Virus Trojan-gen c:\3rr sur mon PCRésolu/Fermé

Question

Bonjour à vous tous et à vous toutes, 
depuis des mois, je n'ai pas eu un seul problème avec mon ordinateur, et je l'ai preté à ma soeur hier et quand je rentre chez moi et que j'ouvre mon PC, avast! m'informe que je suis infesté par le virus Trojan-gen.
Toutes les 30 secondes environ, il trouve 2 virus (je suis arrivé à 34 infections hier puis j'ai arreté avast!) :
C:\3rr puis D:\3rr et si je branche un périphérique F:\3rr,
le nom du logiciel malveillant étant Trojan-gen.
Je ne trouve aucun résultat de recherche ni pour C:\3rr ni pour Trojan-gen, bien que j'ai trouvé un fichier dans la recherche hier que j'ai mis à la poubelle et que j'ai vidé.

Ma soeur dit avoir joué à un jeu en ligne dans la catégorie MMO de Jeux.fr (je préfère vous prévenir !)

Merci d'avance de votre aide, je suis despéré, je ne veux pas repayer 100€ de réparation !

PS : ça me bloque MSN


MERCI D'AVANCE !!!


Configuration: Windows XP / Internet Explorer 8.0

Utilisateur anonyme · Accepted Answer

Je te rassure je ne suis pas un hackeur .Tes objets sur le jeu qui ont disparu c'est normal ils étaient tous infectés par un spyware.Pour expliquer rapidement le fonctionnement de ces in,fections je vais te poser juste une question.
Tu part en vacance laisserais tu la porte de ta maison ouverte ? non bien sur.
Pour ton pc c'est la méme chose .sauf que pour ton ordi la porte e les fenêtre etaient ouverte.

Post un nouveau rapport Zhpdiag pour une derniere vérification.

Ps: Oublis ton jeu c'est un nid d'infection.

Pour avast vide ta zone de quarantaine.

Pout la barre des taches.ctrl alt suppr => puis dans les processus fermez explorer.exe puis en haut sur fichier cliquez sur nouvelle tache et cliquez inscrivez explorer.exe et entrer.

Utilisateur anonyme · Answer

Bonjour

Pour analyser ton pc.

* Télécharge [https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag ( de Nicolas coolman ). 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur  /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Neoss · Answer

Bonjour et merci de ton aide Nanard4700 !
J'ai suivis toutes tes indications à la lettre et voici le lmien de mon rapport : http://www.cijoint.fr/cj201005/cijNgik17o.txt

Merci de m'aider dès que tu le peux, car je pense que je vais céder à demander l'aide d'un professionnel et ça coûte pas mal ^^'

A bientôt

Utilisateur anonyme · Answer

Tu es hyper infecté.

Télécharge Ad-Remover sur ton bureau:
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
https://www.androidworld.fr/

/!\ Ferme toutes tes applications ouvertes. /!\

* Désactive  la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner  la procédure de recherche et de nettoyage de l'outil.


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt

Neoss · Answer

Bonjour j'ai fais tout ce que tu m'as dis de faire, ça m'a même redémarré mon PC, et quand je me connecte à MSN, aucun message d'erreur et avast! ne signale rien !
Merci énormément !!

Si tu pouvais me donner quelque chose qui me permettrait de te contacter, car ça va peut-être aller et qui sait, dans une semaine j'ai le même problème sur les bras !

Voilà le rapport : 

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 19/05/10 à 19:20
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 18:35:17 le 24/05/2010 | Mode normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft Windows XP Édition familiale (Service Pack 3 - X86)
Nom du PC: PC-JEUX
Utilisateur actuel: Aristide
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
Service: *Application Updater*
.

Utilisateur anonyme · Answer

Tu es encore infecté.Post le rapport complet et  fais ceci.



*	Télécharge et installe : Malwarebyte's Anti-Malware
*	(NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
*	A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
*	Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
*	Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
*	Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
*	A la fin du scan, clique sur Afficher les résultats
*	Coche tous les éléments détectés puis clique sur Supprimer la sélection
*	Enregistre le rapport
*	S'il t'est demandé de redémarrer, clique sur Yes
*	Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
*	Si tu as besoin d'aide regarde ce tutorial 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Neoss · Answer

Merci encore de me suivre dans mes problèmes.
Je suis allé manger, je ne pouvais pas donner de nouvelles.
L'analyse dure depuis maintenant 35 minutes, et il n'a trouvé aucune infections, bien qu'avast! en ai trouvé 3 dont 2 nouvelles s'appellant C:\System Volume Information\_restore{91264E34-32B7-4076-8E27-FD6F223EFAE1}\RP333\A0043615.exe

Que dois-je penser ?

