Sujet Précédent Sujet Suivant

Infection virale

k'zo Messages postés 17 Statut Membre -  
kduc Messages postés 1537 Statut Membre -
Bonjour,
Je me suis retrouvé submergé d'une pluie de virus,dont quelques trojan,le boot sur le scan avast a echoué a la production du rapport.
Je ne peux démarrer qu'un mode sans echec..voici le hijack this,si quelqu'un pouvait m'aider je lui en serai reconnaissant ;)
merci
k'zo

23 réponses

  • 1
  • 2
Réponse 1 / 23
BeFaX Messages postés 16334 Statut Contributeur 3 825
 
Il manque justement ton scan HijackThis ...
1
Réponse 2 / 23
kduc Messages postés 1537 Statut Membre 133
 
Salut,

Il est où le rapport ?
0
Réponse 3 / 23
k'zo Messages postés 17 Statut Membre
 
excusel! tiens,

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:43, on 06/12/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\ASUS\AASP\1.00.32\aaCenter.exe
C:\Windows\Explorer.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
D:\téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avast!] "D:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UpdateUSB] C:\Windows\inf\UpdateUSB.exe
O4 - HKLM\..\Run: [wrrgfo] RUNDLL32.EXE C:\Windows\system32\msduadez.dll,w
O4 - HKLM\..\Run: [qqcern] RUNDLL32.EXE C:\Windows\system32\msqpypzv.dll,w
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: 9956126.lnk = kzo\AppData\Local\Temp\n2scv.exe
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Common Files\Logishrd\eReg\SetPoint\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program files\logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - AppInit_DLLs: C:\Windows\system32\curslib.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: fastnetsrv Service (fastnetsrv) - Netopsystems A - C:\Windows\system32\FastNetSrv.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
0
Réponse 4 / 23
kduc Messages postés 1537 Statut Membre 133
 
...

Peux-tu répondre à cette question ?

Windows d' origine, modifié ... ou pas ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
k'zo Messages postés 17 Statut Membre
 
c'est a dire? non c'est une version d'origine,mais il semble justement y avoir un problème,avant l'attaque virale,dans systeme je pouvais y lire le id produit version de windows,le genuine etc,hors la plus rien il met tout en unknown....comment ce fait il?
0
Réponse 6 / 23
kduc Messages postés 1537 Statut Membre 133
 
...

C' est une version d' origine ... ou pas ?

Tu as le Cd de Windows ou c' est un PC "bricolé" par un copain ?
0
Réponse 7 / 23
k'zo Messages postés 17 Statut Membre
 
J'ai en effet les CD d'origine,enfin par les cd je veux dire le 32 et le 64 bit,bref par contre pour ce qui est du montage hardware de mon pc,c'est du selfmade,bref...
le cd d'origine ne m'a été d'aucune utilité pour le moment,sauf si je dois en venir a faire un formatage..ce que je préconise pas pour le moment,on verra si il n'y a rien d'autre a faire;
0
Réponse 8 / 23
kduc Messages postés 1537 Statut Membre 133
 
...

Télécharge, installe et mets à jour Malwarebytes Anti-Malwares
http://forum.telecharger.01net.com/microhebdo/6/tuto-securite/tuto-malwaresbytes-anti-malware-352008/messages-1.html puis, lance un scan COMPLET et poste le rapport.

PS : si MalwareByte's a détecté des infections, clique sur Afficher les résultats,
puis sur Supprimer la sélection.
0
Réponse 9 / 23
k'zo Messages postés 17 Statut Membre
 
merci pour la rapidité de reponse je m'occupe de ça
0
Réponse 10 / 23
k'zo Messages postés 17 Statut Membre
 
et voici le rapport malwarebyte:

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3304
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

06/12/2009 18:51:55
mbam-log-2009-12-06 (18-51-44).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 517136
Temps écoulé: 1 hour(s), 27 minute(s), 10 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 9
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 34

Processus mémoire infecté(s):
C:\Windows\System32\FastNetSrv.exe (Backdoor.Bot) -> No action taken.

