Trouver un keylogger très genant ...

Sensei -
Sensei - 15 oct. 2009 à 18:17

Bonjour,

Mon OS : windows XP pro
j'utilise mozilla firefox.

Alors voila j'ai un soucis assez sérieux.
J'ai sur mon PC un keylogger qui envoie mes informations personnelles ( un mot de passe entre autre ). Ce qui permet aux pirates d'accéder à un compte d'un jeu en ligne pour tout y détruire. J'ai déjà fait appel plusieurs fois au service de remboursement pour me restituer ce qu'ils me détruisent mais ils vont finir par se lasser, car ça fait trois fois ... à chaque fois ils doivent réinitialiser le mot de passe, faire des recherches pour voir ce qu'ils m'ont pris etc...

Alors entre ces 3 attaques, j'ai tout essayé pour le trouver et le supprimer : ad ware, spybot, avast, malewarebyte, etc...
Cela m'a permis de trouver pleins de petites choses gênantes, mais toujours pas ce Keylogger.
Je ne sais pas du coup à quoi il ressemble donc même si je le trouvais, je ne pourrais pas le savoir :(.

J'ai aussi formater mon disque contenant windows et celui contenant le jeu en lui même, j'ai tout réinstallé. Je possède encore un autre disque interne et 2 disques externes (usb). ces derniers , je ne peux pas me permettre de les formater complètement ( trop de données).

Je sais que par moment des fichiers bizarres viennent s'installer tout seul dans le répertoire racine de windows ( 4 chiffres, 3 chiffres aléatoires ). ils s'exécutent tout seul car je les vois apparaître en processus. Pour l'instant je les ai supprimés, mais ils sont susceptibles de revenir... cela fait 4-5 fois que je les supprime.

j'ai aussi un truc bizarre dans mon démarrage ( visible avec msconfig ) : msxm192z.dll, w que j'ai décoché pour le moment ...

Quelqu'un aurait l'habitude de ce genre de soucis et pourrait-il me donner son avis ?

Merci d'avance.

Afficher la suite

A voir également:

Trouver un keylogger très genant ...
Trouver adresse mac - Guide
Trouver un film sans le titre - Télécharger - Divers TV & Vidéo
Comment trouver le mot de passe wifi sur son téléphone - Guide
Ou trouver l'adresse ip - Guide
Trouver mon adresse exacte - Guide

30 réponses

Réponse 1 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

En effet c'est ok, faudra faire plus attention maintenant, et surtout, vu que tu viens de reformater, met ton système à jour de suite ! c'est primordial si tu veux pas revenir ici dans une semaine. Je vais quand même te passer un peu de lecture :

-+-+-+-> Sécuriser son PC <-+-+-+-

I - Attitude sur le net

- Sécuriser son PC, c'est tout d'abord être responsable.

1-> Les sites de cracks sont à bannir ( Plus d'infos ici : https://forum.malekal.com/viewtopic.php?f=33&t=893 )

2-> Le P2P est également à éviter, source de nombreuses infections. ( Bagle par ex.) ( Plus d'infos ici : http://www.libellules.ch/... )

3-> Il est aussi très important de faire toutes les mises à jour de windows, qui sont nécessaire pour corriger les failles. ( IE, Mises à jour critiques, Service Pack etc.. ) ( Pourquoi mettre à jour son système : http://forum.malekal.com/ftopic3563.php )

4-> Adobe flash player, Java , et acrobat reader sont également à mettre à jour, pour éviter les exploits ( https://forum.malekal.com/viewtopic.php?f=33&t=13629 )

======================================================================

II - Logiciels de protection

- Il faut ensuite avoir un bon antivirus, je recommande antivir qui est l'un de meilleur antivirus gratuit à ce jour ( et qui plus est en français ) :

Pour le télécharger --> http://www.commentcamarche.net/telecharger/telecharger-55-antivir

- Un bon pare-feu est aussi de rigueur, je recommande Comodo ( gratuit ) ou ZoneAlarm ( payant )

Comodo : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/

ZoneAlarm : https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/

- Pour complèter le tout, un anti-spyware est recommandé.

