Virus trèèèèès envahissant !!

Question

Bonjour, 

J'ai une terrible épée de Damoclès au-dessus de la tête !
Voilà le topo :

Je vous rédige ce message en mode sans échec car depuis hier malgré Spybot et Avira anti-vir, j'ai chopé un virus qui m'empêche l'accès à toutes les applications de mon pc (Sketchup,  google Chrome, mozilla, Avira, Spybot, jeux, VLC, etc...) 
Dès que j'essaie de lancer une des applis sus-citées on me signale que le fichier est infecté ; et lorsque j'essaie de me connecter à internet je suis automatiquement redirigé vers un site de vente d'antivirus et autre anti-trojan.... 

Je suis dans une merde noire les amis, étudiant en architecture, il me rendre pour le 2 septembre un projet fait sous AutoCad !

Je vous conjure de m'aider assez vite d'ici cette date, il en va de mes études :§ je suis totalement démuni et l'informaticien de ma rue me dit de changer de PC ; je n'aime pas trop sa confortable vision radicale du problème ! 

Un énorme merci par avance !

Configuration: Windows XP / Safari 533.4

gen-hackman · Accepted Answer

salut l inforamaticien de ta rue t'a dit n'importe quoi il comprend rien

tu pourras lui dire de ma part

Télécharge rkill :

&#9654 https://download.bleepingcomputer.com/grinler/rkill.exe
&#9654 https://download.bleepingcomputer.com/grinler/rkill.com
&#9654 https://download.bleepingcomputer.com/grinler/rkill.scr
&#9654 http://download.bleepingcomputer.com/grinler/rkill.pif

&#9654 Enregistre-le sur ton Bureau

&#9654 Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)


Un bref écran noir t'indiquera que le tool s'est correctement exécuté, s'il ne se lance pas,

change de lien de téléchargement.


une fois qu'il aura terminé

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge ici :List_Kill'em

 et enregistre le sur ton bureau 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" et le programme se lancera seul

Il commencera par telecharger et installer ses mises à jour , puis te donnera son menu

choisis l'option Search

&#9654 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et cherche le fichier C:\List'em.txt 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ce lien dans ta réponse. 

&#9654 Fais de même avec more.txt qui se trouve sur ton bureau

Nacho · Answer

Merci pour ta réactivité gen-hackman, la recherche list_killem est en cours, je t'envois tout ça dès que terminée ! ;)

Oui guigui3011 car je suis en mode sans échec, mais si j'ouvre mon compte admin normalement impossible d'aller où que ce soit ni de faire quoi que ce soit.

Nacho · Answer

Voici le lien List'em : http://www.cijoint.fr/cjlink.php?file=cj201008/cijIHyYD7r.txt

Voici le lien More.txt : http://www.cijoint.fr/cjlink.php?file=cj201008/cijByHSXdd.txt

Votre diagnostic Docteur ?? ;)

Le fan · Answer

Bonjour à tous !
gen-hackman, je voudrai savoir, tu ne serais pas le créateur de List_Kill'em par hasard ? Je me pose cette question depuis longtemps, et je profite que tu sois là pour te la poser :p

Voilà bonne journée à vous :)

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

observe ton bureau une icône "Script" s'est rajouté sur ton bureau

&#9654 crée un nouveau document texte sur ton bureau et copie/colle ce en gras si dessous :


C:\Documents and Settings\Maynou\Local Settings\Application Data\wnsmthpdr
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "brgtaouq" 



&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

&#9654 effectue un glisser/deposer de ce fichier sur l'icone "Script"

laisse travailler l'outil

&#9654 poste le resultat

&#9654 Ferme List_Kill'em

Note : le rapport est aussi ici : ?:\Script_.txt

ensuite :

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Nacho · Answer

SCRIPT


¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Administrateur (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 13:51:38 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,17 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
 
Switch : "C:\Documents and Settings\Administrateur\Bureau\Nouveau Document texte.txt"

¤¤¤¤¤¤¤¤¤¤ File | Folder
 

Deleted !! : C:\Documents and Settings\Maynou\Local Settings\Application Data\wnsmthpdr   

¤¤¤¤¤¤¤¤¤¤ Keys

Deleted : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "brgtaouq  
¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Administrateur (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 13:51:38 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,17 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
User : Administrateur (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 13:53:27 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,17 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
 
