Virus Win32Fermé

Question

Bonjour,

J'ai des virus sur mon PC.
J'étais sur msn, "quelqu'un" m'a donné un lien soi-disant facebook, et j'ai cliqué sans réfléchir (oui je sais je suis conne !). Après ça, antivir m'a avertie qu'il avait détecté un virus, c'était TR/Crypt.ZPACK.Gen (dans C:/WINDOWS/Temp/4F.tmp). J'ai cliqué "refuser l'accès". Il m'a resignalé le même virus 8 min plus tard mais cette fois dans Temp/52.tmp. Cette fois j'ai cliqué sur "mettre en quarantaine".

J'ai mis a-squared free en route, il m'a dit qu'il y avait Backdoor.Win32.sdbot!IK sur mon PC, dans msnmgr, j'ai choisi "mettre en quarantaine".

Ensuite sur les conseils d'un site internet, pour essayer de me débarasser du premier virus, j'ai redémarré en mode diagnostic, je suis allée dans documents and settings, puis dans local settings, puis mon nom de compte, et j'ai supprimé tout ce qu'il y avait dans "temporary files" (pas dans Temp). J'ai déconnecté internet et quitté MSN, je sais pas si ça sert à quelque chose mais bon...)

Voilà depuis j'ai plein d'alertes de Spybot qui me demandent l'autorisation pour plein de modifications sur plein de fichiers différents. Je clique toujours sur "refuser". Parallèlement, mon PC bloque beaucoup, et certains programmes se ferment tous seuls.

Est-ce que vous pourriez me dire ce que je dois faire ? Je n'y connais absolument rien en PC, donc un peu (beaucoup) d'aide ce serait vraiment gentil :-)

Merci d'avance, 
Aurélie

Xplode · Answer

Salut, commence par faire ceci pour un diagnostic complet du PC :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

Casilda · Answer

Ok je fais ça de suite merci beaucoup pour ta réponse super précise (et rapide !!).

Xplode · Answer

Pas de soucis :)

Casilda · Answer

https://www.cjoint.com/?kswQarEC0p

Voilà voilà :-)
Merci encore !

Xplode · Answer

@Casilda -> Ne pas lancer Malwarebyte's et ComboFix et attendre mes instructions.

Xplode · Answer

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message

Casilda · Answer

Salut,

J'ai essayé de faire tourner Malware Bytes, mais le problème c'est qu'il se bloque... La première fois il s'est bloqué au bout de 35 min, la deuxième au bout de 17 minutes environ. Il n'a rien repéré pour l'instant mais en même temps il a pas eu le temps... J'ai pas encore annulé le scan bloqué à 17 min, des fois le "temps écoulé" augmente d'un coup (là il indique 30 min), mais le fichier en cours d'examen reste C:/WINDOWS/Installer/23d48a7.msp pour l'instant...

Bref donc voilà, est-ce qu'il y a un moyen pour qu'il ne se bloque pas (ou alors un autre logiciel ??? Je suppose que c'est le virus qui fait ça :-(

Merci d'avance,
Aurélie

EDIT : ah non c'est bon il vient de se relancer !

Xplode · Answer

Si malwarebyte's ne marche pas, fais ceci :

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

---------

J'essaierais de te répondre demain midi puisque j'ai cours.. bonne nuit !

Casilda · Answer

Ok un grand merci à toi !!
Bonne nuit :-)

Je sais pas si j'aurai du nouveau d'ici demain midi, je vais devoir aller dormir aussi !

Casilda · Answer

Voilà le rapport, je précise au cas où que quand ComboFix préparait le rapport, une fenêtre s'est affichée pour me dire "Catchme.tmp" a rencontré un problème et doit fermer. J'ai attendu que Combo Fix ait fini pour la fermer.


ComboFix 09-10-17.01 - extrem 19/10/2009  0:00.1.2 - FAT32x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2039.1458 [GMT 1:00]
Lancé depuis: c:\documents and settings\extrem\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\16305.msi
c:\windows\Installer\16a27c.msi

.
(((((((((((((((((((((((((((((   Fichiers créés du 2009-09-18 au 2009-10-18  ))))))))))))))))))))))))))))))))))))
.

