Virus Cheval de Troie

Jonh.P -  
 Utilisateur anonyme -
Bonjour,

J'ai été contaminé par un virus cheval de troie et lorsque je vais sur mon disque dur C, ce message s'affiche Win32/PSW.OnLineGames.OSR et également ce message Win32/ Pacex virus.

Est-ce que quelqu'un pourrait m'aider ?

Merci d'avance
Configuration: Windows XP Internet Explorer 6.0

5 réponses

  1. Utilisateur anonyme
     
    bonsoir
    Ce cheval de Troie vole les mots de passe, je te conseillerai après avoir désinfecté le PC de modifier tous tes mots de passe
    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    - http://images.malwareremoval.com/random/RSIT.exe

    ! Déconnecte toi et ferme toutes tes applications en cours !

    * Double-clique sur RSIT.exe pour le lancer .
    * Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
    * Devant l'option List files/folders created ... , tu choisis 2 months
    * Clique ensuite sur Continue pour lancer l'analyse ...
    * Laisse faire le scan et ne touche pas au PC ...
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
    * Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de info.txt ici.
    Clique sur parcourir
    Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
    Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
    qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt

    Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit
    0
  2. John.P
     
    Merci de m'avoir répondu

    Voici le 1er: http://www.cijoint.fr/cj201002/cijyOfjEJZ.txt

    Et le 2ème: http://www.cijoint.fr/cj201002/cijCsC6naP.txt
    0
    1. Utilisateur anonyme
       
      Télécharge USBFix (de El Desaparecido, C_XX et Chimay8) sur ton bureau
      http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.txt­
      ou
      https://www.ionos.fr/?affiliate_id=77097

      Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

      # Double clic sur le raccourci UsbFix présent sur ton bureau .

      # Sélectionne l'option 1 ( Recherche )

      # Laisse travailler l'outil.

      # Ensuite poste le rapport UsbFix.txt qui apparaitra.

      # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

      ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

      # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

      surtout, ne tape aucun mot de passe sur ton clavier
      0
  3. John.P
     
    Voici le rapport:

    ############################## | UsbFix V6.095 |

    User : Loic (Administrateurs) # LOIC-54F9A68DF5
    Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 23:37:06 | 15/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.20GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180
    Windows Firewall Status : Enabled
    AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 149,04 Go (37,12 Go free) # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque fixe local # 74,51 Go (2,54 Go free) [LACIE] # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Eset\nod32krn.exe
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\S3trayp.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Avant Browser\avant.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Elements infectieux |

    C:\DOCUME~1\Loic\LOCALS~1\Temp\cvasds1.dll
    C:\autorun.inf -> fichier appelé : "C:\p3vwxx.exe" ( Présent ! )
    C:\autorun.inf
    C:\p3vwxx.exe
    E:\autorun.inf -> fichier appelé : "E:\p3vwxx.exe" ( Présent ! )
    E:\autorun.inf
    E:\p3vwxx.exe

    ################## | Registre |

    [HKCU\SOFTWARE\Bifrost]
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
    [HKLM\SOFTWARE\Bifrost]
    [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
    [HKCR\CLSID\MADOWN]

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{1ebdefb3-8b36-11dc-a73c-003054c00e57}
    Shell\AutoRun\command =E:\p3vwxx.exe
    Shell\open\Command =E:\p3vwxx.exe

    HKCU\..\..\Explorer\MountPoints2\{9b1d7c04-cdbc-11dc-a7ee-003054c00e57}
    Shell\AutoRun\command =F:\sysboot.scr
    Shell\open\Command =F:\sysboot.scr

    HKCU\..\..\Explorer\MountPoints2\{b44c225d-8b20-11dc-9314-806d6172696f}
    Shell\AutoRun\command =C:\p3vwxx.exe
    Shell\open\Command =C:\p3vwxx.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.095 ! |
    0
  4. John.P
     
    Voici le rapport:

