Besoin d'aide, virus Total XP

lucoco20 Messages postés 217 Statut Membre -  
lucoco20 Messages postés 217 Statut Membre -
Alors voilà, antivir a détecté un virus EXP/Pidief.bzr.1 et un peu plus tard total xp c'est ouvert, je l'ai fermé avec le gestionnaire des tâches, mais il s'est réouvert plusieurs fois. J'ai donc voulu lançé une analyse avec malwarebytes mais impossible de l'ouvrir, j'ai donc téléchargé SpyHunter 4 afin de supprimer Total XP, l'analyse est en cour. Je suis en train de retélécharger malwarebyte, mais que dois-je faire d'autre ?

Merci d'avance.

30 réponses

  • 1
  • 2
Résumé de la discussion

Une infection est évoquée avec EXP/Pidief.bzr.1 puis Total XP qui se réouvre après fermeture, compliquant l’analyse et les tentatives avec Malwarebytes ou SpyHunter 4 à ce moment critique. Des solutions prioritaires recommandent d'exécuter Malwarebytes après mise à jour et de lancer ZHPDiag Capture lors d’installations guidées, d’enregistrer le rapport sur le Bureau et d’héberger le lien pour partage. D'autres proposent d’employer Rkill pour neutraliser les processus malveillants, puis d’effectuer ZHPDiag sans redémarrer afin d’obtenir des rapports exploitables et éviter les conflits avec des fichiers en cours d’utilisation. Notez qu’une désinfection peut nécessiter plusieurs passes et redémarrages, et qu’un rapport détaillé n’assure pas l’élimination complète, d’où l’intérêt d’un second examen et de vérifier régulièrement l’absence de réinfections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    Si tu as la possibilité de passer Malwarebytes, fais le et donne le rapport.
    N'oublie pas la mise à jour avant le scan complet.

    Ensuite

    * Télécharge ZHPDiag
    Capture

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Heberge le rapport ici: cijoint et colle le lien dans la réponse
    1
  2. lucoco20 Messages postés 217 Statut Membre
     
    J'ai voulu désinstaller Malware, mais impossible d'ouvrir ''ajout/suppression de programmes".
    0
    1. lucoco20 Messages postés 217 Statut Membre
       
      Pour ZHPDiag, ca me demande avec quel programme l'ouvrir, pourquoi ?
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ok tu as un problème d'executable. je te poste la manip
      0
  3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    *Télécharge Rkill (de Grinler) depuis l'un des liens ci dessous :

    rkill.pif
    rkill.scr
    rkill.com
    rkill.exe

    *Enregistrer le fichier sur le Bureau.
    *Désactive ton antivirus et/ou antispyware .
    *Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.
    Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.
    *Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

    Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

    -----------------

    Ensuite essaie ZHPDiag, SANS REDEMARRER entre temps!
    0
  4. lucoco20 Messages postés 217 Statut Membre
     
    j'ai plusieurs antivirus, antivir, mcafee, malware et spyhunter donc comment je fais ? Pour le moment spyhunter a trouvé une infection, je dois attendre la fin du scan pour qu'il le supprime.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      on verra après pour les Antivirus, l'infection est active. Attend la fin du scan si tu veux, je ne connais pas cet outil donc je n'ai pas d'avis dessus.
      0
    2. lucoco20 Messages postés 217 Statut Membre
       
      J'ai quand même essayé d'exécuter rkill sans fermer SpyHunter, la fenêtre noire est toujours ouverte.
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Le mieux serait de ne pas multiplier les scans et autres logiciels.
      0
    4. lucoco20 Messages postés 217 Statut Membre
       
      Voila le rapport de rkill:

      This log file is located at C:\rkill.log.
      Please post this only if requested to by the person helping you.
      Otherwise you can close this log when you wish.
      Ran as PROPRIETAIRE on 19/04/2010 at 10:59:19.


