Infecté par win32sality
tchingtrati
Messages postés
39
Statut
Membre
-
fix200 Messages postés 3365 Statut Contributeur sécurité -
fix200 Messages postés 3365 Statut Contributeur sécurité -
Bonjour à tous,
je sollicite une aide à propos de mon probleme qui se trouve etre une infection par le win32sality, j'avais copié un fichier sur l'ordi d'un ami que j'ai collé sur le mien et depuis cela mon ordi est infecté, j'avais desactivé mon avira pour effectuer cet action, voici le rapport hijack de ma machine. merci de votre comprehension.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:38:06, on 10-déc-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\windows\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Program Files\X'nBeep 1.1\XnBeep.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\tching\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\AIMP2\AIMP2.exe
C:\Documents and Settings\tching\Bureau\Huawei technologies\FWT Connect\FWTConnect.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\winvgmnqj.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\verb.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [ASuite] C:\LiberKey\Apps\Asuite\LKrun.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [L07FXLRD_28422203] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [X'nBeep] C:\Program Files\X'nBeep 1.1\XnBeep.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\tching\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E97B12E-6749-47D5-993B-132EB213790C}: NameServer = 41.219.0.1 213.154.64.13
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
O23 - Service: Eset Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
je sollicite une aide à propos de mon probleme qui se trouve etre une infection par le win32sality, j'avais copié un fichier sur l'ordi d'un ami que j'ai collé sur le mien et depuis cela mon ordi est infecté, j'avais desactivé mon avira pour effectuer cet action, voici le rapport hijack de ma machine. merci de votre comprehension.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:38:06, on 10-déc-2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\windows\system32\svchost.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
C:\Program Files\X'nBeep 1.1\XnBeep.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Documents and Settings\tching\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
C:\PROGRA~1\Webshots\webshots.scr
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Program Files\AIMP2\AIMP2.exe
C:\Documents and Settings\tching\Bureau\Huawei technologies\FWT Connect\FWTConnect.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\wintnfb.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\winvgmnqj.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\bocauw.exe
C:\DOCUME~1\tching\LOCALS~1\Temp\verb.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: BHO pour Compagnon Web Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Compagnon Web Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [ASuite] C:\LiberKey\Apps\Asuite\LKrun.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [L07FXLRD_28422203] "C:\Program Files\Microsoft Etudes\Microsoft Encarta 2007 - Études DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU\..\Run: [UberIcon] "C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [X'nBeep] C:\Program Files\X'nBeep 1.1\XnBeep.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - Startup: Notification de cadeaux MSN.lnk = C:\Documents and Settings\tching\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Webshots.lnk = C:\Program Files\Webshots\Launcher.exe
O4 - Startup: Y'z Shadow.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\windows\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barre de recherche Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7E97B12E-6749-47D5-993B-132EB213790C}: NameServer = 41.219.0.1 213.154.64.13
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
O23 - Service: Eset Service (ekrn) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
A voir également:
- Infecté par win32sality
- Alerte windows ordinateur infecté - Accueil - Arnaque
- Google infecté huawei ✓ - Forum Virus
- L'ordinateur de simon a été infecté par un virus répertorié récemment ✓ - Forum Virus
- L'ordinateur de mustapha a été infecté par un virus répertorié récemment - Forum Virus
- Mustapha - Forum Windows
52 réponses
Re,
A tu un antivirus ? si oui lequel ?
Dis ... un rapport HJT devant tes yeux et tu demandes si il a un AV? j'ai jamais vu ça ... --'
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
La suite
https://forums.commentcamarche.net/forum/affich-15556644-infecte-par-win32sality#1
A tu un antivirus ? si oui lequel ?
Dis ... un rapport HJT devant tes yeux et tu demandes si il a un AV? j'ai jamais vu ça ... --'
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
La suite
https://forums.commentcamarche.net/forum/affich-15556644-infecte-par-win32sality#1
fixe :
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
(ligne pour desactiver le registre)
ensuite:
=> telecharge usbfix de Chiquitine29, C_xx et Chimay8 sur ton bureau
=> branche tout tes disque durs externes , clés usb , etc ...
=> fait un double clique sur usbfix.exe
=> choisis l'option 1
=> laisse usbfix travailler
=> copie colle le log ici (si il n'aparait pas a la fin , il se trouve ici : C:\UsbFix.txt)
si ton antivirus detecte "process.exe" comme un virus , ne t'inquiette pas , c'est une composante de l'outils et ton un virus
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
(ligne pour desactiver le registre)
ensuite:
=> telecharge usbfix de Chiquitine29, C_xx et Chimay8 sur ton bureau
=> branche tout tes disque durs externes , clés usb , etc ...
