Backdoor.bot, rootkit.agent et trojan.agent :

Résolu/Fermé
p-titemiss - Modifié par jipicy le 27/04/2010 à 19:19
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 1 mai 2010 à 16:10
Bonsoir,

depuis hier soir, je passe mon ordi au crible ! Malwarebytes me détecte plusieurs virus : BACKDOOR.BOT, ROOTKIT.AGENT ET TROJAN.AGENT. J'ai suivi la procédure pour les supprimer mais ca ne fonctionne pas !!! ils reviennent !!

J'ai besoin d'aide s'il vous plait !! Merci !

Pour info, voici le rapport de malwarebytes :
Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 3930

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

27/04/2010 19:17:12
mbam-log-2010-04-27 (19-17-12).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 236155
Temps écoulé: 1 heure(s), 50 minute(s), 55 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\drivers\hkozxb.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

MERCI D AVANCE !!!!!
A voir également:

17 réponses

anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 avril 2010 à 04:02
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

1
Y a t'il quelqu un pour m'aider ... Suis perdue !!!

MERCI !
0
Merci anthony !

Je viens d'effectuer la manipulation et je te poste donc le lien ou tu peux consulter le rapport

http://www.cijoint.fr/cjlink.php?file=cj201004/cijdNjDreF.txt

j'attends la suite des instructions !

Un grand merci de m'accorder un peu (beaucoup) de tont temps libre !

Alexandra
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 28/04/2010 à 12:52
Je ne vois pas d'infection sur ce rapport. Fais redémarrer ton ordinateur puis utilise cet anti-rootkit :


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum


Si entre temps tu as des alertes de ton antivirus, note le nom du fichier et sa localisation et préviens mois stp ;)


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Bonsoir,

opération accomplie ... Il a effectivement fallu être patiente !

Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201004/cijg80a4Fs.txt

j'attends la suite des instructions

merci

alexandra
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
28 avril 2010 à 19:03
Le rootkit est visible sur ce rapport, nous allons le supprimer ;)


/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour p-titemiss, il n'est pas transposable sur un autre ordinateur !

* Télécharge ce dossier p-titemiss.zip
* Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
* Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.

/!\ Désactive tous tes logiciels de protection /!\

* Télécharge ComboFix (de sUBs) sur ton Bureau.
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

0
C'est fait !

Le compte rendu est la : http://www.cijoint.fr/cjlink.php?file=cj201004/cijVQPzOW3.txt

J ai eu un soucis avec internet explorer qui ne voulait plus s'ouvrir a cause d'une histoire de clé marquée pour la suppression ... Apres un redémarrage tout semble rentré dans l'ordre !

J'attends comme d'habitude la suite de tes instructions ...

Merci encore

Alexandra
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
29 avril 2010 à 00:30
Hum... Fais redémarrer ton ordinateur et poste un nouveau rapport de Gmer stp
0
BONJOUR,

scan en cours .... Résultats prochianement ! Mais je peux d'ores et deja te dire que d'apres le message que m'a affiche Gmer quand je l'ai lancé, le rootkit est tjrs la ... C'est d'ailleurs je pense a ca que faisait référence ton "Hum" du précédent message ... lol

A tout a l heure

Alexandra
0
Re,

Voici le rapport de Gmer http://www.cijoint.fr/cjlink.php?file=cj201004/cijM116FCt.txt

En fin de scan un message m a dit "attention, système modfie probablement par rootkit" !!!

J'en peux plus de cette Mxxrde !! lol

J'attends la suite des instructions

merci

alexandra
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 29/04/2010 à 20:59
/!\ ATTENTION /!\
Le script proposé ici a été écrit spécialement pour p-tite.miss, il n'est pas transposable sur un autre ordinateur !



/!\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\

* Télécharge The Avenger (de Swandog46) sur le Bureau --> Lance le --> Un avertissement en anglais va s'afficher concernant la dangerosité de cet outil --> lis le et clique sur OK.
* Clique sur ce lien
Copie le script qu'il contient, et colle le dans le cadre « Input script here » de The Avenger.
* Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
* A la fin, il te demandera de redémarrer ("reboot"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
* Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) --> Copie/colle ce rapport dans ta prochaine réponse stp.