      Processes terminated by Rkill or while it was running:


      C:\Documents and Settings\PROPRIETAIRE\Bureau\rkill.scr


      Rkill completed on 19/04/2010 at 11:00:54.
      0
    5. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Essaie de relancer ZHP, je doute que ça marche
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Si ZHP ne marche toujours pas,

    Télécharger sur le bureau ExeHelper

    = Double-clique sur exeHelper.com pour le lancer
    = Une fenêtre va s'ouvrir, patienter quelques instants et appuyer sur une touche quand le scan sera terminé
    = Un rapport s'ouvre, copier coller son contenu dans la réponse

    Note : le rapport se trouve sur le bureau au nom de log.txt

    Puis retenter ZHP.
    0
    1. lucoco20 Messages postés 217 Statut Membre
       
      Si si il marche.
      0
    2. lucoco20 Messages postés 217 Statut Membre
       
      Le rapport de ZHP je le poste comment ? car j'ai tout copié en tant que réponse mais impossible d'envoyer la réponse, je suppose que c'est trop grand
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Si , colle dans la réponse, ça ira.
      0
    4. lucoco20 Messages postés 217 Statut Membre
       
      Sa ne marche toujours pas. je le pose en deux ou trois fois ?
      0
    5. Nicolas Coolman Messages postés 1119 Statut Contributeur sécurité 27
       
      Hello Tigzy, lucoco20

      ZHPDiag.txt peut dépasser le nombre de lignes allouées à un message sur CCM. Il est possible alors de l'héberger le site cijoint.fr
      http://www.cijoint.fr/

      A bientôt...
      0
  7. lucoco20 Messages postés 217 Statut Membre
     
    Je n'arrive pas à poster cerains messages !
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      tu es sur que ça ne vient pas de ta connexion?
      Je regarde ton rapport
      0
    2. lucoco20 Messages postés 217 Statut Membre
       
      Si surement, merci bien, j'espère que tu trouveras le problème et qu'on arrivera à nettoyer mon ordi ! J'espère ne mettre fait volé aucuns mots de passes !
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu as lancé le scan Malwarebytes? en complet , avec mise à jour avant.
      0
    4. lucoco20 Messages postés 217 Statut Membre
       
      Oui oui pourquoi il y a un blem avec le rapport ?
      0
  8. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Non je l'ai , j'ai vu quelques trucs, mais dont je ne suis pas sûr.
    Déjà tu as une infection USB, mais on verra après le rapport MBAM

    J'ai besoin que tu fasses ceci:

    *Copier ceci:

    C:\WINDOWS\system32\sw20.exe

    *Aller sur Virus Total
    * Cliquer sur "Choose"
    *Coller dans "nom du fichier" et envoyer le fichier
    *Puis coller le rapport généré

    -------------

    *Copier ceci:

    C:\WINDOWS\system32\sw24.exe

    *Aller sur Virus Total
    * Cliquer sur "Choose"
    *Coller dans "nom du fichier" et envoyer le fichier
    *Puis coller le rapport généré
    0
  9. lucoco20 Messages postés 217 Statut Membre
     
    Voila le premier:

    MD5: 0a1df392a051340048daadc928856b0a
    First received: 2007.03.26 11:17:58 UTC
    Date 2010.04.03 14:06:24 UTC [>15D]
    Résultats 0/36
    Permalink: analisis/f2108433f05b5c18877507ec3f86845b7cc0b22b600a9aea1e5769dc36852e9a-1270303584

    Fichier sw20.exe reçu le 2010.04.03 14:06:24 (UTC)
    Situation actuelle: terminé

