Trouver un keylogger très genant ...

Sensei -  
 Sensei -
Bonjour,

Mon OS : windows XP pro
j'utilise mozilla firefox.

Alors voila j'ai un soucis assez sérieux.
J'ai sur mon PC un keylogger qui envoie mes informations personnelles ( un mot de passe entre autre ). Ce qui permet aux pirates d'accéder à un compte d'un jeu en ligne pour tout y détruire. J'ai déjà fait appel plusieurs fois au service de remboursement pour me restituer ce qu'ils me détruisent mais ils vont finir par se lasser, car ça fait trois fois ... à chaque fois ils doivent réinitialiser le mot de passe, faire des recherches pour voir ce qu'ils m'ont pris etc...

Alors entre ces 3 attaques, j'ai tout essayé pour le trouver et le supprimer : ad ware, spybot, avast, malewarebyte, etc...
Cela m'a permis de trouver pleins de petites choses gênantes, mais toujours pas ce Keylogger.
Je ne sais pas du coup à quoi il ressemble donc même si je le trouvais, je ne pourrais pas le savoir :(.

J'ai aussi formater mon disque contenant windows et celui contenant le jeu en lui même, j'ai tout réinstallé. Je possède encore un autre disque interne et 2 disques externes (usb). ces derniers , je ne peux pas me permettre de les formater complètement ( trop de données).

Je sais que par moment des fichiers bizarres viennent s'installer tout seul dans le répertoire racine de windows ( 4 chiffres, 3 chiffres aléatoires ). ils s'exécutent tout seul car je les vois apparaître en processus. Pour l'instant je les ai supprimés, mais ils sont susceptibles de revenir... cela fait 4-5 fois que je les supprime.

j'ai aussi un truc bizarre dans mon démarrage ( visible avec msconfig ) : msxm192z.dll, w que j'ai décoché pour le moment ...

Quelqu'un aurait l'habitude de ce genre de soucis et pourrait-il me donner son avis ?

Merci d'avance.
Configuration: Windows XP
Firefox 3.0.14

30 réponses

  • 1
  • 2
Résumé de la discussion

La problématique porte sur la détection et l’élimination d’un keylogger sous Windows XP utilisé avec Firefox, capable de voler des mots de passe et d’ouvrir l’accès à des comptes. Des mesures essentielles doivent être mises en œuvre : mettre à jour Windows et les applications, installer un antivirus fiable et un pare-feu efficace, puis compléter par un antispyware. Des outils comme Malwarebytes' Anti-Malware et Spyware Terminator aident au nettoyage, et il faut contrôler les éléments de démarrage suspects tels que reader_s.exe et servises.exe, qui peuvent se lancer automatiquement. D'autres éléments utiles signalent que des infections peuvent persister sur des disques externes ou des partitions et réapparaître après réinstallation, d'où une analyse approfondie des supports amovibles recommandée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    En effet c'est ok, faudra faire plus attention maintenant, et surtout, vu que tu viens de reformater, met ton système à jour de suite ! c'est primordial si tu veux pas revenir ici dans une semaine. Je vais quand même te passer un peu de lecture :

    -+-+-+-> Sécuriser son PC <-+-+-+-

    I - Attitude sur le net

    - Sécuriser son PC, c'est tout d'abord être responsable.

    1-> Les sites de cracks sont à bannir ( Plus d'infos ici : https://forum.malekal.com/viewtopic.php?f=33&t=893 )

    2-> Le P2P est également à éviter, source de nombreuses infections. ( Bagle par ex.) ( Plus d'infos ici : http://www.libellules.ch/... )

    3-> Il est aussi très important de faire toutes les mises à jour de windows, qui sont nécessaire pour corriger les failles. ( IE, Mises à jour critiques, Service Pack etc.. ) ( Pourquoi mettre à jour son système : http://forum.malekal.com/ftopic3563.php )