    ############################## | UsbFix V6.095 |

    User : Loic (Administrateurs) # LOIC-54F9A68DF5
    Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 23:37:06 | 15/02/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) 4 CPU 3.20GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    Internet Explorer 6.0.2900.2180
    Windows Firewall Status : Enabled
    AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

    C:\ -> Disque fixe local # 149,04 Go (37,12 Go free) # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque fixe local # 74,51 Go (2,54 Go free) [LACIE] # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Eset\nod32krn.exe
    C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\wdfmgr.exe
    C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\S3trayp.exe
    C:\Program Files\Eset\nod32kui.exe
    C:\Program Files\Gadwin Systems\PrintScreen\PrintScreen.exe
    C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
    C:\WINDOWS\System32\alg.exe
    C:\Program Files\Avant Browser\avant.exe
    C:\WINDOWS\system32\wuauclt.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Elements infectieux |

    C:\DOCUME~1\Loic\LOCALS~1\Temp\cvasds1.dll
    C:\autorun.inf -> fichier appelé : "C:\p3vwxx.exe" ( Présent ! )
    C:\autorun.inf
    C:\p3vwxx.exe
    E:\autorun.inf -> fichier appelé : "E:\p3vwxx.exe" ( Présent ! )
    E:\autorun.inf
    E:\p3vwxx.exe

    ################## | Registre |

    [HKCU\SOFTWARE\Bifrost]
    [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
    [HKLM\SOFTWARE\Bifrost]
    [HKLM\SOFTWARE\Classes\CLSID\MADOWN]
    [HKCR\CLSID\MADOWN]

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{1ebdefb3-8b36-11dc-a73c-003054c00e57}
    Shell\AutoRun\command =E:\p3vwxx.exe
    Shell\open\Command =E:\p3vwxx.exe

    HKCU\..\..\Explorer\MountPoints2\{9b1d7c04-cdbc-11dc-a7ee-003054c00e57}
    Shell\AutoRun\command =F:\sysboot.scr
    Shell\open\Command =F:\sysboot.scr

    HKCU\..\..\Explorer\MountPoints2\{b44c225d-8b20-11dc-9314-806d6172696f}
    Shell\AutoRun\command =C:\p3vwxx.exe
    Shell\open\Command =C:\p3vwxx.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.095 ! |
    0
    1. Utilisateur anonyme
       
      Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

      # Double clic sur le raccourci UsbFix présent sur ton bureau

      # Sélectionne l'option 2 ( Suppression )

      # Ton bureau disparaitra et le pc redémarrera .

      # Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

      # Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

      # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

      ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
      0
      1. John.P > Utilisateur anonyme
         
        Mon ordinateur s'est arrêté à 8% dans sa remise en route, je l'ai donc redémarré en mode sans échec et effacé les fichiers endommagés sur mon disque externe.

        Ensuite en redémarrant mon ordinateur a continué UsbFix et voici le rapport qui est apparu:

        ############################## | UsbFix V6.095 |

        User : Loic (Administrateurs) # LOIC-54F9A68DF5
        Update on 15/02/2010 by El Desaparecido , C_XX & Chimay8
        Start at: 07:38:07 | 16/02/2010
        Website : http://pagesperso-orange.fr/NosTools/index.html
        Contact : FindyKill.Contact@gmail.com

        Intel(R) Pentium(R) 4 CPU 3.20GHz
        Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
        Internet Explorer 6.0.2900.2180
        Windows Firewall Status : Enabled
        AV : ESET NOD32 antivirus system 2.70 2.70 [ Enabled | Updated ]

        C:\ -> Disque fixe local # 149,04 Go (37,08 Go free) # NTFS
        D:\ -> Disque CD-ROM
        E:\ -> Disque fixe local # 74,51 Go (2,54 Go free) [LACIE] # FAT32