Neoss · Answer

Voilà, j'ai finis le scan ! J'ai redémarré, mais avant un message m'a averti que tous les fichiers ne pouvaient êtres effacés...
Il a trouvé plus de 80 fichiers infectés, je vais héberger le rapport.
Voici le lien : http://www.cijoint.fr/cj201005/cijfGebCz6.txt
avast! a trouvé des virus qu'il ne trouvait pas avant, 
est-ce que Malwarebyte's Anti-Malware a pu me rajouter des virus ?

Merci de ton aide, je suis complétement désespéré...

Neoss · Answer

J'ai aussi remarqué quelque chose : avant avast! recherchait partout dans mon ordinateur, il arrivait à 75 000 fichiers scannés, et là il s'arrête à 3000 et des brouettes, il n'y donc plus rien à chercher (il est en recherche Elevée). C'est plutôt bon signe.

Aussi, j'ai jeté un coup d'oeil au rapport, apparemment, tout est supprimé, car cette phrase : Quarantined and deleted successfully revient toujours, et le dernier fichier est marqué par Delete on reboot qui, par mon expérience en angmlais, veut dire supprimé sur le redémarrage donc pendantle redémarrage. Ca devait être le fichier que Malwarebyte's Anti-Malware n'arrivait pas à supprimer.

Qu'en penses-tu ?
Bonne soirée !

Utilisateur anonyme · Answer

est-ce que Malwarebyte's Anti-Malware a pu me rajouter des virus ? 

Non, Son role est de te retirer les véroles et pas de te les rajouter:)

On continue la désinfection.

* Télécharge et install:  UsbFix.exe par El Desaparecido
 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
* Au second menu Choisis l'option " 2 "  et tape sur [entrée] 
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 
* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Neoss · Answer

Bonjour, 
je connais UsbFix et je l'ai sur mon PC, j'avais eu moi-même le réflexe de le vacciner à l'arrivée des virus.
Avant que les virus arrivent, aucun périphérique n'était branché, ni pendant, ni après, j'ai donc utilisé UsbFix sur le seul périphérique que j'utilise véritablement : mon MP4.

Voici le rapport : 

############################## | UsbFix V6.112 |

User : Aristide (Administrateurs) # PC-JEUX
Update on 09/05/2010 by El Desaparecido , C_XX & Chimay8
Start at: 11:48:03 | 25/05/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Processeur Intel Pentium III Xeon
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : avast! antivirus 4.8.1368 [VPS 100525-0] 4.8.1368 [ Enabled | Updated ]

C:\ -> Disque fixe local # 292,97 Go (175,72 Go free) # NTFS
D:\ -> Disque fixe local # 172,78 Go (171,07 Go free) [Sauvegarde] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 7,38 Go (2,78 Go free) [PHILIPS] # FAT32

################## | Elements infectieux |

Supprimé ! C:\Recycler\S-1-5-21-1614895754-1078145449-1417001333-1004 
Supprimé ! D:\Recycler\S-1-5-21-1614895754-1078145449-1417001333-1004 
Supprimé ! D:\Recycler\S-1-5-21-682003330-1957994488-2147153767-1004 
Supprimé ! F:\1f.bat  
Supprimé ! F:\2a.exe  
Supprimé ! F:\b.com 
Supprimé ! F:\cqxj.exe 
Supprimé ! F:\e2.cmd 
Supprimé ! F:\ej10fkdo.bat  
Supprimé ! F:\fbak.exe 
Supprimé ! F:\g1ljsm.com 
Supprimé ! F:\gclwpivc.cmd  
Supprimé ! F:\hkn6k.bat 
Supprimé ! F:\icxpa.cmd 
Supprimé ! F:\jm3cx96.bat 
Supprimé ! F:\m9ma.exe 
Supprimé ! F:\q9.cmd  
Supprimé ! F:bj9jn1n.bat 
Supprimé ! F:\sv8c2bjw.bat 
Supprimé ! F:\ukvr.bat 
Supprimé ! F:\upw.bat 
Supprimé ! F:\w.com 
Supprimé ! F:\vwewav8.com 
Supprimé ! F:\xh319r9b.bat 
Supprimé ! F:\yhh.bat  
Supprimé ! F:\ymxf2.exe 
Supprimé ! F:\ysep1.exe 

################## | Registre |


################## | Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{4f4fc0cc-f2e7-11de-8015-0060b39ec442}\Shell\AutoRun\Command  
Supprimé ! HKCU\...\Explorer\MountPoints2\{d2cb0818-664f-11df-80cb-0060b39ec442}\Shell\AutoRun\Command  

