Sujet Précédent Sujet Suivant

4242.exe -> virus

Résolu/Fermé
T5UN4M1 Messages postés 16 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 27 août 2010 - 23 août 2010 à 03:56
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 27 août 2010 à 17:26
Bonjour,
Je suis infecté par le virus "4242.exe" (qui serait un "backdoor bot")
En faisant une recherche sur google je suis tombé sur un topic anglophone qui proposait d'utiliser combofix.Cela n'a cependant pas fonctionné , le virus se lançant toujours au démarrage de windows.J'ai également essayé de le supprimer manuellement ce qui a échoué , le .exe se recréant quasi instantanément...
Si quelqu'un connait la solution ... :)
merci d'avance.



A voir également:

32 réponses

Précédent
  • 1
  • 2
Réponse 21 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
25 août 2010 à 20:12
2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Folder to delete:
c:\program files\Click_App

Drivers to disable:
4104e682

Drivers to delete:
4104e682

Files to delete:
c:\documents and settings\adrien\Application Data\Microsoft\4242.exe
c:\documents and settings\All Users\Application Data\title tool face bin\BASE NAME.exe
c:\\Program Files\\ubi.com\\Core\\GS4.exe

Registry values to delete:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GoogleApps"=-

Registry keys to delete:
[-HKLM\~\startupfolder\c:\documents and settings\adrien\menu démarrer\programmes\démarrage\rncsys32.exe]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\face bin load show]

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse
0
Réponse 22 / 32
T5UN4M1 Messages postés 16 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 27 août 2010
25 août 2010 à 21:54
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Wed Aug 25 21:46:04 2010

21:46:01: Error: Invalid syntax in command:
"[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"
Skipping line. (Registry value deletion mode)
21:46:04: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Wed Aug 25 21:46:24 2010

21:46:22: Error: Invalid syntax in command:
"[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"
Skipping line. (Registry value deletion mode)
21:46:24: Error: Execution aborted by user!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Wed Aug 25 21:47:40 2010

21:47:15: Error: Invalid syntax in command:
"[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"
Skipping line. (Registry value deletion mode)
21:47:26: Error: Invalid syntax in command:
""GoogleApps"=-"
Skipping line. (Registry value deletion mode)
21:47:30: Error: Invalid registry syntax in command:
"[-HKLM\~\startupfolder\c:\documents and settings\adrien\menu démarrer\programmes\démarrage\rncsys32.exe]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)
21:47:33: Error: Invalid registry syntax in command:
"[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\face bin load show]"
Only registry keys under the HKEY_LOCAL_MACHINE hive are accessible to this program.
Skipping line. (Registry key deletion mode)


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open driver "4104e682"
Disablement of driver "4104e682" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\4104e682" not found!
Deletion of driver "4104e682" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\documents and settings\adrien\Application Data\Microsoft\4242.exe" not found!
Deletion of file "c:\documents and settings\adrien\Application Data\Microsoft\4242.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\documents and settings\All Users\Application Data\title tool face bin\BASE NAME.exe" not found!
Deletion of file "c:\documents and settings\All Users\Application Data\title tool face bin\BASE NAME.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "c:\\Program Files\\ubi.com\\Core\\GS4.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
0
Réponse 23 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
25 août 2010 à 23:02
Maintenant recolle moi un nouveau log ZhpDiag pour voir ou on en est .
0
Réponse 24 / 32
T5UN4M1 Messages postés 16 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 27 août 2010
26 août 2010 à 00:33
http://dl.free.fr/getfile.pl?file=/wpA5qbVb
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 32
T5UN4M1 Messages postés 16 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 27 août 2010
Modifié par T5UN4M1 le 26/08/2010 à 20:22
All processes killed
========== PROCESSES ==========
Process explorer.exe killed successfully!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5c255c8a-e604-49b4-9d64-90988571cecb}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5c255c8a-e604-49b4-9d64-90988571cecb}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5c255c8a-e604-49b4-9d64-90988571cecb}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5c255c8a-e604-49b4-9d64-90988571cecb}\ not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\GoogleApps deleted successfully.
========== FILES ==========
C:\Documents and Settings\adrien\Mes documents\System32\4242.exe moved successfully.
File/Folder C:\Documents and Settings\All Users\Application Data\title tool face bin\BASE NAME.exe not found.
C:\WINDOWS\system32\sav80231.sys moved successfully.
========== SERVICES/DRIVERS ==========
Error: No service named sav80231 was found to stop!
Service\Driver key sav80231 not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: adrien
->Temp folder emptied: 13721773 bytes
->Temporary Internet Files folder emptied: 2115262 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 57494856 bytes
->Google Chrome cache emptied: 0 bytes
->Opera cache emptied: 4143873 bytes
->Flash cache emptied: 4026 bytes

User: All Users

User: Application Data

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: ghost1
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: ghost2
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->FireFox cache emptied: 4080595 bytes

User: Invité
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33664 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 32902 bytes

User: T555
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: tfive
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1834 bytes
%systemroot%\System32 .tmp files removed: 8650576 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 86,00 mb


OTM by OldTimer - Version 3.1.15.0 log created on 08262010_124936

Files moved on Reboot...

