Virus qui bloque les sites antivir, le retour

Fermé
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009 - 2 sept. 2009 à 18:39
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 - 14 sept. 2009 à 14:17
Bonjour,

j'ai un probleme qui me semble t il est tres similaire a manu (https://forums.commentcamarche.net/forum/affich-10194844-virus-qui-bloque-les-sites-antivirus cad un virus sans doute qui bloque l'acces aux sites d'antivirus, et donc les mises a jour, et qui n'est pas detecte par mon norton 2009

j'ai lance hijackthis, dont je poste le rapport ci dessous, puis ai essayé de lancer combofix, mais il s'affiche le message d'erreur suivant
ALERT it is not safe to continue ! the contents of the combofix package has been compromised prease download a fresh copy from ....
note : you may be infected with a file patching virus "virut"

si quelqu'un pouvait me decrypter le rapport hijackthis, et m'indique les etapes suivantes...
merci infiniment par avance

antoine

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:39:06, on 02/09/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18294)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\ASUS\Net4Switch\Net4Switch.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\Java\jre6\bin\jucheck.exe
C:\Windows\explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\Peyo\Desktop\downloads\hijackthis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail?u=http%253A//webtv.guidetv.orange.fr/home.do%253Bjsessionid%253D4A54D5011736D1E0B9E3E63EF7CEDA13.otv-as04a
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.asus.com/fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [AsInstCD] C:\Preload\Patch\ASINST.EXE /inst
O4 - HKLM\..\Run: [HControlUser] C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\AsScrPro.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [Application Restart #2] C:\Program Files\Windows Sidebar\sidebar.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Application Restart #2] C:\Program Files\Windows Sidebar\sidebar.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab
O16 - DPF: {9DF1C00D-8426-4337-972C-DC042D19A916} (FTMediaPlayer Class) - http://webtv.guidetv.orange.fr/resources/OCS_8971.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: ADSM Service ADSMServiceAeLookupSvc (ADSMServiceAeLookupSvc) - Unknown owner - C:\Windows\TEMP\ghrhrneony.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Planificateur LiveUpdate automatique (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: sofatnet Service (sofatnet) - Sigma Designs In - C:\Windows\system32\sofatnet.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

54 réponses

antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
9 sept. 2009 à 18:44
Pour info voila ce qui s'affiche dans la colonne results juste avant le plantage :
DllUnregisterServer procedure not found in C:\Windows\System32\kbiwkmashqvicn.dll
C:\Windows\System32\kbiwkmashqvicn.dll NOT unregistered
est ce que je dois supprimer cette ligne du code ?
merci d'avance
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
9 sept. 2009 à 19:03
oui vire ces fichiers si tu peux

[26/08/2009 17:23|--a------|43008] C:\Windows\System32\kbiwkmashqvicn.dll
[02/09/2009 15:38|--a------|43] C:\Windows\System32\kbiwkmbifruvtu.dat
[26/08/2009 17:23|--a------|19456] C:\Windows\System32\kbiwkmbwpiipvr.dll
[02/09/2009 15:42|--a------|86277] C:\Windows\System32\kbiwkmrfoycqrd.dat
[02/09/2009 17:11|--a------|0] C:\Windows\System32\drivers\kbiwkmcepdiieo.sys
[02/09/2009 17:11|--a------|0] C:\Windows\System32\Drivers\kbiwkmcepdiieo.sys




mais peut tu faire killfix???


_______________

si OTM et killfix passent pas

alors:



Télécharge Rooter de l'équipe IDN sur ton bureau :

https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2

! Déconnecte toi d'internet et ferme toutes applications en cours !


* Exécute Rooter et laisse travailler l'outil .

* Une fois terminé, poste le rapport obtenu pour analyse ...
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
9 sept. 2009 à 19:35
ah excuse moi je n'avais pas vu ton msg precedent (2eme page !)
alors combofix/killfix, comme precedemment, l'appli se bloque en me disant que le package a sans doute ete infecte par virut
bon et bien je lance rooter
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
9 sept. 2009 à 19:39
hum hum... rooter ne veut pas se lancer : msg d'erreur windows :
rooter.exe a cessé de fonctionné, windows recherche une solution au probleme........

effectivement il est sacrement tenace....