################## | Listing des fichiers présent |

[24/05/2010 18:37|--a------|536] C:\Ad-Report-CLEAN[1].txt 
[24/05/2010 18:41|--a------|5704] C:\Ad-Report-CLEAN[2].txt 
[26/10/2009 12:19|--a------|50] C:\AUTOEXEC.BAT 
[19/02/2010 19:28|-rahs----|227] C:\boot.ini 
[14/04/2008 14:00|-rahs----|4952] C:\Bootfont.bin 
[17/10/2009 13:01|--a------|0] C:\CONFIG.SYS 
[17/10/2009 13:12|--a------|197] C:\csb.log 
[17/10/2009 13:01|-rahs----|0] C:\IO.SYS 
[17/10/2009 13:01|-rahs----|0] C:\MSDOS.SYS 
[30/11/2005 17:26|--a------|369480] C:
sa153.tmp 
[19/12/2005 12:28|--a------|243132] C:
sd14E.tmp 
[19/12/2005 12:28|--a------|244412] C:
si14D.tmp 
[19/12/2005 12:28|--a------|261840] C:
su150.tmp 
[16/02/2006 20:52|--a------|398320] C:
su152.tmp 
[18/01/2006 12:33|--a------|381644] C:
sv154.tmp 
[19/12/2005 12:28|--a------|259416] C:
sz14F.tmp 
[14/04/2008 14:00|-rahs----|47564] C:\NTDETECT.COM 
[14/04/2008 14:00|-rahs----|252240] C:
tldr 
[?|?|?] C:\pagefile.sys 
[17/10/2009 13:11|--a------|429] C:\RHDSetup.log 
[22/04/2010 14:10|--a------|159] C:\Setup.log 
[25/05/2010 11:51|--a------|3047] C:\UsbFix.txt 
[23/05/2010 11:45|-r-hs----|114688] D:\33r.exe 
[02/07/2009 23:39|--a------|26] D:\Cl' wifi.txt 
[03/01/2010 19:48|--a------|183] D:\Raccourci vers DOMI (F).lnk 
[26/09/2009 14:11|--a------|49] D:\R'f'rence msn.txt 
[01/01/1980 05:28|--ah-----|4194304] F:\STDBSTR.DAT 
[01/01/1980 05:28|--ah-----|32] F:\STDBSTR.IDX 
[01/01/1980 05:28|--ah-----|4194304] F:\STDBDATA.DAT 
[01/01/1980 05:28|--ah-----|4] F:\STDBDATA.IDX 
[01/01/1980 05:29|--ah-----|560596] F:\RAMLIST.DAT 
[01/01/1980 05:29|--ah-----|40040] F:\playqueue.dat 
[02/01/1980 11:51|--ah-----|1057] F:\SETSTOR.DAT 
[23/05/2010 11:45|-r-hs----|114688] F:\33r.exe 
[28/01/2010 12:32|--a------|296] F:\WMPInfo.xml 

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# D:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 
# F:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). 

################## | Upload | 

Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_PC-JEUX.zip : https://www.ionos.fr/?affiliate_id=77097 
Merci pour votre contribution .  

################## | ! Fin du rapport # UsbFix V6.112 ! |

Neoss · Answer

Nanard2700 je sais que tu n'es pas un hackeur, apparemment tu es un Helpeur sur de nombreux forum, et je t'admire véritablement. Le problème, c'est que je ne peux pas, ou que je ne veux pas arrêter ce jeu, car tous mes amis sont dessus et j'y joue depuis 3 ans et demi, ce jeu est Dofus (sinon je joue à World of Warcraft et je n'ai eu aucun problème).

J'avais vidé ma zone de quarantaine, et j'ai fais le truc explorer.exe, mais je n'ai pas récupéré mes icônes (je n'ai que 4 icônes pour la connexion sans fil, avec câble etc.). Je n'ai donc plus mon petit "a" d'avast! et je trouve ça embêtant.

J'ai fais un scan avec avast! et a trouvé un virus :
"C:\UsbFix\Quarantine\F\1f.bat.UsbFix"

Voici mon rapport Zhpdiag : 
http://www.cijoint.fr/cj201005/cijQGOgYug.txt

PS : Normalement les informations de mon jeu son stockées sur le serveur du Jeu, donc mon ordinateur n'aurait rien à voir, et puis mon personnage était devant la banque Neutre du jeu, donc est-ce que c'est vraiment le nettoyage de mon ordinateur ou ai-je des keyloggers sur mon PC ? Peux-tu m'éclairer brièvement sur le sujet ? Merci encore.

Bonne soirée !

Utilisateur anonyme · Answer

J'ai fais un scan avec avast! et a trouvé un virus :
"C:\UsbFix\Quarantine\F\1f.bat.UsbFix" 

C'est normal.Certain antivirus detecte les tools de désinfection comme des virus .Tu peux retirer Usbfix du pc.