Switch : 

¤¤¤¤¤¤¤¤¤¤ File | Folder
 

Deleted !! : C:\Documents and Settings\Maynou\Local Settings\Application Data\wnsmthpdr   

¤¤¤¤¤¤¤¤¤¤ Keys

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Administrateur (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 13:54:22 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,17 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
 
Switch : 

¤¤¤¤¤¤¤¤¤¤ File | Folder
 


¤¤¤¤¤¤¤¤¤¤ Keys



rapport kill'em txt


¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.1 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Administrateur (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 13:56:38 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,17 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----416 Ko
C:\WINDOWS\system32\csrss.exe ----2356 Ko
C:\WINDOWS\system32\winlogon.exe ----2820 Ko
C:\WINDOWS\system32\services.exe ----3324 Ko
C:\WINDOWS\system32\lsass.exe ----1580 Ko
C:\WINDOWS\system32\svchost.exe ----4852 Ko
C:\WINDOWS\system32\svchost.exe ----4444 Ko
C:\WINDOWS\System32\svchost.exe ----13312 Ko
C:\WINDOWS\System32\svchost.exe ----4160 Ko
C:\WINDOWS\System32\svchost.exe ----2984 Ko
C:\Program Files\Google\Chrome\Application\chrome.exe ----9844 Ko
C:\Program Files\Google\Chrome\Application\chrome.exe ----49564 Ko
C:\WINDOWS\explorer.exe ----24080 Ko
C:\Program Files\Messenger\msmsgs.exe ----4640 Ko
C:\Program Files\Google\Chrome\Application\chrome.exe ----13332 Ko
C:\WINDOWS\system32\cmd.exe ----2932 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----6728 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----3056 Ko
C:\Program Files\List_Kill'em\pv.exe ----2728 Ko
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\WINDOWS\002337_.tmp 
Quarantined & Deleted !! : C:\WINDOWS\005546_.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET7.tmp 
 
Quarantined & Deleted !! : C:\WINDOWS\System32\drivers\etc\hosts.msn 
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
FirstRunDisabled	=      	1 () 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



Voilà, quoi d'autre ?

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\windows\system32\drivers\csiidecoder_kern_i386.sys  
C:\WINDOWS\System32\msvcm80.dll  
C:\WINDOWS\System32
vrspl.dll-nv31558  



    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Nacho · Answer

Liens des 3 fichiers analysés :

http://www.virustotal.com/file-scan/report.html?id=de5a22e70375562d943d2fe7fdf6be7de69a8b64ccf3127fa37166831cc20f75-1283172718


http://www.virustotal.com/file-scan/report.html?id=c4c8c2d251b90d77d1ac75cbd39c3f0b18fc170d5a95d1c13a0266f7260b479d-1283172924


http://www.virustotal.com/file-scan/report.html?id=88d22813a726fe8277991ad3f9e50ff479d93dcb3dabab3a77cd8eff6afbd348-1283173003


Voilà. Les résultats me semblent curieux mais je n'y connais rien. 

J'ai tenté de redémarrer une session en mode normal mais le problème n'est pas réglé, est-ce normal à ce stade ?

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

Nacho · Answer

Lien OTL : 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijCG2Lzja.txt


Lien EXTRAS :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijpLvNeRl.txt


Hou l'angoisse, rassure-moi, résolverons-nous le problème avant mon rendu de projet du 2 septembre ?? Je sue à grosses gouttes, surtout quand je vois le monde qui te réclame lol ! 

Merci en tout cas

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O4 - HKLM..\Run: [nwiz]  File not found

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\run]
"Adobe Reader Speed Launcher"=-
"Alcmtr"=-
"iTunesHelper"=-
"QuickTime Task"=-
"SoundMan"=-

:Files
C:\Documents and Settings\Administrateur\Bureau\List_Killem_Install.exe  
C:\Documents and Settings\All Users\Application Data\Abvent  
C:\WINDOWS\mscpt.dat  
C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT  
C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT  
C:\Documents and Settings\Maynou\Application Data\Abvent_Artlantis3  


:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Nacho · Answer

Rapport : 

