win32-malware-gen Résolu/Fermé

Question

Bonjour,
Je n'arrive pas à me débarrasser du virus win32-malware-gen que mon antivirus a détecté. J'ai fait un scan où le virus a été mis deux fois en quarantaine, mais il réapparaît systématiquement chaque fois que j'allume et éteins l'ordi.
Quelqu'un sait comment s'y prendre?
Merci d'avance

Utilisateur anonyme · Answer

Bonjour

Pour analyser ton pc.

* Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ). 
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

ici ou ailleurs · Answer

Merci pour ton aide
Voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201004/cijWj7onLa.txt

Utilisateur anonyme · Answer

Infection rootkit.Ne fait aucune transaction avec ton pc.(Carte bancaire.)



Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé. 

/!\ Désactive tous tes logiciels de protection /!\ 

* Télécharge combofix(de sUBs) sur ton Bureau. 
* Double-clique sur ComboFix.exe afin de le lancer. 
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\ 
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse. 
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
tes qu'aujourd'hui pratiquement tout le monde en a un.

ici ou ailleurs · Answer

J'ai mis le fichier "combofix.txt" sur "ci-joint"

ici ou ailleurs · Answer

Désolé, j'avais oublié le lien
http://www.cijoint.fr/cjlink.php?file=cj201004/cijkxgReuo.txt

Utilisateur anonyme · Answer

1- Avoir accès aux fichiers cachés : 

Cliquer sur démarrer
Cliquer sur panneau de configuration
Cliquer sur l'icône option des dossiers
Cliquer sur onglet affichage
Cochez afficher les fichiers et dossiers cachés
décochez masquer les extensions de fichiers connus
Décochez masquer les fichiers protégés du système faire appliquer et ok

* Rends toi sur le site https://www.virustotal.com/gui/ 
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : 

h:\windows\system32\Smab0.dll     



* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse. 
* Fais un copier/coller du rapport sur le forum.

ici ou ailleurs · Answer

Voilà le résultat


Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.50 2010.04.19 - 
AhnLab-V3 5.0.0.2 2010.04.19 - 
AntiVir 7.10.6.118 2010.04.19 - 
Antiy-AVL 2.0.3.7 2010.04.19 - 
Authentium 5.2.0.5 2010.04.16 - 
Avast 4.8.1351.0 2010.04.19 - 
Avast5 5.0.332.0 2010.04.19 - 
AVG 9.0.0.787 2010.04.19 - 
BitDefender 7.2 2010.04.19 - 
CAT-QuickHeal 10.00 2010.04.19 - 
ClamAV 0.96.0.3-git 2010.04.19 - 
Comodo 4642 2010.04.19 - 
DrWeb 5.0.2.03300 2010.04.19 - 
eSafe 7.0.17.0 2010.04.18 Suspicious File 
eTrust-Vet 35.2.7434 2010.04.19 - 
F-Prot 4.5.1.85 2010.04.18 - 
F-Secure 9.0.15370.0 2010.04.19 - 
Fortinet 4.0.14.0 2010.04.18 - 
GData 19 2010.04.19 - 
Ikarus T3.1.1.80.0 2010.04.19 - 
Jiangmin 13.0.900 2010.04.19 - 
Kaspersky 7.0.0.125 2010.04.19 - 
McAfee 5.400.0.1158 2010.04.19 - 
McAfee-GW-Edition 6.8.5 2010.04.19 - 
Microsoft 1.5605 2010.04.19 - 
NOD32 5040 2010.04.19 - 
Norman 6.04.11 2010.04.16 - 
nProtect 2010-04-19.01 2010.04.19 - 
Panda 10.0.2.7 2010.04.18 - 
PCTools 7.0.3.5 2010.04.19 - 
Prevx 3.0 2010.04.19 - 
Rising 22.44.00.04 2010.04.19 - 
Sophos 4.52.0 2010.04.19 - 
Sunbelt 6195 2010.04.19 - 
Symantec 20091.2.0.41 2010.04.19 - 
TheHacker 6.5.2.0.264 2010.04.18 - 
TrendMicro 9.120.0.1004 2010.04.19 - 
TrendMicro-HouseCall 9.120.0.1004 2010.04.19 - 
VBA32 3.12.12.4 2010.04.15 - 
ViRobot 2010.4.19.2283 2010.04.19 - 
VirusBuster 5.0.27.0 2010.04.18 - 
Information additionnelle 
File size: 27648 bytes 
MD5...: 2cdfdd3019e885d32c0d7c47ec33f8b3 
SHA1..: fa2c7ec1478056ba921c10b433359ef302b3eddd 
SHA256: d4ceed9eeecab9ec14b0bbe3bff53285719295d2c6ba235496c7526890b0a6d2 
ssdeep: 384:DU8zbdpouW22PYu8fO3V70KLFFv9w+xXZerpVQv43mOciH32JCgVYOau9R:o
xkUefO3VIChnxJeFkiH3Y3Vtauz
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000
timedatestamp.....: 0x46495058 (Tue May 15 06:16:56 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x14000 0x4800 7.98 1ff33590ef20d67a1b10a5ce2fc53d96
.rsrc 0x15000 0x2000 0x2000 6.70 341f7944f03a8a170e0549e0cf9e9f9e
.reloc 0x17000 0x200 0x200 0.21 8f5b39eaff78f4364554d021fa93976c