Si les personnages et les informations sont stockes sur le serveur du jeu alors tu dois interpeller les modérateurs du site car a mon humble avis tu t'es fait voler.
Les tools utilisé ici nettoie ton pc mais pas les serveur:) 

 Réparer la barre des tâches :
Un utilitaire téléchargeable à cette adresse http://ww11.kellys-korner-xp.com/TaskbarRepairToolPlus!.zip peut vous rendre de grands services. Une fois l'archive ZIP décompressée, double-cliquez sur ce fichier exécutable : TaskbarRepairToolPlus!.exe. Une boîte de dialogue vous avertit que certaines commandes seront désactivées tant que vous n'aurez pas acquis une licence. Dans la liste déroulante Taskbar Problems, cliquez sur ce qui s'apparente à votre problème, puis cliquez sur le bouton Repair. 

==================================================
/!\ A l'attention de ceux qui passent sur ce sujet /!\ 
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé. 

/!\ Désactive tous tes logiciels de protection /!\ 

* Télécharge combofix(de sUBs) sur ton Bureau. 
* Double-clique sur ComboFix.exe afin de le lancer. 
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\ 
* Lorsque la recherche sera terminée, un rapport apparaîtra. 
*  Héberge le rapport C:\Combofix.txt  sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum 
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix

Neoss · Answer

Re-Bonjour,
Suis-je encore infesté ? Et si je me suis fais volé, ai-je un keylogger ?
Cett histoire de ComboFix me fait peur, et quand je l'installe, il me dit que je ne peux pas le renommer en ComboFix[1].

Aussi, comment puis-je désactiver avast! puisque je n'ai plus la petite icône en bas à droite ? J'ai taper avast en recherche sur mon pc, mais je ne trouve pas l'option permettant de le désactiver.

Je t'en supplie réponds moi au plus vite !!

Neoss · Answer

Après redémarrage, j'ai retrouvé mes icônes ! C'est déjà ça !

Neoss · Answer

Pitié ! ComboFix m'envoie un message comme quoi je ne peux pas renommer ComboFix en ComboFix[1], je ne trouve rien qui s'appelle ComboFix sur mon PC et ComboFix /uninstall dans "Exécuter" ne fonctionne pas car ComboFix n'est pas installé !
Comment faire ? 

Merci de ta future réponse !

Neoss · Answer

J'ai des nouvelles !
Apparement sur un post, une personne infestée par le virus Trojan-generic ce serait fait pirater son compte Facebook, peut-être que c'est pour ça que je me suis fait piquer mes objets sur mon jeu !
Et puis j'ai fais un scan avec BitDefender, qui a d'abord repéré un virus Trojan-Generic puis après un second scan, n'a rien trouvé et a déclaré mon ordinateur sans aucun virus !

Est-ce toujours nécessaire d'utiliser ComboFix ? Je suivrai tes conseils, de toute façon. Merci de m'aider pour mon problème avec ComboFix, et me dire si je suis toujours infesté et si j'ai des keyloggers (voir mes posts après ton dernier message).

Oui je sais je suis très chiant avec ça, mais mon ordinateur ayant coûté plus de 800€ et étant un cadeau d'anniversaire, je stresse énormément depuis 3 jours !

Je t'en supplie, aide-moi !

Bonne soirée !

Neoss · Answer

Voilà, Nanar4700 !
Le rapport : http://www.cijoint.fr/cj201005/cijwjYP7ai.txt

Que penses-tu de mon post précédent (celui du 25 mai 2010 à 20:57 "J'ai des nouvelles...")

Tu es vraiment super sympa de m'aider, et d'ailleurs d'aider tous les utilisateurs de machines à problèmes ^^ !
Franchement, je t'admire, et je voudrai bien savoir où as-tu reçu ta formation !
J'imagine que c'est long et compliqué, mais je pense que ça en vaut le coup !

En a-t-on fini avec mon problème ? Suis-je débarrassé de tout (virus/spywares/keyloggers/etc.) ?

Merci de me répondre au plus vite, car je vais aller me coucher dans la demi-heure qui suit, mais je vérifierai les messages demain matin !

Utilisateur anonyme · Answer

attention de ne pas tous mélanger.Pour ton prbleme de jeu tu dois voir avec les admin du jeu .
La désinfection n'est pas terminé et je pense que sois tombé sur du lourd.
Fait ca .J'ai besoin de savoir si le fichier n'est pas patché.

* Rends toi sur le site https://www.virustotal.com/gui/ 
* Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide :

c:\windows\system32\midimap.dll 

* Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse. 
* Fais un copier/coller du rapport sur le forum.