2009-10-18 22:46 . 2009-10-18 22:46	--------	d-----w-	C:\FOUND.003
2009-10-18 20:39 . 2009-10-18 20:39	--------	d-----w-	c:\program files\ZHPDiag
2009-10-18 19:08 . 2009-10-18 19:08	--------	d-----w-	c:\program files\AxBx
2009-10-18 18:49 . 2009-10-18 18:49	--------	d-----w-	c:\documents and settings\extrem\Application Data\Malwarebytes
2009-10-18 18:49 . 2009-09-10 13:54	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-18 18:49 . 2009-10-18 18:49	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-10-18 18:49 . 2009-10-18 18:49	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2009-10-18 18:49 . 2009-09-10 13:53	19160	----a-w-	c:\windows\system32\drivers\mbam.sys

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-10-18 23:03 . 2008-11-08 09:58	45056	----a-w-	c:\windows\system32\acovcnt.exe
2009-10-03 21:28 . 2008-08-28 23:00	78704	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-25 05:36 . 2006-08-18 07:14	671232	----a-w-	c:\windows\system32\wininet.dll
2009-09-25 05:36 . 2006-08-18 07:14	81920	----a-w-	c:\windows\system32\ieencode.dll
2009-09-12 21:20 . 2006-08-18 07:14	64930	----a-w-	c:\windows\system32\perfc00C.dat
2009-09-12 21:20 . 2006-08-18 07:14	448428	----a-w-	c:\windows\system32\perfh00C.dat
2009-09-11 14:18 . 2006-08-18 07:14	136192	----a-w-	c:\windows\system32\msv1_0.dll
2009-09-04 21:04 . 2006-08-18 07:14	58880	----a-w-	c:\windows\system32\msasn1.dll
2009-08-26 08:01 . 2006-08-18 07:14	247326	----a-w-	c:\windows\system32\strmdll.dll
2009-08-20 16:06 . 2009-07-27 12:01	55656	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2009-08-17 22:33 . 2009-08-17 22:33	1193832	----a-w-	c:\windows\system32\FM20.DLL
2009-08-05 10:00 . 2006-08-18 07:14	205312	----a-w-	c:\windows\system32\mswebdvd.dll
2009-08-04 17:27 . 2004-08-19 15:04	2147328	----a-w-	c:\windows\system32
toskrnl.exe
2009-08-04 17:27 . 2004-08-19 15:04	2025984	----a-w-	c:\windows\system32
tkrnlpa.exe
2009-07-25 04:23 . 2008-12-26 13:44	411368	----a-w-	c:\windows\system32\deploytk.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net	bfree.dll" [2007-12-10 1510424]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2007-12-10 12:46	1510424	----a-w-	c:\program files\free-downloads.net	bfree.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ecdee021-0d17-467f-a1ff-c7a115230949}"= "c:\program files\free-downloads.net	bfree.dll" [2007-12-10 1510424]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "c:\program files\free-downloads.net	bfree.dll" [2007-12-10 1510424]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\ADSMOverlayIcon1]
@="{A8D448F4-0431-45AC-9F5E-E1B434AB2249}"
[HKEY_CLASSES_ROOT\CLSID\{A8D448F4-0431-45AC-9F5E-E1B434AB2249}]
2007-06-01 16:08	143360	----a-w-	c:\program files\ASUS\ASUS Data Security Manager\OverlayIconShlExt1.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2008-12-19 342848]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-07-24 490952]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]
"PeerGuardian"="c:\program files\PeerGuardian2\pg2.exe" [2005-09-18 1421824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec PIF AlertEng"="c:\program files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048]
"ATKHOTKEY"="c:\program files\ATK Hotkey\Hcontrol.exe" [2007-07-12 225280]
"ATKOSD2"="c:\program files\ATKOSD2\ATKOSD2.exe" [2007-10-17 7737344]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2008-09-06 413696]
"PowerForPhone"="c:\program files\P4P\P4P.exe" [2007-07-19 778240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2008-09-10 289576]
"HP Update 3400C"="c:\sj652\hpupdate.exe" [2002-02-01 32768]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"ASUS Screen Saver Protector"="c:\windows\ASScrPro.exe" [2008-08-28 33136]
"ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2007-11-30 51768]
"ASUS Camera ScreenSaver"="c:\windows\ASScrProlog.exe" [2008-08-28 37232]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-09-21 520024]
"ACMON"="c:\program files\ASUS\Splendid\ACMON.exe" [2007-11-13 851968]
"ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-07 61440]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-10-16 815104]
"SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-25 630784]
"Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-07-26 90112]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-08-12 137752]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-08-12 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-08-12 166424]
"ACU"="c:\program files\Atheros\ACU.exe" [2007-10-16 405593]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2007-10-25 16855552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