( 3 imports ) 
> kernel32.dll: LoadLibraryA, GetProcAddress, VirtualAlloc, VirtualFree
> msvcrt.dll: __dllonexit
> WSOCK32.DLL: WSAGetLastError

( 115 exports ) 
pthreadCancelableTimedWait, pthreadCancelableWait, pthread_attr_destroy, pthread_attr_getdetachstate, pthread_attr_getinheritsched, pthread_attr_getschedparam, pthread_attr_getschedpolicy, pthread_attr_getscope, pthread_attr_getstackaddr, pthread_attr_getstacksize, pthread_attr_init, pthread_attr_setdetachstate, pthread_attr_setinheritsched, pthread_attr_setschedparam, pthread_attr_setschedpolicy, pthread_attr_setscope, pthread_attr_setstackaddr, pthread_attr_setstacksize, pthread_barrier_destroy, pthread_barrier_init, pthread_barrier_wait, pthread_barrierattr_destroy, pthread_barrierattr_getpshared, pthread_barrierattr_init, pthread_barrierattr_setpshared, pthread_cancel, pthread_cond_broadcast, pthread_cond_destroy, pthread_cond_init, pthread_cond_signal, pthread_cond_timedwait, pthread_cond_wait, pthread_condattr_destroy, pthread_condattr_getpshared, pthread_condattr_init, pthread_condattr_setpshared, pthread_create, pthread_delay_np, pthread_detach, pthread_equal, pthread_exit, pthread_getconcurrency, pthread_getschedparam, pthread_getspecific, pthread_getw32threadhandle_np, pthread_join, pthread_key_create, pthread_key_delete, pthread_kill, pthread_mutex_destroy, pthread_mutex_init, pthread_mutex_lock, pthread_mutex_timedlock, pthread_mutex_trylock, pthread_mutex_unlock, pthread_mutexattr_destroy, pthread_mutexattr_getkind_np, pthread_mutexattr_getpshared, pthread_mutexattr_gettype, pthread_mutexattr_init, pthread_mutexattr_setkind_np, pthread_mutexattr_setpshared, pthread_mutexattr_settype, pthread_num_processors_np, pthread_once, pthread_rwlock_destroy, pthread_rwlock_init, pthread_rwlock_rdlock, pthread_rwlock_timedrdlock, pthread_rwlock_timedwrlock, pthread_rwlock_tryrdlock, pthread_rwlock_trywrlock, pthread_rwlock_unlock, pthread_rwlock_wrlock, pthread_rwlockattr_destroy, pthread_rwlockattr_getpshared, pthread_rwlockattr_init, pthread_rwlockattr_setpshared, pthread_self, pthread_setcancelstate, pthread_setcanceltype, pthread_setconcurrency, pthread_setschedparam, pthread_setspecific, pthread_spin_destroy, pthread_spin_init, pthread_spin_lock, pthread_spin_trylock, pthread_spin_unlock, pthread_testcancel, pthread_timechange_handler_np, pthread_win32_process_attach_np, pthread_win32_process_detach_np, pthread_win32_test_features_np, pthread_win32_thread_attach_np, pthread_win32_thread_detach_np, ptw32_get_exception_services_code, ptw32_pop_cleanup, ptw32_push_cleanup, sched_get_priority_max, sched_get_priority_min, sched_getscheduler, sched_setscheduler, sched_yield, sem_close, sem_destroy, sem_getvalue, sem_init, sem_open, sem_post, sem_post_multiple, sem_timedwait, sem_trywait, sem_unlink, sem_wait
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win32 EXE PECompact compressed (v2.x) (52.1%)
Win32 EXE PECompact compressed (generic) (36.7%)
Win32 Executable Generic (7.5%)
Generic Win/DOS Executable (1.7%)
DOS Executable Generic (1.7%) 
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
 