Neoss · Answer

Oui, ils ne peuvent pas me rendre mes objets en jeu, mais c'est vrai que je peux leur demander si une autre adresse IP a effectivement utilisé mon compte...
Quoiqu'il en soit, voilà le scan du fichier midimap.dll 
(Fichier midimap.dll reçu le 2010.05.26 04:58:27 (UTC)
Situation actuelle: terminé 
Résultat: 0/41 (0%))


Résultat: 0/41 (0%)

a-squared 4.5.0.50 2010.05.10 - 
AhnLab-V3 2010.05.26.00 2010.05.26 - 
AntiVir 8.2.1.242 2010.05.25 - 
Antiy-AVL 2.0.3.7 2010.05.25 - 
Authentium 5.2.0.5 2010.05.26 - 
Avast 4.8.1351.0 2010.05.25 - 
Avast5 5.0.332.0 2010.05.25 - 
AVG 9.0.0.787 2010.05.25 - 
BitDefender 7.2 2010.05.26 - 
CAT-QuickHeal 10.00 2010.05.26 - 
ClamAV 0.96.0.3-git 2010.05.26 - 
Comodo 4942 2010.05.25 - 
DrWeb 5.0.2.03300 2010.05.26 - 
eSafe 7.0.17.0 2010.05.25 - 
eTrust-Vet 35.2.7509 2010.05.25 - 
F-Prot 4.6.0.103 2010.05.25 - 
F-Secure 9.0.15370.0 2010.05.26 - 
Fortinet 4.1.133.0 2010.05.25 - 
GData 21 2010.05.26 - 
Ikarus T3.1.1.84.0 2010.05.26 - 
Jiangmin 13.0.900 2010.05.24 - 
Kaspersky 7.0.0.125 2010.05.25 - 
McAfee 5.400.0.1158 2010.05.26 - 
McAfee-GW-Edition 2010.1 2010.05.25 - 
Microsoft 1.5802 2010.05.26 - 
NOD32 5145 2010.05.25 - 
Norman 6.04.12 2010.05.25 - 
nProtect 2010-05-25.01 2010.05.25 - 
Panda 10.0.2.7 2010.05.26 - 
PCTools 7.0.3.5 2010.05.26 - 
Prevx 3.0 2010.05.26 - 
Rising 22.49.02.01 2010.05.26 - 
Sophos 4.53.0 2010.05.26 - 
Sunbelt 6356 2010.05.26 - 
Symantec 20101.1.0.89 2010.05.26 - 
TheHacker 6.5.2.0.287 2010.05.25 - 
TrendMicro 9.120.0.1004 2010.05.26 - 
TrendMicro-HouseCall 9.120.0.1004 2010.05.26 - 
VBA32 3.12.12.5 2010.05.25 - 
ViRobot 2010.5.20.2326 2010.05.25 - 
VirusBuster 5.0.27.0 2010.05.25 - 

                                              Information additionnelle 

File size: 42496 bytes 
MD5...: f513e42654d022ca667380545a95abad 
SHA1..: 4b54514c2ad066e015ea569d6feb95ad5590f8bd 
SHA256: d7db8459afbf0da82ac75dcda3fc9919bd0f0e3c2b37c3f598869ce9254192c9 
ssdeep: 384:WiTWTbWDHjvHyHeWuthiKz23erGTem2PQj7YvAMV91yggdEoh2Xjjn29zndF
lwHo:s+vStrOrs2PQjvMLTgqj/uBFLl
 
PEiD..: - 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x33bd
timedatestamp.....: 0x4802c225 (Mon Apr 14 02:32:05 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b85 0x2c00 6.53 7e884e15daa1569f084ce5aac11e73e8
.data 0x4000 0x654 0x600 3.08 ff4abd81b0fbad0ab979e9a36721cf58
.rsrc 0x5000 0x6910 0x6a00 4.25 979ce140fa9a2cdfb3ebaec67b940369
.reloc 0xc000 0x42e 0x600 4.13 cbd6b6077366201c068fd936f7faf943

( 5 imports ) 
> msvcrt.dll: _adjust_fdiv, malloc, _initterm, free, memmove
> USER32.dll: LoadStringW
> KERNEL32.dll: SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, CloseHandle, CreateMutexW, DisableThreadLibraryCalls, ReleaseMutex, WaitForSingleObject, LocalAlloc, LocalFree, lstrcpyW, lstrlenW, GetWindowsDirectoryW, GlobalFree, GlobalUnlock, lstrcmpiW, lstrlenA, GlobalHandle, lstrcatW, GlobalLock, GlobalAlloc, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, DeleteCriticalSection, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetCurrentProcess
> ADVAPI32.dll: RegOpenKeyW, RegQueryValueExW, RegCloseKey
> WINMM.dll: midiOutReset, mmioRead, mmioSeek, midiStreamOut, midiStreamProperty, midiStreamPause, DefDriverProc, mmioClose, mmioAscend, mmioDescend, mmioOpenW, midiOutMessage, midiOutGetDevCapsW, DriverCallback, midiOutClose, midiOutOpen, midiStreamOpen, midiOutUnprepareHeader, midiOutPrepareHeader, midiStreamClose, midiStreamPosition, midiOutSetVolume, midiOutShortMsg, midiOutLongMsg, midiOutCacheDrumPatches, midiOutCachePatches, midiStreamStop, midiStreamRestart