Registry entries deleted on Reboot...




edit : après un reboot supplémentaire du pc , 4242.exe ne semble plus être présent, aussi je poste un nouveau rapport zhpdiag pour confirmer (ou non) que les nuisibles ont été jartés :)
http://dl.free.fr/getfile.pl?file=/JhdbTEjm
0
Réponse 26 / 32
T5UN4M1 Messages postés 16 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 27 août 2010
26 août 2010 à 21:01
http://dl.free.fr/getfile.pl?file=/IzWgbirO
0
Réponse 27 / 32
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 août 2010 à 21:16
Hello JFK,
Oufti!
Pas souvent vu ça. ;)
Amicalement.
Albert
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
26 août 2010 à 21:20
Salut Al -;)

Pas évident en éffet et tres étonné que OTM le supprimes et non Avenger et Combo :(
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
26 août 2010 à 21:46
;)
En effet, c'est surprenant.
Bravo.
Al.
0
Réponse 28 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
26 août 2010 à 21:23
relance LopS&D et choisis l'option 2 .
ensuite colle le rapport généré

Fait moi plaisir et supprimes moi tous ces keygens : 

C:\DOCUME~1\adrien\Application Data\BitTorrent\Windows XP SP3 Keygen + Key Changer + Windows Genuine Validation.torrent
   C:\DOCUME~1\adrien\Application Data\LimeWire\.AppSpecialShare\Windows XP SP3 Keygen + Key Changer + Windows Genuine Validation.torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\Adobe Premiere Pro v2.0 + Crack  [App][MULTI][www.zonatorrent.com].torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\GoldWave.v5.55.Incl.Keygen-BLiZZARD.torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\Stronghold Crusader Extreme NO CD crack.rar.torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\ST_NEWWORLDS_CDCRACK_TRNER.torrent
   C:\DOCUME~1\adrien\Application Data\uTorrent\WarCraft III Frozen Throne CD Keygen.zip.torrent
   C:\DOCUME~1\adrien\Bureau\Cossacks2_Battle_for_Europe_crack.rar
   C:\DOCUME~1\adrien\Bureau\WarCraft3_TFT_Keygen
   C:\DOCUME~1\adrien\Bureau\WarCraft_3_KeyGen_and_Patch
   C:\DOCUME~1\adrien\Bureau\fichiers\Macromedia Flash Professionnel v8 FR & Keygen.rar
   C:\DOCUME~1\adrien\Bureau\fichiers\Stronghold Crusader Extreme NO CD crack.torrent
   C:\DOCUME~1\adrien\Bureau\WarCraft3_TFT_Keygen\icyHell.net.URL
   C:\DOCUME~1\adrien\Bureau\WarCraft3_TFT_Keygen\WarCraft3_TFT_Keygen_by_CRiS.exe
   C:\DOCUME~1\adrien\Bureau\WarCraft_3_KeyGen_and_Patch\readme.txt
   C:\DOCUME~1\adrien\Bureau\WarCraft_3_KeyGen_and_Patch\warcraft3_patch.exe
   C:\DOCUME~1\adrien\Mes documents\Downloads\GoldWave.v5.55.Incl.Keygen-BLiZZARD
   C:\DOCUME~1\adrien\Mes documents\Downloads\GoldWave.v5.55.Incl.Keygen-BLiZZARD\keygen.exe
   C:\DOCUME~1\adrien\Mes documents\Downloads\GoldWave.v5.55.Incl.Keygen-BLiZZARD\~uTorrentPartFile_33FB6B.dat
   C:\DOCUME~1\adrien\Mes documents\Downloads\Imgal II\crack
   C:\DOCUME~1\adrien\Mes documents\Downloads\Imgal II\crack\divine.nfo
   C:\DOCUME~1\adrien\Mes documents\Downloads\Imgal II\crack\ig2.exe
   C:\DOCUME~1\adrien\Mes documents\Downloads\Imgal II\crack\info.txt
   C:\DOCUME~1\adrien\Mes documents\Downloads\Stronghold.Crusader.Extreme.Full-Rip.Skullptura\Stronghold.Crusader.Extreme.Full-Rip.Skullptura\Stronghold Crusader\gm\cracks.gm1
   C:\DOCUME~1\adrien\Mes documents\Downloads\warcraft\Very Important!!!! Crack and play on battlenet.txt
   C:\DOCUME~1\adrien\Mes documents\My Completed Downloads\Dark Ewok's Item Pack\Dark Ewok's Item Pack\Unique Items\Weapons\Exceptionnals\Swords\Cloudcrack.d2i
   C:\DOCUME~1\adrien\Mes documents\My Completed Downloads\Dark Ewok's Item Pack_1\Dark Ewok's Item Pack\Unique Items\Weapons\Exceptionnals\Swords\Cloudcrack.d2i