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\nwiz deleted successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun\Adobe Reader Speed Launcher deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun\Alcmtr deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun\iTunesHelper deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun\QuickTime Task deleted successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionun\SoundMan deleted successfully.
========== FILES ==========
C:\Documents and Settings\Administrateur\Bureau\List_Killem_Install.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\Abvent folder moved successfully.
C:\WINDOWS\mscpt.dat moved successfully.
C:\Documents and Settings\All Users\Application Data\PKP_DLdw.DAT moved successfully.
C:\Documents and Settings\All Users\Application Data\PKP_DLdu.DAT moved successfully.
C:\Documents and Settings\Maynou\Application Data\Abvent_Artlantis3 folder moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 1229527 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Google Chrome cache emptied: 20939661 bytes
->Flash cache emptied: 502 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 33170 bytes
 
User: Maynou
->Temp folder emptied: 63344143 bytes
->Temporary Internet Files folder emptied: 17414541 bytes
->FireFox cache emptied: 34859780 bytes
->Google Chrome cache emptied: 293390157 bytes
->Flash cache emptied: 14671 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 929136 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 3072 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 67148032 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 54013788 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 87388 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 528,00 mb
 
 
OTL by OldTimer - Version 3.2.11.0 log created on 08302010_164720

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Voilà le rapport.

Je me demande cependant quelque chose, toutes le manipulations que tu m'as demandé d'effectuer, je les ai faites en mode sans échec sur la session admin. Or j'utilise au quotidien une autre session. 

Me faut-il refaire toutes les manip en session admin (mode sans échecs) ou cela n'a-t-il pas d'importance quant à la détection et la supression du virus ?????

gen-hackman · Answer

oui recommence le premier post avec rkill et list_kill'em de ta session

Nacho · Answer

Bon j'ai repris le premier post mais sur ma session quotidienne !

LIST'EM : http://www.cijoint.fr/cjlink.php?file=cj201008/cijShMaY4p.txt


MORE :   http://www.cijoint.fr/cjlink.php?file=cj201008/cijgNRsiGJ.txt


Ensuite ?

gen-hackman · Answer

clic sur update en relancant list_kill'em

ensuite :

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option Tools puis Kill Proxy

laisse travailler l'outil.

en fin de scan un rapport s'ouvre 

&#9654 colle le contenu dans ta reponse 

ensuite :

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

observe ton bureau une icône "Script" s'est rajouté sur ton bureau

&#9654 crée un nouveau document texte sur ton bureau et copie/colle ce en gras si dessous :


FILE:C:\Documents and Settings\Maynou\Local Settings\Application Data\wnsmthpdr
REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "brgtaouq" 



&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

&#9654 effectue un glisser/deposer de ce fichier sur l'icone "Script"

laisse travailler l'outil

&#9654 poste le resultat

&#9654 Ferme List_Kill'em

Note : le rapport est aussi ici : ?:\Script_.txt

ensuite :

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

Nacho · Answer

rapport proxy :

¤¤¤¤¤¤¤¤¤¤ Proxy_Kill by Gen-Hackman

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

ProxyServer Deleted !!  
 
¤¤¤¤¤¤¤¤¤¤ Firefox ¤¤¤¤¤¤¤¤¤¤


 



¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 


Rapport SCRIPT :


¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Administrateur (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 13:51:38 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,17 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
 
Switch : "C:\Documents and Settings\Administrateur\Bureau\Nouveau Document texte.txt"

¤¤¤¤¤¤¤¤¤¤ File | Folder
 

Deleted !! : C:\Documents and Settings\Maynou\Local Settings\Application Data\wnsmthpdr   

¤¤¤¤¤¤¤¤¤¤ Keys

Deleted : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "brgtaouq  
¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Administrateur (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 13:51:38 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,17 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
User : Administrateur (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 13:53:27 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,17 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
 
Switch : 

¤¤¤¤¤¤¤¤¤¤ File | Folder
 

Deleted !! : C:\Documents and Settings\Maynou\Local Settings\Application Data\wnsmthpdr   

¤¤¤¤¤¤¤¤¤¤ Keys

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Administrateur (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 13:54:22 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,17 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
 
Switch : 

¤¤¤¤¤¤¤¤¤¤ File | Folder
 


¤¤¤¤¤¤¤¤¤¤ Keys

¤¤¤¤¤¤¤¤¤¤ Script of List_Kill'em by gen-hackman ¤¤¤¤¤¤¤¤¤¤

User : Maynou (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 21:08:24 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,59 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
 