    4-> Adobe flash player, Java , et acrobat reader sont également à mettre à jour, pour éviter les exploits ( https://forum.malekal.com/viewtopic.php?f=33&t=13629 )

    ======================================================================

    II - Logiciels de protection

    - Il faut ensuite avoir un bon antivirus, je recommande antivir qui est l'un de meilleur antivirus gratuit à ce jour ( et qui plus est en français ) :

    Pour le télécharger --> http://www.commentcamarche.net/telecharger/telecharger-55-antivir

    - Un bon pare-feu est aussi de rigueur, je recommande Comodo ( gratuit ) ou ZoneAlarm ( payant )

    Comodo : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/

    ZoneAlarm : https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/

    - Pour complèter le tout, un anti-spyware est recommandé.

    Malwarebyte's : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    SpywareTerminator ( Protection en temps réel ) : https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/

    ======================================================================

    III - Liens utiles

    -> Malekal - Sécuriser son PC : https://www.malekal.com/proteger-pc-virus-pirates/

    -> Malekal - Les spywares/vers/malwares sous windows : http://www.malekal.com/spywares.php

    -> Malekal - Les toolbars : https://forum.malekal.com/viewtopic.php?t=6173&start=
    1
    1. Sensei
       
      bah en + de 13 ans j'avais jamais mis d'antivirus et j'ai jamais eu de soucis comme je viens d'avoir ! :(.

      Ce virus là était particulièrement ch...t

      Merci encore pour les liens ( je vais mettre a jour tout ca a mon aise ) et pour ton aide.
      0
  2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut, commence par faire ceci pour un diagnostic complet de ton PC :

    -+-+-+-> RSIT <-+-+-+-

    [x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe

    [x] Double clique sur " RSIT.exe ".

    [x] Clique sur " Continue ".

    [x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

    [x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

    [x] Copie colle le contenu des deux rapports dans ton prochain message

    [o] Si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit
    0
    1. Sensei
       
      Salut et merci pour ta réponse.

      Le lien semble mort :s. En tout cas je n'arrive pas à la page. Je cherche si je ne le trouve pas ailleurs.
      0
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Le lien marche chez moi..

    Tu as essayé avec quel navigateur ?
    0
    1. Sensei
       
      mozilla firefox





      Adresse introuvable

      Firefox ne peut trouver le serveur à l'adresse images.malwareremoval.com.



      Le navigateur n'a pas pu trouver le serveur hôte pour l'adresse indiquée.

      * Avez-vous fait une erreur en saisissant le nom de domaine ? (par ex. « ww.mozilla.org » au lieu de « www.mozilla.org »)
      * Cette adresse de domaine existe t-elle ? Son enregistrement a peut-être expiré.
      * D'autres sites sont aussi inaccessibles ? Vérifiez la connexion au réseau de votre ordinateur et les paramètres du serveur DNS.
      * Votre ordinateur ou votre réseau est-il protégé par un pare-feu ou un proxy ? Des paramètres incorrects peuvent interférer avec la navigation sur le Web.
      0
  4. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Essaie avec Internet Explorer.

    Sinon tu as un autre PC à portée de main pour mettre sur clé USB RSIT et l'executer sur ce PC ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Sensei
     
    Non, pas d'autre pc sous la main et ça me fait la même chose sous internet explorer :/ ...

    Je pense que j'ai un gros soucis :p...

    J'ai installé pleins d'antivirus etc.. penses-tu que ça peut bloquer les téléchargements ?
    0
  7. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Plusieurs antivirus = conflits.

    Tu as quels antivirus ?
    0
    1. Sensei
       
      ad-aware , avast, spybot, malwarebytes
      0
  8. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    ad-aware et spybot à supprimer, tu as fais un scan avec malwarebyte's récemment ? peux-tu poster le rapport ?

    Désinstalle avast et installe antivir à la place.

