Virus insupprimables Résolu/Fermé

Question

Bien le bonjour,   
Je post car je pense être infecté par des satané virus qui ne veulent pas être supprimé (j'ai Avast), car quand je clique sur "Supprimer..." cela se passe bien mais dès le démarrage de mon pc, Avast me resignale des virus toujours sous les même dossier (Temporary Internet Files ou system32). J'ai vu un fichier infécté s'appellant "boum.jpg" un autre s'appellant "boum[1].jpg" et encore un autre s'appellant "wimp.exe"   

Le lien de mon rapport ZHPDiag déposé sur cijoint.fr :    
http://www.cijoint.fr/cjlink.php?file=cj201005/cijfwvy4vg.txt   

Mon rapport Malwarebytes' Anti-Malware :  
Malwarebytes' Anti-Malware 1.46  
www.malwarebytes.org  

Version de la base de données: 4052  

Windows 5.1.2600 Service Pack 3  
Internet Explorer 8.0.6001.18702  

04/05/2010 13:59:07  
mbam-log-2010-05-04 (13-59-07).txt  

Type d'examen: Examen rapide  
Elément(s) analysé(s): 123297  
Temps écoulé: 14 minute(s), 27 seconde(s)  

Processus mémoire infecté(s): 0  
Module(s) mémoire infecté(s): 0  
Clé(s) du Registre infectée(s): 5  
Valeur(s) du Registre infectée(s): 1  
Elément(s) de données du Registre infecté(s): 1  
Dossier(s) infecté(s): 0  
Fichier(s) infecté(s): 0  

Processus mémoire infecté(s):  
(Aucun élément nuisible détecté)  

Module(s) mémoire infecté(s):  
(Aucun élément nuisible détecté)  

Clé(s) du Registre infectée(s):  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe (Security.Hijack) -> Quarantined and deleted successfully.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsegedit.Exe (Trojan.Agent) -> Quarantined and deleted successfully.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe (Security.Hijack) -> Quarantined and deleted successfully.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe (Security.Hijack) -> Quarantined and deleted successfully.  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsstrui.exe (Security.Hijack) -> Quarantined and deleted successfully.  

Valeur(s) du Registre infectée(s):  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runegdiit (Backdoor.PoisonIvy) -> Quarantined and deleted successfully.  

Elément(s) de données du Registre infecté(s):  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.  

Dossier(s) infecté(s):  
(Aucun élément nuisible détecté)  

Fichier(s) infecté(s):  
(Aucun élément nuisible détecté)  

Lien de mon rapport Kaspersky en ligne (au format JPG... Quelques zooms et on voit tout) sur le site cijoint.fr : 
http://www.cijoint.fr/cjlink.php?file=cj201005/cijkTzFymE.jpg 

Mon rapport UsbFix :

############################## | UsbFix V6.111 |

User : Anis (Administrateurs) # COMPAQ
Update on 03/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 00:58:44 | 05/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

         Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100504-2] 4.8.1368 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 149,04 Go (107,02 Go free) # NTFS

################## | Elements infectieux |

C:\WINDOWS\IFinst27.exe  
C:\WINDOWS\System32\imwin.jpg  
C:\WINDOWS\System32\winxp.exe  
C:\autorun.inf  
C:\image.jpg  

################## | Registre |

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON"  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "regdiit"  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwtsn32.exe]  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe]  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsegedit.exe]  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsstrui.exe]  
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  
[HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{17b6e219-0c0c-11df-80a7-18a9059b2c27}
Shell\AutoRun\command =D:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{17b6e22c-0c0c-11df-80a7-18a9059b2c27}
Shell\AutoRun\command =D:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{3d3ea4ab-23a2-11df-843a-18a9059b2c27}
Shell\AutoRun\command =D:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{4c4b5675-f3d6-11de-9d1b-0ceee6899bdb}
Shell\AutoRun\command =D:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{4c4b5687-f3d6-11de-9d1b-0ceee6899bdb}
Shell\AutoRun\command =D:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{4e87d977-3b2b-11df-94f1-18a9059b2c27}
Shell\AutoRun\command =ji83j.exe 
Shell\open\Command =ji83j.exe 

HKCU\..\..\Explorer\MountPoints2\{614a8acf-0381-11df-b7a4-18a9059b2c27}
Shell\AutoRun\command =D:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{ed4bba30-1e52-11df-ab68-18a9059b2c27}
Shell\AutoRun\command =D:	voj/zauvjek.exe 
Shell\explore\command =D:	voj/zauvjek.exe 
Shell\open\command =D:	voj/zauvjek.exe 

HKCU\..\..\Explorer\MountPoints2\{fc1060d4-fd35-11de-ad19-18a9059b2c27}
Shell\AutoRun\command =D:\AutoRun.exe 

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.111 ! |



Merci d'avance !     