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Bonjour anthony,

opération effectuée et voici le rapport :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "hkozxb" deleted successfully.
File "C:\Windows\System32\drivers\hkozxb.sys" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Quan d le Pc a redemarré Avira m'a de nouveau détecté le rootkit dans le même fichier j ai donc cliquer sur refuser l'acces (ne sachant pas que faire) !

J ai aussi eu un message me disant qu il n'y avait aucun disque insére dans le lecteur ....!!!!! Je suis en panique la !!!!

J'attends la suite des aventures ...

Merci

alexandra
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
30 avril 2010 à 18:29
Fais redémarrer ton ordinateur, puis refais un scan avec Gmer stp

0
Bonsoir,

voici le rapport :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-30 13:30:20
Windows 6.0.6002 Service Pack 2
Running: it8d55rj.exe; Driver: C:\Users\ALEXAN~1\AppData\Local\Temp\awayykow.sys


---- System - GMER 1.0.15 ----

SSDT 9A6D965C ZwCreateThread
SSDT 9A6D9648 ZwOpenProcess
SSDT 9A6D964D ZwOpenThread
SSDT 9A6D9657 ZwTerminateProcess

INT 0x1F \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 81E2ECD0
INT 0x37 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 81E2E0E8
INT 0xC1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 81E2E3D8
INT 0xD1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 81E1A724
INT 0xDF \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 81E2E1C0
INT 0xE1 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 81E2EB40
INT 0xE3 \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 81E2E6D4
INT 0xFD \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 81E2F100
INT 0xFE \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation) 81E2F36C

---- Kernel code sections - GMER 1.0.15 ----

.text ntkrnlpa.exe!KeSetEvent + 221 81EF6984 4 Bytes [5C, 96, 6D, 9A]
.text ntkrnlpa.exe!KeSetEvent + 3F1 81EF6B54 4 Bytes [48, 96, 6D, 9A]
.text ntkrnlpa.exe!KeSetEvent + 40D 81EF6B70 4 Bytes [4D, 96, 6D, 9A]
.text ntkrnlpa.exe!KeSetEvent + 621 81EF6D84 4 Bytes [57, 96, 6D, 9A]

---- Devices - GMER 1.0.15 ----

Device \Driver\ACPI_HAL \Device\00000040 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001fc6e07781
Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001fc6e07781 (not active ControlSet)

---- EOF - GMER 1.0.15 ----







Le rootkit semble avoir disparu sur ce rapport !

Plus rien non plus avec malwarebytes !

En revanche Avira le détecte toujours et il détecte également un autre virus ! Voici le rapport :



Avira AntiVir Personal
Date de création du fichier de rapport : vendredi 30 avril 2010 13:30

La recherche porte sur 2059229 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows Vista
Version de Windows : (Service Pack 2) [6.0.6002]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : PC-DE-ALEXANDRA

