Virus virus win 32

jess72 -  
 Albator -
Bonjour,
Bonjour,
j'ai un virus win 32 et je n'arrive pas à m'en débarassez pouvez vous m'aidez s'il vous plait je vous le rapport

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:25:46, on 28/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\windows\pp11.exe
C:\windows\freddy60.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\websrvx\websrvx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName

= Liens
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no

file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -

C:\Program Files\Fichiers

communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no

file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program

Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software

Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [sysldtray] C:\windows\ld14.exe
O4 - HKLM\..\Run: [pp] C:\windows\pp11.exe
O4 - HKLM\..\Run: [sysfbtray] C:\windows\freddy60.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows

Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE

(User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program

Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel -

res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O17 -

HKLM\System\CCS\Services\Tcpip\..\{E3A188A2-9D22-42C4-BB31-9BE4CDA087F3

}: NameServer = 212.27.40.240,212.27.40.241
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software

- C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program

Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program

Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program

Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: websrvx - Unknown owner - C:\Program

Files\websrvx\websrvx.exe
Configuration: Windows XP Internet Explorer 6.0

7 réponses

  1. Albator
     
    bonjours

    Procédure de téléchargement de ComboFix.exe.
    • Faites un clic-droit sur le lien de ComboFix (par sUBs) >>
    >> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    • Sélectionnez soit avec :
    - Internet Explorer : Enregistrer la cible sous...
    - Firefox : Enregistrer la cible du lien sous...

    ► Renommer ComboFix.exe pour CB-F.exe et sauvegarder le sur votre bureau.

    Procédures d'utilisation de ComboFix exe

    /|\ Désactivez votre antivirus, spybot et autre protection..
    /|\ Fermez tous les applications, n'ouvrez aucun programmes,
    /|\ Si ComboFix a besoin de redémarrer, laisser le aller.

    Double-cliquer sur Combofix et [Exécuter]
    • Si vous utilisez Windows Vista, cliquer sur le bouton [Continuer],
    • À la ’’Limitation de garantie du logiciel’’ -> [Oui],
    • Installerez la ’’Console de récupération’’ -> [Oui], ( <--IMPORTANT)
    • Attendre la fermeture de l’outil (plus d’une 40aines d’étapes).

    /|\ Notez qu'une fois que vous avez lancé ComboFix,
    /|\ Vous ne devez pas cliquer dans la fenêtre de ComboFix,

    ► Utiliser C-Joint pour créer une page Web du rapport ComboFix

    Réactiver l'antivirus et autre protection.

    Comment poster les rapports avec C-Joint.
    • Aller sur le site : https://www.cjoint.com/
    • Appuyez sur [Choisir le fichier] et chercher les rapports sur le disque,
    • Ensuite appuyez sur [Créer le lien CJoint],
    >> dans la page suivante --> une adresse http//..... sera créé,,
    • Copier/coller cette adresse dans votre prochain message.

    • Recommencez cette procédure pour l'autre rapport..
    0
  2. Albator
     
    • Sélectionnez les lignes suivantes :

    file::
    c:\windows\ectbbyn.dat
    c:\windows\ex1234.dat
    c:\windows\ex23567.dat

    registry::
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "53:TCP"=-
    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "8085:TCP"=-


    • Copiez le texte sélectionné (CTRL+C).
    • Ouvrez le Bloc-notes (programme>Accessoires >bloc-notes).
    • Collez le texte copié dans ce Bloc-notes (CTRL+V).
    • Sauvegarder sur votre Bureau ce fichier sous le nom de CFScript.txt

    Désactiver votre antivirus et tout logiciels de protection.

    • Par un clic glisser/ déposer le fichier CFScript.txt sur l’icône ComboFix sur votre Bureau.
    Telque l'image : http://img530.imageshack.us/img530/204/cfscriptdd4.gif

    >> Un "pop-up" va apparaître qui dit que "la version ComboFix est utilisé à vos risques et avec aucune garantie..".
    • Acceptez en cliquant sur "Oui"

    >> Une fenêtre bleue va apparaître avec le message : Type 1 to continue, or 2 to abort ,
    • Entrez 1 et validez.
    >>> Patientez le temps du scan. <<<
    Le Bureau va disparaître à plusieurs reprises : c'est normal!

    >> Après le scan, il est possible que ComboFix ait besoin de redémarrer le PC,
    • Laissez-le aller.

    >> Une fois complèté, un rapport va s'afficher.
    Postez le contenu de ce rapport avec C-joint (C:\ComboFix.txt ).

    Réactiver votre antivirus et autre protection.

    Supprimer ComboFix en copiant/ collant dans Démarrer -> Exécuter : ComboFix /u et valider.
    Ensuite aller vérifier/supprimer les répertoires C:\Combofix - Qoobox
    ______________________________________________________________

    Téléchargez Malwarebytes : http://www.malwarebytes.org/mbam.php
    • Lancez l'installation,
    • Dans [Settings] vous pouvez mettre en Français.
    • Faites la mise à jours de Malwarebytes.
    • Dans [Recherche] sélectionnez [Exécuter un examen Complet],
    • Après le scan, appuyer sur >>>>> [Supprimer la sélection].
    >> Redémarrer si nécessaire..
    Postez le rapport de Malwarebytes.
    ______________________________________________________________

    Téléchargez RSIT (de random/random) sur votre bureau :
    http://images.malwareremoval.com/random/RSIT.exe
    • Double cliquez sur RSIT.exe,
    • Appuyez sur [Continue] à l'écran « Disclaimer »,
    • RSIT téléchargera HijackThis (s’il n’est pas installé) -> acceptez la licence,
    >> le rapport Log.txt va s'ouvrir à l'écran..
    Postez ce rapport Log.txt avec C-Joint
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. jess72
     
    raport de l'analyse avec malwarebytes

    Malwarebytes' Anti-Malware 1.40
    Version de la base de données: 2708
    Windows 5.1.2600 Service Pack 2

    28/08/2009 15:09:52
    mbam-log-2009-08-28 (15-09-52).txt

    Type de recherche: Examen complet (C:\|)
    Eléments examinés: 104355
    Temps écoulé: 8 minute(s), 10 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 1
    Elément(s) de données du Registre infecté(s): 2
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\ddnsfilter (Trojan.DNSChanger) -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\ectbbyn.dat (KoobFace.Trace) -> Quarantined and deleted successfully.
    C:\WINDOWS\0535251103110107106.yux (KoobFace.Trace) -> Quarantined and deleted successfully.
    0
  5. Albator
     
    Bizarre que le fichier CfScript.txt n'ait pas fonctionné. Y aviez vous copier le contenu proposé ?
    Anyway ce n'était que des traces d'infections, et Malwarebtes en a ramassé quelques unes.
    Si ce n'est fait, Supprimer ComboFix telque la procédure le suggère.
    E n'utilisez pas ce logiciel sans qu'il vous le soit proposé sur un forum de sécurité.
    ___________________________________

    • Lancez quelques nettoyages successifs du registre avec CCleaner, pour nettoyer les traces de l'infection.

    Mettez à jours Adobe : https://get2.adobe.com/reader/otherversions/
    ► À utiliser/vérifier aux 30jours.
    Important pour prévenir les failles de sécurités des logiciels ayant un accès à Internet.

    • Lancez un windows Update, qui va vérifier des fichiers système qui ont été modifier.
    L'ont t-il été par l'infection ou suite à mises à jours Windows ?
    Windows Update devrait les controler !
    0