.EXE-2B4F5F34.pf
RUNDLL32.EXE-2DAF499B.pf
RUNDLL32.EXE-35A6A233.pf
RUNDLL32.EXE-3790AFE6.pf
RUNDLL32.EXE-3AF10E20.pf
RUNDLL32.EXE-3BA0187D.pf
RUNDLL32.EXE-450A0B4A.pf
RUNDLL32.EXE-451FC2C0.pf
RUNDLL32.EXE-46C99E72.pf
RUNDLL32.EXE-4B06AD8F.pf
SED.COM-281CC846.pf
SETPATH.COM-048AD5CE.pf
SPUPDSVC.EXE-21B36524.pf
SSSTARS.SCR-2D6FC20D.pf
SWREG.COM-3A277B41.pf
SWSC.COM-0DAE31A0.pf
SWWHOAMI.COM-284460C9.pf
SYSTEMLOOK.EXE-0F8C1B58.pf
TASKMGR.EXE-20256C55.pf
UNREGMP2.EXE-07CACB61.pf
UPDATE.EXE-013E2DCF.pf
UPDATE.EXE-0E41BB1A.pf
UPDATE.EXE-124B87CA.pf
UPDATE.EXE-131EB843.pf
UPDATE.EXE-1485C678.pf
UPDATE.EXE-1840237D.pf
UPDATE.EXE-1BC150D0.pf
UPDATE.EXE-1D323879.pf
UPDATE.EXE-1DC5814D.pf
UPDATE.EXE-21BB7BAA.pf
UPDATE.EXE-2384DA43.pf
UPDATE.EXE-27E33C28.pf
UPDATE.EXE-2852EDE2.pf
UPDATE.EXE-2DDC6B8B.pf
UPDATE.EXE-3241C08F.pf
UPDATE.EXE-34169F25.pf
UPDATE.EXE-36973203.pf
UPDATE.EXE-3A43BFC4.pf
UPDATE.EXE-3B446165.pf
VERCLSID.EXE-3667BD89.pf
WGATRAY.EXE-0ED38BED.pf
WINDOWS-KB890830-V2.13-DELTA.-1D211604.pf
WINWORD.EXE-29F5CB89.pf
WLCOMM.EXE-04AE9009.pf
WLLOGINPROXY.EXE-2D4B6027.pf
WLTUSER.EXE-05A5B196.pf
WMIPRVSE.EXE-28F301A9.pf
WSCNTFY.EXE-1B24F5EB.pf
WUAUCLT.EXE-399A8E72.pf
XPROC.COM-35533FBD.pf
 
 
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

&#9654 Passer de Avast à AntiVir :

&#9654 Télécharge Désinstalleur d'Avast!.

&#9654 redemarre en mode sans echec :

Comment aller en Mode sans échec 
1) Redémarres ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... ) 
(attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ...) 


&#9654 Désinstalle via Ajout/Suppression de Programmes (si présents) :

    * Avast!


&#9654 ensuite execute le desinstaller
 
Ceci effacera la majorité des traces du produit Avast! d'Alwil Software.

&#9654 redemarre

&#9654 Télécharge Ccleaner sur ton Bureau. : 

  &#9654 Clique sur  "download the latest version"
  &#9654 Installe-le en laissant seulement les options suivantes cochées :

- Ajouter un raccourci sur le Bureau
- Contrôler automatiquement les mises à jour de CCleaner

  &#9654 Lance le Nettoyage
  &#9654 Clique sur Chercher des erreurs et sauvegarde si tu le souhaites.

plus de precision sur la configuration de ccleaner te seront donnees plus tard


 tuto Comment utiliser CCleaner.
***************

&#9654 Télécharge Antivir en Francais ou Antivir en Francais sur ton Bureau.: 



 &#9654 Double clique sur l'exécutable téléchargé pour lancer l'installation.
 &#9654 À la fin de l'installation, clique sur Finish.
 &#9654 Ouvre Antivir, assure-toi qu’il soit bien à jour !
 &#9654 Dans l'onglet Protection Locale, choisis Contrôler.
 &#9654 Active la recherche de rootkits via le + de Recherche de Rootkits, puis dans Sélection manuelle, coche tout (tes partitions de disque dur).
 &#9654 Clique sur la loupe du milieu pour lancer le scan en tant qu'Administrateur.
 &#9654 Poste moi le rapport généré : Pour cela, clique sur l'onglet Aperçu, puis choisis Rapports, tu trouveras son rapport..
 &#9654 Sélectionne le rapport et clique sur l'icône "Afficher le fichier de rapport du rapport sélectionné.


&#9654 Note : Pour une éradication des menaces plus efficace, lance le scan en mode sans échec.

Pourquoi changer ? :Avast Vs Antivir

 Tuto de configuration en vidéo (Merci Nico)

gen-hackman · Answer

aucunement configuré comme demandé

gen-hackman · Answer

ok lol ^^

tu as installé quelle version d'antivir ????????

Steph219 · Answer

Télécharge COMBOFIX que tu va trouver dans le forum et tout tes problêmes  seront réglés..

Chao!!!

gen-hackman · Answer

ouais le pc aussi sera réglé

Combofix n'est pas un jouet , c'est autre qu'un outil genre antivirus

c'est une arme de combat a coté et il faut savoir la gerer

moi-même je n'ai pas tous les rudiments pour utiliser un tel outil dans toutes ses fonctions

tu crois qu'un helpé pourra récuperer son pc s'il plante a cause de l'outil ?

c'est un peu comme si on te file une geithling et que tu n'as jamais tiré

gen-hackman · Answer

ok oui ca va le faire ^^

ça y est mon ordi est infecté !!!!

32 réponses

Votre réponse

Newsletters