    Tu arrives à télécharger d'autres logiciels ?
    0
    1. Sensei
       
      c'est en cours, merci de l'attention que tu portes a mon problème. Je te dis quoi quand c'est fait.
      0
      1. Sensei > Sensei
         
        Donc la j'ai viré ceux que tu m'as demandé d'enlever et le test malwarebytes est en cours.

        Après redemarrage, j'ai réussi à télécharger antivir, par contre la page pour le logiciel RSIT reste introuvable pour mon explorateur.
        0
  9. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Télécharge RSIT à partie de ce lien : https://www.cjoint.com/?klojvNzWN2

    ( J'ai volontairement renommé RSIT en CCM.exe )
    0
    1. Sensei
       
      Ca marche avec ce lien, voici les rapports d'analyse.

      log.txt

      Logfile of random's system information tool 1.06 (written by random/random)
      Run by GL at 2009-10-11 14:12:41
      Microsoft Windows XP Professionnel Service Pack 2
      System drive G: has 13 GB (62%) free of 20 GB
      Total RAM: 2047 MB (60% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 14:13:00, on 11/10/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      G:\WINDOWS\System32\smss.exe
      G:\WINDOWS\system32\winlogon.exe
      G:\WINDOWS\system32\services.exe
      G:\WINDOWS\system32\lsass.exe
      G:\WINDOWS\system32\nvsvc32.exe
      G:\WINDOWS\system32\svchost.exe
      G:\WINDOWS\System32\svchost.exe
      G:\WINDOWS\system32\spoolsv.exe
      G:\WINDOWS\system32\svchost.exe
      G:\WINDOWS\system32\FastNetSrv.exe
      G:\WINDOWS\Explorer.EXE
      G:\WINDOWS\system32\wscntfy.exe
      G:\WINDOWS\RTHDCPL.EXE
      G:\WINDOWS\system32\RUNDLL32.EXE
      G:\Program Files\Windows Live\Messenger\msnmsgr.exe
      G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
      G:\Program Files\Windows Live\Contacts\wlcomm.exe
      G:\WINDOWS\System32\svchost.exe
      G:\Program Files\Mozilla Firefox\firefox.exe
      G:\WINDOWS\system32\svchost.exe
      G:\WINDOWS\system32\3.tmp
      G:\WINDOWS\system32\4.tmp
      G:\WINDOWS\system32\wuauclt.exe
      G:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
      G:\WINDOWS\system32\msiexec.exe
      G:\Documents and Settings\GL\Bureau\RSIT.exe
      G:\Program Files\trend micro\GL.exe

      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [10471] G:\WINDOWS\system32\3.tmp.exe
      O4 - HKLM\..\Run: [servises] G:\WINDOWS\system32\servises.exe
      O4 - HKCU\..\Run: [msnmsgr] "G:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="g:\driver nvidia\PhysX_9.09.0814_SystemSoftware.exe"
      O4 - HKLM\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe
      O4 - HKUS\S-1-5-18\..\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'Default user')
      O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'Default user')
      O4 - Global Startup: WiFi Station N.lnk = G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
      O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - G:\WINDOWS\system32\FastNetSrv.exe
      O23 - Service: HerculesWiFi - Unknown owner - G:\WINDOWS\system32\HerculesWiFiService.exe (file missing)
      O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
      0
      1. Sensei > Sensei
         
        voici le rapport de malwarebytes :


        Malwarebytes' Anti-Malware 1.41
        Version de la base de données: 2775
        Windows 5.1.2600 Service Pack 2

        11/10/2009 14:24:16
        mbam-log-2009-10-11 (14-24-07).txt

        Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
        Eléments examinés: 186796
        Temps écoulé: 26 minute(s), 42 second(s)

        Processus mémoire infecté(s): 2
        Module(s) mémoire infecté(s): 1
        Clé(s) du Registre infectée(s): 5
        Valeur(s) du Registre infectée(s): 12
        Elément(s) de données du Registre infecté(s): 0
        Dossier(s) infecté(s): 0
        Fichier(s) infecté(s): 16

        Processus mémoire infecté(s):
        G:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
        G:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.