Module(s) mémoire infecté(s):
C:\Windows\System32\msqpypzv.dll (Spyware.OnlineGames) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\unpr (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fastnetsrv (Backdoor.Refpron) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Security.Hijack) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls\appsecdll (Spyware.Passwords) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\buildw (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\firstinstallflag (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\ulrn (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\update (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mfa (Backdoor.Bot) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Spyware.Passwords) -> Data: c:\windows\system32\curslib.dll -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Spyware.Passwords) -> Data: system32\curslib.dll -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\msqpypzv.dll (Spyware.OnlineGames) -> No action taken.
C:\data.tmp (Trojan.Dropper) -> No action taken.
C:\Users\kzo\AppData\Local\Temp\st2O1.exe (Trojan.Downloader) -> No action taken.
C:\Windows\System32\lsm32.sys (Backdoor.Bot) -> No action taken.
C:\Windows\System32\curslib.dll (Spyware.Passwords) -> No action taken.
C:\Windows\System32\msduadez.dll (Spyware.OnlineGames) -> No action taken.
C:\Windows\System32\t1p0_542273132322.b1k (Trojan.Koblu) -> No action taken.
C:\Windows\System32\drivers\unpr.sys (Rootkit.Agent) -> No action taken.
C:\Windows\System32\spool\prtprocs\w32x86\2233.tmp (Rootkit.TDSS) -> No action taken.
C:\Windows\System32\spool\prtprocs\w32x86\DD76.tmp (Rootkit.TDSS) -> No action taken.
C:\Windows\Temp\VRTCE1E.tmp (Trojan.Dropper) -> No action taken.
C:\Windows\Temp\txpxr_517073163347.b1k (Trojan.Koblu) -> No action taken.
C:\Windows\Temp\txpxr_811050781436.b1k (Trojan.Koblu) -> No action taken.
C:\Windows\Temp\VRT1CE4.tmp (Trojan.Backdoor) -> No action taken.
C:\Windows\Temp\VRT320A.tmp (Trojan.GamesThief) -> No action taken.
C:\Windows\Temp\VRT5189.tmp (Trojan.FakeAlert) -> No action taken.
C:\Windows\Temp\VRT6CF8.tmp (Trojan.Dropper) -> No action taken.
C:\Windows\Temp\VRT9252.tmp (Trojan.GamesThief) -> No action taken.
C:\Windows\Temp\VRTA8B.tmp (Trojan.FakeAlert) -> No action taken.
C:\Windows\Temp\yqpn.tmp\svchost.exe (Trojan.Dropper) -> No action taken.
D:\Program files\KORG\KORG Legacy\UNWISE.EXE (Malware.Packer.Morphine) -> No action taken.
C:\Windows\irc.txt (Malware.Trace) -> No action taken.
C:\Windows\System32\FInstall.sys (Backdoor.Bot) -> No action taken.
C:\Users\kzo\AppData\Local\Temp\scvhost.exe (Trojan.Downloader) -> No action taken.
C:\Windows\sc.exe (Trojan.FakeAlert) -> No action taken.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.
C:\Windows\System32\FastNetSrv.exe (Backdoor.Bot) -> No action taken.
C:\Users\kzo\AppData\Local\Temp\a.exe (Trojan.Dropper) -> No action taken.
C:\Users\kzo\AppData\Local\Temp\b.exe (Trojan.Dropper) -> No action taken.
C:\Users\kzo\AppData\Local\Temp\d.exe (Trojan.Dropper) -> No action taken.
C:\Users\kzo\AppData\Local\Temp\e.exe (Trojan.Dropper) -> No action taken.
C:\Users\kzo\AppData\Local\Temp\f.exe (Trojan.Dropper) -> No action taken.
C:\Windows\System32\flags.ini (Malware.Trace) -> No action taken.
C:\Windows\System32\uses32.dat (Malware.Trace) -> No action taken.
0
Réponse 11 / 23
kduc Messages postés 1537 Statut Membre 133
 
...

OK.

Relance un scan HijackThis et poste le rapport.
0
Réponse 12 / 23
BeFaX Messages postés 16334 Statut Contributeur 3 825
 
Ils n'ont pas été supprimés.
0
Réponse 13 / 23
kduc Messages postés 1537 Statut Membre 133
 
...

Si tu veux parler du résultat Malwarebytes, il (k'zo) a (très) certainement, par la suite, Supprimé la sélection !