    Résultat: 0/36 (0.00%)
    Formaté Impression des résultats
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.50 2010.04.03 -
    AntiVir 7.10.6.23 2010.04.02 -
    Antiy-AVL 2.0.3.7 2010.04.02 -
    Authentium 5.2.0.5 2010.04.03 -
    Avast 4.8.1351.0 2010.04.03 -
    Avast5 5.0.332.0 2010.04.03 -
    AVG 9.0.0.787 2010.04.03 -
    BitDefender 7.2 2010.04.03 -
    CAT-QuickHeal 10.00 2010.04.03 -
    ClamAV 0.96.0.0-git 2010.04.03 -
    DrWeb 5.0.2.03300 2010.04.03 -
    eSafe 7.0.17.0 2010.04.01 -
    eTrust-Vet 35.2.7405 2010.04.02 -
    F-Prot 4.5.1.85 2010.04.03 -
    F-Secure 9.0.15370.0 2010.04.02 -
    Fortinet 4.0.14.0 2010.04.03 -
    GData 19 2010.04.03 -
    Ikarus T3.1.1.80.0 2010.04.03 -
    Jiangmin 13.0.900 2010.04.03 -
    K7AntiVirus 7.10.1004 2010.03.22 -
    Kaspersky 7.0.0.125 2010.04.03 -
    McAfee 5937 2010.03.31 -
    McAfee+Artemis 5937 2010.03.31 -
    Microsoft 1.5605 2010.04.03 -
    NOD32 4996 2010.04.03 -
    Norman 6.04.10 2010.04.03 -
    nProtect 2009.1.8.0 2010.04.03 -
    Panda 10.0.2.2 2010.04.03 -
    Rising 22.41.04.05 2010.04.02 -
    Sophos 4.52.0 2010.04.03 -
    Sunbelt 6133 2010.04.03 -
    Symantec 20091.2.0.41 2010.04.03 -
    TrendMicro 9.120.0.1004 2010.04.03 -
    VBA32 3.12.12.4 2010.04.02 -
    ViRobot 2010.4.3.2259 2010.04.03 -
    VirusBuster 5.0.27.0 2010.04.02 -
    Information additionnelle
    File size: 208896 bytes
    MD5 : 0a1df392a051340048daadc928856b0a
    SHA1 : 14608284be67fd62b99b724709126ad9570e7afc
    SHA256: f2108433f05b5c18877507ec3f86845b7cc0b22b600a9aea1e5769dc36852e9a
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x104AF
    timedatestamp.....: 0x44FFF0DC (Thu Sep 7 12:13:48 2006)
    machinetype.......: 0x14C (Intel I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x21436 0x22000 6.61 bba27e4278eeaa706e3df0d3a30fcdf2
    .rdata 0x23000 0x8222 0x9000 4.66 d041f933702a6777dff4e8c22e5b6f7c
    .data 0x2C000 0x663C 0x3000 2.87 048e1370aed0da5654c9e7c11ac420fe
    .rsrc 0x33000 0x32C0 0x4000 4.55 6c770f72fc6d18005eea72bdd45b5e89

    ( 0 imports )

    ( 0 exports )

    TrID : File type identification
    Win64 Executable Generic (59.6%)
    Win32 Executable MS Visual C++ (generic) (26.2%)
    Win32 Executable Generic (5.9%)
    Win32 Dynamic Link Library (generic) (5.2%)
    Generic Win/DOS Executable (1.3%)
    ThreatExpert: https://www.symantec.com?md5=0a1df392a051340048daadc928856b0a
    ssdeep: 3072:RAjo0EEgR7teDS338ssZoBHTpNFQpg23zAsN5aqtzTlLgH:ekxE+JeDSH89ZoBlMg+9DlLs
    sigcheck: publisher....:
    copyright....: Copyright (C) 2005
    product......: sw20 Application
    description..: sw20 MFC Application
    original name: sw20.EXE
    internal name: sw20
    file version.: 1, 0, 0, 1
    comments.....:
    signers......: -
    signing date.: -
    verified.....: Unsigned

    PEiD : -
    CWSandbox: http://research.sunbelt-software.com/...
    RDS : NSRL Reference Data Set
    -
    0
  10. lucoco20 Messages postés 217 Statut Membre
     
    Et le 2e:

    MD5: a6309d3ff5c253738b14e4abf0930ec4
    First received: 2006.12.28 15:42:38 UTC
    Date 2010.04.08 05:05:05 UTC [>11D]
    Résultats 0/38
    Permalink: analisis/54347459ee59e9e415f66c30426440592e869feb3a86c131597e08ba8efa52f6-1270703105

    Fichier sw24.exe reçu le 2010.04.08 05:05:05 (UTC)
    Situation actuelle: terminé

