Virus

Résolu/Fermé
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 - 22 mai 2010 à 16:39
 Utilisateur anonyme - 5 juin 2010 à 20:21
Bonjour,


le rapport superantispyware :

SUPERAntiSpyware Scan Log
https://www.superantispyware.com/

Generated 05/22/2010 at 04:27 PM

Application Version : 4.34.1000

Core Rules Database Version : 4954
Trace Rules Database Version: 2766

Scan type : Complete Scan
Total Scan Time : 00:42:33

Memory items scanned : 465
Memory threats detected : 2
Registry items scanned : 6963
Registry threats detected : 6
File items scanned : 7775
File threats detected : 9

Trojan.Unclassified/CryptDlg32
C:\WINDOWS\SYSTEM32\CRYPTDLG32.DLL
C:\WINDOWS\SYSTEM32\CRYPTDLG32.DLL

Trojan.Unclassified-Packed/Suspicious
C:\WINDOWS\SYSTEM32\DMDSKRES32.DLL
C:\WINDOWS\SYSTEM32\DMDSKRES32.DLL

Trojan.Dropper/ADR-WV
[RTHDBPL] C:\USERS\ADMIN\APPDATA\ROAMING\SYSTEMPROC\LSASS.EXE
C:\USERS\ADMIN\APPDATA\ROAMING\SYSTEMPROC\LSASS.EXE

Adware.Vundo/Variant-X32[Header]
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0D93C4CA-429F-4AC4-AA76-CC6B4D6CD8A6}
HKCR\CLSID\{0D93C4CA-429F-4AC4-AA76-CC6B4D6CD8A6}
HKCR\CLSID\{0D93C4CA-429F-4AC4-AA76-CC6B4D6CD8A6}\InprocServer32
HKCR\CLSID\{0D93C4CA-429F-4AC4-AA76-CC6B4D6CD8A6}\InprocServer32#ThreadingModel
HKU\S-1-5-21-3190056787-1849804901-669965420-1000\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0D93C4CA-429F-4AC4-AA76-CC6B4D6CD8A6}

Adware.Tracking Cookie
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@atdmt[2].txt
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@clicksor[2].txt
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@2o7[1].txt
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@ads.lzjl[1].txt
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@ad.yieldmanager[2].txt
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Cookies\admin@myroitracking[2].txt

le rapport hijackthis :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:31:47, on 22/05/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Freecorder\FLVSrvc.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\MessengerDiscovery 2\MessengerDiscovery 2.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\Windows\system32\conime.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\admin\Documents\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=040c&s=2&o=vb32&d=0409&m=aspire_5735
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: Skyrock Toolbar - {A057A204-BACC-4D26-969A-2AB983EE729B} - C:\PROGRA~1\SKYROC~1\SKYROC~1.DLL
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Program Files\Freecorder\tbFre1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Freecorder FLV Service] "C:\Program Files\Freecorder\FLVSrvc.exe" /run
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [OnlineStorage] C:\Program Files\mes données\OrangeDrvHome.exe -startup
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [RTHDBPL] C:\Users\admin\AppData\Roaming\SystemProc\lsass.exe
O4 - Startup: LimeWire On Startup.lnk = C:\Program Files\LimeWire\LimeWire.exe
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/MessengerGamesContent/GameContent/fr/uno1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{27088445-E97A-4105-BCE6-D69AAB720558}: NameServer = 80.10.246.2,80.10.246.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{27088445-E97A-4105-BCE6-D69AAB720558}: NameServer = 80.10.246.2,80.10.246.129
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL,C:\Windows\system32\cryptdlg32.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Desktop Manager 5.9.911.3589 (GoogleDesktopManager-110309-193829) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Service Google Update (gupdate1c9c82bf41789f3) (gupdate1c9c82bf41789f3) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: Memopal Backup Service - Unknown owner - C:\Program Files\Memopal\MemopalService.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: RGService - Unknown owner - C:\Program Files\RadioGet\RGService.exe
O23 - Service: STSService - Unknown owner - C:\Program Files\SoundTaxi Media Suite\STSService.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe




Je précise que j'ai ça à cause du téléchargement d'un truc pas très légal ...