packers (Kaspersky): PE_Patch.PECompact, PecBundle, PECompact 
packers (F-Prot): PecBundle, PECompact

Utilisateur anonyme · Answer

* Télécharge et installe : Malwarebyte's AntiMalware 
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats 
* Coche tous les éléments détectés puis clique sur Supprimer la sélection 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer, clique sur Yes 
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.) 
* Si tu as besoin d'aide regarde ce tutorial  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

ici ou ailleurs · Answer

Il ne m'a pas demandé quels secteurs il fallait analyser. Il est parti tout seul. Il n'a trouvé aucun virus, alors que pendant même l'analyse, Avaast me signalait un virus que j'ai mis en quarantaine. Voici le rapport:


Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4006

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

19/04/2010 13:59:39
mbam-log-2010-04-19 (13-59-39).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 101893
Temps écoulé: 3 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

ici ou ailleurs · Answer

Je sors pendant deux heures. A tout à l'heure!

Utilisateur anonyme · Answer

*  Télécharge: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe sur ton bureau. 
*  Double-clique sur drweb-cureit.exe et clique sur Commencer le scan. 
*  Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
*  Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration. 
*  Choisis l'onglet Scanner, et décoche Analyse heuristique. 
*  De retour à la fenêtre principale : choisis Analyse complète. 
*  Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la. 
*  Clique Oui pour Tout si un fichier est détecté. 
*  A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis surDésinfecter. 
*  Si la désinfection est impossible, clique sur Quarantaine.
*  Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. 
*  Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
*  Ferme Dr.Web CureIt! 
*  /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage. 
*  Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse

ici ou ailleurs · Answer

Il a trouvé 6 virus. Je n'ai pas eu à sélectionner et désinfecter car tout a été fait au fur et à mesure: 3 fichiers supprimés, deux mis en quarantaine et un ?
Voici le rapport de DC Web:

A0000241.exe;H:\System Volume Information\_restore{F1E6E1B9-7740-48A8-B49F-C81F3AE0A14A}\RP3;BackDoor.IRC.Bot.267;Supprimé.;
Question.exe;I:\Zimages Anne-Marie;Trojan.DownLoad.14477;Supprimé.;
A0000155.exe;H:\System Volume Information\_restore{F1E6E1B9-7740-48A8-B49F-C81F3AE0A14A}\RP3;Win32.HLLW.Lime.18;Supprimé.;
csrss.exe.vir;H:\Qoobox\Quarantine\H\Documents and Settings\Utilisateur;Win32.HLLW.Lime.18;Supprimé.;
A0000242.exe\uninstall.exe;I:\System Volume Information\_restore{F1E6E1B9-7740-48A8-B49F-C81F3AE0A14A}\RP3\A0000242.exe;Adware.Xbarre;;
wanadoo_toolbarsetup.exe\uninstall.exe;I:\Logiciels\wanadoo_toolbarsetup.exe;Adware.Xbarre;;
A0000242.exe;I:\System Volume Information\_restore{F1E6E1B9-7740-48A8-B49F-C81F3AE0A14A}\RP3;L'archive contient des éléments infectés;Quarantaine.;
wanadoo_toolbarsetup.exe;I:\Logiciels;L'archive contient des éléments infectés;Quarantaine.;

ici ou ailleurs · Answer

Est-ce que le problème est résolu?
Si c'est le cas merci pour ton aide précieuse et l'efficacité de tes explications.