    Résultat: 0/38 (0.00%)
    Formaté Impression des résultats
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.50 2010.04.08 -
    AhnLab-V3 5.0.0.2 2010.04.07 -
    AntiVir 7.10.6.41 2010.04.07 -
    Antiy-AVL 2.0.3.7 2010.04.07 -
    Authentium 5.2.0.5 2010.04.08 -
    Avast 4.8.1351.0 2010.04.07 -
    Avast5 5.0.332.0 2010.04.07 -
    AVG 9.0.0.787 2010.04.07 -
    BitDefender 7.2 2010.04.07 -
    CAT-QuickHeal 10.00 2010.04.08 -
    ClamAV 0.96.0.3-git 2010.04.08 -
    Comodo 4536 2010.04.08 -
    DrWeb 5.0.2.03300 2010.04.08 -
    eSafe 7.0.17.0 2010.04.07 -
    eTrust-Vet 35.2.7413 2010.04.07 -
    F-Prot 4.5.1.85 2010.04.07 -
    F-Secure 9.0.15370.0 2010.04.08 -
    Fortinet 4.0.14.0 2010.04.07 -
    GData 19 2010.04.07 -
    Ikarus T3.1.1.80.0 2010.04.08 -
    Jiangmin 13.0.900 2010.04.07 -
    Kaspersky 7.0.0.125 2010.04.07 -
    Microsoft 1.5605 2010.04.07 -
    NOD32 5008 2010.04.07 -
    Norman 6.04.11 2010.04.07 -
    nProtect 2009.1.8.0 2010.04.06 -
    Panda 10.0.2.2 2010.04.07 -
    PCTools 7.0.3.5 2010.04.08 -
    Prevx 3.0 2010.04.08 -
    Rising 22.42.03.00 2010.04.08 -
    Sophos 4.52.0 2010.04.08 -
    Sunbelt 6150 2010.04.08 -
    Symantec 20091.2.0.41 2010.04.08 -
    TheHacker 6.5.2.0.257 2010.04.08 -
    TrendMicro 9.120.0.1004 2010.04.08 -
    VBA32 3.12.12.4 2010.04.05 -
    ViRobot 2010.4.8.2266 2010.04.08 -
    VirusBuster 5.0.27.0 2010.04.07 -
    Information additionnelle
    File size: 69632 bytes
    MD5 : a6309d3ff5c253738b14e4abf0930ec4
    SHA1 : 06f29b3e8cc4375c097ce76be09a07dad4625f2b
    SHA256: 54347459ee59e9e415f66c30426440592e869feb3a86c131597e08ba8efa52f6
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x29A9
    timedatestamp.....: 0x44FFF110 (Thu Sep 7 12:14:40 2006)
    machinetype.......: 0x14C (Intel I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0xAFA6 0xB000 6.60 28745c612b94f44faba3a818c92fd271
    .rdata 0xC000 0x2B1C 0x3000 5.11 a977e342d51b624adf14fd5dc4532460
    .data 0xF000 0x2D38 0x1000 2.42 ec5ffa27e3ec1d30fd02c7f95e78a70d
    .rsrc 0x12000 0x9F0 0x1000 3.84 9160f7270dbf051381e725cbffc143f7

    ( 2 imports )

    > kernel32.dll: FreeLibrary, GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateFileA, FlushFileBuffers, GetLastError, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetLocaleInfoA, HeapSize, GetOEMCP, GetACP, GetCPInfo, GetConsoleMode, GetConsoleCP, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, HeapAlloc, HeapFree, RaiseException, HeapReAlloc, VirtualAlloc, GetModuleHandleA, RtlUnwind, GetCommandLineA, GetVersionExA, GetProcessHeap, GetStartupInfoA, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualFree, HeapDestroy, HeapCreate, ExitProcess, GetStdHandle, GetModuleFileNameA, SetUnhandledExceptionFilter, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, InitializeCriticalSection, Sleep, SetFilePointer, GetThreadLocale
    > user32.dll: LoadAcceleratorsA, GetMessageA, TranslateAcceleratorA, TranslateMessage, DispatchMessageA, CreateWindowExA, ShowWindow, UpdateWindow, SendMessageA, LoadIconA, LoadCursorA, RegisterClassExA, LoadStringA, DefWindowProcA, DestroyWindow, DialogBoxParamA, BeginPaint, EndPaint, PostQuitMessage, EndDialog

    ( 0 exports )

    TrID : File type identification
    Win32 Executable MS Visual C++ (generic) (65.2%)
    Win32 Executable Generic (14.7%)
    Win32 Dynamic Link Library (generic) (13.1%)
    Generic Win/DOS Executable (3.4%)
    DOS Executable Generic (3.4%)
    ThreatExpert: https://www.symantec.com?md5=a6309d3ff5c253738b14e4abf0930ec4
    ssdeep: 1536:1JNVDSxWry8jweqWH3QuinwDpbgkkGRZtwyRQ:HDLf1fZt3a
    sigcheck: publisher....: n/a
    copyright....: n/a
    product......: n/a
    description..: n/a
    original name: n/a
    internal name: n/a
    file version.: n/a
    comments.....: n/a
    signers......: -
    signing date.: -
    verified.....: Unsigned