merci d'avance
bonne journée :-)

29 réponses

Utilisateur anonyme
22 mai 2010 à 16:44
salut :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

▶ Télécharge List_Kill'em

et enregistre le sur ton bureau

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

♦ Executer Shortcut
♦ Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

▶ laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
22 mai 2010 à 23:09
list&em kill'em est beaucoup trop long et je dois aller dormir
je le referais demain
bonne soirée :-)
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
22 mai 2010 à 21:41
bonsoir
d'accord, j'ai vus le processus lsass.exe et comme je l'avais jamais vu avant je l'ai arrêté. De plus, mon ordi était super lent avec le processeur utilisé à 100 comme écrit ici : http://www.presence-pc.com/forum/ppc/Logiciels/processus-lsass-utilise-processeur-sujet-16293-1.htm

je pense que j'ai le vers
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
Modifié par cocodu67... le 22/05/2010 à 22:34
MBAM a trouvé

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4129

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

22/05/2010 22:01:16
mbam-log-2010-05-22 (22-01-16).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 1
Temps écoulé: 31 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rthdbpl (Trojan.Tracur) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\admin\AppData\Roaming\SystemProc\lsass.exe (Trojan.Tracur) -> Quarantined and deleted successfully.



c'est quand j'ai analysé lsass
list&kill'em est en cours

de la lecture : https://forums.commentcamarche.net/forum/affich-708503-virus-lsass-exe#7

toutes les 10 minutes avira me met une alerte virus et à chaque fois je supprime en enregistrant l'action à avoir pour ce type de virus et à chaque fois le prochain virus a un autre nom
je pense donc que c'est un vers
Merci de faire une petite recherche sur google avant de demander comment faire un truc.
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
Modifié par cocodu67... le 23/05/2010 à 05:23
désolé je devais aller dormir alors j'ai vite fais un MBAM juste du fichier en question pour vous montrer mais en ce moment même list&em kill'em est en cours

est ce que si j'ai le vers sasser il peut enregistrer mes mots de passe ?
sur les sites il est écrit qu'il redémarre le pc lui même régulièrement mais j'ai pas ce problème et en plus l vers n'est que dans windows XP et vista ... mais pourtant j'ai lsass infecté ...
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
Modifié par cocodu67... le 23/05/2010 à 08:16
c'est normal que le scan dur plus d'1h30 déjà ?
c'est entrain de faire le registre et c'était à la fin de l'alphabet puis ça a fait les signes de ponctuation et maintenant ça recommence l'alphabet ...
ça bug ?

pu*** je pensais qu'en 2 heures c'est fini et je me suis exprès levé à 5h du mat pour lancer le truc et là c'est pas encore terminé :-(

vous le savez, ça met le truc qui est entrain d'être cherché sur mon pc et ça change à chaque fois que c'est un autre truc et c'est dans la base du registre mais tout à droite c'est /run et quand les signes de ponctuation son passé c'est /runonce et quand les signes de ponctuation sont de nouveau passé ça recommence la même chose avec /ruc puis de nouveau /runonce et ainsi de suite, si je n'ai pas de réponse de votre part j'étein mon pc à 9h30, de toute façon je dois alors partir mais j'ai commencé le truc à 5h ce matin et n'importe quel autre logiciel aurait terminé depuis très longtemps. Si à 9h30 c'est pas terminé je souhaite un autre logiciel plus efficace et plus rapide. (ça fait plus d'une heure que c'est à 30%)
merci

ps : j'ai remarqué que ce qui est écrit d'un coup est passé en rouge ....
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
23 mai 2010 à 08:52
j'ai essayé en fermant et cliquer sur "clean" directement avec les droits administrateurs mais ça met que "reboot.exe n'est pas disponible" ou je sais plus trop quoi mais un problème avec ce fichier bat.

stp aidez moi
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
23 mai 2010 à 12:38
pas normal fais-le en mode sans echec
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
Modifié par cocodu67... le 23/05/2010 à 21:32
pareil mais j'ai fais directement "clean" en mode normal et ça a fonctionné

voici le rapport :

¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤

User : admin (Administrateurs)
Update on 22/05/2010 by g3n-h@ckm@n ::::: 10.50
Start at: 09:01:29 | 23/05/2010

Intel(R) Pentium(R) Dual CPU T3400 @ 2.16GHz
Microsoft® Windows Vista(TM) Édition Familiale Basique (6.0.6002 64-bit) # Service Pack 2
Internet Explorer 8.0.6001.18904
Windows Firewall Status : Disabled

C:\ -> Disque fixe local | 223,12 Go (156,03 Go free) [Acer] | NTFS
E:\ -> Disque CD-ROM


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\agrsmsvc.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
C:\Program Files\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
C:\Program Files\Google\Update\1.2.183.23\GoogleCrashHandler.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Memopal\MemopalService.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\runonce.exe
C:\Windows\system32\cmd.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe

¤¤¤¤¤¤¤¤¤¤ Files/folders :

Quarantined & Deleted !! : C:\ProgramData\xml5F06.tmp
Quarantined & Deleted !! : C:\ProgramData\xml67AE.tmp
Quarantined & Deleted !! : C:\ProgramData\xml6A1F.tmp
Quarantined & Deleted !! : C:\ProgramData\xml6DE7.tmp
Quarantined & Deleted !! : C:\ProgramData\xml7027.tmp
Quarantined & Deleted !! : C:\ProgramData\xml71AE.tmp
Quarantined & Deleted !! : C:\ProgramData\xml71AF.tmp
Quarantined & Deleted !! : C:\ProgramData\xml725B.tmp
Quarantined & Deleted !! : C:\ProgramData\xmlB00C.tmp
Quarantined & Deleted !! : C:\ProgramData\xmlBF97.tmp
Quarantined & Deleted !! : C:\ProgramData\tgioyvlx.pxu
Quarantined & Deleted !! : C:\Program Files\Mozilla FireFox\Components\AskSearch.js

Quarantined & Deleted !! : C:\Windows\system32\AVSredirect.dll
Quarantined & Deleted !! : C:\Windows\system32\dmusic32.dll
Quarantined & Deleted !! : C:\Windows\Temp\is8009.tmp
Quarantined & Deleted !! : C:\Windows\Temp\isF805.tmp
Quarantined & Deleted !! : C:\Users\admin\AppData\Local\d3d9caps.dat
Quarantined & Deleted !! : C:\Users\admin\AppData\Local\GDIPFONTCACHEV1.DAT
Quarantined & Deleted !! : C:\Users\admin\AppData\Roaming\SystemProc
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\LimeWireWin.exe
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\SSUPDATE.EXE
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\jna3413070121694272321.dll
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\jna3961850534848576464.dll
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\jna7506635218275214467.dll
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\jna895152197156824762.dll
Quarantined & Deleted !! : C:\Users\admin\LOCAL Settings\Temp\k50xfag4.dll

=======
Hosts :
=======

127.0.0.1 localhost

========
Registry
========

Deleted : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer : NoDrives
Deleted : "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}"
Deleted : "HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}"
Deleted : "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar"
Deleted : HKCR\.fsharproj
Deleted : HKCR\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179}
Deleted : HKCU\Software\Conduit
Deleted : HKLM\Software\Conduit
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\741B4ADF27276464790022C965AB6DA8
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\7DE196B10195F5647A2B21B761F3DE01
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\9D4F5849367142E4685ED8C25E44C5ED
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A5875B04372C19545BEB90D4D606C472
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\A876D9E80B896EC44A8620248CC79296
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\B66FFAB725B92594C986DE826A867888
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF
Deleted : HKLM\software\microsoft\windows\currentversion\installer\userdata\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E
Deleted : HKLM\SYSTEM\CurrentControlSet\Services\Irmon
Deleted : HKLM\SYSTEM\ControlSet001\Services\Irmon
Deleted : HKLM\SYSTEM\ControlSet004\Services\Irmon
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page REG_SZ https://www.google.com/?gws_rd=ssl
Local Page REG_SZ C:\WINDOWS\system32\blank.htm
Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
cval REG_DWORD 1 (0x1)
FirewallDisableNotify REG_DWORD 0 (0x0)
AntiVirusDisableNotify REG_DWORD 0 (0x0)
UpdatesDisableNotify REG_DWORD 0 (0x0)
FirstRunDisabled REG_DWORD 1 (0x1)
AntiVirusOverride REG_DWORD 1 (0x1)
FirewallOverride REG_DWORD 1 (0x1)

