Infecté? Résolu/Fermé

Question

\Us

J'ai un problème avec un virus qui revien sans cesse , et aussi un fichier zip veut s'extraire mais je refuse l'extraction,
Le fichier infecté est winlogon.exe , dans C:\Users\Riad\AppData\Roaming\winlogon\winlogon.exe

Lien du rapport hijackthis : https://www.cjoint.com/?hwoJrVQYqO

Configuration: Windows 7 / Internet Explorer 7.0

Utilisateur anonyme · Answer

Salut


*  Bienvenue sur CCM ! 
* N'ouvre pas d'autres sujets pour le même problème >>  sur ce forum ou sur un autre   
* Sois patient(e) quand tu postes un message,





1) * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
 >>AD-Remover

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\

*  Double-clique sur l'icône Ad-remover située sur ton Bureau.
* Sur la page, clique sur le bouton « Nettoyer »
* Confirme l'opération
*  Poste le rapport qui apparaît à la fin.
* (Le rapport est sauvegardé aussi sous C:\Ad-report.)
* (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)



            Membre Contributeur sécurité CCM
            Windows Vista // Windows XP

fegnouche · Answer

Après avoir fait les manip, avec Defogger , Rooter bloque toujours,
que dois-je faire?

Utilisateur anonyme · Answer

Continue le reste ZHPDiag ,puis ComboFix

@+

fegnouche · Answer

Rapport ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201007/cijK4XvhqZ.txt 

Voila *est parti lire le tuto pour Combofix*

fegnouche · Answer

Encore merci :) 

Voici donc le rapport ComboFix : http://www.cijoint.fr/cjlink.php?file=cj201007/cijrLKSkPv.txt

fegnouche · Answer

Encore antivir a été supprimé :(

fegnouche · Answer

Désolé du retard , je n'avais pas vu que tu as répondu par messagerie privée,

Donc , encore merci :D voici le lien cijoint du rapport : http://www.cijoint.fr/cjlink.php?file=cj201007/cijJB3FMCF.txt


Un problème, les commandes pour monter le son , le baisser ect ne marchent plus :( que faire? (c'est un ordinateur portable que j'ai)

Utilisateur anonyme · Answer

salut 

probleme de messsages ??? 

1)* télécharges et installes Ccleaner   

>> Ccleaner   

* Une fois sur le bureau, clic sur l'install de CCleaner.  
* Ensuite, clique sur Options ==> Avancé et décoche la case  
* Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures  
* Clique sur l'onglet ==> Nettoyeur puis sur ==>Lancer le Nettoyage.  
* Ensuite clique sur l'icone==> Registre , à droite, clique sur ==>Chercher des erreurs" puis sur "Réparer les erreurs sélectionnées.  
* Accepte la sauvegarde, de la BDR (base de registre )qu'il propose   
* Je te conseille de le repasser au moins deux fois,(ou + jusqu'à qu'il ne trouve plus d'erreurs.)  


2) poste un nouveau log RSIT 

@+ 
            Membre Contributeur sécurité CCM 
            Windows Vista // Windows XP

fegnouche · Answer

Mon problème c'est que le "pilote" de mon ordinateur portable a été supprimé
Par exemple avant pour que je monte le son il faut que j'appuie sur les touches
"Fn + Flèche droite" et la sa marche plus, que faire?


Les rapports RSIT

Info : http://www.cijoint.fr/cjlink.php?file=cj201007/cij3pTNrZm.txt
Log : http://www.cijoint.fr/cjlink.php?file=cj201007/cijKFjF4hl.txt

fegnouche · Answer

En fait non, le problème c'est juste qu'il affiche pas comme quoi que le son est augmenter ect

fegnouche · Answer

Voici le rapport Gmer :

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-23 10:52:38
Windows 6.1.7600 
Running: 8fb3ikg3.exe; Driver: C:\Users\Riad\AppData\Local\Temp\kxldrpob.sys


---- System - GMER 1.0.15 ----

SSDT            8E60A43C                                                                                                ZwCreateThread
SSDT            8E60A428                                                                                                ZwOpenProcess
SSDT            8E60A42D                                                                                                ZwOpenThread
SSDT            8E60A437                                                                                                ZwTerminateProcess