    PEiD : -
    CWSandbox: http://research.sunbelt-software.com/...
    RDS : NSRL Reference Data Set
    -
    0
  11. lucoco20 Messages postés 217 Statut Membre
     
    par contre le scan malwarebytes est pas prêt de finir, je supprimerai tout ce qu'il a découvert mais si j'ai des infections dans mon matériel lié avec les ports usb, sa va recommencer indéfiniment non ?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tant que tu ne branches pas de clés dessus, c'est ok,
      On s'en occupe après.

      Les 2 fichiers sont légitimes...
      0
    2. lucoco20 Messages postés 217 Statut Membre
       
      C'est à dire ? qu'il n'y a pas de menaces ?
      j'ai toujours mon imprimante de brancher, et de temps en temps mon APN.
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      c'est à dire quoi? on attend le scan MBAM, après j'ai un outil pour nettoyer les infections USB ;)
      0
    4. lucoco20 Messages postés 217 Statut Membre
       
      légitimes, c'est à dire que dans les dossiers que tu m'as fais analysé avec virus total il n'y a aucuns problèmes non ?
      0
    5. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Oui, les 2 fichiers sur lesquels j'avais des doutes sont légitimes. on y touche pas.
      0
  12. lucoco20 Messages postés 217 Statut Membre
     
    Et voilà enfin le résultat du scan:

    19/04/2010 13:53:12
    mbam-log-2010-04-19 (13-53-12).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 220732
    Temps écoulé: 2 heure(s), 9 minute(s), 56 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Documents and Settings\PROPRIETAIRE\Local Settings\Temp\avG\MSASCui.exe (Trojan.MultipleAV) -> Quarantined and deleted successfully.

    j'ai donc tout supprimé, mais par contre je n'ai pas encore redémarré mon ordi.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Il me manque l'entête du fichier de log.
      0
  13. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Tu as toujours des fenêtres de antivirusXP?

    USBFix est un outil développé par Chiquitine29 et C_XX qui supprime certaines infections USB et nettoye les périphériques amovibles.

    Brancher les lecteurs externes (Clé USB, Disque dur, ...) susceptibles
    d'avoir été infectés

    Télécharger USBFix

    - Lancer USBFix.exe
    - Choisir F pour Français => Touche Entrée
    - Taper 1 => Entrée pour recherche
    - Puis ok
    - Patienter pendant la détection- Un fichier texte s'ouvre, fichier => enregistrer sous
    - laisser le nom par défaut, enregistrer sur le bureau
    - copier coller le contenu du fichier texte dans la fenetre de réponse
    0
    1. lucoco20 Messages postés 217 Statut Membre
       
      Non, depuis que j'ai supprimé le fichier infecté (donc dans la matinée) je n'ai plus rien.
      je n'ai pas utilisé mon disque dur depuis environ 1 mois, à ton avis, je le branche ou pas ?
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Branche tous des disques amovibles, il ne faut pas prendre de risques.
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu parles de quel fichier que tu as supprimé dans la matinée?
      0
    4. lucoco20 Messages postés 217 Statut Membre
       
      Ok, bon la c'est à 20%, et ça n'a plus l'air de bouger. Sinon, après sa, normalement mon ordi sera entièrement clean non ? tous les logiciels que j'ai téléchargé aujourd'hui, je les garde au cas ou non ?

      PS: sa bien de passer à 60%
      0
    5. lucoco20 Messages postés 217 Statut Membre
       
      avg je crois, c'est là que antivir avait découvert une infection, et après sa, plus aucunes fenêtres total XP n'étaient apparues.
      0
  14. lucoco20 Messages postés 217 Statut Membre
     
    Voila le rapport usbfix:

    ############################## | UsbFix V6.105 |

    User : PROPRIETAIRE (Administrateurs) # DEFAULT
    Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 14:05:41 | 19/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
    Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Disabled
    AV : AntiVir Desktop 9.0.1.26 [ (!) Disabled | (!) Outdated ]
    AV : McAfee VirusScan [ Enabled | Updated ]
    FW : McAfee Personal Firewall[ Enabled ]
    FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 74,52 Go (17,63 Go free) # NTFS
    D:\ -> Disque CD-ROM
    E:\ -> Disque amovible # 1,89 Go (1,88 Go free) # FAT