Peux-tu me dire si un scan simple avec avast est suffisant pour tester les périphériques (clés USB, disque dur externe, CD, DVD) que j'ai utilisés alors que j'avais le virus sur l'ordi?

Utilisateur anonyme · Answer

pour tester tous tes supports amovible fait ceci.

* Télécharge et install:  UsbFix.exe par El Desaparecido
 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 
* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

ici ou ailleurs · Answer

Ayant peur d'infecter à nouveau le disque dur j'avais formaté les clés et lancé Avast sur le disque dur externe.

Le rapport Usbfix se trouve en dessous.

Depuis la désinfection de l'ordi, un nouveau problème est apparu: le lecteur DVD ne veut plus lire certains CD et DVD, alors qu'il en lit d'autres. Dans cer cas l'ordi se bloque et l'explorateur windows m'invente de drôles de noms pour le lecteur, genre "Zoe".





############################## | UsbFix V6.106 |

User : Utilisateur (Administrateurs) # UTILISAT-C9ACED
Update on 19/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:38:19 | 21/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100421-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque amovible
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 39.06 Go (26.45 Go free) # NTFS
I:\ -> Disque fixe local # 193.82 Go (29.19 Go free) # NTFS
J:\ -> Disque fixe local # 465.64 Go (188.68 Go free) [Elements] # FAT32
K:\ -> Disque amovible # 3.73 Go (3.73 Go free) [DSK_USB_EXT] # FAT32
L:\ -> Disque CD-ROM # 6.67 Mo (0 Mo free) [U3 System] # CDFS
M:\ -> Disque amovible # 7.46 Go (7.46 Go free) # FAT32

################## | Elements infectieux |

J:\autorun.inf -> fichier appelé : "J:\OSMICA//devetka.exe" ( Absent ! )  
J:\autorun.inf -> fichier appelé : "J:\OSMICA//devetka.exe" ( Absent ! )  
J:\autorun.inf  
L:\autorun.inf  

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{3d234c04-9ab2-11dd-bcd6-0019e018f9b5}
Shell\AutoRun\command =L:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{f3d8341c-2e4d-11dd-bc0f-0019e018f9b5}
Shell\AutoRun\command =J:\ 
Shell\open\command =OSMICA//devetka.exe 

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.106 ! |

ici ou ailleurs · Answer

Voici le rapport pour les deux dernières clés USB:


############################## | UsbFix V6.106 |

User : Utilisateur (Administrateurs) # UTILISAT-C9ACED
Update on 19/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:52:51 | 21/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100421-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque amovible # 243.02 Mo (243.01 Mo free) [DSK_USB_EXT] # FAT32
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 39.06 Go (26.45 Go free) # NTFS
I:\ -> Disque fixe local # 193.82 Go (29.19 Go free) # NTFS

################## | Elements infectieux |


################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{3d234c04-9ab2-11dd-bcd6-0019e018f9b5}
Shell\AutoRun\command =L:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{f3d8341c-2e4d-11dd-bc0f-0019e018f9b5}
Shell\AutoRun\command =J:\ 
Shell\open\command =OSMICA//devetka.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.106 ! |

Utilisateur anonyme · Answer

Passes Usbfix mais avec l'option 2.

Bonjour

Pour analyser ton pc.

* Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ). 
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

ici ou ailleurs · Answer

J'ai fait deux nettoyage, je me demande si je n'ai pas fait disparaître le premier rapport. Je t'envoie les deux documents que j'ai trouvé sur l'ordi, ils seressemblent beaucoup!