(a noter que j'ai pu malgré tout virer les fichiers dont on a parlé plus haut)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
9 sept. 2009 à 19:57
retente de faire OTM


et recolle un rapport usbfix option 1
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
9 sept. 2009 à 20:07
ok
voici deja le rapport OTM

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
========== SERVICES/DRIVERS ==========
Service\Driver kbiwkmcepdiieo not found.
Service\Driver kbiwkmcepdiieo not found.
========== FILES ==========
File/Folder C:\Windows\System32\kbiwkmashqvicn.dll not found.
File/Folder C:\Windows\System32\kbiwkmbifruvtu.dat not found.
File/Folder C:\Windows\System32\kbiwkmbwpiipvr.dll not found.
File/Folder C:\Windows\System32\kbiwkmrfoycqrd.dat not found.
File/Folder C:\Windows\System32\drivers\kbiwkmcepdiieo.sys not found.
File/Folder C:\Windows\System32\Drivers\kbiwkmcepdiieo.sys not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Peyo
->Temp folder emptied: 875727 bytes
->Temporary Internet Files folder emptied: 27440914 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 41841960 bytes

User: Public

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
File delete failed. C:\Windows\temp\JETB579.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\mta109725.dll scheduled to be deleted on reboot.
Windows Temp folder emptied: 1166336 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 68,02 mb


OTM by OldTimer - Version 3.0.0.6 log created on 09092009_200208

Files moved on Reboot...
File C:\Windows\temp\JETB579.tmp not found!
C:\Windows\temp\mta109725.dll unregistered successfully.
C:\Windows\temp\mta109725.dll moved successfully.

Registry entries deleted on Reboot...
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
9 sept. 2009 à 20:19
et voici le rapport usbfix


############################## | UsbFix V6.028 |

User : Peyo (Administrateurs) # PC-DE-PEYO
Update on 08/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:09:06 | 09/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU T5850 @ 2.16GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Disabled
AV : Norton Internet Security 15.5.0.23 [ (!) Disabled | (!) Outdated ]
FW : Norton Internet Security[ (!) Disabled ]15.5.0.23

C:\ -> Disque fixe local # 160,77 Go (14 Go free) [VistaOS] # NTFS
D:\ -> Disque fixe local # 137,32 Go (78 Go free) [Data] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3,72 Go (2,8 Go free) [IPOD (JU)] # FAT32
H:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\ASUS\SmartLogon\smartlogon.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\Net4Switch\Net4Switch.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\sofatnet.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\ASUS\ATK Hotkey\MsgTranAgt.exe
C:\Program Files\ASUS\ATK Hotkey\HControl.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Windows\System32\ACEngSvr.exe
C:\Windows\system32\WUDFHost.exe
C:\Program Files\ASUS\ATK Hotkey\ATKOSD.exe
C:\Program Files\ASUS\ATK Hotkey\KBFiltr.exe
C:\Program Files\ASUS\ATK Hotkey\WDC.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files\ASUS\ATKOSD2\ATKOSD2.exe
C:\Windows\System32\rundll32.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Windows\AsScrPro.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnetwk.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Présent ! G:\autorun.inf
Présent ! G:\RunDll32.exe

################## | Suspect ! ... | https://www.virustotal.com/gui/ |

C:\Windows\System32\kbiwkmlog.dat

################## | Registre # Clés Run infectieuses |

Présent ! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr"

################## | Registre # Mountpoints2 |


################## | ! Fin du rapport # UsbFix V6.028 ! |
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
9 sept. 2009 à 20:24
ok

vire ceci kbiwkmlog.dat


C:\Windows\System32\kbiwkmlog.dat

puis fais usbfix option 2 et colle le rapport



puis tente de faire combofix ou killfix
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
9 sept. 2009 à 20:40
ok voila pour usbfix
je tente combofix


############################## | UsbFix V6.028 |

User : Peyo (Administrateurs) # PC-DE-PEYO
Update on 08/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 20:34:54 | 09/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Intel(R) Core(TM)2 Duo CPU T5850 @ 2.16GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6001 32-bit) # Service Pack 1
Internet Explorer 7.0.6001.18000
Windows Firewall Status : Disabled
AV : Norton Internet Security 15.5.0.23 [ Enabled | (!) Outdated ]
FW : Norton Internet Security[ (!) Disabled ]15.5.0.23