    ################## | Elements infectieux |

    ################## | Registre |

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\{0154f133-d450-11de-ba8a-0015af198472}
    Shell\AutoRun\command =E:\ClickMe.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.105 ! |
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Le fichier E:\ClickMe.exe il est à toi?
      Si non, passe l'option 2 d'USBfix
      0
    2. lucoco20 Messages postés 217 Statut Membre
       
      Non je ne sais pas ce que c'est.
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Passe l'option 2
      0
  15. lucoco20 Messages postés 217 Statut Membre
     
    je dois y aller, je ne sais pas vers quelle heure je reviendrai, mais vu que, à priori toutes menaces à été supprimé, sa devrait aller, dès mon retour j'exécuterai tes recommendations.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Oui, le fichier n'est pas présent de toute façon, c'est juste un point de montage. Tu ne risque rien. Mais passe tout de même USBFix, ça sert à rien d'avoir ça là.

      Il faudra finaliser après, quand tu mettra le rapport.
      0
  16. lucoco20 Messages postés 217 Statut Membre
     
    sa y est, j'ai fais la méthode 2 de usbfix, par contre je n'ai eu aucuns rapports.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Bizarre.
      refait un ZHP pour vérif.
      0
    2. lucoco20 Messages postés 217 Statut Membre
       
      Je vais bientot poster le rapport ZHP, soit avec cijoint soit megaupload, mais je n'ai aucuns racourci pour usbfix, normal ?
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      raccourci? Je sais pas. Si tu as des doutes, télécharge le à nouveau et repasse l'option 2.
      0
    4. lucoco20 Messages postés 217 Statut Membre
       
      je t'ai envoyé le rapport par MP.
      0
    5. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Le fichier n'existe pas qu'ils disent.
      Je veux pas que tu envoies de MP, colle le lien ici.
      Essaie Cijoint, ça doit remarcher.
      0
  17. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Pff...

    Télécharger sur le bureau
    Gmer
    = Clic sur ==> GMER Application: Gmer.zip
    = Clic-droit sur l'archive Gmer
    = Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    = Double-clic sur Gmer qui vient de se créer
    = Une fenêtre s'ouvre, clic Scan
    Patienter jusqu'à la fin du scan
    = Clic Save
    = Choisir => bureau => nommer : rapport

    = Ne pas refermer Gmer ( ceci n'est pas impératif,mais évite de recommencer le scan si des supprressions à faire)
    0
  18. lucoco20 Messages postés 217 Statut Membre
     
    J'ai directment enregistrer GMER sur le bureau, aucuns fichier zip, sur le bureau il a le nom de h9rygzrx. Je double clique dessus, j'exécute le programme, et hop, à nouveau un écran tout noir, une erreur fatale....

    Voila ce que j'ai récupéré de l'erreur:

    BCCode : 44 BCP1 : 852F38C8 BCP2 : 00000D64 BCP3 : 00000000
    BCP4 : 00000000 OSVer : 5_1_2600 SP : 3_0 Product : 768_1

    C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\WER33c0.dir00\Mini042010-02.dmp
    C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\WER33c0.dir00\sysdata.xml
    0
  19. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Bon, je pense savoir pourquoi...

    Telécharge sur le bureau Defogger

    = Double click sur Defogger
    = Une fenêtre apparait clique Disable
    = Redemarre ton PC si demandé

    -----------

    retente Gmer.
    0
    1. lucoco20 Messages postés 217 Statut Membre
       
      Voilà le rapport Defogger:

      defogger_disable by jpshortstuff (23.02.10.1)
      Log created at 11:57 on 20/04/2010 (PROPRIETAIRE)

      Checking for autostart values...
      HKCU\~\Run values retrieved.
      HKLM\~\Run values retrieved.

      Checking for services/drivers...