Informations de version :
BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 20:41:23
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 20:41:20
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 20:41:22
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 11:31:28
VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 10:47:02
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 13:50:01
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 19:04:42
VBASE006.VDF : 7.10.6.83 2048 Bytes 15/04/2010 19:04:43
VBASE007.VDF : 7.10.6.84 2048 Bytes 15/04/2010 19:04:43
VBASE008.VDF : 7.10.6.85 2048 Bytes 15/04/2010 19:04:43
VBASE009.VDF : 7.10.6.86 2048 Bytes 15/04/2010 19:04:43
VBASE010.VDF : 7.10.6.87 2048 Bytes 15/04/2010 19:04:43
VBASE011.VDF : 7.10.6.88 2048 Bytes 15/04/2010 19:04:43
VBASE012.VDF : 7.10.6.89 2048 Bytes 15/04/2010 19:04:43
VBASE013.VDF : 7.10.6.90 2048 Bytes 15/04/2010 19:04:43
VBASE014.VDF : 7.10.6.123 126464 Bytes 19/04/2010 18:06:00
VBASE015.VDF : 7.10.6.152 123392 Bytes 21/04/2010 18:06:09
VBASE016.VDF : 7.10.6.178 122880 Bytes 22/04/2010 18:06:12
VBASE017.VDF : 7.10.6.206 120320 Bytes 26/04/2010 18:06:11
VBASE018.VDF : 7.10.6.232 99328 Bytes 28/04/2010 20:37:22
VBASE019.VDF : 7.10.6.233 2048 Bytes 28/04/2010 20:37:22
VBASE020.VDF : 7.10.6.234 2048 Bytes 28/04/2010 20:37:22
VBASE021.VDF : 7.10.6.235 2048 Bytes 28/04/2010 20:37:22
VBASE022.VDF : 7.10.6.236 2048 Bytes 28/04/2010 20:37:22
VBASE023.VDF : 7.10.6.237 2048 Bytes 28/04/2010 20:37:22
VBASE024.VDF : 7.10.6.238 2048 Bytes 28/04/2010 20:37:22
VBASE025.VDF : 7.10.6.239 2048 Bytes 28/04/2010 20:37:23
VBASE026.VDF : 7.10.6.240 2048 Bytes 28/04/2010 20:37:23
VBASE027.VDF : 7.10.6.241 2048 Bytes 28/04/2010 20:37:23
VBASE028.VDF : 7.10.6.242 2048 Bytes 28/04/2010 20:37:23
VBASE029.VDF : 7.10.6.243 2048 Bytes 28/04/2010 20:37:23
VBASE030.VDF : 7.10.6.244 2048 Bytes 28/04/2010 20:37:23
VBASE031.VDF : 7.10.6.254 153600 Bytes 29/04/2010 20:37:22
Version du moteur : 8.2.1.224
AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 18:06:16
AESCRIPT.DLL : 8.1.3.27 1294714 Bytes 24/04/2010 18:06:15
AESCN.DLL : 8.1.5.0 127347 Bytes 26/02/2010 10:55:04
AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 18:06:16
AERDL.DLL : 8.1.4.6 541043 Bytes 16/04/2010 19:06:38
AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 21:16:58
AEOFFICE.DLL : 8.1.0.41 201083 Bytes 17/03/2010 21:45:34
AEHEUR.DLL : 8.1.1.24 2613623 Bytes 16/04/2010 19:06:15
AEHELP.DLL : 8.1.11.3 242039 Bytes 01/04/2010 20:16:47
AEGEN.DLL : 8.1.3.7 373106 Bytes 16/04/2010 19:05:02
AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 18:06:14
AECORE.DLL : 8.1.13.1 188790 Bytes 01/04/2010 20:16:45
AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 18:06:14
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 26/09/2009 18:07:36
AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 10:41:48
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 14/07/2009 10:37:02
RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 20:41:20

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:, D:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen
Catégories de dangers divergentes.............: +JOKE,

Début de la recherche : vendredi 30 avril 2010 13:30

La recherche d'objets cachés commence.
'109503' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mobsync.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'unsecapp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WmiPrvSE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnetwk.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WUDFHost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SearchIndexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spmgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RichVideo.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'NBService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdqcoms.exe' - '1' module(s) sont contrôlés
Processus de recherche 'LSSrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtProc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosOBEX.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosAVRC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHSP.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtHid.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosA2dp.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'KBFiltr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'GCameraMoniter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'TosBtMng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wmpnscfg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sidebar.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ACEngSvr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lxdqmsdmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ALU.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ACMON.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BatteryLife.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wcourier.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ATKOSD2.exe' - '1' module(s) sont contrôlés
Processus de recherche 'HControl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PowerForPhone.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ASScrPro.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ASUSTPE.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SynTPEnh.exe' - '1' module(s) sont contrôlés
Processus de recherche 'DMedia.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sm56hlpr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'RtHDVCpl.exe' - '1' module(s) sont contrôlés
Processus de recherche 'taskeng.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDServ.exe' - '1' module(s) sont contrôlés
Processus de recherche 'MSASCui.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'dwm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ASLDRSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SLsvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'audiodg.exe' - '0' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Ati2evxx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsm.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wininit.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
'89' processus ont été contrôlés avec '89' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !
Secteur d'amorçage maître HD1
[INFO] Aucun virus trouvé !
[INFO] Veuillez relancer la recherche avec les droits d'administrateur

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !
Secteur d'amorçage 'D:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :
Le registre a été contrôlé ( '53' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <VistaOS>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Avenger\hkozxb.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
C:\Users\ALEXANDRA\AppData\Roaming\7505DC067081398CA909DDDDE59312EF\newupdate1142C.exe
[RESULTAT] Contient le cheval de Troie TR/FraudPack.atla
Recherche débutant dans 'D:\' <DATA>

Début de la désinfection :
C:\Avenger\hkozxb.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c49d03e.qua' !
C:\Users\ALEXANDRA\AppData\Roaming\7505DC067081398CA909DDDDE59312EF\newupdate1142C.exe
[RESULTAT] Contient le cheval de Troie TR/FraudPack.atla
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c51d038.qua' !