Configuration: Windows XP, Mozilla Firefox 3.5.9

L'intelligence c'est comme un parachute ... Quand on en a pas, on s'écrase !

dédétraqué · Answer

Salut Contaminated, bienvenu sur CCM


Télécharge et installe UsbFix par El Desaparecido , C_XX & Chimay8
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

* Double clic sur le raccourci UsbFix présent sur ton bureau .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

* Laisse travailler l'outil.

* Ensuite poste le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note2 : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html 


@++  :)

Contaminated · Answer

Merci mais il n'y a pas de rapport entre le virus installé sur mon PC et une de mes clés USB, le problème c'est que je n'arrive pas à supprimer le virus. J'essaie d'y remédier en utilisant cette fiche pratique : 
https://www.commentcamarche.net/faq/2490-supprimer-les-adwares-publicites-intempestives-pop-up-etc

dédétraqué · Answer

Salut Contaminated


As-tu posté ici pour de l'aide??


@++   :)

Contaminated · Answer

Oui, j'ai posté pour l'aide comme le dit la fiche pratique, Je voudrais l'aide d'un expert, a part si dédétraqué en est un :p

dédétraqué · Answer

Salut Contaminated


OK, alors faire le scan demandé et poste le rapport.


@++   :)

Contaminated · Answer

Je suis entrain de finir le scan Kaspersky, dès qu'il est fini je le poste. Il y a deja le scan ZHPDiag et le scan Malwarebytes' Anty-Malware.

Contaminated · Answer

Le scan Kaspersky est fait ... Il est au format JPEG, merci de répondre au plus vite !

dédétraqué · Answer

Salut Contaminated 


As-tu fais le scan avec UsbFix comme demandé?


@++   :)

Contaminated · Answer

Oups, je l'ai oublié lui ! Tout de suite chef !

Contaminated · Answer

Le .exe a été enregistré sur Mes Documents .... Quand je l'ai ouvert on me dit qu'il n'est pas une application Win32 valide .. Que faire ??

Contaminated · Answer

Le rapport UsbFix est posté ! Je m'en remets à vous pour supprimer ces satanés virus !

dédétraqué · Answer

Salut Contaminated 


OK, et je le trouve ou ce rapport?

Fais un copier/coller dans ta prochaine réponse.


@++    :)

Contaminated · Answer

A chaque fois je modifie mon premier post. Tout est sur le premier post donc.

dédétraqué · Answer

Salut Contaminated 


OK, poste les rapports a la suite maintenant, cela sera plus facile de s'y retrouver.


Tu as bien tout branché tes appareils, le rapport m'indique que tu avais branché quelque chose en D: qui étais infecté : D:	voj/zauvjek.exe 


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, caméra, Carte SD, etc...) susceptible d avoir été infectés sans les ouvrir

* Double clic sur le raccourci UsbFix présent sur ton bureau

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

* Ton bureau disparaîtra et le pc redémarrera.

* Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

* Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau.

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 


-----


Télécharge RSIT (de random/random) sur le bureau ici :
http://images.malwareremoval.com/random/RSIT.exe

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur Continue dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

Utilise cjoint.com pour poster en lien tes rapports :
https://www.cjoint.com/

- Clique sur Parcourir pour aller chercher le rapport C:sit\log.txt
- Clique sur Ouvrir ensuite sur Créer le lien Cjoint

- Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

Et fais la même chose avec l'autre rapport C:sit\info.txt


@++  :)

Contaminated · Answer

Le rapport UsbFix : 

############################## | UsbFix V6.111 |

User : Anis (Administrateurs) # COMPAQ
Update on 03/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:55:46 | 06/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

         Intel(R) Atom(TM) CPU N270   @ 1.60GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100506-1] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 149,04 Go (106,49 Go free) # NTFS