( 3 exports ) 
DriverProc, modMessage, modmCallback
 
RDS...: NSRL Reference Data Set
- 
pdfid.: - 
trid..: Win64 Executable Generic (80.9%)
Win32 Executable Generic (8.0%)
Win32 Dynamic Link Library (generic) (7.1%)
Generic Win/DOS Executable (1.8%)
DOS Executable Generic (1.8%) 
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. Tous droits r_serv_s.
product......: Syst_me d_exploitation Microsoft_ Windows_
description..: Mappeur MIDI Microsoft
original name: midimap.dll
internal name: midimap
file version.: 5.1.2600.5512 (xpsp.080413-0845)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned

Utilisateur anonyme · Answer

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

----------------------------------------------------------

 O42 - Logiciel: Search Settings v1.2.3 - (.Spigot, Inc..) [HKLM]     

----------------------------------------------------------

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

==================================================
Java n'est pas à jour, c'est une faille de sécurité. 
* Télécharge : JavaRa.zip
* Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)
* Double-clique sur le répertoire JavaRa obtenu.
* Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)* Clique sur SearchFor Updates.
* Sélectionne Update Using jucheck.exe puis clique sur Search.
* Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes.
* Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions.
* Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok

Neoss · Answer

Je me suis réellement fait ! J'ai changé mon mot de passe hier, et ce matin il était changé, et puis l'IP qui a utilisé mon compte en dernier n'était pas la mienne ! J'ai un keylogger, comment l'enlever ? Je psne que tu pourras m'aider aussi sur ce point là...
Sinon, voilà le rapport :

ZHPFix v1.12.3102  by Nicolas Coolman - Rapport de suppression du 26/05/2010 12:20:41
Fichier d'export Registre : 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
O42 - Logiciel: Search Settings v1.2.3 - (.Spigot, Inc..) [HKLM]  => Logiciel supprimé avec succès

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
----------------------------------------------------------  => Format Non supporté
----------------------------------------------------------  => Format Non supporté


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 1
Master Boot Record : 0
Préférences navigateur : 0
Autre : 2


End of the scan

Utilisateur anonyme · Answer

Je te rassure tu n'as aucun keloggers dans ton pc.Juste des backdoors qui ont eté supprimer et qui on trés certainement volé ton mot de passe.

*  Télécharge: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe sur ton bureau. 
*  Double-clique sur drweb-cureit.exe et clique sur Commencer le scan. 
*  Si il trouve des processus infectés, clique sur le bouton Oui pour Tout à l'invite.
*  Lorsque le scan rapide est terminé, clique sur Options > Changer la configuration. 
*  Choisis l'onglet Scanner, et décoche Analyse heuristique. 
*  De retour à la fenêtre principale : choisis Analyse complète. 
*  Clique la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, ferme-la. 
*  Clique Oui pour Tout si un fichier est détecté. 
*  A la fin du scan, si des infections sont trouvées, clique sur Tout sélectionner, puis surDésinfecter. 
*  Si la désinfection est impossible, clique sur Quarantaine.
*  Au menu principal de l'outil, en haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. 
*  Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv.
*  Ferme Dr.Web CureIt! 
*  /!\ Important /!\ Redémarre ton ordinateur car certains fichiers peuvent être déplacés/réparés au redémarrage. 
*  Après le redémarrage, fais un copié/collé du rapport dans ta prochaine réponse

Neoss · Answer

Au secours ! J'ai cliqué sur ton lien "Internet Explorer ne peut pas afficher cette page Web".
Sur Clubic, pareil, et un autre site, encore le même message ! Est-ce que je ne peux plus rien télécharger sur mon ordinateur ??
Comment faire ?

PS : Qu'est-ce qu'un backdoor et comment virer ces saloperies (désolé de la vulgarité, mais je ne tiens plus en place...).

Merci de m'aider !

Utilisateur anonyme · Answer

Je viens de tester Drweb et actuellement le serveur est indisponible.Fait ceci.

