virus : Win32:KillAV-KH [Trj] / Win32:Patched Résolu/Fermé

Question

Bonjour,
 Voila, lorsque je démarre msn , avast me signale un cheval de troie detecté.
Nom du fichier : C:\DOCUME~1\baptiste\LOCALS~1\Temp\375AE.dmp
Nom du logicile malveillant : Win32:KillAV-KH [Trj]
Version VPS : 091112-0, 12/11/2009

je redemarre et cette fois avast me dit :

C:\DOCUME~1\baptiste\LOCALS~1\Temp\86CDC.dmp
Win32:Patched-HN [Trj]

je ne suis pas verni...

je le supprime ms il revient à chaque connection. De plus msn me dit "Windows Live Communications Platform a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru." et ferme apres.

Quelq'un aurait une petite idée pour mr venir en aide ?

En vous remerciant par avance.

tista91 · Answer

Merci pour la réponse, il est en train de tourner.
Pendant ce tps j'ai fait proprietés sur mon disque C et là, avast me dit encore un trouvé : Win32:OnLineGames-FOB [Trj]
Nom du fichier :C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA

que faire ?

tista91 · Answer

ok ok, je crois qu'ils travaillent de pair, puisqu'a chaque fois que avast se manifeste c'est le meme que trouve malwarebytes .

^^Marie^^ · Answer

Bonjour

Pour suivre

+

tista91 · Answer

voila, le scan est fini et il a enlevé 19 trucs infectés je crois.
J'ai essayé de me connecté sur msn, et j'ai reussi, j'ai plus de messages de problemes rencontrés ni de virus.
Croyez vous que je n'ai plus rien du tout ?

tista91 · Answer

oui puisqu'il me l'a demandé, sinon il ne pouvait pas tout enlevé.

^^Marie^^ · Answer

Re

Tu peux nous copié collé le scan sur le forum
Stp

tista91 · Answer

merci pour votre aide,

voici le scan :

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3155
Windows 5.1.2600 Service Pack 3

12/11/2009 17:31:29
mbam-log-2009-11-12 (17-31-29).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 116240
Temps écoulé: 20 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 21

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cdoosoft (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP1\A0000025.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP11\A0000820.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP12\A0000859.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP13\A0000862.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP14\A0000993.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP14\A0001215.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP2\A0000039.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP2\A0000046.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP3\A0000059.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP30\A0003818.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP4\A0000098.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP5\A0000105.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP6\A0000420.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP6\A0000435.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP7\A0000440.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP8\A0000755.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP8\A0000766.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BB62FB32-5A78-4388-BA98-1C4687B81795}\RP9\A0000786.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Documents and Settings\baptiste\Local Settings\Temp\cvasds0.dll (Spyware.OnlineGames) -> Delete on reboot.
C:\Documents and Settings\baptiste\Local Settings\Temp\cvasds1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Documents and Settings\baptiste\Local Settings\Temp\herss.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.

^^Marie^^ · Answer

Re
Merci, c'est bien ce qu'il me semblait ;)


Fais ce qui suit dans l’ordre :

C -  Ccleaner :
 (nettoyeur de registre, cookies+temps+tempos+prefetch+historique+etc.) 
* Télécharge CCleaner. 
(attention à l'installation penser à DECOCHER l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner).

https://www.pcastuces.com/logitheque/ccleaner.htm 
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 
Installe le dans un répertoire dédié. 
Décoche pendant l'installation 
--- les deux cases "Ajouter l'option ... " 
--- Contrôler les mises à jour 
* Lance Ccleaner pour un nettoyage complet.
 Tutorial ici: 
 https://kerio.probb.fr/t242-tuto-ccleaner-v-2 
https://www.malekal.com/tutoriel-ccleaner/ 
ET
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm 

==========================

> Télécharge random's system information tool (RSIT) : http://images.malwareremoval.com/random/RSIT.exe 
- Enregistre le programme sur ton bureau. 

- Double clique sur RSIT.exe 

- A l'écran "Disclaimer" choisis "1 months" dans le menu déroulant puis clique sur <continue>. 

- Si HiJackThis n'est pas détecté sur ton PC, RSIT le téléchargera ; accepte alors la licence. 

- Une fois le scanne terminé tu obtiendras un rapport log.txt.
 Poste le sur le forum. 

NB : Il se peut que tu obtiennes un second rapport nommé info.txt.
 Dans ce cas poste le aussi.

Utilisateur anonyme · Answer

Bonsoir ,

Pour suivre le sujet , merci .