INT 0x1F        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                83425AF8
INT 0x37        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                83425104
INT 0xC1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                834253F4
INT 0xD1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                8340D634
INT 0xD2        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                8340D898
INT 0xDF        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                834251DC
INT 0xE1        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                83425958
INT 0xE3        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                834256F8
INT 0xFD        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                83425F2C
INT 0xFE        \SystemRoot\system32\halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)                834261A8

---- Kernel code sections - GMER 1.0.15 ----

.text           ntoskrnl.exe!ZwSaveKeyEx + 13B1                                                                         830408E9 1 Byte  [06]
.text           ntoskrnl.exe!KiDispatchInterrupt + 5A2                                                                  830603D2 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text           ntoskrnl.exe!KeRemoveQueueEx + 14C3                                                                     83067790 4 Bytes  [3C, A4, 60, 8E]
.text           ntoskrnl.exe!KeRemoveQueueEx + 165F                                                                     8306792C 4 Bytes  [28, A4, 60, 8E]
.text           ntoskrnl.exe!KeRemoveQueueEx + 167F                                                                     8306794C 4 Bytes  [2D, A4, 60, 8E]
.text           ntoskrnl.exe!KeRemoveQueueEx + 192F                                                                     83067BFC 4 Bytes  [37, A4, 60, 8E]
.text           peauth.sys                                                                                              8BB59C9D 28 Bytes  [DE, CB, FF, F7, AE, 49, 7C, ...]
.text           peauth.sys                                                                                              8BB59CC1 28 Bytes  [DE, CB, FF, F7, AE, 49, 7C, ...]
PAGE            peauth.sys                                                                                              8BB5FE20 101 Bytes  [E6, A8, 87, F8, FD, C8, B9, ...]
PAGE            peauth.sys                                                                                              8BB6002C 102 Bytes  [81, 22, 34, 31, F4, B2, 98, ...]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[4292] kernel32.dll!GetProcAddress                   76581857 5 Bytes  JMP 0053E3B0 c:\PROGRA~1\mcafee\SITEAD~1\saPlugin.dll (SiteAdvisor/McAfee, Inc.)

---- User IAT/EAT - GMER 1.0.15 ----

IAT             C:\windows\system32\rundll32.exe[2952] @ C:\windows\system32\USER32.dll [KERNEL32.dll!GetProcAddress]   [74F45E25] C:\windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\windows\system32\rundll32.exe[2952] @ C:\windows\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]    [74F45E25] C:\windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)
IAT             C:\windows\system32\rundll32.exe[2952] @ C:\windows\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]  [74F45E25] C:\windows\system32\apphelp.dll (Fichier DLL du client de compatibilité des applications/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \Driver\kbdclass \Device\KeyboardClass0                                                                 Wdf01000.sys (Runtime de l'infrastructure de pilotes en mode noyau/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume2                                                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume3                                                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume4                                                                  fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

Device          \Driver\ACPI_HAL \Device\0000004c                                                                       halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:4764]                                                                                         8BFA2F2E

---- Registry - GMER 1.0.15 ----

Reg             HKLM\SOFTWARE\Microsoft\Windows Search\Gather\Windows\SystemIndex@LazyCheckPointUpdateInterval          604800

---- EOF - GMER 1.0.15 ----

sherred · Answer

C'est n'importe quoi de suivre quatre désinfections en même temps
moi je laisse tomber
https://forums.commentcamarche.net/forum/affich-18576355-au-secoure-un-virus-qui-revient-sans-cesse#p18593393
https://forums.commentcamarche.net/forum/affich-18535813-infection
https://forums.commentcamarche.net/forum/affich-18532794-ordinateur-infecte
https://forums.commentcamarche.net/forum/affich-18576355-au-secoure-un-virus-qui-revient-sans-cesse

bonjour virus-c-c   desolé pour l'intrus

fegnouche · Answer

Mais non ! J'ai fais multiples sujets car on me répondait pas !(pour le Windows 7)

fegnouche · Answer

Pour le XP Pack 3 , il y a eu qu'un sujet

fegnouche · Answer

Rapport List&Kill'em :

http://www.cijoint.fr/cjlink.php?file=cj201007/cijVigOCwl.txt 

Voila

-Fogy- · Answer

Oui, mon problème de pilotes a été reglé ,

Je fais List_Kill'em

-Fogy- · Answer

C'etait pas pilote son , mais pilote d'ordinateur portable, mais aparemment souci règlé seul avec des mise à jour de samsung,

Voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201007/cij3o3qi8a.txt

-Fogy- · Answer

1) Antivir détecte plus de virus 

2) C'est fait

3) Je n'ai pas de clés usb ou disque dur externes , justes des cartes sd

4) J'ai pas firefox

5) c'est installé !