Malwarebyte's : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

SpywareTerminator ( Protection en temps réel ) : https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/

======================================================================

III - Liens utiles

-> Malekal - Sécuriser son PC : https://www.malekal.com/proteger-pc-virus-pirates/

-> Malekal - Les spywares/vers/malwares sous windows : http://www.malekal.com/spywares.php

-> Malekal - Les toolbars : https://forum.malekal.com/viewtopic.php?t=6173&start=

Sensei

bah en + de 13 ans j'avais jamais mis d'antivirus et j'ai jamais eu de soucis comme je viens d'avoir ! :(.

Ce virus là était particulièrement ch...t

Merci encore pour les liens ( je vais mettre a jour tout ca a mon aise ) et pour ton aide.

Réponse 2 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Salut, commence par faire ceci pour un diagnostic complet de ton PC :

-+-+-+-> RSIT <-+-+-+-

[x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Copie colle le contenu des deux rapports dans ton prochain message

[o] Si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit

Sensei

Salut et merci pour ta réponse.

Le lien semble mort :s. En tout cas je n'arrive pas à la page. Je cherche si je ne le trouve pas ailleurs.

Réponse 3 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Le lien marche chez moi..

Tu as essayé avec quel navigateur ?

Sensei

mozilla firefox

Adresse introuvable

Firefox ne peut trouver le serveur à l'adresse images.malwareremoval.com.

Le navigateur n'a pas pu trouver le serveur hôte pour l'adresse indiquée.

* Avez-vous fait une erreur en saisissant le nom de domaine ? (par ex. « ww.mozilla.org » au lieu de « www.mozilla.org »)
* Cette adresse de domaine existe t-elle ? Son enregistrement a peut-être expiré.
* D'autres sites sont aussi inaccessibles ? Vérifiez la connexion au réseau de votre ordinateur et les paramètres du serveur DNS.
* Votre ordinateur ou votre réseau est-il protégé par un pare-feu ou un proxy ? Des paramètres incorrects peuvent interférer avec la navigation sur le Web.

Réponse 4 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Essaie avec Internet Explorer.

Sinon tu as un autre PC à portée de main pour mettre sur clé USB RSIT et l'executer sur ce PC ?

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 30

Sensei

Non, pas d'autre pc sous la main et ça me fait la même chose sous internet explorer :/ ...

Je pense que j'ai un gros soucis :p...

J'ai installé pleins d'antivirus etc.. penses-tu que ça peut bloquer les téléchargements ?

Réponse 6 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Plusieurs antivirus = conflits.

Tu as quels antivirus ?

Sensei

ad-aware , avast, spybot, malwarebytes

Réponse 7 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

ad-aware et spybot à supprimer, tu as fais un scan avec malwarebyte's récemment ? peux-tu poster le rapport ?

Désinstalle avast et installe antivir à la place.

Tu arrives à télécharger d'autres logiciels ?

Sensei

c'est en cours, merci de l'attention que tu portes a mon problème. Je te dis quoi quand c'est fait.

Sensei > Sensei

Donc la j'ai viré ceux que tu m'as demandé d'enlever et le test malwarebytes est en cours.

Après redemarrage, j'ai réussi à télécharger antivir, par contre la page pour le logiciel RSIT reste introuvable pour mon explorateur.