PS : Kiss Marie .

tista91 · Answer

merci Marie, ci joint le rapport :


Logfile of random's system information tool 1.06 (written by random/random)
Run by baptiste at 2009-11-12 18:20:37
Microsoft Windows XP Professionnel Service Pack 3
System drive C: has 230 GB (97%) free of 238 GB
Total RAM: 3062 MB (81% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:50, on 12/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\baptiste\Bureau\RSIT.exe
C:\Program Files	rend micro\baptiste.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/webhp?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

^^Marie^^ · Answer

As-tu fait une défragmentation ?
Il faudrait que tu installes un par feu
As-tu refait un scan avec ton AV ?
Ton infection se situait dans la resto système.

tista91 · Answer

non ms je vais en faire une.
as tu un conseil pr le par feu ?
je n'ai plus aucunes infections au vu du rapport ?

merci pr tout

Utilisateur anonyme · Answer

Salut ,

Tu es toujours infecté ::


• Télécharge UsbFix sur ton bureau .

http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l'option F pour français et tape sur [entrée] .

• Choisis l'option 1 ( Recherche ) et tape sur [entrée] .

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

tista91 · Answer

bonsoir,

désolé pr mon retard, j'ai du aller en cours.

voici le rapport de usbfix :


############################## | UsbFix V6.051 |

User : baptiste (Administrateurs) # BAPTISTE-F1784E
Update on 12/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 21:45:01 | 12/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM) Duo CPU      T2350  @ 1.86GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1356 [VPS 091112-0] 4.8.1356 [ Enabled | Updated ]

C:\ -> Disque fixe local # 232,88 Go (224,84 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 604
C:\WINDOWS\system32\csrss.exe 664
C:\WINDOWS\system32\winlogon.exe 688
C:\WINDOWS\system32\services.exe 732
C:\WINDOWS\system32\lsass.exe 744
C:\WINDOWS\system32\svchost.exe 908
C:\WINDOWS\system32\svchost.exe 976
C:\WINDOWS\System32\svchost.exe 1016
C:\WINDOWS\system32\svchost.exe 1068
C:\WINDOWS\system32\svchost.exe 1136
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1404
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1460
C:\WINDOWS\system32\spoolsv.exe 1792
C:\WINDOWS\system32\svchost.exe 1996
C:\WINDOWS\Explorer.EXE 380
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 868
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1108
C:\WINDOWS\system32\igfxtray.exe 1564
C:\WINDOWS\system32\igfxsrvc.exe 1832
C:\WINDOWS\system32\igfxpers.exe 504
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe 336
C:\WINDOWS\System32\alg.exe 1312
C:\WINDOWS\system32\ctfmon.exe 2088
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 2140
C:\Program Files\Internet Explorer\iexplore.exe 3504
C:\Program Files\Internet Explorer\iexplore.exe 3804
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 2968
C:\Program Files\Windows Live\Contacts\wlcomm.exe 3332
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 2120
C:\Program Files\Internet Explorer\iexplore.exe 3948
C:\DOCUME~1\baptiste\LOCALS~1\Temp\Google Toolbar\gtb8F.tmp.exe 1336
C:\Program Files\Alwil Software\Avast4\setup\avast.setup 804
C:\WINDOWS\system32\wbem\wmiprvse.exe 3036

################## | Fichiers # Dossiers infectieux |

C:\autorun.inf  
C:\autorun.inf -> fichier appelé : "C:\pbudsara.exe" ( Présent ! )  
C:\pbudsara.exe  

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\E
Shell\AutoRun\command =E:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{20add7b0-cf97-11de-92c6-0019d272bde3}
Shell\AutoRun\command =pbudsara.exe 
Shell\open\Command =pbudsara.exe 

HKCU\..\..\Explorer\MountPoints2\{5eb7e69d-ceed-11de-b52e-806d6172696f}
Shell\AutoRun\command =C:\pbudsara.exe 
Shell\open\Command =C:\pbudsara.exe 

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |


################## | ! Fin du rapport # UsbFix V6.051 ! |

Utilisateur anonyme · Answer

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur "UsbFix.exe" présent sur ton bureau .

• Choisis l' option F pour français et et tape sur [entrée] .

• choisis l'option 2 ( Suppression ) et tape sur [entrée].

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

tista91 · Answer

je crois que c'est le bon rapport , je l'ai pris dans un dossier zip,(avec disque dur esxterne branché)


############################## | UsbFix V6.051 |

User : baptiste (Administrateurs) # BAPTISTE-F1784E
Update on 12/11/2009 by Chiquitine29, C_XX & Chimay8
Start at: 22:25:39 | 12/11/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM) Duo CPU      T2350  @ 1.86GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1356 [VPS 091112-0] 4.8.1356 [ Enabled | Updated ]

