Virus qui est coriasse

redba -  
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Salut a tous
voila , mon petit frère est allez sur mon ordi hier et depuis j'ai un virus qui ne lâche pas l'affaire :S
j'ai testé de le supprimé avec antivir ( sa ne marche pas ) , avec spybot ( la même )
donc je me retourne vers vous pour testez d'avoir de l'aide
voila le rapport de hijackthis
merci a tous ceux qui m'aideront ^^
et quand je redemarre mon ordi je suis obligé de lancer "l'outil qui repare" mdr
et la le windows ce lance ^^

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:01:52, on 27/04/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\vsnpstd3.exe
C:\Windows\tsnpstd3.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Nuance\NaturallySpeaking10\Program\natspeak.exe
C:\Program Files\Xfire\Xfire.exe
C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Common Files\Nuance\NaturallySpeaking10\dgnuiasvr.exe
C:\Program Files\Xfire\Xfire.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IELowutil.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\abder\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTunerWrapper.exe" /T
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTunerWrapper.exe" /S
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [snpstd3] C:\Windows\vsnpstd3.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\Windows\tsnpstd3.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\Nuance\NaturallySpeaking10\Program\natspeak.exe
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E0B9685-F8CA-4A7F-B8FA-AAB30B3D80C9}: NameServer = 212.27.40.240
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files\Tunngle\TnglCtrl.exe

--
End of file - 6891 bytes

11 réponses

  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    On va faire une analyse plus pousée:
    Télécharge ZHPDiag sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    /!\L'outil a créé 2 icônes ZHPDiag et ZHPFix
    Clique sur la loupe pour lancer l'analyse.
    Laisse l'outil travailler, il peut être assez long.
    Ferme ZHPDiag en fin d'analyse.
    Pour transmettre le rapport clique sur ce lien :
    http://www.cijoint.fr/
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    Sélectionne le fichier ZHPDiag.txt.
    Clique sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme :
    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
    [est ajouté dans la page.
    Copie ce lien dans ta réponse.

    Smart
    0
  2. redba
     
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijrHIGPDw.txt
    voila le lien demandez
    merci de ton aide
    très bon tuto
    0
  3. Utilisateur anonyme
     
    bonjour tout le monde,
    juste pour avancer smart91 que je salue au passage :-)

    tu as une faille de sécurité sur ton pc, mets à jour ta console java, tu n'as pas la bonne version :

    Java 6 Update 15

    on est à la version java6, update 20

    Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine
    .
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      No Problem Electricien.
      Au fait Allez L'OL ce soir

      Smart
      0
    2. Utilisateur anonyme
       
      mdr
      tu te rappelle le détournement de DSN?
      c'est le cas mais sous seven 32 bit :-(
      0
    3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Oui je m'en souviens mais je ne pense pas que cela soit un détourenment de DNS car l'adresse en 017 pointe vers un serveur DNS de free
      0
    4. Utilisateur anonyme
       
      à voir après le passage de MBAM :-)
      0
  4. redba
     
    c en cours ^^ merci du coup de main en tous cas :D
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    laisse travailer MBAM, poste son rapport dés que c'est términé :-)
    0
  7. redba
     
    Malwarebytes' Anti-Malware 1.45
    www.malwarebytes.org

    Version de la base de données: 4042

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    27/04/2010 18:59:42
    mbam-log-2010-04-27 (18-59-42).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 275383
    Temps écoulé: 1 heure(s), 9 minute(s), 45 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 2
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    C:\directory\CyberGate (Trojan.PWS) -> Quarantined and deleted successfully.
    C:\directory\CyberGate\install (Trojan.PWS) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    C:\Program Files\Call of Duty Modern Warfare 2\no_eject.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
    C:\Program Files\Ubisoft\Assassin's Creed II\nepaslancer.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Users\abder\AppData\Local\Temp\n4be0d3vt6.VIR (Trojan.Ertfor) -> Quarantined and deleted successfully.
    C:\Users\abder\Documents\abder\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911\rzr-cod4.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
    C:\Users\abder\Documents\abder\IDM_5.18_B4.By 7cn + patch\Patch.and.key\Keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
    C:\Program Files\Mozilla Firefox\components\nsFFxSHot.xpt (Adware.Adrotator) -> Quarantined and deleted successfully.
    C:\Users\abder\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.