=> fait un double clique sur usbfix.exe
=> choisis l'option 1
=> laisse usbfix travailler
=> copie colle le log ici (si il n'aparait pas a la fin , il se trouve ici : C:\UsbFix.txt)
si ton antivirus detecte "process.exe" comme un virus , ne t'inquiette pas , c'est une composante de l'outils et ton un virus
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Je comprends pas que veut dire conficker, suis pas calé informatique.
C'est une infection très coriace.
Servabat va te guider, sinon moi au cas ou.
Je comprends pas que veut dire conficker, suis pas calé informatique.
C'est une infection très coriace.
Servabat va te guider, sinon moi au cas ou.
j'avais desactivé mon avira pour effectuer cet action
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
!!!!!!!!!!!!!!!!!!!!!!!!
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
!!!!!!!!!!!!!!!!!!!!!!!!
C'est grave quand même tu as identifié l'infection et l'av tu l'as oublié.
La prochaine fois, regarde bien les rapports, prends ton temps: analyse le ligne par ligne. ;)
La suite:
https://forums.commentcamarche.net/forum/affich-15556644-infecte-par-win32sality#1
La prochaine fois, regarde bien les rapports, prends ton temps: analyse le ligne par ligne. ;)
La suite:
https://forums.commentcamarche.net/forum/affich-15556644-infecte-par-win32sality#1
slt fix200, juste pour vs signaler que le lien que vs m'avez indiquez me renvoie à ma propre page du forum, j'y retrouve que ce qu'on s'envoie depuis le debut, thanks
▶ Télécharge Dr Web CureIt sur ton Bureau :
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
▶ redemarre en mode sans échec
▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;
▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>
▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
▶- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
le telechargement est effectué, mais l'ordinateur redemarre lui meme a chaque fois que choisis le mode sans echec. je suis pas parvenu à utiliser le Dr web.slt
mais l'ordinateur redemarre lui meme a chaque fois que choisis le mode sans echec
peux-tu etre bien explicite stp ?
peux-tu etre bien explicite stp ?
-En fait, quand je redemarre l'ordi en mode sans echec, à un instant il y a un tiret qui clignotte en haut au coin droit de l'ecran et pendant ce temps s'affiche promptement un truc du genre " if u want cancel...... SPTD.sys" et si je comprends bien ça me demande (si je voulais annuler le mode sans echec) mais sans appuyer sur ESC l'ordi redemarre seul, j'ai tenté à mainte reprises de le demarrer en mode sans echec mais c'est la meme chose qu'il refait.
-En mode normal, quand je clique sur le dr web, rien ne se passe.
please help me. merci
-En mode normal, quand je clique sur le dr web, rien ne se passe.
please help me. merci
Salut,
[Pour avancer gen]
C'est un peu normal que DR.Web CureIt! ne fonctionne pas: tu as conficker qui le bloque.
Essaye ça:
**********************************************************
********************* XP Option 1 (Recherche) ******************
**********************************************************
Télécharge UsbFix (de C_XX , Chiquitine29, Chimay8)
▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Double clique sur le raccourci UsbFix sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu, Choisis l'option 1 (recherche)
▶ Laisse travailler l'outil et ne touche a rien .
▶ Ensuite poste le rapport UsbFix.txt qui apparaîtra.
*Notes :*
1- le rapport UsbFix.txt est sauvegardé a la racine du disque
2- Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
3- "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
+
[Pour avancer gen]
C'est un peu normal que DR.Web CureIt! ne fonctionne pas: tu as conficker qui le bloque.
Essaye ça:
**********************************************************
********************* XP Option 1 (Recherche) ******************
**********************************************************
Télécharge UsbFix (de C_XX , Chiquitine29, Chimay8)
▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Double clique sur le raccourci UsbFix sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu, Choisis l'option 1 (recherche)
▶ Laisse travailler l'outil et ne touche a rien .
▶ Ensuite poste le rapport UsbFix.txt qui apparaîtra.