      -=E.O.F=-



      je retente Gmer.
      0
    2. lucoco20 Messages postés 217 Statut Membre
       
      Encore et toujours, une nouvelle erreur:

      BCCode : 19 BCP1 : 00000020 BCP2 : 853CB000 BCP3 : 853CB828
      BCP4 : 1B050000 OSVer : 5_1_2600 SP : 3_0 Product : 768_1

      C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\WER972c.dir00\Mini042010-03.dmp
      C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\WER972c.dir00\sysdata.xml

      Je crois qu'on va avoir du mal à rendre clean mon ordi.
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Arf... raté

      Télécharger RootRepeal

      = Déconnecter la machine d'Internet
      = Dézipper sur le bureau (Unzip ou extraire tout...)
      = Désactiver programmes de sécurité ( Pare-Feu, anti-spyware,anti-virus)
      = Double clic sur RootRepeal.exe
      = Une fenêtre s'ouvre,choisir dans les onglets en bas Report
      = Clic Scan ,Cocher les 6 cases, clic Ok
      = Cocher C:\ puis Ok
      = Le scan se lance, une fois fini clic sur Save Report
      = Sauver le rapport sur le bureau
      = Se reconnecter a Internet et activer les logiciels de protections
      = Copier/Coller le rapport dans la réponse
      0
    4. lucoco20 Messages postés 217 Statut Membre
       
      Voilà:

      ROOTREPEAL (c) AD, 2007-2009
      ==================================================
      Scan Start Time: 2010/04/20 12:14
      Program Version: Version 1.3.5.0
      Windows Version: Windows XP SP3
      ==================================================

      Drivers
      -------------------
      Name: dump_atapi.sys
      Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
      Address: 0xF2D9F000 Size: 98304 File Visible: No Signed: -
      Status: -

      Name: dump_WMILIB.SYS
      Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
      Address: 0xF7B68000 Size: 8192 File Visible: No Signed: -
      Status: -

      Name: rootrepeal.sys
      Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
      Address: 0xB804E000 Size: 49152 File Visible: No Signed: -
      Status: -

      Name: srescan.sys
      Image Path: srescan.sys
      Address: 0xF734D000 Size: 81920 File Visible: No Signed: -
      Status: -

      Hidden/Locked Files
      -------------------
      Path: c:\windows\temp\mcmsc_bfih4apx2cwoniu
      Status: Allocation size mismatch (API: 4096, Raw: 0)

      Path: c:\windows\temp\mcmsc_m1inchdfxawctjr
      Status: Allocation size mismatch (API: 4096, Raw: 0)

      Path: c:\windows\temp\mcmsc_we0yhdggbxtffyb
      Status: Allocation size mismatch (API: 4096, Raw: 0)

      Path: C:\System Volume Information\_restore{87732BE4-19F2-436D-905D-3DB70515FECB}\RP1\A0004121.RDB
      Status: Visible to the Windows API, but not on disk.

      Path: C:\Documents and Settings\PROPRIETAIRE\Local Settings\Apps\2.0\1JPHYNVO.HCB\3XK00O8H.YYE\manifests\EA SPORTS GFC.exe.cdf-ms
      Status: Locked to the Windows API!

      Path: C:\Documents and Settings\PROPRIETAIRE\Local Settings\Apps\2.0\1JPHYNVO.HCB\3XK00O8H.YYE\manifests\EA SPORTS GFC.exe.manifest
      Status: Locked to the Windows API!

      SSDT
      -------------------
      #: 031 Function Name: NtConnectPort
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbe040

      #: 037 Function Name: NtCreateFile
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fba930

      #: 041 Function Name: NtCreateKey
      Status: Hooked by "<unknown>" at address 0xf7c4ae8e

      #: 046 Function Name: NtCreatePort
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbe510

      #: 047 Function Name: NtCreateProcess
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fc4870

      #: 048 Function Name: NtCreateProcessEx
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fc4aa0

      #: 050 Function Name: NtCreateSection
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fc7fd0

      #: 053 Function Name: NtCreateThread
      Status: Hooked by "<unknown>" at address 0xf7c4ae84

      #: 056 Function Name: NtCreateWaitablePort
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbe600

      #: 062 Function Name: NtDeleteFile
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbaf20

      #: 063 Function Name: NtDeleteKey
      Status: Hooked by "<unknown>" at address 0xf7c4ae93

      #: 065 Function Name: NtDeleteValueKey
      Status: Hooked by "<unknown>" at address 0xf7c4ae9d