C:\ -> Disque fixe local # 232,88 Go (225,13 Go free) # NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque fixe local # 465,75 Go (302,72 Go free) # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe 604
C:\WINDOWS\system32\csrss.exe 664
C:\WINDOWS\system32\winlogon.exe 688
C:\WINDOWS\system32\services.exe 732
C:\WINDOWS\system32\lsass.exe 744
C:\WINDOWS\system32\svchost.exe 928
C:\WINDOWS\system32\logonui.exe 992
C:\WINDOWS\system32\svchost.exe 1056
C:\WINDOWS\System32\svchost.exe 1096
C:\WINDOWS\system32\svchost.exe 1204
C:\WINDOWS\system32\svchost.exe 1248
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 1452
C:\Program Files\Alwil Software\Avast4\ashServ.exe 1508
C:\WINDOWS\system32\spoolsv.exe 1844
C:\WINDOWS\Explorer.EXE 392
C:\WINDOWS\system32\svchost.exe 1272
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 1928
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 1988
C:\WINDOWS\System32\alg.exe 880
C:\WINDOWS\system32\wbem\wmiprvse.exe 1312

################## | Fichiers # Dossiers infectieux |

C:\autorun.inf -> fichier appelé : "C:\pbudsara.exe" ( Absent ! )  
Supprimé ! C:\autorun.inf 
E:\autorun.inf -> fichier appelé : "E:\pbudsara.exe" ( Présent ! )  
Supprimé ! E:\pbudsara.exe 
Supprimé ! E:\autorun.inf 
Supprimé ! E:\.MS32DLL.dll.vbs 

################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[11/11/2009 18:34|--a------|0] C:\AUTOEXEC.BAT 
[11/11/2009 18:56|--a------|90] C:\bcmwl5.log 
[11/11/2009 18:27|---hs----|212] C:\boot.ini 
[14/04/2008 13:00|-rahs----|4952] C:\Bootfont.bin 
[11/11/2009 18:34|--a------|0] C:\CONFIG.SYS 
[11/11/2009 18:34|-rahs----|0] C:\IO.SYS 
[11/11/2009 18:34|-rahs----|0] C:\MSDOS.SYS 
[14/04/2008 13:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 13:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[12/11/2009 22:26|--a------|2595] C:\UsbFix.txt 
[06/11/2009 02:37|--a------|733968384] E:\De L'Autre Cote Du Lit_up_by_toutoudu11100_for_wawamania.avi 
[06/11/2009 14:16|--a------|735395840] E:\Good.Bye.Lenin ByPrezup.eu.avi 
[06/11/2009 13:37|--a------|733249536] E:\Into the Wild_up_by_toutoudu11100_for_wawamania.avi 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.  
# E:\autorun.inf -> Dossier créé par UsbFix.  

################## | Suspect | https://www.virustotal.com/gui/ |


################## | Cracks / Keygens / Serials |

Utilisateur anonyme · Answer

rend toi à ce fichier : C:\Program Files	rend micro\baptiste.exe , c est hijackthis renomé .
Double clic dessus , et choisis do a system scan only .
Dans la liste coche cette ligne :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

Tu la coches et tu clic sur fix checked 


#########


&#8594; Ferme toutes les applications en cours, puis télécharge ToolsCleaner2 sur ton Bureau. 

&#8594; Double clique sur ToolsCleaner2.exe 
&#8594; Clique sur .Recherche 
&#8594; puis sur Suppression quand la liste est trouvée. 
&#8594; Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). 


(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

Note : ton bureau RISQUE de disparaître, c'est normal. S'il n'apparaît pas à la fin du scan, fais la manip suivante : 

CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches. 
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter" 

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau 

##################


*Désactive ta restauration : 
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK 
---> Redémarre ton PC ... 

*Réactive ta restauration : 
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK 
--->Redémarre ton PC ... 

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). 



Tuto xp : http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

tista91 · Answer

voivi le rapport de toolscleaner :

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\UsbFix.txt: trouvé !
C:\UsbFix: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\baptiste\Bureau\UsbFix.exe: trouvé !
C:\Documents and Settings\baptiste\Bureau\Rsit.exe: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression: 

C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\UsbFix.txt: supprimé !
C:\Documents and Settings\baptiste\Bureau\UsbFix.exe: supprimé !
C:\Documents and Settings\baptiste\Bureau\Rsit.exe: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\UsbFix: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !


je desactive la restauration et je reviens.

J'espere que j'ai fait toutes les bonnes manip

^^Marie^^ · Answer

Rhhhhaaaa le chiquiqui ;;))


tista91, comment se comporte ton PC ?

tista91 · Answer

bonsoir,
Pour l'instant il a l'air de bien fonctionner, je relance un scan d'avast. les rapports ont l'air bon ?

Utilisateur anonyme · Answer

Rhhhhaaaaaaaaa;;)) MaMa RiRie :)

les rapports ont l'air bon ?

oui ils le sont :) 

je relance un scan d'avast

Ok on t attend , pour le verdict ;)

tista91 · Answer

bon ba nikel, il a rien trouvé, je n'ai plus de symptomes apparement.

Merci pour tout (temps passé etc), à recommander.

:))

Utilisateur anonyme · Answer

de rien :) 

Bonne soirée .

^^Marie^^ · Answer

Bon surf

Si tu as besoin ;;))

Virus : Win32:KillAV-KH [Trj] / Win32:Patched

24 réponses

Discussions similaires