c:\documents and settings\extrem\Menu D‚marrer\Programmes\D‚marrage\
MRU-Blaster Silent Clean.lnk - c:\program files\MRU-Blaster\mrublaster.exe [2004-3-28 1216512]
MRU-Blaster Scheduler.lnk - c:\program files\MRU-Blaster\scheduler.exe [2003-7-19 118784]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
WinZip Quick Pick.lnk - c:\program files\WinZip\WZQKPICK.EXE [2009-7-13 525640]
Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]
Ask  Harrap's Shorter.lnk - c:\program files\Harrap's Multim‚dia\Shorter\bin\HiHarrapsTray.exe [2008-10-5 122880]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\DNA\btdna.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [03/02/2009 18:45 64160]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [27/07/2009 13:01 108289]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [19/01/2009 15:35 1028432]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - NAVENG
*Deregistered* - NAVEX15
*Deregistered* - SPBBCDrv
*Deregistered* - SRTSPX
.
Contenu du dossier 'Tâches planifiées'

2009-10-12 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-19 17:45]

2009-10-18 c:\windows\Tasks\WGASetup.job
- c:\windows\system32\KB905474\wgasetup.exe [2009-04-01 21:18]
.
.
------- Examen supplémentaire -------
.
uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\extrem\Application Data\Mozilla\Firefox\Profiles\5416qxgh.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.iht.com
FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
FF - plugin: c:\documents and settings\extrem\Application Data\Mozilla\Firefox\Profiles\5416qxgh.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins
pmnqmp071303000006.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins
pbittorrent.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-RunOnce-isDeleteMe - c:\docume~1\extrem\LOCALS~1\Temp\isDel.bat
AddRemove-BitTorrent - c:\program files\BitTorrent\uninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-19 00:03
Windows 5.1.2600 Service Pack 3 FAT NTAPI

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 


**************************************************************************
.
Heure de fin: 2009-10-18  0:05
ComboFix-quarantined-files.txt  2009-10-18 23:04

Avant-CF: 96 674 480 128 octets libres
Après-CF: 96 950 714 368 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

173	--- E O F ---	2009-10-17 10:18

Noni · Answer

Trojan cryptor
http://darfuns.com/trojan-removal/remove-win32-cryptor/

Casilda · Answer

Merci beaucoup Noni, je vais attendre de voir ce que me dit Xplode avant de l'installer, car je m'y perds avec tous ces logiciels !

Xplode · Answer

-+-+-+-> Rooter <-+-+-+-


[x] Télécharge Rooter (créé par l'équipe IDN) sur ton bureau.

[x] /!\ Déconnecte toi d'internet et ferme toutes les applications en cours /!\

[x] Exécute Rooter et laisse le travailler jusqu'à l'apparition du rapport dans le bloc note

[x] Ensuite poste le rapport dans ta prochaine réponse 

--------

Réessaie aussi Malwarebyte's

Casilda · Answer

Ok merci !

Casilda · Answer

Voilà le rapport, je lance Malware Byte maintenant :-)



Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 3
[32_bits] - x86 Family 6 Model 15 Stepping 13, GenuineIntel
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Disabled !
.
Internet Explorer 6.0.2900.5512
Mozilla Firefox 3.0.14 (fr)
.
C:\  [Fixed-FAT32] .. ( Total:133 Go - Free:90 Go )
D:\  [Fixed-FAT32] .. ( Total:89 Go - Free:89 Go )
E:\  [CD_Rom]
F:\  [CD_Rom]
.
Scan : 18:52.23
Path : C:\Documents and Settings\extrem\Bureau\Rooter.exe
User : extrem ( Administrator -> YES )
.
----------------------\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (1028)
______ \??\C:\WINDOWS\system32\csrss.exe (1112)
______ \??\C:\WINDOWS\system32\winlogon.exe (1140)
______ C:\WINDOWS\system32\services.exe (1184)
______ C:\WINDOWS\system32\lsass.exe (1196)
______ C:\WINDOWS\system32\svchost.exe (1368)
______ C:\WINDOWS\system32\svchost.exe (1424)
______ C:\WINDOWS\System32\svchost.exe (1464)
______ C:\WINDOWS\system32\svchost.exe (1600)
______ C:\WINDOWS\system32\svchost.exe (1636)
______ C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe (1908)
______ C:\Program Files\ATKGFNEX\GFNEXSrv.exe (1920)
______ C:\WINDOWS\system32\spoolsv.exe (2008)
______ C:\WINDOWS\system32\acs.exe (188)
______ C:\Program Files\Avira\AntiVir Desktop\sched.exe (184)
______ C:\Program Files\Avira\AntiVir Desktop\avguard.exe (228)
______ C:\WINDOWS\system32\svchost.exe (284)
______ C:\Program Files\a-squared Free\a2service.exe (908)
______ C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe (944)
______ C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (988)
______ C:\Program Files\Bonjour\mDNSResponder.exe (1016)
______ C:\Program Files\Java\jre6\bin\jqs.exe (1088)
______ C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (1888)
______ C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE (460)
______ C:\WINDOWS\Explorer.EXE (468)
______ C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe (768)
______ C:\WINDOWS\system32\svchost.exe (732)
______ C:\WINDOWS\system32\wdfmgr.exe (820)
______ C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe (2120)
______ C:\Program Files\ATK Hotkey\Hcontrol.exe (2176)
______ C:\Program Files\ATKOSD2\ATKOSD2.exe (2188)
______ C:\Program Files\P4P\P4P.exe (2236)
______ C:\Program Files\iTunes\iTunesHelper.exe (2244)
______ C:\sj652\hpupdate.exe (2256)
______ C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (2364)
______ C:\WINDOWS\ASScrPro.exe (2524)
______ C:\WINDOWS\system32\wbem\wmiapsrv.exe (2536)
______ C:\Program Files\ASUS\ASUS Live Update\ALU.exe (2576)
______ C:\WINDOWS\system32\wbem\wmiprvse.exe (2728)
______ C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe (2768)
______ C:\WINDOWS\system32\wbem\wmiprvse.exe (2944)
______ C:\WINDOWS\System32\alg.exe (3088)
______ C:\Program Files\ASUS\Splendid\ACMON.exe (3096)
______ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (3180)
______ C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe (3212)
______ C:\WINDOWS\RTHDCPL.EXE (3324)
______ C:\Program Files\iPod\bin\iPodService.exe (3368)
______ C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe (3384)
______ C:\WINDOWS\system32\ACEngSvr.exe (3396)
______ C:\WINDOWS\system32\igfxpers.exe (3432)
______ C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe (3448)
______ C:\Program Files\ATK Hotkey\ATKOSD.exe (3644)
______ C:\WINDOWS\system32\acovcnt.exe (3656)
______ C:\WINDOWS\system32\igfxtray.exe (3808)
______ C:\WINDOWS\system32\hkcmd.exe (3820)
______ C:\Program Files\Atheros\ACU.exe (3888)
______ C:\Program Files\ATK Hotkey\KBFiltr.exe (3896)
______ C:\WINDOWS\system32\igfxsrvc.exe (3908)
______ C:\Program Files\ATK Hotkey\WDC.exe (3920)
______ C:\WINDOWS\System32\svchost.exe (4028)
______ C:\Program Files\DNA\btdna.exe (828)
______ C:\Program Files\WinZip\WZQKPICK.EXE (3252)
______ C:\Program Files\3M\PSNLite\PsnLite.exe (3128)
______ C:\WINDOWS\system32\wuauclt.exe (3544)
______ C:\Program Files\Harrap's Multimédia\Shorter\bin\HiHarrapsTray.exe (612)
______ C:\Program Files\MRU-Blaster\scheduler.exe (616)
______ C:\PROGRA~1\3M\PSNLite\PSNGive.exe (524)
______ C:\WINDOWS\system32\ctfmon.exe (2656)
______ C:\WINDOWS\system32\wscntfy.exe (3840)
______ C:\WINDOWS\system32\wuauclt.exe (3480)
______ C:\Documents and Settings\extrem\Bureau\Rooter.exe (1304)
.
----------------------\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:1048576 | Length:10485760000)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:10487070720 | Length:143744090112)
\Device\Harddisk0\Partition0 (Start_Offset:154231160832 | Length:95826640896)
\Device\Harddisk0\Partition3 (Start_Offset:154231193088 | Length:95826608640)
.
----------------------\ Scheduled Tasks
.
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\SA.DAT
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\Tasks\WGASetup.job
.
----------------------\ Registry
.
.
----------------------\ Files & Folders
.
----------------------\ Scan completed at 18:52.25
.
C:\Rooter$\Rooter_2.txt - (19/10/2009 | 18:52.25)

Casilda · Answer

Voilà la rapport de Malwarebytes, il marche beaucoup mieux qu'hier mais malheureusement il n'a rien trouvé :-( (j'ai fait que le disque C c'est peut-être pour ça ???)