      #: 068 Function Name: NtDuplicateObject
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fc4580

      #: 098 Function Name: NtLoadKey
      Status: Hooked by "<unknown>" at address 0xf7c4aea2

      #: 116 Function Name: NtOpenFile
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbad70

      #: 122 Function Name: NtOpenProcess
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fc4350

      #: 128 Function Name: NtOpenThread
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fc4150

      #: 192 Function Name: NtRenameKey
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fc7250

      #: 193 Function Name: NtReplaceKey
      Status: Hooked by "<unknown>" at address 0xf7c4aeac

      #: 200 Function Name: NtRequestWaitReplyPort
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbdc00

      #: 204 Function Name: NtRestoreKey
      Status: Hooked by "<unknown>" at address 0xf7c4aea7

      #: 210 Function Name: NtSecureConnectPort
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbe220

      #: 224 Function Name: NtSetInformationFile
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbb120

      #: 247 Function Name: NtSetValueKey
      Status: Hooked by "<unknown>" at address 0xf7c4ae98

      #: 257 Function Name: NtTerminateProcess
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fc4cd0

      Shadow SSDT
      -------------------
      #: 460 Function Name: NtUserMessageCall
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbc250

      #: 475 Function Name: NtUserPostMessage
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbc2e0

      #: 476 Function Name: NtUserPostThreadMessage
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbc360

      #: 502 Function Name: NtUserSendInput
      Status: Hooked by "C:\WINDOWS\System32\vsdatant.sys" at address 0xf2fbc520

      ==EOF==
      0
    5. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Bon j'ai un peu de mal avec toi...
      Je vais demander un peu d'aide je pense.

      En attendant, tu peux me remettre le rapport Malwarebytes, il manquait l'entête.
      Tu trouvera ça dans le logiciel, onglet "rapports" , tu prend celui tout en bas
      0
  20. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    J'ai du nouveau de la part de Malekal_Morte;

    - Désinstalle Zone Alarm
    - Désinstalle Mc Afee , et les autres Antivirus que tu as SAUF ANTIVIR

    - SpyHunter est une arnaque, cf : https://forum.malekal.com/viewtopic.php?t=12847&start=
    Vire le

    ---------------------- Ensuite seulement

    Télécharge sur le bureau « RSIT »
    Double-clic dessus,
    (Avec VISTA > clic-droit et > Exécuter en tant qu'administrateur.)
    Laisser « 1 month »,
    Cliquer sur « Continue ».
    Si l'outil « HijackThis » n'est pas présent sur le PC ou n'est pas détecté, RSIT le téléchargera (autoriser l'accès internet à RSIT si le pare-feu le demande).
    Accepter la licence de HijackThis.
    À la fin du scan 2 rapports sont créés: « log.txt » et « info.txt ».
    Copier les rapports, les coller dans la réponse.
    Note: les rapports se situent aussi dans « C:\rsit\log.txt » et « C:\rsit\info.txt ».
    0
  21. lucoco20 Messages postés 217 Statut Membre
     
    Sauf que McAfee, j'ai une license, si je le désinstalle elle va expirée non ? et malwarebytes, je le désinstalle ? Et dans les commandes, ils disent si le pare-feu le demande, or normalement si je désinstalle Zone Alarme tous les programmes pourront accéder au net non ?
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Si tu as payé Mcafee alors désinstalle Antivir.
      Zone alarm désinstalle le , de toute façon ça peut pas être pire, la tu n'es pas protégé du tout, au contraire. il me faut la visibilité maximum pour trouver le problème.

      Malwarebytes garde le, de toute façon il n'a pas de résident.
      Tu as viré SpyHunter.?
      0
    2. lucoco20 Messages postés 217 Statut Membre
       
      Oui, hier déjà. Donc Zone alarme et Antivir je les remets après les opérations ? Et pourquoi je ne suis pas protégé du tout ?
      0
    3. lucoco20 Messages postés 217 Statut Membre
       
      Et pendant que RSIT travaille, je peux me déconnecter d'internet ?
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Non tu remets rien sans que je le dise. De toute façon il ne faut jamais avoir 2 antivirus!
      0
    5. lucoco20 Messages postés 217 Statut Membre
       
      Ah ok, pourtant Antivir m'a détecté beaucoup plus de truc que McAfee.
      0
  • 1
  • 2