Fin de la recherche : vendredi 30 avril 2010 14:40
Temps nécessaire: 1:08:15 Heure(s)

La recherche a été effectuée intégralement

21217 Les répertoires ont été contrôlés
404341 Des fichiers ont été contrôlés
2 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
0 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
2 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
404337 Fichiers non infectés
3205 Les archives ont été contrôlées
2 Avertissements
4 Consignes
109503 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés



J attends la suite des instructions ! Je te precise quand même que je serais absente de demain matin jusqu a dimanche soir ... Juste pour pas que tu crois que j ai laissé tombé la désinbfection ...!! lol

Merci pour l etemps que tu m accordes !

alexandra
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 mai 2010 à 02:47
C:\Avenger\hkozxb.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

==> AntiVir détecte le fichier dans la quarantaine de The Avenger, il n'était plus actif ;) On a réussi à se débarrasser de ce rootkit ! Au prochain scan, AntiVir ne devrait plus rien détecter


Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag stp

0
Bonjour,

voici le rapport demande

http://www.cijoint.fr/cjlink.php?file=cj201005/cijl1tdzVk.txt

Je vais essayer de refaire un scan mais je prends l'avion dans 3 heures donc ca risque dêtre un peu just niveau timing ! lol

Pour le rootkit, je comprends bien tes expllications !

Mais qu'en est-il de ca ?

C:\Users\ALEXANDRA\AppData\Roaming\7505DC067081398CA909DDDDE59312EF\newupdate1142C.exe
[RESULTAT] Contient le cheval de Troie TR/FraudPack.atla
Recherche débutant dans 'D:\' <DATA>

Jj'attends tes instrcutions !

Merci

alexandra
0
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
1 mai 2010 à 16:10
Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).



1) Les barres d'outils

Souvent installées avec d'autres logiciels sans que l'utilisateur y fasse attention, les barres d'outils se multiplient sur les ordinateurs et ont deux résultats : ralentir les ordinateurs et provoquer des bugs des navigateurs.
Je te conseille de désinstaller la tienne qui est inutile (barre d'outil Windows Live).
Pour ça, ferme ton navigateur, puis Menu démarrer --> Panneau de configuration --> Désinstaller un programme --> Sélectionne « Installation Windows Live et clique sur désinstaller --> sélectionne « Toolbar » et clique sur désinstaller.



2) Sécurise ton ordinateur

* Logiciels de protection :
* Garde un antivirus (AntiVir dans ton cas) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus ni mois
* Désactive Windows Defender (tutoriel)

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 ActiveX et Adobe Flash Player 10 Plugin. Ensuite, utilise ces deux liens pour installer la dernière version : Celui-ci pour l'ActiveX et celui-ci pour le plugin.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

* Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) --> lance l'installation avec les paramètres par défaut --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir --> Fais un clic droit sur le raccourci de USBFix et choisis 'Exécuter en tant qu'administrateur' --> Au menu principal, choisis l'option 3 (Vaccination).



3) Optimisation :
* Pour supprimer le démarrage automatique de certains programmes totalement inutiles (ça ne les empêchera pas de fonctionner si tu en as besoin ultérieurement) : télécharge [ ce fichier] --> Fais un clic-droit dessus --> Exécuter en temps qu'administrateur --> Accepte la modification du Registre.
* D'autre part, ton disque dur est plein : il n'y a que 3% d'espace libre alors qu'il est recommandé d'en avoir au moins 20%. Désinstalle des programmes inutiles, supprime les films ou grosses vidéos (après les avoir sauvegardé sur un support amovible si tu le souhaites) etc...



4) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aider



5) Je vois que tu as CCleaner : lance le --> Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.



6) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



7) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
Tu y verras notamment que le P2P est un des principaux vecteurs d'infection (LimeWire et µTorrent dans ton cas)...



8) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

0