*Notes :*
1- le rapport UsbFix.txt est sauvegardé a la racine du disque
2- Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides
3- "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
+
Voici le rapport usbfix
############################## | UsbFix V6.059 |
User : tching (Administrateurs) # TCHING
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 12:11:20 | 13-déc-2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Celeron(R) D CPU 3.06GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 34,18 Go (617,36 Mo free) # NTFS
D:\ -> Disque CD-ROM # 3,51 Mo (0 Mo free) [Mon disque] # CDFS
E:\ -> Disque fixe local # 40,34 Go (3,29 Go free) # NTFS
F:\ -> Disque amovible # 981,05 Mo (162,59 Mo free) [GER] # FAT32
############################## | Processus actifs |
C:\windows\System32\smss.exe 872
C:\windows\system32\csrss.exe 1184
C:\windows\system32\winlogon.exe 1272
C:\windows\system32\services.exe 1428
C:\windows\system32\lsass.exe 1440
C:\windows\system32\svchost.exe 1716
C:\windows\system32\svchost.exe 1912
C:\windows\System32\svchost.exe 1968
C:\windows\system32\svchost.exe 2024
C:\windows\system32\svchost.exe 328
C:\windows\system32\svchost.exe 432
C:\windows\system32\spoolsv.exe 372
C:\Program Files\Avira\AntiVir Desktop\sched.exe 752
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 984
C:\windows\system32\svchost.exe 1028
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 888
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 1104
C:\windows\system32\svchost.exe 1192
C:\windows\Explorer.EXE 672
C:\Program Files\SuperCopier2\SuperCopier2.exe 456
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe 1652
C:\Program Files\X'nBeep 1.1\XnBeep.exe 576
C:\windows\system32\ctfmon.exe 444
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 544
C:\Program Files\Skype\Phone\Skype.exe 664
C:\Documents and Settings\tching\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe 784
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe 1256
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe 2176
C:\PROGRA~1\Webshots\webshots.scr 2372
C:\Program Files\Windows Live\Contacts\wlcomm.exe 2712
C:\Program Files\AIMP2\AIMP2.exe 2416
C:\DOCUME~1\tching\LOCALS~1\Temp\winggqpfy.exe 3672
C:\DOCUME~1\tching\LOCALS~1\Temp\winarub.exe 1876
C:\Documents and Settings\tching\Bureau\Huawei technologies\FWT Connect\FWTConnect.exe 1740
C:\DOCUME~1\tching\LOCALS~1\Temp\winltvlmk.exe 5328
C:\Program Files\Mozilla Firefox\firefox.exe 4596
C:\Program Files\Skype\Plugin Manager\skypePM.exe 2228
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe 6136
C:\WINDOWS\system32\wbem\wmiprvse.exe 3968
################## | Fichiers # Dossiers infectieux |
F:\autorun.inf
F:\autorun.inf -> fichier appelé : "F:\snai.pif" ( Présent ! )
F:\snai.pif
################## | Spyware.OnlineGames |
################## | Registre # Clés infectieuses |
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"
################## | Registre # Mountpoints2 |
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # UsbFix V6.059 ! |
############################## | UsbFix V6.059 |
User : tching (Administrateurs) # TCHING
Update on 01/12/2009 by Chiquitine29, C_XX & Chimay8
Start at: 12:11:20 | 13-déc-2009
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Celeron(R) D CPU 3.06GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 34,18 Go (617,36 Mo free) # NTFS
D:\ -> Disque CD-ROM # 3,51 Mo (0 Mo free) [Mon disque] # CDFS
E:\ -> Disque fixe local # 40,34 Go (3,29 Go free) # NTFS
F:\ -> Disque amovible # 981,05 Mo (162,59 Mo free) [GER] # FAT32
############################## | Processus actifs |
C:\windows\System32\smss.exe 872
C:\windows\system32\csrss.exe 1184
C:\windows\system32\winlogon.exe 1272
C:\windows\system32\services.exe 1428
C:\windows\system32\lsass.exe 1440
C:\windows\system32\svchost.exe 1716
C:\windows\system32\svchost.exe 1912
C:\windows\System32\svchost.exe 1968
C:\windows\system32\svchost.exe 2024
C:\windows\system32\svchost.exe 328
C:\windows\system32\svchost.exe 432
C:\windows\system32\spoolsv.exe 372
C:\Program Files\Avira\AntiVir Desktop\sched.exe 752
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 984
C:\windows\system32\svchost.exe 1028
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE 888
C:\Program Files\CyberLink\Shared Files\RichVideo.exe 1104
C:\windows\system32\svchost.exe 1192
C:\windows\Explorer.EXE 672
C:\Program Files\SuperCopier2\SuperCopier2.exe 456
C:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe 1652
C:\Program Files\X'nBeep 1.1\XnBeep.exe 576
C:\windows\system32\ctfmon.exe 444
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 544
C:\Program Files\Skype\Phone\Skype.exe 664
C:\Documents and Settings\tching\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe 784