################## | Elements infectieux |

Supprimé ! C:\WINDOWS\IFinst27.exe 
Supprimé ! C:\WINDOWS\System32\imwin.jpg 
Supprimé ! C:\autorun.inf 
Supprimé ! C:\image.jpg 
Supprimé ! C:\Recycler\S-1-5-21-1823225026-2324243321-3059060944-1003 
Supprimé ! C:\Recycler\S-1-5-21-3978682050-2889257721-1305516643-1005 

################## | Registre |

Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON"  
Supprimé ! [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "regdiit"  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\drwtsn32.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwwinxp.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsegedit.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Optionsstrui.exe]  
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  
Supprimé ! [HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore] "DisableSR"  

################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{17b6e219-0c0c-11df-80a7-18a9059b2c27}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{17b6e22c-0c0c-11df-80a7-18a9059b2c27}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{3d3ea4ab-23a2-11df-843a-18a9059b2c27}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{4c4b5675-f3d6-11de-9d1b-0ceee6899bdb}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{4c4b5687-f3d6-11de-9d1b-0ceee6899bdb}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{4e87d977-3b2b-11df-94f1-18a9059b2c27}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{614a8acf-0381-11df-b7a4-18a9059b2c27}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{ed4bba30-1e52-11df-ab68-18a9059b2c27}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{fc1060d4-fd35-11de-ad19-18a9059b2c27}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[28/12/2009 17:27|-rahs----|216] C:\boot.ini 
[15/04/2008 12:00|-rahs----|4952] C:\Bootfont.bin 
[28/12/2009 17:31|-rahs----|333203] C:\bootmgr 
[?|?|?] C:\hiberfil.sys 
[03/01/2010 12:12|-rahs----|0] C:\IO.SYS 
[03/01/2010 12:12|--ahs----|1056] C:\jjojaw3o.sys 
[03/01/2010 12:12|-rahs----|0] C:\MSDOS.SYS 
[06/05/1999 10:59|--a------|220172] C:
sy163.tmp 
[15/04/2008 12:00|-rahs----|47564] C:
tdetect.com 
[15/04/2008 12:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[15/01/2010 20:12|--a------|186] C:\setup.log 
[31/12/2009 22:47|--ahs----|36] C:\syncguid.dat 
[06/05/2010 17:06|--a------|3609] C:\UsbFix.txt 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_COMPAQ.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.111 ! |

Note : Je n'ai rien brancher/insérer pendant la recherche UsbFix, je n'ai rien brancher/insérer pendant la suppression aussi.
Note : J'ai envoyé le fichier ".zip" demandé.

Lien de mon rapport RSIT (info.txt) :
https://www.cjoint.com/?fgsreNTAMy
Lien de mon rapport RSIT (log.txt) :
https://www.cjoint.com/?fgsugkgkSc

dédétraqué · Answer

Salut Contaminated 


Cela est bon, as-tu encore des alertes d'Avast?


@++   :)

Contaminated · Answer

Oui, je ne les ai plus ! 
Merci du fond du coeur dédétraqué ! Merci de ta patience !

dédétraqué · Answer

Salut Contaminated


Je viens de voir un fichier qui me chicote, faire un scan de ce fichier jjojaw3o.sys ici :

https://www.virustotal.com/gui/


Clique sur Parcourir et copie/colle ceci :
C:\jjojaw3o.sys
Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.

Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

Poste le résultat au complet

Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm


@++   :)

Contaminated · Answer

L'URL de la page : 
http://www.virustotal.com/fr/analisis/d9d6c7898897cc8551a2146e4d3879c1e92d2225be51ea6939ab671ee74c425d-1273174766

dédétraqué · Answer

Salut Contaminated 


Envoie ce fichier ici pour analyse:
http://upload.malekal.com/

Comment cela fonctionne :
http://www.malekal.com//tuto_upload_fichiers.php

Dis moi quand cela est fais


@++   :)

Contaminated · Answer

C'est fait !

dédétraqué · Answer

Salut Contaminated


OK merci, je te tiens au courant


@++   :)

Contaminated · Answer

OK ! 
Merci de ton aide !

Contaminated · Answer

Je peux mettre le sujet en résolu ?

Virus insupprimables

24 réponses

Discussions similaires