        Module(s) mémoire infecté(s):
        g:\WINDOWS\system32\BtwSrv.dll (Trojan.Agent) -> No action taken.

        Clé(s) du Registre infectée(s):
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwsrv (Trojan.Agent) -> No action taken.
        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\btwsrv (Trojan.Agent) -> No action taken.
        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\btwsrv (Trojan.Agent) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\reader_s.exe (Trojan.Agent) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\servises.exe (Trojan.Agent) -> No action taken.

        Valeur(s) du Registre infectée(s):
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servises (Trojan.FakeAlert.H) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\servises (Trojan.Agent) -> No action taken.
        HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servises (Trojan.Agent) -> No action taken.
        HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\servises (Trojan.Agent) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> No action taken.
        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> No action taken.

        Elément(s) de données du Registre infecté(s):
        (Aucun élément nuisible détecté)

        Dossier(s) infecté(s):
        (Aucun élément nuisible détecté)

        Fichier(s) infecté(s):
        G:\WINDOWS\system32\servises.exe (Trojan.FakeAlert.H) -> No action taken.
        g:\WINDOWS\system32\BtwSrv.dll (Trojan.Agent) -> No action taken.
        G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0Q7PJIEJ\w[1].bin (Backdoor.Bot) -> No action taken.
        G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GOIQAUD0\w[1].bin (Backdoor.Bot) -> No action taken.
        G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GOIQAUD0\w[2].bin (Backdoor.Bot) -> No action taken.
        G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GOIQAUD0\w[3].bin (Backdoor.Bot) -> No action taken.
        G:\System Volume Information\_restore{63E7413A-01DD-408F-8309-4258C6CD4EFE}\RP11\A0005172.dll (Trojan.Agent) -> No action taken.
        G:\System Volume Information\_restore{63E7413A-01DD-408F-8309-4258C6CD4EFE}\RP11\A0005195.dll (Trojan.Agent) -> No action taken.
        G:\System Volume Information\_restore{63E7413A-01DD-408F-8309-4258C6CD4EFE}\RP11\A0005301.exe (Trojan.Dropper) -> No action taken.
        G:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
        G:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
        G:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.
        G:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
        G:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> No action taken.
        G:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> No action taken.
        G:\Documents and Settings\GL\reader_s.exe (Trojan.Agent) -> No action taken.



        comme d'hab, pleins de trucs qui reviennent a chaque fois.
        0
  10. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     

    2009-10-11 13:56:10 ----A---- G:\WINDOWS\system32\reader_s.exe


    Ca sent le virut à plein nez, la désinfection va être dure.. dans le pire dès cas il faudra passer par un reformatage bas niveau pour supprimer totalement l'infection.

    -------------

    Télécharge rmvirut : https://www.avg.com/fr-fr/free-antivirus-download
    Redémarre en mode sans échec ( tapotte F8 au démarrage puis " mode sans échec " )
    Double clique sur rmvirut et laisse le scan se faire.

    -------------

    # Téléchargez Dr.Web CureIt! sur votre Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
    # Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
    # Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
    # Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
    # Choisissez l'onglet Scanner, et décochez Analyse heuristique.
    # De retour à la fenêtre principale : choisissez Analyse complète.
    # Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
    # Cliquez Oui pour Tout si un fichier est détecté.
    # A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
    # Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
    # Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
    # Fermez Dr.Web CureIt!
    # Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
    # Suite au redémarrage, postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans votre prochaine réponse

    ---------------------

    -+-+-+-+-> ComboFix <-+-+-+-

    [x] Télécharge ComboFIX ( de sUBs ) à cette adresse : [url=https://www.luanagames.com/index.fr.html]CCM2.exe/url

    [x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

    [x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

    [x] Double clique sur " CCM2.exe "

    [x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

    [x] Combofix va maintenant déconnecter ton PC d'internet

    [x] Pendant le scan, ne touche à rien ( souris, clavier )

    [x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

    [o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

    ---------

    Bonne chance ;) J'attend le rapport de Combofix et de DrWebCureIt
    0
    1. Sensei
       
      Ca me fait pareil qu'avec RSIT : page introuvable.
      Si j'essaye avec clic droit + enregistrer sous , ça me dit que le fichier ne peut pas être lu.
      le 3eme j'arrive à l'avoir, je commence donc par celui là.