========
Services
=========

Ndisuio : Start = 3
EapHost : Start = 2
Wlansvc : Start = 2
SharedAccess : Start = 2
windefend : Start = 2
wuauserv : Start = 2
wscsvc : Start = 2

============
Disk Cleaned
anti-ver blaster : OK
Prefetch cleaned
================

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ataport.SYS hal.dll PCIIDEX.SYS msahci.sys
kernel: MBR read successfully
user & kernel MBR OK




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤




Je précise que tout provient d'un crack de malwareyte antimalware mais je l'ai supprimé dès la première alerte virus mais le virus est resté ....

Ne vous enfaite pas c'est la première fois que je télécharge ce genre de choses et avec ce que ça cause je le referais plus il y a aucun risque.


edit : il y a un petit hic : depuis list&em kill'em je suis connecté à internet mais l'icône en bas à droite me montre déconnecté d'internet mais si je clique sur "connexion à un réseau" ça met que je suis connecté
0
Utilisateur anonyme
23 mai 2010 à 22:42
malwarebytes avait raté un element du trojan Dracur....

pour ton icone si tu redemarres ton pc je pense que c'est bon
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
23 mai 2010 à 23:02
changement de mots de passe conseillé ?
0
Utilisateur anonyme
23 mai 2010 à 23:06
Télécharge OTL de OLDTimer

enregistre le sur ton Bureau.

▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"


▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
23 mai 2010 à 23:33
OLD.Txt : http://www.cijoint.fr/cj201005/cijMLui0W2.txt
extra.txt : http://www.cijoint.fr/cj201005/cij0FugERv.txt

je vais aller dormir
bonne nuit à vous
et merci
0
Utilisateur anonyme
24 mai 2010 à 00:07
▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\Windows\System32\sasnative32.exe


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 05:53
Voilà. Depuis list&em kill'em je n'ai plus d'alerte d'avira me signalant un virus.