Switch : "C:\Documents and Settings\Maynou\Bureau\Nouveau Document texte.txt"

¤¤¤¤¤¤¤¤¤¤ File | Folder
 


¤¤¤¤¤¤¤¤¤¤ Keys



Rapport Kill'em :


¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.0.1 ¤¤¤¤¤¤¤¤¤¤ 
 
User : Maynou (Administrateurs) 
Update on 28/08/2010 by g3n-h@ckm@n ::::: 17.00
Start at: 21:10:26 | 30/08/2010

              Intel(R) Pentium(R) 4 CPU 3.20GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Disabled
AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

C:\ -> Disque fixe local | 127,99 Go (23,59 Go free) | NTFS
D:\ -> Disque CD-ROM
E:\ -> Disque amovible
F:\ -> Disque amovible
G:\ -> Disque amovible
H:\ -> Disque amovible
I:\ -> Disque CD-ROM | 5,18 Go (0 Mo free) [The Settlers 7] | CDFS
Z:\ -> Disque fixe local | 104,9 Go (73 Go free) [subordonné] | NTFS
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes ------- Memory(Ko)

C:\WINDOWS\System32\smss.exe ----416 Ko
C:\WINDOWS\system32\csrss.exe ----2412 Ko
C:\WINDOWS\system32\winlogon.exe ----2836 Ko
C:\WINDOWS\system32\services.exe ----3332 Ko
C:\WINDOWS\system32\lsass.exe ----1472 Ko
C:\WINDOWS\system32\svchost.exe ----4852 Ko
C:\WINDOWS\system32\svchost.exe ----4460 Ko
C:\WINDOWS\System32\svchost.exe ----13144 Ko
C:\WINDOWS\System32\svchost.exe ----3824 Ko
C:\WINDOWS\System32\svchost.exe ----2988 Ko
C:\WINDOWS\explorer.exe ----23012 Ko
C:\WINDOWS\system32\cmd.exe ----2932 Ko
C:\WINDOWS\system32\wbem\wmiprvse.exe ----6704 Ko
C:\Program Files\List_Kill'em\ERUNT.EXE ----2632 Ko
C:\Program Files\List_Kill'em\pv.exe ----2264 Ko
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

 
 
¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

127.0.0.1       localhost   

¤¤¤¤¤¤¤¤¤¤ Registry ¤¤¤¤¤¤¤¤¤¤

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser : {0E5CBF21-D15F-11D0-8301-00AA005B4383}  

¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	=         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	=         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	=         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	=         	https://www.google.com/?gws_rd=ssl
Local Page	=         	C:\WINDOWS\system32\blank.htm
Search Page	=         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

¤¤¤¤¤¤¤¤¤¤ Security Center ¤¤¤¤¤¤¤¤¤¤

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
AntiVirusDisableNotify	=      	0 (0x0) 
FirewallDisableNotify	=      	0 (0x0) 
UpdatesDisableNotify	=      	0 (0x0) 
AntiVirusOverride	=      	0 (0x0) 
FirewallOverride	=      	0 (0x0) 
FirstRunDisabled	=      	1 () 
 
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

 Ndisuio : Start = 3   
 EapHost : Start = 2   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Disk Cleaned
anti-ver blaster : OK 
Prefetch cleaned 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

FEATURE_BROWSER_EMULATION | svchost : 
====================================
 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys atapi.sys hal.dll pciide.sys PCIIDEX.SYS 
kernel: MBR read successfully
user & kernel MBR OK 
 
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


Mille merci pour le temps que tu prends encore une fois !

Alors, Verdict ?

Nacho · Answer

Je viens de tester ma session en démarrage normal : le problème reste exactement le même !

Nacho · Answer

Bon en attendant je vais faire une analyse rapide avec malware bytes, en espérant que cela soit concluant et que je ne supprime aucun sujet important !

Nacho · Answer

Analyse terminée,  je peux enfin utiliser ma session ; le virus semble avoir été éradiqué, voici le rapport malware bytes :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4510

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

30/08/2010 22:07:06
mbam-log-2010-08-30 (22-07-06).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 135206
Temps écoulé: 6 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brgtaouq (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Maynou\Local Settings\Application Data\wnsmthpdr\bluoogushdw.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


J'ai ensuite nettoyé le pc avec Ccleaner (registres, cookies, historiques,...) par précaution.