      Par ailleurs si ce fichier est le keylogger qui m'ennuie. Comment se fait il qu'il revienne à chaque fois ? J'ai formaté par 2x mon G:\ ( contenant windows).
      0
  11. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Virut est un virus assez " puissant ", parfois un formatage simple ne suffit pas à l'éradiquer.

    Passe combofix, on verra si il a " bousillé " les fichiers systeme, je te prépare des liens pour les autres.
    0
    1. Sensei
       
      hum :(...

      je l'exécute et ça me met ça.

      !! ALERTE !! Il est DANGEREUX de continuer!

      Le contenu du paquetage ComboFix a été détérioré.
      Veuillez télécharger un nouvel exemplaire depuis:

      www.bleepingcomputer.com/combofix/how-to-use-combofix

      note: Votre PC est peut-être infecté par un virus modifiant les fichiers, 'virut'


      Ensuite il supprime le .exe de mon bureau.
      0
  12. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    2 minutes je te prépare des liens pour rmvirut et drweb
    0
  13. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Rmvirut : https://www.luanagames.com/index.fr.html

    Commence par passer celui là, ensuite réessaie combofix
    0
    1. Sensei
       
      il n'a rien trouvé avec rmvirut et combofix refuse toujours de fonctionner.
      0
  14. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Repasse un scan malwarebyte's et supprime tout les élements trouvés

    Refais ensuite un log RSIT
    0
    1. Sensei
       
      Le scan m'a retrouvé plus d'infections que la première fois >.<
      De plus ces infections sont à nouveau là après suppression ...

      voici le log.



      Logfile of random's system information tool 1.06 (written by random/random)
      Run by GL at 2009-10-11 16:02:15
      Microsoft Windows XP Professionnel Service Pack 2
      System drive G: has 12 GB (62%) free of 20 GB
      Total RAM: 2047 MB (82% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:02:22, on 11/10/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      G:\WINDOWS\System32\smss.exe
      G:\WINDOWS\system32\winlogon.exe
      G:\WINDOWS\system32\services.exe
      G:\WINDOWS\system32\lsass.exe
      G:\WINDOWS\system32\nvsvc32.exe
      G:\WINDOWS\system32\svchost.exe
      G:\WINDOWS\System32\svchost.exe
      G:\WINDOWS\system32\spoolsv.exe
      G:\WINDOWS\system32\FastNetSrv.exe
      G:\WINDOWS\system32\wscntfy.exe
      G:\WINDOWS\Explorer.EXE
      G:\Program Files\Windows Live\Messenger\msnmsgr.exe
      G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
      G:\WINDOWS\System32\svchost.exe
      G:\Program Files\Windows Live\Contacts\wlcomm.exe
      G:\WINDOWS\system32\svchost.exe
      G:\WINDOWS\system32\3.tmp
      G:\WINDOWS\system32\4.tmp
      G:\WINDOWS\System32\reader_s.exe
      G:\WINDOWS\system32\wuauclt.exe
      G:\Documents and Settings\GL\Bureau\RSIT.exe
      G:\Program Files\trend micro\GL.exe
      G:\WINDOWS\system32\wmdtc.exe