File sasnative32.exe received on 2010.05.24 03:50:01 (UTC)
Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.23.00 2010.05.22 -
AntiVir 8.2.1.242 2010.05.23 -
Antiy-AVL 2.0.3.7 2010.05.21 -
Authentium 5.2.0.5 2010.05.23 -
Avast 4.8.1351.0 2010.05.23 -
Avast5 5.0.332.0 2010.05.23 -
AVG 9.0.0.787 2010.05.23 -
BitDefender 7.2 2010.05.24 -
CAT-QuickHeal 10.00 2010.05.24 -
ClamAV 0.96.0.3-git 2010.05.22 -
Comodo 4927 2010.05.24 -
DrWeb 5.0.2.03300 2010.05.24 -
eSafe 7.0.17.0 2010.05.23 -
eTrust-Vet 35.2.7503 2010.05.21 -
F-Prot 4.6.0.103 2010.05.23 -
F-Secure 9.0.15370.0 2010.05.24 -
Fortinet 4.1.133.0 2010.05.23 -
GData 21 2010.05.24 -
Ikarus T3.1.1.84.0 2010.05.24 -
Jiangmin 13.0.900 2010.05.22 -
Kaspersky 7.0.0.125 2010.05.23 -
McAfee 5.400.0.1158 2010.05.24 -
McAfee-GW-Edition 2010.1 2010.05.23 -
Microsoft 1.5802 2010.05.24 -
NOD32 5139 2010.05.23 -
Norman 6.04.12 2010.05.23 -
nProtect 2010-05-23.01 2010.05.23 -
Panda 10.0.2.7 2010.05.23 Suspicious file
PCTools 7.0.3.5 2010.05.24 -
Prevx 3.0 2010.05.24 -
Rising 22.49.00.01 2010.05.24 Trojan.Win32.Generic.51FAF1AA
Sophos 4.53.0 2010.05.24 -
Sunbelt 6346 2010.05.24 -
Symantec 20101.1.0.89 2010.05.24 -
TheHacker 6.5.2.0.286 2010.05.24 -
TrendMicro 9.120.0.1004 2010.05.24 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.24 -
VBA32 3.12.12.5 2010.05.22 -
ViRobot 2010.5.20.2326 2010.05.23 -
VirusBuster 5.0.27.0 2010.05.23 -
Additional information
File size: 17136 bytes
MD5...: 0065e911f966a71a115d9a52ff3dfc99
SHA1..: 7f29c65d27184e6c1e65253a19154568335d994c
SHA256: bf28a8eb57684f7819ae1c76282d26356590559f827eddb576662bada1d2c9fc
ssdeep: 384:hWwWbhwUM8PdAD2GRGxYWwRWCfUZUBXxYJLWtVba:hWwh8PdGVsYWB9Lsba<br>
PEiD..: -
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x2890<br>timedatestamp.....: 0x49183995 (Mon Nov 10 13:39:33 2008)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1956 0x1a00 5.94 f7ae9844a6a186531301497463da3e90<br>.rdata 0x3000 0xb8a 0xc00 3.99 d9c3d4c5e3b641af8e0a7b096510c0aa<br>.data 0x4000 0x4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rsrc 0x5000 0xb0 0x200 4.08 e75462be5446e4713a9bfd1160790c3e<br>.reloc 0x6000 0x1b8 0x200 4.70 89619446203afa3f4be6c3ccd707b631<br><br>( 1 imports ) <br>> ntdll.dll: ZwCreateFile, wcsrchr, RtlNtStatusToDosError, RtlAdjustPrivilege, ZwClose, RtlAllocateHeap, ZwInitializeRegistry, ZwOpenFile, NtQueryValueKey, ZwTerminateProcess, ZwQueryInformationFile, ZwWriteFile, ZwDeleteKey, ZwDelayExecution, ZwRestoreKey, wcschr, ZwOpenKey, ZwDisplayString, ZwCreateKey, RtlCreateHeap, _wcsnicmp, ZwReadFile, RtlFreeHeap, RtlInitUnicodeString, swprintf, ZwDeleteValueKey, ZwSaveKey, ZwSetInformationFile, _chkstk, memset, memcpy<br><br>( 0 exports ) <br>
RDS...: NSRL Reference Data Set<br>-
pdfid.: -
trid..: Win64 Executable Generic (87.2%)<br>Win32 Executable Generic (8.6%)<br>Generic Win/DOS Executable (2.0%)<br>DOS Executable Generic (2.0%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
sigcheck:<br>publisher....: n/a<br>copyright....: n/a<br>product......: n/a<br>description..: n/a<br>original name: n/a<br>internal name: n/a<br>file version.: n/a<br>comments.....: n/a<br>signers......: Systweak Inc<br> VeriSign Class 3 Code Signing 2004 CA<br> Class 3 Public Primary Certification Authority<br>signing date.: 4:18 PM 11/10/2008<br>verified.....: -<br>
0
Utilisateur anonyme
24 mai 2010 à 11:32
hello tu peux le supprimer manuellement ?
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 12:14
c'est hello !
c'est fait

mais ça ressemble pas à un faux positif ?
0
Utilisateur anonyme
24 mai 2010 à 12:24
ok ▶ Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

▶ choisis l'option Reinit AppInit_DLLs

laisse travailler l'outil.

en fin de scan un rapport s'ouvre

▶ colle le contenu dans ta reponse
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 12:52
ça a mit que ça

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLS REG_SZ

il y a un bug car je dois à chaque fois le lancer à partir du fichier bat
0
Utilisateur anonyme
24 mai 2010 à 12:56
ok refais OTL pour controle
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 14:42
OLD.text : http://www.cijoint.fr/cjlink.php?file=cj201005/cijA8Vfr1Y.txt
extra.text : http://www.cijoint.fr/cjlink.php?file=cj201005/cijEFNxnbi.txt
0
Utilisateur anonyme
24 mai 2010 à 15:09
▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

▶ clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\Windows\System32\drivers\hdbga.sys