C:\ -> Disque fixe local # 160,77 Go (13,99 Go free) [VistaOS] # NTFS
D:\ -> Disque fixe local # 137,32 Go (78 Go free) [Data] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque amovible # 3,72 Go (2,8 Go free) [IPOD (JU)] # FAT32
H:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
C:\Program Files\ASUS\ATK Hotkey\ASLDRSrv.exe
C:\Program Files\ATKGFNEX\GFNEXSrv.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\ASUS\SmartLogon\smartlogon.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\ASUS\SmartLogon\sensorsrv.exe
C:\Program Files\ASUS\Net4Switch\Net4Switch.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\sofatnet.exe
C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\ASUS\ATK Hotkey\MsgTranAgt.exe
C:\Program Files\ASUS\ATK Hotkey\HControl.exe
C:\Program Files\Wireless Console 2\wcourier.exe
C:\Program Files\P4G\BatteryLife.exe
C:\Program Files\ASUS\Splendid\ACMON.exe
C:\Windows\System32\ACEngSvr.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Program Files\Norton Internet Security\WSCStub.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\ASUS\ATK Hotkey\ATKOSD.exe
C:\Program Files\ASUS\ATK Hotkey\KBFiltr.exe
C:\Program Files\ASUS\ATK Hotkey\WDC.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\PresentationSettings.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! G:\autorun.inf
Supprimé ! G:\RunDll32.exe

################## | Registre # Clés Run infectieuses |

Supprimé ! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System "DisableTaskMgr"
Supprimé ! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer "NoFolderOptions"

################## | Registre # Mountpoints2 |


################## | Listing des fichiers présent |

[09/09/2009 13:10|--a------|716] C:\1022,913.exe
[03/09/2009 18:20|--a------|204] C:\8954,736.exe
[08/09/2009 09:02|--a------|860] C:\9622,767.exe
[18/09/2006 23:43|--a------|24] C:\autoexec.bat
[21/01/2008 04:24|-rahs----|333203] C:\bootmgr
[16/04/2008 13:27|-ra-s----|8192] C:\BOOTSECT.BAK
[04/04/2007 21:01|--a------|19] C:\CA21.txt
[18/09/2006 23:43|--a------|10] C:\config.sys
[16/08/2009 08:15|--a------|26975] C:\GF_Excpt.txt
[?|?|?] C:\hiberfil.sys
[02/09/2009 16:23|-rahs----|0] C:\IO.SYS
[11/08/2008 15:50|---------|1048576] C:\M50V.BIN
[16/09/2008 08:48|---------|14] C:\M50VN_M50VM_M50VC_VISTA.30
[02/09/2009 16:23|-rahs----|0] C:\MSDOS.SYS
[29/02/2004 17:44|--a------|52576] C:\orange.bmp
[?|?|?] C:\pagefile.sys
[16/09/2008 08:48|---------|21] C:\RECOVERY.DAT
[24/06/2009 11:14|--a------|560] C:\RHDSetup.log
[24/06/2009 11:30|--a------|159] C:\setup.log
[24/06/2009 12:33|--ah-----|46] C:\splash.idx
[09/09/2009 20:37|--a------|4638] C:\UsbFix.txt
[05/09/2008 13:57|--ah-----|4112] C:\version
[22/04/2009 04:42|--a------|1618] G:\BOOTEX.LOG
[12/09/2007 15:07|--ah-----|82] G:\._iPod_Control
[25/01/2007 22:09|--ah-----|15364] G:\.DS_Store
[21/01/2008 04:24|--ah-----|45568] G:\GFNEXSRV.EXE
[09/09/2009 01:02|--a------|781909] G:\RSIT.exe
[21/01/2008 04:24|--ah-----|45568] G:\DLLHOST.EXE
[21/01/2008 04:24|--ah-----|45568] G:\SOFATNET.EXE
[19/12/2006 22:31|--a------|36997] G:\.VolumeIcon.icns
[19/12/2006 22:32|--a------|82] G:\._.VolumeIcon.icns
[09/09/2009 01:06|--a------|3916752] G:\mbam-setup.zip
[21/01/2008 04:24|--ah-----|45568] G:\WMPLAYER.EXE
[21/01/2008 04:24|--ah-----|45568] G:\ATBROKER.EXE
[21/01/2008 04:24|--ah-----|45568] G:\ACOVCNT.EXE
[26/01/2007 15:19|---hs----|348160] G:\msvcr71.dll
[01/02/2007 17:59|--a------|5] G:\RavMonLog

################## | Upload |

Veuillez envoyer le fichier : C:\Users\Peyo\Desktop\UsbFix_Upload_Me_PC-de-Peyo.zip : https://www.androidworld.fr/
Merci pour votre contribution .