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2981
Windows 5.1.2600 Service Pack 3

19/10/2009 19:24:27
mbam-log-2009-10-19 (19-24-27).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 162328
Temps écoulé: 21 minute(s), 39 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Xplode · Answer

Refais un ZHPDiag

Casilda · Answer

https://www.cjoint.com/?ktuHHdTrUT

Merci encore ! :-D

Xplode · Answer

Comment se porte le PC ?

Casilda · Answer

Il ne bloque plus, j'aurais presque l'impression d'un retour à la normale, le seul truc c'est qu'à chaque démarrage j'ai encore une montagne d'alertes spybot me demandant si j'accepte des modifications diverses et variées...

Xplode · Answer

Ca c'est normal, le résident de spybot est chiant pour ça, je te conseille de le désinstaller et d'installer spyware terminator à la place qui est plus puissant et moins chiant pour les alertes ( sauf au début )

Casilda · Answer

Oui mais avant Spybot ne me dérangeait jamais, ça a commencé avec le virus hier, donc est-ce que ça ne veut pas dire qu'il est encore là ?

Xplode · Answer

Ca te met quoi comme alerte ? un nom de fichier ?

Casilda · Answer

Chaque alerte me donne un nom de fichier différent : il y a des modifications pour malwarebytes, pour des fichiers système. Je viens de le redémarrer pour avoir des noms plus précis, mais il ne parle plus de rien, pourtant j'ai rien fait depuis il y a deux heures, quand je l'ai allumé. Avec un peu de chance il n'y a plus de virus...

Xplode · Answer

Fais un scan avec antivir et poste le rapport

Casilda · Answer

Voilà le rapport d'AntiVir :



Avira AntiVir Personal
Date de création du fichier de rapport : lundi 19 octobre 2009  21:08

La recherche porte sur 1800842 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série         : 0000149996-ADJIE-0000001
Plateforme              : Windows XP
Version de Windows      : (Service Pack 3)  [5.1.2600]
Mode Boot               : Démarré normalement
Identifiant             : SYSTEM
Nom de l'ordinateur     : NOM-D8C338F2ABD

Informations de version :
BUILD.DAT               : 9.0.0.70      18071 Bytes  25/09/2009 12:03:00
AVSCAN.EXE              : 9.0.3.7      466689 Bytes  20/08/2009 16:06:48
AVSCAN.DLL              : 9.0.3.0       49409 Bytes  03/03/2009 10:21:04
LUKE.DLL                : 9.0.3.2      209665 Bytes  20/02/2009 11:35:12
LUKERES.DLL             : 9.0.2.0       13569 Bytes  03/03/2009 10:21:32
ANTIVIR0.VDF            : 7.1.0.0    15603712 Bytes  27/10/2008 12:30:38
ANTIVIR1.VDF            : 7.1.4.132   5707264 Bytes  24/06/2009 13:11:38
ANTIVIR2.VDF            : 7.1.6.112   4833792 Bytes  15/10/2009 10:35:28
ANTIVIR3.VDF            : 7.1.6.118     45568 Bytes  16/10/2009 10:35:30
Version du moteur       : 8.2.1.35 
AEVDF.DLL               : 8.1.1.2      106867 Bytes  17/09/2009 21:22:32
AESCRIPT.DLL            : 8.1.2.35     483707 Bytes  04/10/2009 20:05:08
AESCN.DLL               : 8.1.2.5      127346 Bytes  05/09/2009 21:17:16
AERDL.DLL               : 8.1.3.2      479604 Bytes  04/10/2009 20:05:04
AEPACK.DLL              : 8.2.0.0      422261 Bytes  17/09/2009 21:22:30
AEOFFICE.DLL            : 8.1.0.38     196987 Bytes  29/07/2009 13:11:38
AEHEUR.DLL              : 8.1.0.167   2011511 Bytes  08/10/2009 20:38:22
AEHELP.DLL              : 8.1.7.0      237940 Bytes  05/09/2009 21:17:16
AEGEN.DLL               : 8.1.1.67     364916 Bytes  04/10/2009 20:04:34
AEEMU.DLL               : 8.1.1.0      393587 Bytes  04/10/2009 20:04:30
AECORE.DLL              : 8.1.8.1      184693 Bytes  17/09/2009 21:21:58
AEBB.DLL                : 8.1.0.3       53618 Bytes  09/10/2008 14:32:40
AVWINLL.DLL             : 9.0.0.3       18177 Bytes  12/12/2008 08:47:32
AVPREF.DLL              : 9.0.3.0       44289 Bytes  01/10/2009 21:20:32
AVREP.DLL               : 8.0.0.3      155905 Bytes  20/01/2009 14:34:30
AVREG.DLL               : 9.0.0.0       36609 Bytes  07/11/2008 15:24:44
AVARKT.DLL              : 9.0.0.3      292609 Bytes  24/03/2009 15:05:24
AVEVTLOG.DLL            : 9.0.0.7      167169 Bytes  30/01/2009 10:36:38
SQLITE3.DLL             : 3.6.1.0      326401 Bytes  28/01/2009 15:03:50
SMTPLIB.DLL             : 9.2.0.25      28417 Bytes  02/02/2009 08:20:58
NETNT.DLL               : 9.0.0.0       11521 Bytes  07/11/2008 15:41:00
RCIMAGE.DLL             : 9.0.0.25    2438913 Bytes  29/07/2009 13:11:38
RCTEXT.DLL              : 9.0.37.0      88321 Bytes  15/04/2009 10:07:06