EN REVANCHE, depuis le rapport PROXY je n'ai plus internet avec explorer ni Google Chrome, mais seulement avec Mozzila, comment cela se fait-il ? Comment résoudre ce soucis ?? 

Soulagé en tout cas !!!

gen-hackman · Answer

Télécharge MBRCheck.exe sur ton Bureau.

    * Désactive tes programmes de sécurité avant de lancer le scan. (antispyware/antivirus)
    * Double clique sur le fichier pour lancer le programme. (Note: Si tu utilises Vista/7, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
    * Une fenêtre va s'ouvrir sur ton Bureau: Patiente une dizaine de secondes pour permettre à l'outil de compléter l'analyse.
    * Si un code de démarrage inconnu est détecté, des options s'afficheront
    * Si c'est le cas, appuie alors sur la touche N puis [Entrée] deux fois.
    * Si rien de particulier n'est détecté, presse juste sur la touche [Entrée]
    * Un fichier texte nommé MBRCheck_mois/jour/année/_heure.minutes.secondes devrait apparaitre sur ton Bureau.
    * Poste stp son contenu dans ton prochain message.

Nacho · Answer

Voilà le rapport : 

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:			
Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x020005fc

Kernel Drivers (total 126):
  0x804D7000 \WINDOWS\system32
tkrnlpa.exe
  0x806E4000 \WINDOWS\system32\hal.dll
  0xF7ADC000 \WINDOWS\system32\KDCOM.DLL
  0xF79EC000 \WINDOWS\system32\BOOTVID.dll
  0xF73E8000 spyj.sys
  0xF7ADE000 \WINDOWS\System32\Drivers\WMILIB.SYS
  0xF73D0000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xF73A1000 ACPI.sys
  0xF7390000 pci.sys
  0xF75DC000 ohci1394.sys
  0xF75EC000 \WINDOWS\System32\DRIVERS\1394BUS.SYS
  0xF75FC000 isapnp.sys
  0xF7BA4000 pciide.sys
  0xF785C000 \WINDOWS\System32\DRIVERS\PCIIDEX.SYS
  0xF760C000 MountMgr.sys
  0xF7371000 ftdisk.sys
  0xF7AE0000 dmload.sys
  0xF734B000 dmio.sys
  0xF7864000 PartMgr.sys
  0xF761C000 VolSnap.sys
  0xF7333000 atapi.sys
  0xF762C000 disk.sys
  0xF763C000 \WINDOWS\System32\DRIVERS\CLASSPNP.SYS
  0xF7313000 fltmgr.sys
  0xF7301000 sr.sys
  0xF764C000 avgntmgr.sys
  0xF72EA000 KSecDD.sys
  0xF725D000 Ntfs.sys
  0xF7230000 NDIS.sys
  0xF7AE2000 speedfan.sys
  0xF7216000 Mup.sys
  0xF7BA5000 giveio.sys
  0xF780C000 \SystemRoot\System32\DRIVERS\intelppm.sys
  0xF62A1000 \SystemRoot\system32\DRIVERS
v4_mini.sys
  0xF628D000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF6265000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0xF794C000 \SystemRoot\System32\DRIVERS\usbuhci.sys
  0xF6241000 \SystemRoot\System32\DRIVERS\USBPORT.SYS
  0xF7954000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF781C000 \SystemRoot\System32\DRIVERS\R8139n51.SYS
  0xF622D000 \SystemRoot\System32\DRIVERS\parport.sys
  0xF782C000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF783C000 \SystemRoot\System32\DRIVERS\cdrom.sys
  0xF784C000 \SystemRoot\System32\DRIVERSedbook.sys
  0xF620A000 \SystemRoot\System32\DRIVERS\ks.sys
  0xF795C000 \SystemRoot\system32\DRIVERS\GEARAspiWDM.sys
  0xF61D1000 \SystemRoot\System32\Drivers\a0avzt6p.SYS
  0xF6190000 \SystemRoot\system32\drivers\srs_sscfilter_i386.sys
  0xF7C85000 \SystemRoot\System32\DRIVERS\audstub.sys
  0xF769C000 \SystemRoot\System32\DRIVERSasl2tp.sys
  0xF7AC4000 \SystemRoot\System32\DRIVERS
distapi.sys
  0xF6179000 \SystemRoot\System32\DRIVERS
diswan.sys
  0xF76AC000 \SystemRoot\System32\DRIVERSaspppoe.sys
  0xF76BC000 \SystemRoot\System32\DRIVERSaspptp.sys
  0xF79C4000 \SystemRoot\System32\DRIVERS\TDI.SYS
  0xF6168000 \SystemRoot\System32\DRIVERS\psched.sys
  0xF76CC000 \SystemRoot\System32\DRIVERS\msgpc.sys
  0xF79CC000 \SystemRoot\System32\DRIVERS\ptilink.sys