        ############################## | Processus actifs |

        C:\WINDOWS\System32\smss.exe
        C:\WINDOWS\system32\csrss.exe
        C:\WINDOWS\system32\winlogon.exe
        C:\WINDOWS\system32\services.exe
        C:\WINDOWS\system32\lsass.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\System32\svchost.exe
        C:\WINDOWS\system32\logonui.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\spoolsv.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\userinit.exe
        C:\WINDOWS\Explorer.EXE
        C:\Program Files\Eset\nod32krn.exe
        C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
        C:\WINDOWS\system32\svchost.exe
        C:\WINDOWS\system32\wdfmgr.exe
        C:\WINDOWS\system32\wuauclt.exe
        C:\WINDOWS\System32\alg.exe
        C:\WINDOWS\system32\wbem\wmiprvse.exe

        ################## | Elements infectieux |

        Supprimé ! C:\DOCUME~1\Loic\LOCALS~1\Temp\cvasds0.dll
        Supprimé ! C:\DOCUME~1\Loic\LOCALS~1\Temp\cvasds1.dll
        Supprimé ! C:\DOCUME~1\Loic\LOCALS~1\Temp\herss.exe
        C:\autorun.inf -> fichier appelé : "C:\p3vwxx.exe" ( Présent ! )
        Supprimé ! C:\p3vwxx.exe
        Supprimé ! C:\autorun.inf
        Supprimé ! C:\Recycler\S-1-5-21-796845957-1770027372-839522115-1003
        E:\autorun.inf -> fichier appelé : "E:\p3vwxx.exe" ( Présent ! )
        Supprimé ! E:\p3vwxx.exe
        Supprimé ! E:\autorun.inf

        ################## | Registre |

        Supprimé ! [HKCU\SOFTWARE\Bifrost]
        Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "cdoosoft"
        Supprimé ! [HKLM\SOFTWARE\Bifrost]
        Supprimé ! [HKLM\SOFTWARE\Classes\CLSID\MADOWN]

        ################## | Mountpoints2 |

        Supprimé ! HKCU\...\Explorer\MountPoints2\C\Shell\AutoRun\Command
        Supprimé ! HKCU\...\Explorer\MountPoints2\E\Shell\AutoRun\Command
        Supprimé ! HKCU\...\Explorer\MountPoints2\{9b1d7c04-cdbc-11dc-a7ee-003054c00e57}\Shell\AutoRun\Command

        ################## | Listing des fichiers présent |

        [04/11/2007 22:58|--a------|0] C:\AUTOEXEC.BAT
        [03/01/2010 01:32|---hs----|212] C:\boot.ini
        [07/09/2002 01:00|-rahs----|4952] C:\Bootfont.bin
        [04/11/2007 22:58|--a------|0] C:\CONFIG.SYS
        [04/11/2007 22:58|-rahs----|0] C:\IO.SYS
        [04/11/2007 22:58|-rahs----|0] C:\MSDOS.SYS
        [04/08/2004 03:38|-rahs----|47564] C:\NTDETECT.COM
        [04/08/2004 03:59|-rahs----|251712] C:\ntldr
        [?|?|?] C:\pagefile.sys
        [16/02/2010 07:50|--a------|3036] C:\UsbFix.txt
        [29/08/2009 12:07|--ahs----|91648] E:\Thumbs.db
        [20/12/2009 12:31|--a------|1127] E:\Anniversaires.rtf

        ################## | Vaccination |

        # C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
        # E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

        ################## | Upload |

        Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_LOIC-54F9A68DF5.zip : https://www.ionos.fr/?affiliate_id=77097
        Merci pour votre contribution .
        0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. John.P
     
    J'ai l'impression que tout refonctionne correctement.

    Merci infiniment pour ton aide Nathandre et bonne continuation.
    0
    1. Utilisateur anonyme
       
      bonjour
      c'est pas finit
      as tu envoyé le fichier comme demandé à la fin du rapport
      pourrai tu me refaire un RSIT
      0