################## | ! Fin du rapport # UsbFix V6.028 ! |
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
9 sept. 2009 à 20:45
alors maintenant pour combofix, en plus du message d'alerte de d'habiture (le paquage a ete corrompu sans doute par virut), j'ai ceci : windows ne trouve pas 32788r22fwjfw\hidec.exe. verifiez que vous avez entré le nom correct puis reessayez
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
9 sept. 2009 à 20:46
ok tente combofix


tu peux analyser par la suite ces 3 fichiers sur virus total et me coller les rapports: https://www.virustotal.com/gui/
C:\1022,913.exe
C:\8954,736.exe
C:\9622,767.exe
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
9 sept. 2009 à 20:47
et le lien killfix marche ou pas? tu peux le lancer celui là?
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
9 sept. 2009 à 20:49
et evidemment je ne peux pas acceder a la page de virustotal !
mon dieu ce que c'est chiant ! en tout cas merci encore pour toute ton aide
c'est une appli a telecharger ou un scan en ligne ? si c'est a telecharger j'irai demain dans un cyber café
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
9 sept. 2009 à 20:54
j'ai le meme probleme avec killfix qu'avec combo
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
10 sept. 2009 à 18:15
salut jlp
je suis allé aujourd'hui depuis un autre ordi sur virustotal.com, mais effectivement il s'agit d'un scan en ligne, donc rien a faire si je ne peux pas y acceder depuis mon ordi...
aurais tu une autre suggestions ?
0
jlpjlp Messages postés 51574 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 042
11 sept. 2009 à 13:15
scan avec super antispyware et colle le rapport

https://www.malekal.com/?s=SUPERAntiSpyware


__________

scan avec GMER et colle le rapport

http://forum.malekal.com/ftopic3218.php
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
11 sept. 2009 à 15:24
voici deja le rapport Superantispyware

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 09/11/2009 at 03:08 PM

Application Version : 4.28.1010

Core Rules Database Version : 4085
Trace Rules Database Version: 1978

Scan type : Complete Scan
Total Scan Time : 00:53:25

Memory items scanned : 865
Memory threats detected : 3
Registry items scanned : 6670
Registry threats detected : 5
File items scanned : 25193
File threats detected : 13

Trojan.Agent/Gen-Bongl[L]
C:\WINDOWS\TEMP\MSXM192Z.DLL
C:\WINDOWS\TEMP\MSXM192Z.DLL
[ter8m] C:\WINDOWS\TEMP\MSXM192Z.DLL
[ter8m] C:\WINDOWS\TEMP\MSXM192Z.DLL
[ter8m] C:\WINDOWS\TEMP\MSXM192Z.DLL
C:\_OTM\MOVEDFILES\09092009_133633\WINDOWS\TEMP\MSXM192Z.DLL

Trojan.Agent/Gen-Refpro[New]
C:\WINDOWS\SYSTEM32\EVDOSERVER.DLL
C:\WINDOWS\SYSTEM32\EVDOSERVER.DLL

Trojan.Agent/Gen-SigmaF[SO]
C:\WINDOWS\SYSTEM32\SOFATNET.EXE
C:\WINDOWS\SYSTEM32\SOFATNET.EXE
C:\Windows\Prefetch\SOFATNET.EXE-B6415FA7.pf

Adware.Tracking Cookie
C:\Users\Peyo\AppData\Roaming\Microsoft\Windows\Cookies\peyo@doubleclick[1].txt
C:\Users\Peyo\AppData\Roaming\Microsoft\Windows\Cookies\Low\peyo@apmebf[1].txt
C:\Users\Peyo\AppData\Roaming\Microsoft\Windows\Cookies\Low\peyo@atdmt[1].txt
C:\Users\Peyo\AppData\Roaming\Microsoft\Windows\Cookies\Low\peyo@boursoramabanque.solution.weborama[2].txt
C:\Users\Peyo\AppData\Roaming\Microsoft\Windows\Cookies\Low\peyo@doubleclick[1].txt
C:\Users\Peyo\AppData\Roaming\Microsoft\Windows\Cookies\Low\peyo@mediaplex[2].txt
C:\Users\Peyo\AppData\Roaming\Microsoft\Windows\Cookies\Low\peyo@weborama[1].txt

Trojan.Agent/Gen-AlerterALG
HKU\.DEFAULT\Software\S45
HKU\S-1-5-18\Software\S45

Trojan.Agent/Gen
C:\_OTM\MOVEDFILES\09092009_133633\WINDOWS\TEMP\GHRHRNEONY.EXE
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
11 sept. 2009 à 16:08
en revanche GMER plante systematiquement apres quelques dizaines de secondes. j'ai meme tenté en mode sans echec, rien a faire, je me retrouve meme parfois avec ecran bleu et plantage de l'ordi...

