Trojans, Infection system 32

Bjk -  
 mirage 2000 -
Bonjour,

Après maintes et maintes tentatives d'éradiction de trojans et autres virus sur mon PC, je fais appelle à vous ;)!
Je vous donne le rapport de Malware Bytes, pour que vous ayez plus de détails.
J'ai aussi Avira comme antivirus. Et à chaque démarrage il me detecte 4 ou 5 trojans, j'ai beau mettre en quarantaine, refusé l'accès, ignorer, rien n'y fait toutes les 5secondes j'ai les memes message d'avira qui aparraissent!

Help Me please :)

10 réponses

  1. archet9
     
    Bonjour,

    Poste ton rapport Malwarebytes stp...
    0
  2. Bjk
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4052

    Windows 5.1.2600 Service Pack 3 (Safe Mode)
    Internet Explorer 7.0.5730.13

    14/08/2010 16:30:38
    mbam-log-2010-08-14 (16-30-38).txt

    Type d'examen: Examen complet (C:\|D:\|F:\|)
    Elément(s) analysé(s): 221576
    Temps écoulé: 1 heure(s), 7 minute(s), 27 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 5
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 8

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\msodesnv7 (Trojan.FakeAlert.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\159169 (Trojan.FakeAlert.H) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\microsoft driver setup (Backdoor.Bot) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\microsoft driver setup (Worm.Palevo) -> No action taken.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\advanced dhtml enable (Trojan.Agent) -> No action taken.

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.nixud.com/) Good: (http://www.google.com) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.nixud.com/) Good: (http://www.google.com) -> No action taken.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-9577417089-3172519016-333652785-0635\syscr.exe,explorer.exe,C:\Documents and Settings\Bérénice\Application Data\ltzqai.exe) Good: (Explorer.exe) -> No action taken.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\msvmiode.exe (Trojan.FakeAlert.H) -> No action taken.
    C:\WINDOWS\system32\syscache.exe (Trojan.FakeAlert.H) -> No action taken.
    C:\RECYCLER\S-1-5-21-7691637320-9238321274-781683677-9283\syscr.exe (Worm.Autorun.B) -> No action taken.
    C:\RECYCLER\S-1-5-21-9577417089-3172519016-333652785-0635\syscr.exe (Worm.Autorun.B) -> No action taken.
    C:\WINDOWS\cfdrive32.exe (Backdoor.Bot) -> No action taken.
    C:\WINDOWS\system32\hosts (Trojan.Agent) -> No action taken.
    C:\WINDOWS\hosts (Trojan.Agent) -> No action taken.
    C:\Documents and Settings\Bérénice\Local Settings\Temp\1105291.exe (Trojan.Agent) -> No action taken.
    0
  3. archet9
     
    "No action taken"...As tu fais la suppression?
    0
    1. Bjk
       
      Ouaip, j'ai fait tout ca en mode sans échec, et au redémarrage normal du PC, j'ai encore eu les message de Trojans de Avira
      0
  4. archet9
     
    Pour voir cela:
    Utilise cet outil de diagnostic.

    Télécharge RSIT (de random/random) sur le bureau :

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur "Continue" dans la fenêtre
    - RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
    - Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
    et colle le lien généré.
    Les rapports sont dans le dossier ici C:\rsit
    a+
    0
    1. Bjk
       
      http://www.cijoint.fr/cjlink.php?file=cj201008/cijBimjaZ3.txt

      Voilà la rapport ;)
      Si jamais tu peux m'expliquer vite fait comment tu detectes avec ce rapport, les virus et tout l'tralala :) Merci
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. archet9
     
    "Si jamais tu peux m'expliquer vite fait comment tu detectes avec ce rapport, les virus et tout l'tralala :) Merci"

    Vite fait non...car pour ma part je n'ai pas suivi de formation . C'est donc en lisant des milliers et des milliers de topics !

    Par contre pour ton pc, ton windows est un peu...euh trafiqué dirons nous !
    Perso, je m'en fous (bill est assez riche) mais saches que les réactions aux logs de désinfection peuvent avoir des conséquences inattendues avec ce genre d'OS....

    ---> Télécharge ComboFix.exe de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    /!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\

    ---> Double-clique sur Combofix.exe

    ---> Installe la console de récupération si l'outil te le propose.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt
    0
    1. Bjk
       
      Ca y'est, j'ai fait le scan avec combofix, voilà le rapport ;)
      Merci pour ton aide!
      http://www.cijoint.fr/cjlink.php?file=cj201008/cijpodfmLF.txt
      0
  7. archet9
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

    Télécharge List_Kill'em et enregistre le sur ton bureau

    http://sd-1.archive-host.com/...

    double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

    une fois terminée , clic sur "terminer" et le programme se lancera seul

    choisis choisis l'option Search

    un icone blanc et noir va s'afficher sur le bureau , il te servira à rappeler le programme si besoin.

    laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

    un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

    Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
    0
    1. Bjk
       
      Mon antivirus était desactivé, mais avec le redemarrage il se re active.
      Bref, voilà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201008/cijNeKAOgd.txt

      Encore merci pour ton aide ;)
      0
  8. archet9
     
    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'option clean

    ton PC va redemarrer,

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta reponse
    0
    1. Bjk
       
      ¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.0.0.4 ¤¤¤¤¤¤¤¤¤¤

      User : Bérénice (Utilisateurs)
      Update on 23/05/2010 by g3n-h@ckm@n ::::: 15.00
      Start at: 16:10:19 | 27/08/2010

      Processeur Intel Pentium III Xeon
      Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 7.0.5730.13
      Windows Firewall Status : Enabled

      C:\ -> Disque fixe local | 148,88 Go (116,82 Go free) | NTFS
      D:\ -> Disque fixe local | 147,73 Go (139,63 Go free) [Data] | NTFS
      E:\ -> Disque CD-ROM


      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\Program Files\Avira\AntiVir Desktop\sched.exe
      C:\WINDOWS\Explorer.EXE
      C:\Documents and Settings\Bérénice\Application Data\ltzqai.exe
      C:\WINDOWS\system32\cmd.exe
      C:\WINDOWS\system32\agrsmsvc.exe
      C:\Program Files\Avira\AntiVir Desktop\avguard.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe
      C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
      C:\Program Files\Google\Update\GoogleUpdate.exe
      C:\Program Files\Google\Update\GoogleUpdate.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\system32\PnkBstrA.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\List_Kill'em\ERUNT.EXE
      C:\Program Files\List_Kill'em\pv.exe

      ¤¤¤¤¤¤¤¤¤¤ Files/folders :


      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\140.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\166.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\227.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\229.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\266.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\274.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\684.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\700.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\840.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\alm.log
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\Local Settings\Temp\amt.log
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\LOCAL Settings\Temp\0676.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\LOCAL Settings\Temp\193028.exe
      Quarantined & Deleted !! : C:\Documents and Settings\B'r'nice\LOCAL Settings\Temp\9018.exe

      =======
      Hosts :
      =======

      127.0.0.1 localhost

      ========
      Registry
      ========

      Deleted : HKLM\Software\Microsoft\Windows\CurrentVersion\Run : Microsoft Driver Setup
      Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run : Microsoft Driver Setup
      =================
      Internet Explorer
      =================

      [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Default_Search_URL REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      Default_Page_URL REG_SZ https://www.msn.com/fr-fr/?ocid=iehp
      Search Page REG_SZ https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
      Start Page REG_SZ https://www.google.com/?gws_rd=ssl
      Local Page REG_SZ C:\WINDOWS\system32\blank.htm
      Search Page REG_SZ http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

      ===============
      Security Center
      ===============

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
      UpdatesDisableNotify REG_DWORD 0 (0x0)
      FirewallDisableNotify REG_DWORD 0 (0x0)
      AntiVirusDisableNotify REG_DWORD 0 (0x0)
      FirstRunDisabled REG_DWORD 1 (0x1)
      AntiVirusOverride REG_DWORD 1 (0x1)
      FirewallOverride REG_DWORD 1 (0x1)

      ========
      Services
      =========

      Ndisuio : Start = 3
      EapHost : Start = 2
      Ip6Fw : Start = 2
      SharedAccess : Start = 2
      wuauserv : Start = 2
      wscsvc : Start = 2

      ============
      Disk Cleaned
      anti-ver blaster : OK
      Prefetch cleaned
      ================

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys pciide.sys PCIIDEX.SYS
      kernel: MBR read successfully
      user & kernel MBR OK




      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
      0
  9. archet9
     
    Toujours des alertes?
    0
    1. Bjk
       
      toujours oui :(, et j'ai fait un scan avec avira, et il m'indique 162 infections ... :/
      0
  10. mirage 2000
     
    Bonjour si tu as trojan ou un cheval de troie il faut que tu est un logiciel qui détruit les virus et autres au lieu de les supprimer car le virus est toujours la mais tu ne t'en appersoit pas.. Quand t'un dossier est contaminer de virus ou de trojan etc....
    1ere étapes: tu te déconnecte d'internet pour éviter que le virus échanges des donner de ton ordit et en meme sa évite qu'il y as d'autres virus qui viennnent dans ton ordit..
    2 eme étapes: dés que l'antivirus détecte le virus. L'antivirus t'indique ou se situe le virus dans ton ordit puis apres tu ne fais rien tu fais une recherche du dossier contaminer. puis après tu l'analyse avec l'antivirus.
    3 eme étapes: quand l'antivirus à vraiment trouvais le dossier ou autres choses que tu as analysé tu dois le supprimer dans le logiciel de l'antivirus car c'est l'antivirus qui détruit le dossier ou autre..
    Voila moi je fais comme sa est sa marche super bien...
    0