Réponse 8 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Télécharge RSIT à partie de ce lien : https://www.cjoint.com/?klojvNzWN2

( J'ai volontairement renommé RSIT en CCM.exe )

Sensei

Ca marche avec ce lien, voici les rapports d'analyse.

log.txt

Logfile of random's system information tool 1.06 (written by random/random)
Run by GL at 2009-10-11 14:12:41
Microsoft Windows XP Professionnel Service Pack 2
System drive G: has 13 GB (62%) free of 20 GB
Total RAM: 2047 MB (60% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:13:00, on 11/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\FastNetSrv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\wscntfy.exe
G:\WINDOWS\RTHDCPL.EXE
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Program Files\Windows Live\Messenger\msnmsgr.exe
G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
G:\Program Files\Windows Live\Contacts\wlcomm.exe
G:\WINDOWS\System32\svchost.exe
G:\Program Files\Mozilla Firefox\firefox.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\3.tmp
G:\WINDOWS\system32\4.tmp
G:\WINDOWS\system32\wuauclt.exe
G:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
G:\WINDOWS\system32\msiexec.exe
G:\Documents and Settings\GL\Bureau\RSIT.exe
G:\Program Files\trend micro\GL.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [10471] G:\WINDOWS\system32\3.tmp.exe
O4 - HKLM\..\Run: [servises] G:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [msnmsgr] "G:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="g:\driver nvidia\PhysX_9.09.0814_SystemSoftware.exe"
O4 - HKLM\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-18\..\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'Default user')
O4 - Global Startup: WiFi Station N.lnk = G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - G:\WINDOWS\system32\FastNetSrv.exe
O23 - Service: HerculesWiFi - Unknown owner - G:\WINDOWS\system32\HerculesWiFiService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

Sensei > Sensei

voici le rapport de malwarebytes :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2

11/10/2009 14:24:16
mbam-log-2009-10-11 (14-24-07).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Eléments examinés: 186796
Temps écoulé: 26 minute(s), 42 second(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 12
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
G:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
G:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.

Module(s) mémoire infecté(s):
g:\WINDOWS\system32\BtwSrv.dll (Trojan.Agent) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\btwsrv (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\btwsrv (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\btwsrv (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\reader_s.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\servises.exe (Trojan.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servises (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\servises (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\servises (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\servises (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\BuildW (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\FirstInstallFlag (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\i (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Ulrn (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\Update (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\UpdateNew (Malware.Trace) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
G:\WINDOWS\system32\servises.exe (Trojan.FakeAlert.H) -> No action taken.
g:\WINDOWS\system32\BtwSrv.dll (Trojan.Agent) -> No action taken.
G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0Q7PJIEJ\w[1].bin (Backdoor.Bot) -> No action taken.
G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GOIQAUD0\w[1].bin (Backdoor.Bot) -> No action taken.
G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GOIQAUD0\w[2].bin (Backdoor.Bot) -> No action taken.
G:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\GOIQAUD0\w[3].bin (Backdoor.Bot) -> No action taken.
G:\System Volume Information\_restore{63E7413A-01DD-408F-8309-4258C6CD4EFE}\RP11\A0005172.dll (Trojan.Agent) -> No action taken.
G:\System Volume Information\_restore{63E7413A-01DD-408F-8309-4258C6CD4EFE}\RP11\A0005195.dll (Trojan.Agent) -> No action taken.
G:\System Volume Information\_restore{63E7413A-01DD-408F-8309-4258C6CD4EFE}\RP11\A0005301.exe (Trojan.Dropper) -> No action taken.
G:\WINDOWS\system32\2.tmp (Trojan.Agent) -> No action taken.
G:\WINDOWS\system32\3.tmp (Trojan.Agent) -> No action taken.
G:\WINDOWS\system32\4.tmp (Trojan.Agent) -> No action taken.
G:\WINDOWS\system32\6.tmp (Trojan.Agent) -> No action taken.
G:\WINDOWS\system32\FInstall.sys (Backdoor.Bot) -> No action taken.
G:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> No action taken.
G:\Documents and Settings\GL\reader_s.exe (Trojan.Agent) -> No action taken.

comme d'hab, pleins de trucs qui reviennent a chaque fois.