j'ai voulu regarder si une restauration systeme pourrait regler nos problemes, mais mon dernier point de restauration date seulement d'hier !
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
11 sept. 2009 à 17:53
mea culpa : j'ai supprime le fichier infecte par un rootkit detecté au demarrage, et depuis ca a l'air de tourner sans probleme. je te poste le rapport des que c'est terminé
0
antoine136 Messages postés 44 Date d'inscription mardi 16 juin 2009 Statut Membre Dernière intervention 13 septembre 2009
11 sept. 2009 à 18:23
GMER 1.0.15.15077 [7utm8ysg.exe] - http://www.gmer.net
Rootkit scan 2009-09-11 18:07:45
Windows 6.0.6001 Service Pack 1


---- System - GMER 1.0.15 ----

SSDT 921F7650 ZwAlertResumeThread
SSDT 921F7730 ZwAlertThread
SSDT 92118450 ZwAllocateVirtualMemory
SSDT 91A36A88 ZwAlpcConnectPort
SSDT 921F73A0 ZwCreateMutant
SSDT 921F79F8 ZwCreateThread
SSDT 921E7E48 ZwDebugActiveProcess
SSDT 92137160 ZwFreeVirtualMemory
SSDT 921F7490 ZwImpersonateAnonymousToken
SSDT 921F7570 ZwImpersonateThread
SSDT 92137080 ZwMapViewOfSection
SSDT 921F72C0 ZwOpenEvent
SSDT 92118520 ZwOpenProcessToken
SSDT 921E7F28 ZwOpenSection
SSDT 92137C80 ZwOpenThreadToken
SSDT 92064910 ZwResumeThread
SSDT 921379B8 ZwSetContextThread
SSDT 92137D70 ZwSetInformationProcess
SSDT 921378C8 ZwSetInformationThread
SSDT 921E7008 ZwSuspendProcess
SSDT 92137708 ZwSuspendThread
SSDT \??\C:\Program Files\SUPERAntiSpyware\SASKUTIL.sys ZwTerminateProcess [0x988880B0]
SSDT 921377E8 ZwTerminateThread
SSDT 92118390 ZwUnmapViewOfSection
SSDT 92137008 ZwWriteVirtualMemory

INT 0x72 ? 87152BF8
INT 0x82 ? 87152BF8
INT 0x92 ? 87152BF8
INT 0x92 ? 87152BF8
INT 0xB2 ? 85526BF8
INT 0xB2 ? 87152BF8
INT 0xB2 ? 87152BF8
INT 0xB2 ? 85526BF8
INT 0xB3 ? 87152BF8

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetTimerEx + 350 820C7914 8 Bytes [50, 76, 1F, 92, 30, 77, 1F, ...] {PUSH EAX; JBE 0x22; XCHG EDX, EAX; XOR [EDI+0x1f], DH; XCHG EDX, EAX}
.text ntkrnlpa.exe!KeSetTimerEx + 364 820C7928 4 Bytes [50, 84, 11, 92] {PUSH EAX; TEST [ECX], DL; XCHG EDX, EAX}
.text ntkrnlpa.exe!KeSetTimerEx + 370 820C7934 4 Bytes [88, 6A, A3, 91] {MOV [EDX-0x5d], CH; XCHG ECX, EAX}
.text ntkrnlpa.exe!KeSetTimerEx + 428 820C79EC 4 Bytes [A0, 73, 1F, 92]
.text ntkrnlpa.exe!KeSetTimerEx + 454 820C7A18 4 Bytes [F8, 79, 1F, 92] {CLC ; JNS 0x22; XCHG EDX, EAX}
.text ...
? System32\Drivers\spxm.sys Le chemin d'accès spécifié est introuvable. !
.text USBPORT.SYS!DllUnload 8E43246F 5 Bytes JMP 871521D8
.text a4vlr9up.SYS 8E5A1000 22 Bytes [26, F2, 3C, 82, 10, F1, 3C, ...]
.text a4vlr9up.SYS 8E5A1017 83 Bytes [00, 32, D7, 79, 80, 3D, D5, ...]
.text a4vlr9up.SYS 8E5A106B 61 Bytes [82, 30, 2C, 06, 82, D8, 28, ...]
.text a4vlr9up.SYS 8E5A10A9 35 Bytes [20, 06, 82, A0, 17, 06, 82, ...]
.text a4vlr9up.SYS 8E5A10CE 10 Bytes [00, 00, 00, 00, 00, 00, 02, ...]
.text ...
0