      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [31490] G:\WINDOWS\system32\3.tmp.exe
      O4 - HKLM\..\Run: [reader_s] G:\WINDOWS\System32\reader_s.exe
      O4 - HKLM\..\Run: [servises] G:\WINDOWS\system32\servises.exe
      O4 - HKCU\..\Run: [msnmsgr] "G:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="g:\driver nvidia\PhysX_9.09.0814_SystemSoftware.exe"
      O4 - HKLM\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe
      O4 - HKUS\S-1-5-18\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe (User 'Default user')
      O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'Default user')
      O4 - Global Startup: WiFi Station N.lnk = G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
      O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - G:\WINDOWS\system32\FastNetSrv.exe
      O23 - Service: HerculesWiFi - Unknown owner - G:\WINDOWS\system32\HerculesWiFiService.exe (file missing)
      O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
      0
  15. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    -+-+-+-> OTMoveIt <-+-+-+-

    [x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : https://www.luanagames.com/index.fr.html sur ton Bureau.

    [x] Double-clique sur OTMoveIt.exe.

    [x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

    [x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved


    :processes
    explorer.exe
    reader_s.exe
    4.tmp
    3.tmp

    :reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "reader_s"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "servises"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    "servises"=-
    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "reader_s"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ter8m]
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "31490"=-

    :files
    g:\windows\system32\reader_s.exe
    g:\windows\system32\servises.exe
    g:\windows\system32\reader_s.exe
    g:\windows\system32\servises.exe
    g:\windows\system32\reader_s.exe
    G:\WINDOWS\system32\*.tmp
    G:\WINDOWS\system32\msxm192z.dll
    G:\WINDOWS\system32\76078.BAT
    G:\WINDOWS\system32\wmdtc.exe

    :commands
    [emptytemp]
    [purity]
    [start explorer]



    [x] Clique sur MoveIt! pour lancer la suppression.

    [x] Si OTMoveIt propose de redémarrer ton PC, accepte.

    [x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

    [x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles

    ------------

    Reposte ensuite un RSIT
    0
    1. Sensei
       
      Voila.

      Dans le log du "moveit", il prétend ne pas trouver le reader.exe , il a supprimé les tmp, mais ils sont revenus !! :(.

      Logfile of random's system information tool 1.06 (written by random/random)
      Run by GL at 2009-10-11 16:27:49
      Microsoft Windows XP Professionnel Service Pack 2
      System drive G: has 13 GB (62%) free of 20 GB
      Total RAM: 2047 MB (81% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 16:27:58, on 11/10/2009
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      G:\WINDOWS\System32\smss.exe
      G:\WINDOWS\system32\winlogon.exe
      G:\WINDOWS\system32\services.exe
      G:\WINDOWS\system32\lsass.exe
      G:\WINDOWS\system32\nvsvc32.exe
      G:\WINDOWS\system32\svchost.exe
      G:\WINDOWS\System32\svchost.exe
      G:\WINDOWS\system32\spoolsv.exe
      G:\WINDOWS\system32\svchost.exe
      G:\WINDOWS\system32\FastNetSrv.exe
      G:\WINDOWS\Explorer.EXE
      G:\WINDOWS\system32\wscntfy.exe
      G:\WINDOWS\System32\svchost.exe
      G:\WINDOWS\System32\svchost.exe
      G:\WINDOWS\System32\svchost.exe
      G:\WINDOWS\System32\svchost.exe
      G:\WINDOWS\system32\svchost.exe
      G:\WINDOWS\system32\3.tmp
      G:\WINDOWS\system32\4.tmp
      G:\WINDOWS\System32\reader_s.exe
      G:\WINDOWS\System32\reader_s.exe
      G:\Program Files\Windows Live\Messenger\msnmsgr.exe
      G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
      G:\WINDOWS\System32\svchost.exe
      G:\Program Files\Windows Live\Contacts\wlcomm.exe
      G:\WINDOWS\system32\wuauclt.exe
      G:\WINDOWS\system32\wuauclt.exe
      G:\Documents and Settings\GL\Bureau\RSIT.exe
      G:\Program Files\trend micro\GL.exe
      G:\Program Files\Mozilla Firefox\firefox.exe