(voir plus haut, le tuto)
0
Réponse 14 / 23
k'zo Messages postés 17 Statut Membre
 
Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3304
Windows 6.1.7600 (Safe Mode)
Internet Explorer 8.0.7600.16385

06/12/2009 19:49:23
mbam-log-2009-12-06 (19-49-23).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 517136
Temps écoulé: 1 hour(s), 27 minute(s), 10 second(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 9
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 34

Processus mémoire infecté(s):
C:\Windows\System32\FastNetSrv.exe (Backdoor.Bot) -> Unloaded process successfully.

Module(s) mémoire infecté(s):
C:\Windows\System32\msqpypzv.dll (Spyware.OnlineGames) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\unpr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fastnetsrv (Backdoor.Refpron) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\AppCertDlls\appsecdll (Spyware.Passwords) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\buildw (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\firstinstallflag (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\guid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\ulrn (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\update (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\updatenew (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WBEM\mfa (Backdoor.Bot) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Spyware.Passwords) -> Data: c:\windows\system32\curslib.dll -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Spyware.Passwords) -> Data: system32\curslib.dll -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\msqpypzv.dll (Spyware.OnlineGames) -> Delete on reboot.
C:\data.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\kzo\AppData\Local\Temp\st2O1.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\lsm32.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Windows\System32\curslib.dll (Spyware.Passwords) -> Quarantined and deleted successfully.
C:\Windows\System32\msduadez.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Windows\System32\t1p0_542273132322.b1k (Trojan.Koblu) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\unpr.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\spool\prtprocs\w32x86\2233.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\System32\spool\prtprocs\w32x86\DD76.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRTCE1E.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\Temp\txpxr_517073163347.b1k (Trojan.Koblu) -> Quarantined and deleted successfully.
C:\Windows\Temp\txpxr_811050781436.b1k (Trojan.Koblu) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT1CE4.tmp (Trojan.Backdoor) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT320A.tmp (Trojan.GamesThief) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT5189.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT6CF8.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRT9252.tmp (Trojan.GamesThief) -> Quarantined and deleted successfully.
C:\Windows\Temp\VRTA8B.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Temp\yqpn.tmp\svchost.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
D:\Program files\KORG\KORG Legacy\UNWISE.EXE (Malware.Packer.Morphine) -> Quarantined and deleted successfully.
C:\Windows\irc.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\System32\FInstall.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Users\kzo\AppData\Local\Temp\scvhost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\sc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\FastNetSrv.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Users\kzo\AppData\Local\Temp\a.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\kzo\AppData\Local\Temp\b.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\kzo\AppData\Local\Temp\d.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\kzo\AppData\Local\Temp\e.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\kzo\AppData\Local\Temp\f.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\System32\flags.ini (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\System32\uses32.dat (Malware.Trace) -> Quarantined and deleted successfully.
0
Réponse 15 / 23
k'zo Messages postés 17 Statut Membre
 
et voici le hijackthis après suppression(ou non) des malwares...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:43, on 06/12/2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Safe mode with network support

Running processes:
C:\Windows\Explorer.EXE
C:\Windows\system32\ctfmon.exe
D:\téléchargements\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avast!] "D:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [UpdateUSB] C:\Windows\inf\UpdateUSB.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\RunOnce: [SpybotDeletingA4011] command.com /c del "C:\Windows\System32\wmdtc.exe_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC421] cmd.exe /c del "C:\Windows\System32\wmdtc.exe_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6267] command.com /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5222] cmd.exe /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8126] command.com /c del "C:\Windows\System32\wmdtc.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4048] cmd.exe /c del "C:\Windows\System32\wmdtc.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [SpybotDeletingA3873] command.com /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8457] cmd.exe /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB4534] command.com /c del "C:\Windows\System32\wmdtc.exe_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6554] cmd.exe /c del "C:\Windows\System32\wmdtc.exe_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1859] command.com /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1230] cmd.exe /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7058] command.com /c del "C:\Windows\System32\wmdtc.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6018] cmd.exe /c del "C:\Windows\System32\wmdtc.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9837] command.com /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7161] cmd.exe /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: 9956126.lnk = kzo\AppData\Local\Temp\n2scv.exe
O4 - Startup: Logitech . Enregistrement du produit.lnk = C:\Program Files\Common Files\Logishrd\eReg\SetPoint\eReg.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Program files\logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Envoyer à OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logishrd\Bluetooth\LBTServ.exe
0
Réponse 16 / 23
kduc Messages postés 1537 Statut Membre 133
 
...