Réponse 9 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

2009-10-11 13:56:10 ----A---- G:\WINDOWS\system32\reader_s.exe

Ca sent le virut à plein nez, la désinfection va être dure.. dans le pire dès cas il faudra passer par un reformatage bas niveau pour supprimer totalement l'infection.

-------------

Télécharge rmvirut : https://www.avg.com/fr-fr/free-antivirus-download
Redémarre en mode sans échec ( tapotte F8 au démarrage puis " mode sans échec " )
Double clique sur rmvirut et laisse le scan se faire.

-------------

# Téléchargez Dr.Web CureIt! sur votre Bureau : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
# Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
# Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
# Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
# Choisissez l'onglet Scanner, et décochez Analyse heuristique.
# De retour à la fenêtre principale : choisissez Analyse complète.
# Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
# Cliquez Oui pour Tout si un fichier est détecté.
# A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
# Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
# Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
# Fermez Dr.Web CureIt!
# Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
# Suite au redémarrage, postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans votre prochaine réponse

---------------------

-+-+-+-+-> ComboFix <-+-+-+-

[x] Télécharge ComboFIX ( de sUBs ) à cette adresse : [url=https://www.luanagames.com/index.fr.html]CCM2.exe/url

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " CCM2.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

---------

Bonne chance ;) J'attend le rapport de Combofix et de DrWebCureIt

Sensei

Ca me fait pareil qu'avec RSIT : page introuvable.
Si j'essaye avec clic droit + enregistrer sous , ça me dit que le fichier ne peut pas être lu.
le 3eme j'arrive à l'avoir, je commence donc par celui là.

Par ailleurs si ce fichier est le keylogger qui m'ennuie. Comment se fait il qu'il revienne à chaque fois ? J'ai formaté par 2x mon G:\ ( contenant windows).

Réponse 10 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Virut est un virus assez " puissant ", parfois un formatage simple ne suffit pas à l'éradiquer.

Passe combofix, on verra si il a " bousillé " les fichiers systeme, je te prépare des liens pour les autres.

Sensei

hum :(...

je l'exécute et ça me met ça.

!! ALERTE !! Il est DANGEREUX de continuer!

Le contenu du paquetage ComboFix a été détérioré.
Veuillez télécharger un nouvel exemplaire depuis:

www.bleepingcomputer.com/combofix/how-to-use-combofix

note: Votre PC est peut-être infecté par un virus modifiant les fichiers, 'virut'

Ensuite il supprime le .exe de mon bureau.

Réponse 11 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

2 minutes je te prépare des liens pour rmvirut et drweb

Réponse 12 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Rmvirut : https://www.luanagames.com/index.fr.html

Commence par passer celui là, ensuite réessaie combofix

Sensei

il n'a rien trouvé avec rmvirut et combofix refuse toujours de fonctionner.

Réponse 13 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Repasse un scan malwarebyte's et supprime tout les élements trouvés

Refais ensuite un log RSIT

Sensei

Le scan m'a retrouvé plus d'infections que la première fois >.<
De plus ces infections sont à nouveau là après suppression ...

voici le log.

Logfile of random's system information tool 1.06 (written by random/random)
Run by GL at 2009-10-11 16:02:15
Microsoft Windows XP Professionnel Service Pack 2
System drive G: has 12 GB (62%) free of 20 GB
Total RAM: 2047 MB (82% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:22, on 11/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\FastNetSrv.exe
G:\WINDOWS\system32\wscntfy.exe
G:\WINDOWS\Explorer.EXE
G:\Program Files\Windows Live\Messenger\msnmsgr.exe
G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
G:\WINDOWS\System32\svchost.exe
G:\Program Files\Windows Live\Contacts\wlcomm.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\3.tmp
G:\WINDOWS\system32\4.tmp
G:\WINDOWS\System32\reader_s.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Documents and Settings\GL\Bureau\RSIT.exe
G:\Program Files\trend micro\GL.exe
G:\WINDOWS\system32\wmdtc.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [31490] G:\WINDOWS\system32\3.tmp.exe
O4 - HKLM\..\Run: [reader_s] G:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [servises] G:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [msnmsgr] "G:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="g:\driver nvidia\PhysX_9.09.0814_SystemSoftware.exe"
O4 - HKLM\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-18\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'Default user')
O4 - Global Startup: WiFi Station N.lnk = G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - G:\WINDOWS\system32\FastNetSrv.exe
O23 - Service: HerculesWiFi - Unknown owner - G:\WINDOWS\system32\HerculesWiFiService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