    voila le rapport , il a demandez de redemarrez et c'est fait^^
    0
  8. Utilisateur anonyme
     
    repasse un autre zhp, hébérge le rapport sur cijoint comme tu l'as déjà fait et envoie le lien sur ton prochain message :-)
    0
  9. redba
     
    http://www.cijoint.fr/cjlink.php?file=cj201004/cijneUrQVH.txt
    voila le rapport
    merci
    0
  10. Utilisateur anonyme
     
    relance MBAM, vide sa quarentaine

    attention à l'utilisation de keygen :

    <ital>Keygen.exe (Trojan.Agent.CK)</ital

    Télécharge USBFIX sur ton bureau (Merci à El Desaparecido)
    http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
    ou ici :
    https://www.ionos.fr/?affiliate_id=77097

    /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

    * Double clic sur le raccourci UsbFix présent sur ton bureau .
    * Choisis l'option 1 (Recherche)

    * Laisse travailler l'outil.

    * Ensuite post le rapport UsbFix.txt qui apparaîtra.

    * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

    * Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html
    0
  11. redba
     
    ############################## | UsbFix V6.109 |

    User : abder (Administrateurs) # ABDER-PC
    Update on 26/04/2010 by El Desaparecido , C_XX & Chimay8
    Start at: 21:10:53 | 27/04/2010
    Website : http://pagesperso-orange.fr/NosTools/index.html
    Contact : FindyKill.Contact@gmail.com

    Pentium(R) Dual-Core CPU E6300 @ 2.80GHz
    Microsoft Windows 7 Édition Intégrale (6.1.7600 32-bit) #
    Internet Explorer 8.0.7600.16385
    Windows Firewall Status : Enabled

    A:\ -> Lecteur de disquettes 3 ½ pouces
    C:\ -> Disque fixe local # 465,76 Go (213,44 Go free) [Disque Local] # NTFS
    D:\ -> Disque fixe local # 931,39 Go (537,2 Go free) [Disque Local] # NTFS
    E:\ -> Disque CD-ROM
    F:\ -> Disque CD-ROM
    G:\ -> Disque CD-ROM
    H:\ -> Disque CD-ROM
    I:\ -> Disque CD-ROM

    ################## | Elements infectieux |

    C:\Users\abder\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\Xfire.lnk
    C:\Users\abder\AppData\Roaming\lowsec\user.ds.lll
    C:\Users\abder\AppData\Roaming\lowsec
    C:\Users\abder\AppData\Local\Temp\a.dat

    ################## | Registre |

    [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

    ################## | Mountpoints2 |

    HKCU\..\..\Explorer\MountPoints2\E
    shell\AutoRun\command =E:\autorun.exe

    HKCU\..\..\Explorer\MountPoints2\F
    shell\AutoRun\command =F:\autorun.exe

    HKCU\..\..\Explorer\MountPoints2\{93c1fea6-c87d-11de-a66e-002215befa50}
    shell\AutoRun\command =H:\LaunchU3.exe -a

    HKCU\..\..\Explorer\MountPoints2\{abe8f16a-10bd-11df-9666-002215befa50}
    shell\AutoRun\command =F:\autorun.exe

    HKCU\..\..\Explorer\MountPoints2\{f27a7a9c-f8be-11de-8f67-002215befa50}
    shell\AutoRun\command =G:\autorun.exe
    shell\setup\command =G:\install.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné !

    ################## | ! Fin du rapport # UsbFix V6.109 ! |

    voila le rapport du logiciel que tu ma donné^^ et j'ai vidé la quarantaine
    0
  12. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire le nettoyageet la vaccination
    tutoriel nettoyage

    - Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
    - Double clic sur le raccourci UsbFix présent sur ton bureau
    - Choisis l'option 2 ( Suppression )
    -Ton bureau disparaîtra et le pc redémarrera .
    - Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
    - Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
    - Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.(C:\UsbFix.txt )
    - (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    UsbFix te proposera d'envoyer un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
    Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
    Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

    - Il faut sélectionner "UsbFix" dans le menu déroulant
    - Merci d'avance pour ta contribution !!

    Smart
    0