6) Voici le rapport :

Rapport Supress'tools
Supress'tools a été éxécuté le 24/07/2010 à 15 : 04
Par Riad
Système d'exploitation : WIN_7 / X86 / 
Mode | Recherche | 

¤¤¤¤¤¤¤ C:\ ¤¤¤¤¤¤¤

List'em.txt trouvé ! 
ComboFix.txt trouvé ! 
Ad-Report-CLEAN[1].txt trouvé !
Qoobox\ trouvé !
rsit\ trouvé !
Kill'em\ trouvé !

¤¤¤¤¤¤¤ C:\Users\Riad\Desktop\ ¤¤¤¤¤¤¤

OTL.exe Trouvé !
OTL.Txt Trouvé !
ZHPDiag.txt Trouvé !
OTL.Txt Trouvé !
Extras.Txt Trouvé !
OTL.exe Trouvé !
OTL.Txt Trouvé !
RSIT.exe Trouvé !
OTL.exe Trouvé !
ComboFix.exe Trouvé !
Rooter.exe Trouvé !

¤¤¤¤¤¤¤ C:\Users\Riad\Documents\Téléchargements\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\windows\ ¤¤¤¤¤¤¤

mbr.exe Trouvé !

¤¤¤¤¤¤¤ C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Program Files\ ¤¤¤¤¤¤¤

trend micro\ trouvé !
ZHPdiag\ trouvé !
Ad-Remover\ trouvé !
List_Kill'em\ trouvé !

¤¤¤¤¤¤¤ C:\windows\Prefetch\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤

HKEY_CURRENT_USER\Software\Ad-Remover Trouvé!

¤¤¤¤¤¤¤ Demande d'upload ¤¤¤¤¤¤¤ 


((((((((((((((( EOF )))))))))))))))


Rapport Supress'tools
Supress'tools a été éxécuté le 24/07/2010 à 15 : 04
Par Riad
Système d'exploitation : WIN_7 / X86 / 
Mode | Suppression | 


¤¤¤¤¤¤¤ C:\ ¤¤¤¤¤¤¤

List'em.txt Supprimé
ComboFix.txt Supprimé
Ad-Report-CLEAN[1].txt Supprimé !
Qoobox Supprimé !
rsit Supprimé !
Kill'em Supprimé !

¤¤¤¤¤¤¤ C:\Users\Riad\Desktop\ ¤¤¤¤¤¤¤

OTL.exe Supprimé !
OTL.Txt Supprimé !
ZHPDiag.txt Supprimé !
Extras.Txt Supprimé !
RSIT.exe Supprimé !
ComboFix.exe Supprimé !
Rooter.exe Supprimé !

¤¤¤¤¤¤¤ C:\Users\Riad\Documents\Téléchargements ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\windows\ ¤¤¤¤¤¤¤

mbr.exe Supprimé !

¤¤¤¤¤¤¤ C:\ProgramData\Microsoft\Windows\Start Menu\Programmes\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ C:\Program Files\  ¤¤¤¤¤¤¤

trend micro\ Supprimé !
List_Kill'em\ Supprimé !
Ad-Remover\ Supprimé !

¤¤¤¤¤¤¤ C:\windows\Prefetch\ ¤¤¤¤¤¤¤


¤¤¤¤¤¤¤ Registre ¤¤¤¤¤¤¤

HKEY_CURRENT_USER\Software\Ad-Remover Supprimée!

((((((((((((((( EOF )))))))))))))))

-Fogy- · Answer

Merci beaucoup !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!Je ne serais jamais sorti de cet univers de virus sans toi, encore MERCI !!!!!!!!!!!!!!!!!!!!!!!!

Utilisateur anonyme · Answer

Re

De rien -Fogy-

Bon Surf !!!

@+

Infecté?

39 réponses

Discussions similaires

Newsletters