Réponse 14 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

-+-+-+-> OTMoveIt <-+-+-+-

[x] Télécharge OTMoveIt (de Old_Timer) à cette adresse : https://www.luanagames.com/index.fr.html sur ton Bureau.

[x] Double-clique sur OTMoveIt.exe.

[x] Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

[x] Copie le texte en gras ci dessous et colle le dans le cadre de gauche de OTMoveIt nommé Paste List of Files/Folders to be moved

:processes
explorer.exe
reader_s.exe
4.tmp
3.tmp

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"servises"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
"servises"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"reader_s"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ter8m]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"31490"=-

:files
g:\windows\system32\reader_s.exe
g:\windows\system32\servises.exe
g:\windows\system32\reader_s.exe
g:\windows\system32\servises.exe
g:\windows\system32\reader_s.exe
G:\WINDOWS\system32\*.tmp
G:\WINDOWS\system32\msxm192z.dll
G:\WINDOWS\system32\76078.BAT
G:\WINDOWS\system32\wmdtc.exe

:commands
[emptytemp]
[purity]
[start explorer]

[x] Clique sur MoveIt! pour lancer la suppression.

[x] Si OTMoveIt propose de redémarrer ton PC, accepte.

[x] Lorsque un résultat apparaît dans le cadre Results, clique sur Exit.

[x] Dans ta future réponse, envoie le rapport de OTMoveIt situé sous C:\_OTMoveIt\MovedFiles

------------

Reposte ensuite un RSIT

0

Sensei

Voila.

Dans le log du "moveit", il prétend ne pas trouver le reader.exe , il a supprimé les tmp, mais ils sont revenus !! :(.

Logfile of random's system information tool 1.06 (written by random/random)
Run by GL at 2009-10-11 16:27:49
Microsoft Windows XP Professionnel Service Pack 2
System drive G: has 13 GB (62%) free of 20 GB
Total RAM: 2047 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:58, on 11/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\FastNetSrv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\wscntfy.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\3.tmp
G:\WINDOWS\system32\4.tmp
G:\WINDOWS\System32\reader_s.exe
G:\WINDOWS\System32\reader_s.exe
G:\Program Files\Windows Live\Messenger\msnmsgr.exe
G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
G:\WINDOWS\System32\svchost.exe
G:\Program Files\Windows Live\Contacts\wlcomm.exe
G:\WINDOWS\system32\wuauclt.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Documents and Settings\GL\Bureau\RSIT.exe
G:\Program Files\trend micro\GL.exe
G:\Program Files\Mozilla Firefox\firefox.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - G:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [31564] G:\WINDOWS\system32\3.tmp.exe
O4 - HKLM\..\Run: [reader_s] G:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [servises] G:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Run: [msnmsgr] "G:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe
O4 - HKCU\..\RunOnce: [WiseStubReboot] MSIEXEC /quiet SKIP_PPU_DRIVER_INSTALL=1 /I "G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MSI" TRANSFORMS="G:\Program Files\Fichiers communs\Wise Installation Wizard\WISC5C1C0F0D62F4DBF81D4D7EF397C228B_9_09_0814.MST" WISE_SETUP_EXE_PATH="g:\driver nvidia\PhysX_9.09.0814_SystemSoftware.exe"
O4 - HKLM\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-18\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [reader_s] G:\Documents and Settings\GL\reader_s.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] G:\WINDOWS\system32\servises.exe (User 'Default user')
O4 - Global Startup: WiFi Station N.lnk = G:\Program Files\Hercules\WiFi Station N\WiFiN.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - G:\WINDOWS\bdoscandel.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - G:\WINDOWS\system32\FastNetSrv.exe
O23 - Service: HerculesWiFi - Unknown owner - G:\WINDOWS\system32\HerculesWiFiService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe

0

Réponse 15 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Bon eh bien à mon avis on va passer par la case formatage bas niveau.