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:, 
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +APPL,+GAME,+JOKE,+PCK,+SPR,

Début de la recherche : lundi 19 octobre 2009  21:08

La recherche d'objets cachés commence.
'40973' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'NOTEPAD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2free.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WSCNTFY.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiprvse.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WDC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'KBFiltr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PSNGive.exe' - '1' module(s) sont contrôlés
Processus de recherche 'scheduler.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HiHarrapsTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PsnLite.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WZQKPICK.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'acovcnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'pg2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TeaTimer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'btdna.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ACU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wdfmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'opwareSE2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MDM.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'BatteryLife.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PIFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RTHDCPL.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'sm56hlpr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ACEngSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ACMON.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AAWTray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AluSchedulerSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ASScrPro.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hpupdate.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'a2service.exe' - '1' module(s) sont contrôlés
Processus de recherche 'P4P.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HControl.exe' - '1' module(s) sont contrôlés
  Module OK -> 'C:\Program Files\ATK Hotkey\Hcontrol.exe'
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Processus de recherche 'PIFSvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Explorer.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'AVGUARD.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SCHED.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'ACS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SPOOLSV.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'AAWService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GFNEXSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ADSMSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SVCHOST.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'LSASS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SERVICES.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WINLOGON.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'CSRSS.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'SMSS.EXE' - '1' module(s) sont contrôlés
'78' processus ont été contrôlés avec '78' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
    [INFO]      Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
    [INFO]      Aucun virus trouvé !
Secteur d'amorçage 'D:\'
    [INFO]      Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '65' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\'
C:\pagefile.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\hiberfil.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
    [REMARQUE]  Ce fichier est un fichier système Windows.
    [REMARQUE]  Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\WINDOWS\system32\drivers\sptd.sys
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
C:\Documents and Settings\extrem\Mes documents\Random\Logiciels téléchargés\install_flash_player.exe.part
  [0] Type d'archive: NSIS
    --> [UnknownDir]/NPSWF32_FlashUtil.exe
      [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.
C:\Program Files\ATK Hotkey\HControl.exe
    [AVERTISSEMENT] Impossible d'ouvrir le fichier !
Recherche débutant dans 'D:\' <DATA>


Fin de la recherche : lundi 19 octobre 2009  21:48
Temps nécessaire: 39:30 Minute(s)

La recherche a été effectuée intégralement

   5648 Les répertoires ont été contrôlés
 363297 Des fichiers ont été contrôlés
      0 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      0 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      5 Impossible de contrôler des fichiers
 363292 Fichiers non infectés
   8733 Les archives ont été contrôlées
      7 Avertissements
      2 Consignes
  40973 Des objets ont été contrôlés lors du Rootkitscan
      0 Des objets cachés ont été trouvés

Casilda · Answer

Merci  Je vais essayer de faire tout ce  que tu as dit, je reviendrai sûrement poser des questions !! lol
Comment on fait pour redémarrer en mode sans échec ?

A.

Virus Win32

27 réponses

Discussions similaires

Newsletters