(si ce n’ est déjà fait) Télécharge CCleaner :
http://www.filehippo.com/download_ccleaner.html
("Download Latest Version", sur la droite) et laisse-toi guider.
A un moment, il te sera demandé de cocher :
"Ajouter la barre d' outils Yahoo". Refuse et …
Laisse-le s’ installer tel que …

-------
Redémarre le PC en mode sans échec ...
https://www.pcastuces.com/pratique/windows/mode_sans_echec/page2.htm
(méthode F8 de préférence)

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UpdateUSB] C:\Windows\inf\UpdateUSB.exe
O4 - HKLM\..\RunOnce: [SpybotDeletingA4011] command.com /c del "C:\Windows\System32\wmdtc.exe_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingC421] cmd.exe /c del "C:\Windows\System32\wmdtc.exe_old"
O4 - HKLM\..\RunOnce: [SpybotDeletingA6267] command.com /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC5222] cmd.exe /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA8126] command.com /c del "C:\Windows\System32\wmdtc.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC4048] cmd.exe /c del "C:\Windows\System32\wmdtc.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingA3873] command.com /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKLM\..\RunOnce: [SpybotDeletingC8457] cmd.exe /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB4534] command.com /c del "C:\Windows\System32\wmdtc.exe_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6554] cmd.exe /c del "C:\Windows\System32\wmdtc.exe_old"
O4 - HKCU\..\RunOnce: [SpybotDeletingB1859] command.com /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD1230] cmd.exe /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB7058] command.com /c del "C:\Windows\System32\wmdtc.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD6018] cmd.exe /c del "C:\Windows\System32\wmdtc.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingB9837] command.com /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - HKCU\..\RunOnce: [SpybotDeletingD7161] cmd.exe /c del "C:\Users\kzo\AppData\Local\Temp\c.exe"
O4 - Startup: 9956126.lnk = kzo\AppData\Local\Temp\n2scv.exe

Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.

Lance CCleaner ...
Clique sur > Analyser > Nettoyer, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.

Relance un scan Malwarebytes et poste le rapport.

Redémarre le PC en mode normal ...
0
Réponse 17 / 23
k'zo Messages postés 17 Statut Membre
 
voici le dernier scan malwarebyte,seulement dés la connexion a internet c'est rebelotte...les virus reviennent...

Malwarebytes' Anti-Malware 1.42
Version de la base de données: 3305
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

07/12/2009 19:58:47
mbam-log-2009-12-07 (19-58-47).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 411673
Temps écoulé: 1 hour(s), 12 minute(s), 28 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
Réponse 18 / 23
kduc Messages postés 1537 Statut Membre 133
 
Salut,

Voyons voir avec ce scan en ligne ...

Lance un scan Nod32 : https://www.eset.com/
(il faut utiliser Internet Explorer) …

Coche toutes les cases à chaque fois et, une fois le scan achevé, poste le rapport :

-> C:\Program Files\EsetOnlineScanner\log.txt <- le rapport

PS : désactive la protection résidente d' Avast le temps du scan ...

Clique droit sur l'icône à côté de l'horloge -> Choisis : Arrêter la protection résidente

http://f.imagehost.org/view/0137/Desactiver_Avast
0
Réponse 19 / 23
k'zo Messages postés 17 Statut Membre
 
Bon,ayant un poil perdu patience étant donné leur retour quotidien,j'ai tout formaté...réinstallé ma version de windows..un jour passe,deux jours et voila qu'aujourd'hui je me ramasse une pelletée de troyens encore.... désespérant... je vais faire le scan nod 32 mais encore obligé de passer en sans echec
0
Réponse 20 / 23
k'zo Messages postés 17 Statut Membre
 
Dans ce cas,avec des scan inefficaces,un formatage innéficace, que me reste t'il?si ces malwares reviennent ils ont donc je pense mon IP...faut il que je la modifie par quelque moyen que ce soit?
merci!
0

Discussions similaires

infection
gladiator1952 -
gladiator1952 -

6 réponses
alerte virale critique
bebemh -
bazfile -

5 réponses
Infection pc
Nanie24 -
Nanie24 -

22 réponses
[pnkbstra]infection
swazolie -
billou631 -

9 réponses
infection virus
Utilisateur anonyme -
Utilisateur anonyme -

3 réponses