  0xF79D4000 \SystemRoot\System32\DRIVERSaspti.sys
  0xF5F3E000 \SystemRoot\System32\DRIVERSdpdr.sys
  0xF76DC000 \SystemRoot\System32\DRIVERS	ermdd.sys
  0xF79DC000 \SystemRoot\System32\DRIVERS\kbdclass.sys
  0xF79E4000 \SystemRoot\System32\DRIVERS\mouclass.sys
  0xF7B1E000 \SystemRoot\System32\DRIVERS\swenum.sys
  0xF5EE0000 \SystemRoot\System32\DRIVERS\update.sys
  0xF71EE000 \SystemRoot\System32\DRIVERS\mssmbios.sys
  0xF76EC000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF3967000 \SystemRoot\system32\drivers\RtkHDAud.sys
  0xF3943000 \SystemRoot\system32\drivers\portcls.sys
  0xF770C000 \SystemRoot\system32\drivers\drmk.sys
  0xF771C000 \SystemRoot\System32\DRIVERS\usbhub.sys
  0xF7B22000 \SystemRoot\System32\DRIVERS\USBD.SYS
  0xF38E0000 \SystemRoot\SYSTEM32\DRIVERS\avgntdd.sys
  0xF7B24000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7C14000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7B26000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF78BC000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF78CC000 \SystemRoot\System32\drivers\vga.sys
  0xF7B28000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7B2A000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF78D4000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF78DC000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7AA4000 \SystemRoot\System32\DRIVERSasacd.sys
  0xF38AD000 \SystemRoot\System32\DRIVERS\ipsec.sys
  0xF3854000 \SystemRoot\System32\DRIVERS	cpip.sys
  0xF382C000 \SystemRoot\System32\DRIVERS
etbt.sys
  0xF380A000 \SystemRoot\System32\drivers\afd.sys
  0xF773C000 \SystemRoot\System32\DRIVERS
etbios.sys
  0xF78E4000 \SystemRoot\System32\DRIVERS\ssmdrv.sys
  0xF37DF000 \SystemRoot\System32\DRIVERSdbss.sys
  0xF376F000 \SystemRoot\System32\DRIVERS\mrxsmb.sys
  0xF3749000 \SystemRoot\System32\DRIVERS\ipnat.sys
  0xF775C000 \SystemRoot\System32\Drivers\Fips.SYS
  0xF776C000 \SystemRoot\System32\DRIVERS\wanarp.sys
  0xF78EC000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xF5ED0000 \SystemRoot\System32\DRIVERS\hidusb.sys
  0xF777C000 \SystemRoot\System32\DRIVERS\HIDCLASS.SYS
  0xF78F4000 \SystemRoot\System32\DRIVERS\USBSTOR.SYS
  0xF372D000 \SystemRoot\System32\DRIVERS\avipbb.sys
  0xF7B32000 \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys
  0xF5EC0000 \SystemRoot\System32\DRIVERS\mouhid.sys
  0xF77EC000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xF392F000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xF36ED000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7B46000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xF390B000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7914000 \SystemRoot\System32\watchdog.sys
  0xBD000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7D22000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBD012000 \SystemRoot\System32
v4_disp.dll
  0xBFFA0000 \SystemRoot\System32\ATMFD.DLL
  0xB86AC000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xF7974000 \SystemRoot\system32\DRIVERS\AegisP.sys
  0xB86A8000 \SystemRoot\System32\DRIVERS
disuio.sys
  0xB8427000 \SystemRoot\System32\DRIVERS\mrxdav.sys
  0xB834A000 \SystemRoot\system32\drivers\wdmaud.sys
  0xB850C000 \SystemRoot\system32\drivers\sysaudio.sys
  0xF7B8A000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xB8750000 \SystemRoot\system32\drivers\ip6fw.sys
  0xB7DBC000 \SystemRoot\system32\drivers	cpip6.sys
  0xB7D15000 \SystemRoot\System32\DRIVERS\srv.sys
  0xB7874000 \SystemRoot\System32\Drivers\HTTP.sys
  0xB6DDB000 \SystemRoot\system32\drivers\kmixer.sys
  0x7C910000 \WINDOWS\system32
tdll.dll
  0x10000000 \Program Files\DAEMON Tools Lite\Engine.dll