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe 1256
C:\WINDOWS\BricoPacks\Vista Inspirat 2\YzShadow\YzShadow.exe 2176
C:\PROGRA~1\Webshots\webshots.scr 2372
C:\Program Files\Windows Live\Contacts\wlcomm.exe 2712
C:\Program Files\AIMP2\AIMP2.exe 2416
C:\DOCUME~1\tching\LOCALS~1\Temp\winggqpfy.exe 3672
C:\DOCUME~1\tching\LOCALS~1\Temp\winarub.exe 1876
C:\Documents and Settings\tching\Bureau\Huawei technologies\FWT Connect\FWTConnect.exe 1740
C:\DOCUME~1\tching\LOCALS~1\Temp\winltvlmk.exe 5328
C:\Program Files\Mozilla Firefox\firefox.exe 4596
C:\Program Files\Skype\Plugin Manager\skypePM.exe 2228
C:\Program Files\Skype\Toolbars\Shared\SkypeNames.exe 6136
C:\WINDOWS\system32\wbem\wmiprvse.exe 3968
################## | Fichiers # Dossiers infectieux |
F:\autorun.inf
F:\autorun.inf -> fichier appelé : "F:\snai.pif" ( Présent ! )
F:\snai.pif
################## | Spyware.OnlineGames |
################## | Registre # Clés infectieuses |
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableTaskMgr"
################## | Registre # Mountpoints2 |
################## | Cracks / Keygens / Serials |
################## | ! Fin du rapport # UsbFix V6.059 ! |
Re,
**********************************************************
********************* Option 2 (Suppression) ******************
**********************************************************
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Fais un double-clic sur le raccourci UsbFix présent sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu choisis l'option 2 ( Suppression )
▶ Ton bureau disparaîtra et le PC redémarrera . (c'est normal)
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche a rien.
▶ Une fois terminé, Poste le rapport UsbFix.txt qui apparaîtra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
Aide : :
Comment Utiliser UsbFix
=========
▶ Rends sur cette page .
▶ Clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip qui se trouve sur ton bureau .
▶ Clique sur "Envoyer le fichier" , et patiente jusqu'à la fin du transfère .
▶ Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip ...
Merci d'avoir envoyé le fichier , cela permettra aux auteurs de cet l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant . ^^
==========
Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.
▶ Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
▶ Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix)
▶ Clique sur le "Tournevis" puis sur Tous, puis décoche les cases O45 et O61.
▶ Clique sur la loupe pour lancer l'analyse.
⇒ Laisse l'outil travailler, il peut être assez long ...
▶ Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .
▶ Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
▶ Pour le transmettre ouvre ce lien
* Clique sur Parcourir et cherche le fichier ci-dessus.
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme est ajouté dans la page :
hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
**********************************************************
********************* Option 2 (Suppression) ******************
**********************************************************
▶ Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir
▶ Fais un double-clic sur le raccourci UsbFix présent sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu choisis l'option 2 ( Suppression )
▶ Ton bureau disparaîtra et le PC redémarrera . (c'est normal)
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche a rien.
▶ Une fois terminé, Poste le rapport UsbFix.txt qui apparaîtra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
Aide : :
Comment Utiliser UsbFix
=========
▶ Rends sur cette page .
▶ Clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip qui se trouve sur ton bureau .
▶ Clique sur "Envoyer le fichier" , et patiente jusqu'à la fin du transfère .
▶ Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip ...
Merci d'avoir envoyé le fichier , cela permettra aux auteurs de cet l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant . ^^
==========
Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.
▶ Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
▶ Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix)
▶ Clique sur le "Tournevis" puis sur Tous, puis décoche les cases O45 et O61.
▶ Clique sur la loupe pour lancer l'analyse.
⇒ Laisse l'outil travailler, il peut être assez long ...
▶ Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .
▶ Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).
▶ Pour le transmettre ouvre ce lien
* Clique sur Parcourir et cherche le fichier ci-dessus.
* Clique sur Ouvrir.
* Clique sur "Cliquez ici pour déposer le fichier".
* Un lien de cette forme est ajouté dans la page :
hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
▶ Copie ce lien dans ta réponse.
j'y avais pas pensé .
merci