Ne sauvegarde aucun .exe car ils sont probablement infectés, tu peux par contre sauvegarder des images ou documents si tu en as...

Ensuite je te renvoie à ceci pour formater totalement le disque dur :
http://www.commentcamarche.net/...

Bonne chance, et prudence à l'avenir, virut se choppe entre autre par les cracks/keygens

0

Sensei

ok et comment savoir si un fichier téléchargé est infecté par ce truc ?

0

Sensei > Sensei

Encore une question, ce formatage semble risqué Oo'.

Je fais quoi si je n'arrive plus a installer windows ?

De plus il me semble que je vais devoir formater aussi mes autres disques puisqu'ils contiennent des exécutables potentiellement dangereux , or ça m'est impossible. Je n'ai aucun backup des données sur ces disques. Je peux ne pas les formater sans risque ?

merci >_<.

0

Réponse 16 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Dur de le savoir, normalement il doit plus se lancer mais certains peuvent se lancer et être infectés..

Le mieux c'est de ne sauvegarder aucun fichiers.

0

Réponse 17 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

C'est la seule solution, ou tu jettes ton disque dur à la poubelle et tu en rachètes un..

0

Sensei

bah je vais le faire pour le disque contenant windows. Mais pour les disques de données c'est hors de question , je ne peux pas faire ca :(...

0

Réponse 18 / 30

Xplode Messages postés 8820 Date d'inscription Statut Contributeur sécurité Dernière intervention 726

Que contiennent exactement tes disques de données ? quelle est la lettre de leur partition ?

Ce sont des DD internes ou externes ?

0

Sensei

Alors :

Disque interne.

Disque 1 - C:\ disque de données archivées + vieux jeux + émule.
\
G:\ Windows

Disque 2 - D:\ Disque contenant les jeux installés auxquels je joue actuellement. (il est nouveau = acheté il y a 10 jours).

Disque externe (usb).

Disque 3 - E:\ Disque contenant une tonne de divx + jeux en image cd + musique + backup drivers + doc personnels.

F:\ backup1partie de E:\
/
Disque 4 - H:\ backup2partie de E:\
\
I:\ backup3partie de E:\

0

Sensei > Sensei

ce sont surtout les disques externes que je n'ai pas envie de formater ...

il y a 315 Go :/

0

Réponse 19 / 30

Sensei

je ne peux meme pas télécharger le boot-cd-iso.zip du killdisk ^^.

Il me dit que ma politique de zone de sécurité m'en empêche ... Je commence à en avoir marre.

0

Réponse 20 / 30

Sensei

quand je coupe ma connexion et que je supprime les fichiers infectés, ils ne reviennent plus.

Des que je remet ma clé wifi et que je lance ma connexion, ils réapparaissent. Se peut il qu'il infecte ma clé ?

0

Répondre Posez votre question

Votre réponse

Discussions similaires

Trouver numéro snapchat

Rnby -
Pierrecastor -

1 réponse

je cherche la date et le lieu de naissance d une personne

country -
bg62 -

2 réponses

Trouver un nom avec une adresse

lakshmi66 -
Nath01 -

11 réponses

Devenez membre en quelques clics

Connectez-vous simplement avec ceux qui partagent vos intérêts

Suivez vos discussions facilement et obtenez plus de réponses

Mettez en avant votre expertise et aidez les autres membres

Profitez de nombreuses fonctionnalités supplémentaires en vous inscrivant

S'inscrire