      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
      O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
      O4 - HKLM\..\Run: [31564] G:\WINDOWS\system32\3.tmp.exe
      O4 - HKLM\..\Run: [reader_s] G:\WINDOWS\System32\reader_s.exe
      O4 - HKLM\..\Run: [servises] G:\WINDOWS\system32\servises.exe
      O4 - HKCU\..\Run: [msnmsgr] "G:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
      O4 - HKCU\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe
      O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="g:\driver nvidia\PhysX_9.09.0814_SystemSoftware.exe"
      O4 - HKLM\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe
      O4 - HKUS\S-1-5-18\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe (User 'Default user')
      O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'Default user')
      O4 - Global Startup: WiFi Station N.lnk = G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
      O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
      O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
      O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
      O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - G:\WINDOWS\system32\FastNetSrv.exe
      O23 - Service: HerculesWiFi - Unknown owner - G:\WINDOWS\system32\HerculesWiFiService.exe (file missing)
      O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
      0
  16. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Bon eh bien à mon avis on va passer par la case formatage bas niveau.

    Ne sauvegarde aucun .exe car ils sont probablement infectés, tu peux par contre sauvegarder des images ou documents si tu en as...

    Ensuite je te renvoie à ceci pour formater totalement le disque dur :
    http://www.commentcamarche.net/...

    Bonne chance, et prudence à l'avenir, virut se choppe entre autre par les cracks/keygens
    0
    1. Sensei
       
      ok et comment savoir si un fichier téléchargé est infecté par ce truc ?
      0
      1. Sensei > Sensei
         
        Encore une question, ce formatage semble risqué Oo'.

        Je fais quoi si je n'arrive plus a installer windows ?

        De plus il me semble que je vais devoir formater aussi mes autres disques puisqu'ils contiennent des exécutables potentiellement dangereux , or ça m'est impossible. Je n'ai aucun backup des données sur ces disques. Je peux ne pas les formater sans risque ?

        merci >_<.
        0
  17. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Dur de le savoir, normalement il doit plus se lancer mais certains peuvent se lancer et être infectés..

    Le mieux c'est de ne sauvegarder aucun fichiers.
    0
  18. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    C'est la seule solution, ou tu jettes ton disque dur à la poubelle et tu en rachètes un..
    0
    1. Sensei
       
      bah je vais le faire pour le disque contenant windows. Mais pour les disques de données c'est hors de question , je ne peux pas faire ca :(...
      0
  19. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Que contiennent exactement tes disques de données ? quelle est la lettre de leur partition ?

    Ce sont des DD internes ou externes ?
    0
    1. Sensei
       
      Alors :


      Disque interne.

      Disque 1 - C:\ disque de données archivées + vieux jeux + émule.
      \
      G:\ Windows

      Disque 2 - D:\ Disque contenant les jeux installés auxquels je joue actuellement. (il est nouveau = acheté il y a 10 jours).

      Disque externe (usb).

      Disque 3 - E:\ Disque contenant une tonne de divx + jeux en image cd + musique + backup drivers + doc personnels.

      F:\ backup1partie de E:\
      /
      Disque 4 - H:\ backup2partie de E:\
      \
      I:\ backup3partie de E:\
      0
      1. Sensei > Sensei
         
        ce sont surtout les disques externes que je n'ai pas envie de formater ...

        il y a 315 Go :/
        0
  20. Sensei
     
    je ne peux meme pas télécharger le boot-cd-iso.zip du killdisk ^^.

    Il me dit que ma politique de zone de sécurité m'en empêche ... Je commence à en avoir marre.
    0
  21. Sensei
     
    quand je coupe ma connexion et que je supprime les fichiers infectés, ils ne reviennent plus.

    Des que je remet ma clé wifi et que je lance ma connexion, ils réapparaissent. Se peut il qu'il infecte ma clé ?
    0
  • 1
  • 2