Clic sur le lien
https://www.eset.com/

Clic sur eset online scanner et suis les recommandations

Neoss · Answer

Le meilleur antivirus au monde se trouve entre le fauteuil et le clavier. :)

Oui tu as raison ^^.
Non je ne pense pas pouvoir changer ma réponse secrète.

A condition d'étre vigilant en surfant sur le net.

Oui, bien sur, mais théoriquement, si les backdoors et spywares ont été supprimés et que je n'ai pas de keyloggers.

Sinon, il y a eu un problème, la fenêtre de scan s'est fermée, est-ce que c'est moi qui l'ai fait par reflexe ? Aucune idée. Je relance le scan, il avait trouvé 3 infections. Est-ce qu'il va les retrouver ?
J'ai coché "Analyser les archives" et dans les "Paramètres avancés" j'ai coché "Rechercher les applications potentiellement dangereuses".

Neoss · Answer

Voilà, le scan est finis ! Je n'ai pas de rapport, mais j'ai pris une capture d'écran.
"Aucune menace n'a été détecté", alors qu'avant que je lance le scan pour la première fois (et la fenêtre fut fermée, j'ai donc relancé le scan une seconde fois), il avait détecté 3 fichiers infectés.

Vraiment bizarre. As-tu une solution ? Un nouveau scan ou nettoyage à faire ?
J'attends ta réponse avec impatience !

Utilisateur anonyme · Answer

Les 3 fichiers ont été supprimé lors du premier scan.

Post un nouveau rapport zhpdiag.

Neoss · Answer

C'est bon ! J'ai désinstallé et réinstallé ZhpDiag. 
Voilà le rapport : http://www.cijoint.fr/cj201005/cijfkV9Vbn.txt 

PS : est-ce possible de trouver des informations personnelles telles que Nom de Compte, Mot de Passe ou Adresse e-mail avec des informations comme je t'en ai fournis depuis mon premier rapport que je t'ai envoyé (je ne te soupçonne absolument pas, c'est juste une question de curiosité !)

Bonne soirée !!

Utilisateur anonyme · Answer

est-ce possible de trouver des informations personnelles telles que Nom de Compte, Mot de Passe ou Adresse e-mail avec des informations comme je t'en ai fournis depuis mon premier rapport que je t'ai envoyé 
--
Non .Les rapport demandés sur ce forum ne comporte pas des informations trop personnelles comme mdp ou n° de compte.Tu peux dormir sur tes deux oreilles.

Ton dernier rapport est dépourvu d'éventuelle infections.

Pour une meilleur navigation je vais te donner quelques conseil.

Commence par installer un pare feu.C'est une protection nécessaire ajouter a ton antivirus.
Pour le pare feu installes pc tools firewall. 

pare-feu

Tu possèdes la version 4 d'avast .Il serait temps de passer a la version 5.
Télécharge avast5: http://www.commentcamarche.net/download/telecharger-151-avast
Desinstalles avast 4 a l'aide de cette utilitaire. https://www.avast.com/fr-fr/uninstall-utility (Important)
Reinstalles avast version 5.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes : adblock plus
pour bloquer les publicités ; 

*	WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp  
-------------------------------------------------------------------------------------------------------------------------

?	Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
*	Télécharger  IE8 : ici

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour 
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant. 

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles. 

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour. 

* Un conseil : n'installe pas les BETA 

====================================================
Pour éliminer les programmes de desinfections.

* Télécharge ToolsCleaner de A.Roshtein sur ton Bureau.(sur un des 2 liens) 
http://pc-system.fr/ 
* Clique sur Recherche et laisse le scan se terminer. 
* Clique, sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options facultatives. 
* Clique sur Quitter, pour que le rapport puisse se créer. 
* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).
-----------------------------------------------------------------------------------------------------------------------------------
Désactive et réactive la Restauration du système sous windows xp.
Le fait de faire cette manipulation va supprimer tous les virus qui auraient pu se loger dans les 
points de restauration que tu avais créé auparavant.. Il est donc recommandé de la faire : 
[1]   Dans la barre des tâches de Windows, clique sur Démarrer. 
[2]   Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
[3 ]  Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
[4 ]  Clique sur Appliquer. 
[5 ]  Ensuite décoche "Désactiver la restauration du systeme" 
[6 ]  clique sur appliquer puis ok 
[7 ]  vas créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du systeme => créer un point de restauration => tu mets un nom :(exemple :fin de désinfections) puis tu valides. 
[8]Pensé  a vider la corbeille.
------------------------------------------------------------------------------
J'en profite pour te sensibiliser sur le P2P: 

https://forum.malekal.com/viewtopic.php?t=3208&start=

Tu peux mettre ton problème résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/
                               

Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

Neoss · Answer

Bonsoir nanard4700 ! 