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 15:22
a-squared 4.5.0.50 2010.05.10 -
AhnLab-V3 2010.05.23.00 2010.05.22 -
AntiVir 8.2.1.242 2010.05.23 -
Antiy-AVL 2.0.3.7 2010.05.24 -
Authentium 5.2.0.5 2010.05.23 -
Avast 4.8.1351.0 2010.05.24 -
Avast5 5.0.332.0 2010.05.24 -
AVG 9.0.0.787 2010.05.24 -
BitDefender 7.2 2010.05.24 -
CAT-QuickHeal 10.00 2010.05.24 -
ClamAV 0.96.0.3-git 2010.05.24 -
Comodo 4931 2010.05.24 UnclassifiedMalware
DrWeb 5.0.2.03300 2010.05.24 -
eSafe 7.0.17.0 2010.05.23 -
eTrust-Vet 35.2.7506 2010.05.24 -
F-Prot 4.6.0.103 2010.05.23 -
F-Secure 9.0.15370.0 2010.05.24 -
Fortinet 4.1.133.0 2010.05.23 -
GData 21 2010.05.24 -
Ikarus T3.1.1.84.0 2010.05.24 -
Jiangmin 13.0.900 2010.05.22 -
Kaspersky 7.0.0.125 2010.05.24 -
McAfee 5.400.0.1158 2010.05.24 New Malware.b
McAfee-GW-Edition 2010.1 2010.05.23 Artemis!3F6BA81C5263
Microsoft 1.5802 2010.05.24 -
NOD32 5140 2010.05.24 a variant of Win32/Monitor.PowerLogger.A
Norman 6.04.12 2010.05.24 -
nProtect 2010-05-24.01 2010.05.24 -
Panda 10.0.2.7 2010.05.24 Suspicious file
PCTools 7.0.3.5 2010.05.24 -
Prevx 3.0 2010.05.24 -
Rising 22.49.00.03 2010.05.24 Trojan.Win32.Generic.51E9A530
Sophos 4.53.0 2010.05.24 PowerLogger
Sunbelt 6346 2010.05.24 -
Symantec 20101.1.0.89 2010.05.24 Trojan.ADH
TheHacker 6.5.2.0.286 2010.05.24 -
TrendMicro 9.120.0.1004 2010.05.24 -
TrendMicro-HouseCall 9.120.0.1004 2010.05.24 -
VBA32 3.12.12.5 2010.05.22 -
ViRobot 2010.5.20.2326 2010.05.24 -
VirusBuster 5.0.27.0 2010.05.23 -
0
supprime-le manuellement puis

▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

▶ Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

Ensuite

▶ sur les lignes rouge:

▶ Services:cliques droit delete service
▶ Process:cliques droit kill process
▶ Adl ,file:cliques droit delete files


?G3?-?@¢??@?(TM)©®?
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 16:14
j'ai pas de lignes rouges


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-05-24 16:13:25
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\admin\AppData\Local\Temp\kwldrpob.sys


---- Devices - GMER 1.0.15 ----

Device Ntfs.sys (Pilote du système de fichiers NT/Microsoft Corporation)

AttachedDevice cbfs32.sys
AttachedDevice fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)
AttachedDevice \Driver\tdx \Device\Tcp hdbga.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 Wdf01000.sys (WDF dynamique/Microsoft Corporation)
AttachedDevice \Driver\kbdclass \Device\KeyboardClass0 hdbga.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 hdbga.sys
AttachedDevice \Driver\kbdclass \Device\KeyboardClass1 Wdf01000.sys (WDF dynamique/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 16:26
je suis certain de l'avoir supprimé avant mais là je l'ai revu alors je l'ai resupprimé
0
Utilisateur anonyme
24 mai 2010 à 16:43
de quoi le fichier reappareait ??
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 16:51
j'étais certain de l'avoir supprimé mais bon j'ai peut être mal cliqué, en tout cas il est pas revenu cette fois