C'est ceux ci qui te pourissent le pc et risque meme de réactiver l'infection !!

0
Réponse 29 / 32
T5UN4M1 Messages postés 16 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 27 août 2010
26 août 2010 à 22:19
http://dl.free.fr/getfile.pl?file=/PfpyXnCj
0
Réponse 30 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
26 août 2010 à 22:54
On arrive au bout :)

Supprimes ce dossier dans tes programmes : C:\Program Files\PopCap Games

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.

1/Double Clique sur l'icone ZhpFix .

2/ZhpFix va s'ouvrir ,clique sur "OK".

3/Coche ces cases (et pas d'autres !):

[HKCU\Software\PopCap]
[HKCU\Software\balm love modeplatform]
[HKCU\Software\vmntoolbar]
[HKLM\Software\PopCap]
[HKLM\Software\Trymedia Systems]


4/Pour finir clique sur "Nettoyer" .


5/colle le rapport obtenu .

Dis moi ensuite comment va le pc ?
0
Réponse 31 / 32
T5UN4M1 Messages postés 16 Date d'inscription lundi 23 août 2010 Statut Membre Dernière intervention 27 août 2010
Modifié par T5UN4M1 le 27/08/2010 à 00:19
Rapport de ZHPFix v1.12.3138 par Nicolas Coolman, Update du 25/08/2010
Fichier d'export Registre : C:\ZHPExportRegistry-27-08-2010-00-07-08.txt
Run by adrien at 27/08/2010 00:07:08
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
HKCU\Software\PopCap => Clé supprimée avec succès
HKCU\Software\balm love modeplatform => Clé supprimée avec succès
HKCU\Software\vmntoolbar => Clé supprimée avec succès
HKLM\Software\PopCap => Clé supprimée avec succès
HKLM\Software\Trymedia Systems => Clé supprimée avec succès


========== Récapitulatif ==========
5 : Clé(s) du Registre


End of the scan


edit : j'suppose que c'est clean :D
Merci beaucoup de m'avoir aidé à "nettoyer" tout ce bordel.
Je ferai preuve de plus de prudence , et vigilence à l'avenir :)
0
Réponse 32 / 32
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
27 août 2010 à 17:26
On va cloturer le sujet :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Relance ZHPFix sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

============

Met a jour Windows ,SP2 >>>SP3 ==> http://www.microsoft.com/downloads/details.aspx?displaylang=fr&FamilyID=2fcde6ce-b5fb-4488-8c50-fe22559d164e

Met a jour ta console Java : https://www.java.com/fr/download/manual.jsp

===========

Supprimes Spyware Doctor et Ad-aware ..Ils sont obsoletes .

Supprimes également Norton (trop lourd et inéfficace) avec cet outil : http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Installe Antivir a la place :

*Antivir (d'avira) Gratuit et en français : http://www.commentcamarche.net/download/telecharger-55-antivir

configurer antivir

Tu gardera Antivir + MBAM sur ton pc .

===========

Maintenant que ton PC n'est plus infecté, désactive ta "Restauration du système" puis réactive la afin de créer un point de restauration sain.

* Désactivation :
Cliquer droit sur le "Poste de travail" > Propriétés > onglet "Restauration du système" > cocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer patiente jusqu a que cela soit marqué "désactivée" puis Ok.

* Activation :
Suivre le même chemin ; décocher la case "Désactiver la Restauration du système sur tous les lecteurs"
> Appliquer attends que cela soit a nouveau sur "surveillance" puis Ok. Redémarrer l'ordinateur..

============

Vu que tu es un fan du téléchargement ,je te conseille vivement de lire ceci :

danger du P2P et des cracks

également un exemple concret ici

En attendant je te souhaite un bon surf sur la toile -;)

0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
comment convertir un logiciel .exe en .dmg
omnisportdieng -
Utilisateur anonyme -

3 réponses