Voici le premier rapport:

############################## | UsbFix V6.106 |

User : Utilisateur (Administrateurs) # UTILISAT-C9ACED
Update on 19/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:06:06 | 21/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100421-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque amovible
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 39.06 Go (26.4 Go free) # NTFS
I:\ -> Disque fixe local # 193.82 Go (32.59 Go free) # NTFS
J:\ -> Disque amovible # 3.73 Go (3.73 Go free) # FAT32
K:\ -> Disque amovible # 243.02 Mo (243.01 Mo free) [DSK_USB_EXT] # FAT32

################## | Elements infectieux |

Supprimé ! H:\Recycler\S-1-5-21-861567501-1450960922-839522115-1004 
Supprimé ! I:\Recycler\S-1-5-21-861567501-1450960922-839522115-1004 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[21/01/2008 21:13|--a------|95] H:\AUTOEXEC.BAT 
[14/04/2010 21:40|--a------|215] H:\Boot.bak 
[19/04/2010 11:30|-rahs----|286] H:\boot.ini 
[05/08/2004 14:00|-rahs----|4952] H:\Bootfont.bin 
[03/08/2004 23:00|--a------|263488] H:\cmldr 
[19/04/2010 11:42|--a------|14468] H:\ComboFix.txt 
[02/03/2006 14:00|-rahs----|47564] H:\NTDETECT.COM 
[17/09/2008 18:14|-rahs----|252240] H:
tldr 
[?|?|?] H:\pagefile.sys 
[21/04/2010 20:08|--a------|1684] H:\UsbFix.txt 
[21/04/2010 19:59|--a------|2352] H:\UsbFix_Upload_Me_UTILISAT-C9ACED.zip 

################## | Vaccination |

# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : H:\UsbFix_Upload_Me_UTILISAT-C9ACED.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.106 ! |


Et voici le deuxième:

############################## | UsbFix V6.106 |

User : Utilisateur (Administrateurs) # UTILISAT-C9ACED
Update on 19/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 20:06:06 | 21/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

AMD Athlon(tm) 64 X2 Dual Core Processor 4000+
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100421-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque amovible
D:\ -> Disque amovible
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque CD-ROM
H:\ -> Disque fixe local # 39.06 Go (26.4 Go free) # NTFS
I:\ -> Disque fixe local # 193.82 Go (32.59 Go free) # NTFS
J:\ -> Disque amovible # 3.73 Go (3.73 Go free) # FAT32
K:\ -> Disque amovible # 243.02 Mo (243.01 Mo free) [DSK_USB_EXT] # FAT32

################## | Elements infectieux |

Supprimé ! H:\Recycler\S-1-5-21-861567501-1450960922-839522115-1004 
Supprimé ! I:\Recycler\S-1-5-21-861567501-1450960922-839522115-1004 

################## | Registre |


################## | Mountpoints2 |


################## | Listing des fichiers présent |

[21/01/2008 21:13|--a------|95] H:\AUTOEXEC.BAT 
[14/04/2010 21:40|--a------|215] H:\Boot.bak 
[19/04/2010 11:30|-rahs----|286] H:\boot.ini 
[05/08/2004 14:00|-rahs----|4952] H:\Bootfont.bin 
[03/08/2004 23:00|--a------|263488] H:\cmldr 
[19/04/2010 11:42|--a------|14468] H:\ComboFix.txt 
[02/03/2006 14:00|-rahs----|47564] H:\NTDETECT.COM 
[17/09/2008 18:14|-rahs----|252240] H:
tldr 
[?|?|?] H:\pagefile.sys 
[21/04/2010 20:08|--a------|1684] H:\UsbFix.txt 
[21/04/2010 19:59|--a------|2352] H:\UsbFix_Upload_Me_UTILISAT-C9ACED.zip 

################## | Vaccination |

# H:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# I:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).

ici ou ailleurs · Answer

Voici le lien:

http://www.cijoint.fr/cjlink.php?file=cj201004/cijbcARxVV.txt

Utilisateur anonyme · Answer

Télécharger sur le bureau HAMeb Check 

= Double cliquer dessus pour le lancer 
= Copier/coller le contenu du rapport dans la réponse  
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

ici ou ailleurs · Answer

Voici le rapport AMeb:

I:\T'l'chargements Youtube\HAMeb_check.exe
22/04/2010 at 13:16:45.96

Compteÿ: actif                                 Non
Appartient aux groupes locaux                  

 ~~ Checking profile list ~~

No HelpAssistant profile in registry

 ~~ Checking for HelpAssistant directories ~~

none found

 ~~ Checking mbr ~~

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 

 ~~ Checking for termsrv32.dll ~~

termsrv32.dll was not found


HKEY_LOCAL_MACHINE\system\currentcontrolset\services	ermservice\parameters
   ServiceDll	REG_EXPAND_SZ  	%SystemRoot%\System32	ermsrv.dll

 ~~ Checking firewall ports ~~

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\GloballyOpenPorts\List]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]


 ~~ EOF ~~

Utilisateur anonyme · Answer

Pour supprimer le rootkit :

    * Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
  
      (veuillez à bien respecter les guillemets)
    * dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
    * Supprimer le fichier mbr.log
    * Relancez mbr.exe et revisualiser mbr.log, si vous n'êtes plus infecté, vous devez avoir un rapport disant qu'aucune infection n'a été détectée, comme ceci :

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

ici ou ailleurs · Answer

J'ai tapé

"%userprofile%\Bureau\mbr"-f

Il me dit que "windows ne trouve pas H:\Documents and settings\utilisateur\Bureau\mbr"\-f'

ici ou ailleurs · Answer

Et en cherchant dans le répertoire "bureau", je ne trouve pas le fichier nommé mbr"-f

Utilisateur anonyme · Answer

Apres avoir cherché pourquoi tu avais ce message j'ai enfin compris la raison.
Il manque une partie du canned.je te met le tuto au complet.
Télécharge mbr.exe de Gmer :
http://www2.gmer.net/mbr/mbr.exe
Sur le bureau.
Merci à Malekal pour le tutoriel

Désactive tes protections. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe, un rapport sera généré : mbr.log
    * Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
       Sous Vista, il faut donc taper ceci : "%userprofile%\Desktop\mbr" -f
      (veuillez à bien respecter les guillemets)
    * dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
    * Supprimer le fichier mbr.log
    * Relancez mbr.exe et revisualiser mbr.log, si vous n'êtes plus infecté, vous devez avoir un rapport disant qu'aucune infection n'a été détectée, comme ceci :

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK 


Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.

ici ou ailleurs · Answer

En fait, avec executer, je n'ai rien obtenu. Je suis allé sur H\... \Bureau, j'ai ouvert mbr.log, qui donne ceci:


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

J'ai supprimé mbr.log, j'ai relancé mbr.exe, et le contenu de mbr.log est toujours le même:


Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK 

Est-ce que tu penses que le problème est résolu?
Comment mbr fait-il pour dédecter en une seconde si l'ordinateur est infecté?

Utilisateur anonyme · Answer

Post un nouveau rapport Zhdiag

ici ou ailleurs · Answer

Voici le lien vers ZHPDiag.txt:

http://www.cijoint.fr/cjlink.php?file=cj201004/cijvTrE3M8.txt

Utilisateur anonyme · Answer

desole pour le temps de reponse mais depuis 4 jrs ma connextion internet bug.


.......................................................................................................................................................................
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
* Rends toi ICI , et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit",et a droite décoche IATpuis clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
---------------

ici ou ailleurs · Answer

J'espère que ton problème de connexion est résolu.

