Infection virtumonde et win32 (rappor Hijack) [Résolu/Fermé]

Signaler
Messages postés
115
Date d'inscription
dimanche 23 mars 2008
Statut
Membre
Dernière intervention
16 mai 2015
 -
 Utilisateur anonyme -
Bonjour,

Ma maman a un PC infecté, elle a surfé sur le net sans antivirus pendant 16 jours ..... Elle n'arrive pas a s'en sortir ! J'ai pris les commande a distance avec NTR, mais j'ai vraiment besoin d'aide pour essayer de l'aider

Spyboot trouve

- Virtumonde.sdn
* HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Reader_s


- Win32.Virut.bg
* HKEY_LOCAL\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Reader_s (64 bit)


Voici le rapport HijackThis

"
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:17:18, on 01/11/2009
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Windows\System32\rundll32.exe
C:\Windows\etMon.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Windows\system32\RUNDLL32.EXE
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Windows\system32\conime.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Windows\system32\drivers\smss.exe
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Application Layer Gateway] C:\Program Files\Common Files\alg.exe
O4 - HKLM\..\Run: [reader_s] C:\Windows\System32\reader_s.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA7904] command.com /c del "C:\Windows\system32\config\systemprofile\reader_s.exe_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5032] cmd.exe /c del "C:\Windows\system32\config\systemprofile\reader_s.exe_old"
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB2329] command.com /c del "C:\Windows\system32\config\systemprofile\reader_s.exe_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7802] cmd.exe /c del "C:\Windows\system32\config\systemprofile\reader_s.exe_old"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ter8m] RUNDLL32.EXE C:\Windows\TEMP\msxm192z.dll,w (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Global Startup: etMon.exe.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: AeLookupSvc - Unknown owner - C:\Windows\TEMP\VRT6B73.tmp (file missing)
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
O23 - Service: fastnetsrv Service (fastnetsrv) - Netopsystems A - C:\Windows\system32\FastNetSrv.exe
O23 - Service: gusvc - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
O23 - Service: Netman - Unknown owner - C:\Windows\TEMP\VRT6B73.tmp (file missing)
O23 - Service: NTRConnect (ntrconnect) - NTRglobal - C:\Program Files\NTR global\NTRconnect\NTRconnect.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ECS Button Volume Control Service (VService) - Unknown owner - C:\Program Files\VService\VService.exe

5 réponses

Réponse 1 / 5
Messages postés
115
Date d'inscription
dimanche 23 mars 2008
Statut
Membre
Dernière intervention
16 mai 2015
 81
J'ai oublié de preciser qu'il est impossible d'installer un anti virus j'ai des erreurs de ce genre
"file c:\users\user\appdata\local\temp\rarsfx\basic\setup.exe has been changed! setup cannot continue" (avec avira ici)
Réponse 2 / 5
Messages postés
246
Date d'inscription
mardi 26 février 2008
Statut
Membre
Dernière intervention
18 mars 2013
 14
Tu peux soumettre les lignes du rapport Hijack à Castlecops.com. C'est du ligne par ligne !

Sinon, essaye de télécharger un antivirus portable du genre Clamwin ( https://portableapps.com/apps/security/clamwin_portable ) (je ne garantis rien, je sais juste que ça existe)

Ou encore va chez Bitdefender (je ne sais pas si ils font un nettoyage du PC mais ils font au moins un scan gratuit en ligne après avoir downloadé un contrôle Active X).

@+
Réponse 3 / 5

Bonjour ockland

Désolé de t 'annoncer une mauvaise nouvelle:

==> Le pc de ta maman est infecté par une des pires infections du net,
à savoir "VIRUT"

O4 - HKLM\..\Run: [reader_s] C:\Windows\System32\reader_s.exe

Cette infection se traite (très difficilement) quand elle est décelée rapidemment !!!!
mais finit le plus souvent par un formatage...en profondeur de l'ordi !

==> tu comprendras qu'au bout de 16 jours....le pc doit-être complètement infecté !!!!


Un peu de lecture:
https://www.malekal.com/supprimer-win32virut/

Désolé....

a+

Réponse 4 / 5
Messages postés
115
Date d'inscription
dimanche 23 mars 2008
Statut
Membre
Dernière intervention
16 mai 2015
 81
oh... :0(

Bon la super nouvelle c'est qu'elle n'y connait rien et n'a pas fait les dvd à graver quand on achete un pc ...

Merci de ta réponse
Réponse 5 / 5

Re

Si elle a acheté son pc relativement récemment avec vista deja installé,
elle doit pouvoir faire une restauration totale (sans cd puisque non fourni) c'est à dire
un retour à l'etat zéro, comme au jour ou elle l'a acheté !

a+
Posez votre question