J'aurais dus le préciser depuis le début mais j'ai souvent des virus et à chaque fois je fais appel à des helper pour désinfecter. Je sais pas s'ils oublient des virus et après il y en a encore plus la fois d'après ou si j'ai un problème sur le pc qui fait que j'ai des virus ... mais je vous demande de pas abandonner avant d'être certain que je n'ai plus d'infection

merci
0
Utilisateur anonyme
24 mai 2010 à 17:08
pas de souci à moins que je ne meure.... ^^
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 17:14
mais non

qu'est ce que je dois faire maintenant ?
0
Utilisateur anonyme
24 mai 2010 à 17:21
dejà redemarre ton pc et vois si le fichier est reapparu auqyel cas il y a un rootkit
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 18:00
il est pas réapparut
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 18:12
je viens de trouver un dossier nommé hdbga et se trouvant dans le répertoire windows. A l'intérieur il y a une application nommé msk + un fichier bat nommé hdbga et un fichier nommé mail.fslt et un autre nommé et un truc nommé unins000 web.flt
0
clic droit sur le fichier .bat , modifier , et colle son contenu stp
?G3?-?@¢??@?(TM)©®?
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 20:13
Depuis que j'ai supprimé le fichier dans drivers la souris fonctionne plus. J'ai restauré le fichier et après je redémarre pour voir ce que ça donne. Je pense que c'est tout simplement le drivers de la souris.

Dans le fichier bat il y a


[hdbga]
WF=1
MF=1
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 20:28
ma webcam ne fonctionne non plus depuis ...
ça met caméra abscente

mais ça a fait quoi les logiciels :-(
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
24 mai 2010 à 22:25
le dossier en question est enfaite un keylogger que j'avais installé moi même il y a longtemps mais comme je l'avais plus retrouvé je l'ai oublié...

cette fois je l'ai supprimé
0
Utilisateur anonyme
25 mai 2010 à 14:43
salut tu as supprimé le dossier complet ou juste le fichier ?
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
Modifié par cocodu67... le 25/05/2010 à 16:39
dans windows>system32>drivers j'avais supprimé le fichier mais sans vider la corbeille et la webcam ne fonctionnait plus et la flèche de la souris ne se déplaçait plus, heureusement que j'ai le truc pour la déplacer avec le truc tactile.
J'ai réinstallé le drivers pour la webcam et j'ai restauré le fichier et maintenant souris et webcam refonctionnent.
En ce qui concerne le dossier avec le keylogger dans windows je l'ai supprimé entièrement.
0
Utilisateur anonyme
25 mai 2010 à 17:01
ok :


Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.



▶ Télécharge :

Malwarebytes

ou :

Malwarebytes

▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

▶ Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

▶ Lance Malwarebyte's .

Fais un examen dit "Complet" .

▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
25 mai 2010 à 19:24
ces trojan tracur deviennent chiant à force ...

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4142

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

25/05/2010 19:15:27
mbam-log-2010-05-25 (19-15-27).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 267469
Temps écoulé: 2 heure(s), 5 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{0d93c4ca-429f-4ac4-aa76-cc6b4d6cd8a6} (Trojan.Tracur) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Zugo (Adware.Zugo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\d3d10warp32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Windows\System32\dmdskres32.dll (Trojan.Tracur) -> Quarantined and deleted successfully.
C:\Kill'em\Quarantine\dmusic32.dll.Kill'em (Trojan.Tracur) -> Quarantined and deleted successfully.
0
Utilisateur anonyme
25 mai 2010 à 19:35
ok quels soucis persistent ?
0
cocodu67... Messages postés 3155 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 1 mai 2024 145
25 mai 2010 à 20:57
Mais avira et malwarebyte antimalware m'ont trouvé plusieurs fois déjà des trojan tracur et à chaque fois il y en a de nouveau mais le logiciel (je ne sais plus le nom) que vous m'avez dit de passer n'a pas trouvé de rookit, c'est bizarre.

A part ça j'ai plus d'alerte venant de antivir mais j'ai fais un scan des fichiers trouvés par malwarebyte avec avira et il a rien trouvé, comme quoi rien n'est parfait ...

A part ces virus trouvés par malwarebyte pratiquement à chaque scan je n'ai pas de problème, je n'en sais rien mais peut être ceux trouvés aujourd'hui n'étaient pas détectable avec la connexion internet car vous m'avez dit de me déconnecter pendant le scan ...
0