J'ai installé tous les add-ons de Mozilla, le pare-feu, utilisé TCleaner etc etc. 
Ensuite, après avec décocher la case "Désactiver la restauration su système", dois-je la reccocher ? (Ils m'envoient un message avant de pouvoir la cocher !). 
Et je n'avais rien à vider dans la corbeille, est-ce normal ?

Et à quoi le fichier que je viens de créer va me servir s'il te plait ? 
J'ai lu la sensibilisation au P2P, mais je ne l'utilise plus depuis bien longtemps, bien que j'ai un outil de téléchargement que je vais m'empresser de désinstaller.  

Aussi, je voudrais m'en assurer une dernière fois, et que tu me répondes avec une assurance à 300% : Est-ce qu'il y a toujours moyen pour quelqu'un de me choper une information privée quelle quelle soit soit par un backdoor, un keylogger, n'importe quel malware ou par une information que j'ai donné pendant un scan ? C'est très important pour moi, car je voudrai reprendre les MMORPG mais si c'est pour me faire hacker dans 1 semaine...

Voilà le rapport TCleaner : [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ] 

--> Recherche:  

C:\Documents and Settings\Aristide\Mes documents\Rapports Virus\UsbFix.txt: trouvé ! 
C:\Program Files\ZHPDiag: trouvé ! 
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé ! 
C:\Program Files\ZHPDiag\catchme.exe: trouvé ! 
C:\Program Files\ZHPDiag\mbr.log: trouvé ! 
C:\Program Files\ZHPDiag\mbr.exe: trouvé ! 

--------------------------------- 
--> Suppression:  

C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé ! 
C:\Program Files\ZHPDiag\catchme.exe: supprimé ! 
C:\Documents and Settings\Aristide\Mes documents\Rapports Virus\UsbFix.txt: supprimé ! 
C:\Program Files\ZHPDiag\mbr.log: supprimé ! 
C:\Program Files\ZHPDiag\mbr.exe: supprimé ! 
C:\Program Files\ZHPDiag: supprimé ! 


PS : J'ai télécharger une mise à jour de Windows Live Messenger, et elle est en Anglais... Merci bien, hum... x) 

MERCI DE REPONDRE A TOUTES MES QUESTIONS DES QUE TU LE PEUX, ET ENCORE UN ENORME MERCI A TOI, QUI VIENT D'EMPÊCHER MA PETITE SOEUR A DEBOURSER 100€ DE SA POCHE ! :D T'es le meilleur !

Utilisateur anonyme · Answer

Pour désactiver la restauration tu dois cocher mais tu dois ensuite la réactiver et par conséquent tu dois la décocher.

Et je n'avais rien à vider dans la corbeille, est-ce normal ? 
oui.

Et à quoi le fichier que je viens de créer va me servir s'il te plait ? 
Tu viens de créer un nouveau point de restauration sain dépourvu d'infection.Si demain tu as un soucis de matérielle et que tu veux faire une restau il ne seras pas infecté.

Est-ce qu'il y a toujours moyen pour quelqu'un de me choper une information privée quelle quelle soit soit par un backdoor, un keylogger, n'importe quel malware ou par une information que j'ai donné pendant un scan ?

sur a 1000%


 C'est très important pour moi, car je voudrai reprendre les MMORPG mais si c'est pour me faire hacker dans 1 semaine... 

Avec ce type de jeu il y a toujours un risque.Pour faire court c'est une roulette russe. ;)

Neoss · Answer

Donc, en résumé, je suis débarrassé de tout virus, et je n'ai aucun risque de me faire piquer des informations personnelles.

Tu me sauves, nanar4700 !!
Je vais recommencer un nouveau compte et rejouer en toute sérénité :)
Je te fais confiance !

Voilà, merci beaucoup de m'avoir sauvé, tu es mon héros, j'espère pouvoir continuer à te contacter, donc si tu as une adresse dédiée aux fans, je suis partant !!

BONNE NUIT A TOI !

Amicalement,
Aristide 
(tu connais mon véritable prénom avec les scans, alors pourquoi le cacher ?)
:)

Neoss · Answer

J'ai désinstallé Mozilla Firefox puis réinstallé, tout marche super bien, j'ai un très bon accès aux Skyblogs ^^

Merci de ton aide, et j'encourage tous les utilisateurs de CCM à solliciter ton aide !

Au revoir, et j'espère pouvoir garder un petit contact avec toi, au cas où, et pour te tenir au courant ;)

PS : je ne peux pas mettre le problème en tant que résolu, car j'ai supprimé les cookies et je n'ai pas coché la case "recevoir les réponses par mail".

Mais ce post est RESOLU !

Virus Trojan-gen c:\3rr sur mon PC

34 réponses

Discussions similaires

Newsletters