Moi j'ai essayé plusieurs fois de scanner mon ordinateru avec Gmer. Plusieurs fois il a planté parce que j'avais oublié tel ou tel résident.
J'ai désactivé avast, le pare-feu Windows, les MAJ automatiques, j'ai prolongé le délai de l'écran de veille. Enfin il est parti.
La première fois j'ai ajouté en cours de scan mon disque données (I), au disque système (H). Ca a pris plusieurs heures, mais lorsque le scan s'est achevé j'ai voulu réduire la fenêtre avant de l'enregistrer. Il s'est mis en icone dans la barre des tâches et je n'ai plus pu le réafficher.
J'ai don recommencé, cette fois pour H seulement.
J'ai vite cliqué sur "save", il a ramé pour ouvrir la fenêtre d'enregistrement, puis je l'ai nommé, j'ai fait "enter", le sablier de la souris s'est mis en marche et ça a duré près d'une demi-heure. J'ai fermé la fenêtre d'entregistrement, le rapport a disparu.
Ce matin en ouvrant Internet explorer, on me dit "le système a repéré une erreur sérieuse", mais il a quand même ouvert le logiciel.

ici ou ailleurs · Answer

Ouf, lors du dernier scan, au lieu de faire "save" tout de suite, j'ai copié collé dans un fichier .txt.
Voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201004/cijujxUKiW.txt 

Puis j'ai fait "save", il a bien voulu l'enregister, mais lorsque je regarde dans le répertoire où je l'ai mis, il n'y figure pas!

ici ou ailleurs · Answer

Voici le rapport:


I:\Documents\Internet\Se d'barrasser d'un virus\HAMeb_check.exe
24/04/2010 at 11:41:28.04

Compteÿ: actif                                 Non
Appartient aux groupes locaux                  

 ~~ Checking profile list ~~

No HelpAssistant profile in registry

 ~~ Checking for HelpAssistant directories ~~

none found

 ~~ Checking mbr ~~

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 

 ~~ Checking for termsrv32.dll ~~

termsrv32.dll was not found


HKEY_LOCAL_MACHINE\system\currentcontrolset\services	ermservice\parameters
   ServiceDll	REG_EXPAND_SZ  	%SystemRoot%\System32	ermsrv.dll

 ~~ Checking firewall ports ~~

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile\GloballyOpenPorts\List]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]


 ~~ EOF ~~

Utilisateur anonyme · Answer

aucune infection sur ton rapport .

Passes a la version 3 de windows. https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes : adblock plus
pour bloquer les publicités ; 

*	WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp  
-------------------------------------------------------------------------------------------------------------------------

?	Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
*	Télécharger  IE8 : ici

* Si Java n'est pas à jour, c'est une faille de sécurité. 
* Télécharge : JavaRa.zip
* Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
* Double-clique sur le répertoire JavaRa obtenu.
* Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)* Clique sur SearchFor Updates.
* Sélectionne Update Using jucheck.exe puis clique sur Search.
* Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
* Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
* Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.
* Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.
* Note : le rapport se trouve aussi là : ( C:\JavaRa.log ) 

* Si Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html 

Pour diminuer les risques, il est conseillé de désactiver l'interprétation du Javascript dans Adobe Reader sur votre ordinateur .Pour cela :

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez

* Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour 
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant. 

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles. 

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour. 

* Un conseil : n'installe pas les BETA 
                               ====================================================
Pour éliminer les programmes de desinfections.

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens) 
http://pc-system.fr/ 
* Clique sur Recherche et laisse le scan se terminer. 
* Clique, sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer. 
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
-----------------------------------------------------------------------------------------------------------------------------------
Désactive et réactive la Restauration du système sous windows xp.
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les 
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire : 
[1]   Dans la barre des tâches de Windows, clique sur Démarrer. 
[2]   Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
[3 ]  Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
[4 ]  Clique sur Appliquer. 
[5 ]  Ensuite décoche "Désactiver la restauration du systeme" 
[6 ]  clique sur appliquer puis ok 
[7 ]  vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides. 
[8]Pensé  a vider la corbeille.
----------------------------------------------------------------------------------------------------





Tu peux mettre ton problème résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/

ici ou ailleurs · Answer

Un grand merci pour ton aide et tout le temps que tu as consacré à mon problème.

C'est la première fois que je demande des conseils sur un forum, et j'ai été impressionné.

Merci de me signaler si on peut évaluer sur le site la qualité des interventions de chacun, donner son avis sur l'aide qu'on a reçue.

Je te souhaite un bon week-end.

Win32-malware-gen

34 réponses

Discussions similaires