Processes (total 40):
       0 System Idle Process
       4 System
     508 C:\WINDOWS\system32\smss.exe
     556 csrss.exe
     580 C:\WINDOWS\system32\winlogon.exe
     624 C:\WINDOWS\system32\services.exe
     636 C:\WINDOWS\system32\lsass.exe
     832 C:\WINDOWS\system32
vsvc32.exe
     860 C:\WINDOWS\system32\svchost.exe
     908 svchost.exe
     976 C:\WINDOWS\system32\svchost.exe
    1052 svchost.exe
    1112 svchost.exe
    1240 C:\WINDOWS\system32\spoolsv.exe
    1352 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1384 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    1420 svchost.exe
    1684 C:\WINDOWS\explorer.exe
    1972 C:\WINDOWS\alcwzrd.exe
    1980 C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
    1988 C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
    1996 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    2008 C:\WINDOWS\system32undll32.exe
    2024 C:\Program Files\Fichiers communs\Nikon\Monitor\NkMonitor.exe
    2032 C:\WINDOWS\system32\ctfmon.exe
    2040 C:\Program Files\Windows Live\Messenger\msnmsgr.exe
     140 C:\Program Files\DAEMON Tools Lite\DTLite.exe
     176 C:\Program Files\SRS Labs\Audio Sandbox\SRSSSC.exe
     276 C:\Program Files\Hama\Common\RaUI.exe
     444 C:\Program Files\LSI SoftModem\agrsmsvc.exe
     460 C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
     476 C:\Program Files\Bonjour\mDNSResponder.exe
     544 C:\WINDOWS\system32\svchost.exe
    1444 C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
    2104 C:\WINDOWS\system32\svchost.exe
    2456 wmiprvse.exe
    2560 C:\WINDOWS\system32\wscntfy.exe
    3012 alg.exe
    3276 C:\Program Files\Mozilla Firefox\firefox.exe
    2220 C:\Documents and Settings\Maynou\Bureau\MBRCheck.exe

\.\C: --> \.\PhysicalDrive0 at offset 0x00000000'00007e00  (NTFS)
\.\Z: --> \.\PhysicalDrive0 at offset 0x0000001f'ff3b0000  (NTFS)

PhysicalDrive0 Model Number: WDCWD2500JD-00HBB0, Rev: 08.02D08

      Size  Device Name          MBR Status
  --------------------------------------------
    232 GB  \.\PhysicalDrive0   Windows XP MBR code detected
            SHA1: 8637A6CD1F8DC55758E12C0B860CDE1133CA5719


Done!



Pourquoi me demandes-tu de faire cela ? Tu pense que le pc est encore infecté, ce qui empêcherait Chrome et IE  de fonctionner ? 
Tiens-moi au jus ;)

gen-hackman · Answer

non mais je ne comprends pas pourquoi tu n as pas le net avec ces deux-là et mozilla si...

Nacho · Answer

Je ne sais pas non plus à vrai dire. Lorsque je lance une page (ne serait-ce que google) avec IE ou Chrome il m'indique que la page est inaccessible. Si je vais dans "plus d'information sur cette erreur" il me dit :

Erreur 102 (net::ERR_CONNECTION_REFUSED) : Erreur inconnue

J'ai cherché sur le net, quelques personnes ont eu aussi ce problème suite à l'élimination d'une saloperie sur leur pc mais personne ne trouve de solution :s

Cela ne serait pas gênant en soit, sauf que certains de mes programmes ont besoin de IE pour fonctionner ou se mettre à jour et là c'est plus embêtant tout de suite !

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List&Kill'em(soit en clic droit pour vista),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'option Tools puis Reset TCP/IP

laisse travailler l'outil.

puis refais des essais avec internet

Nacho · Answer

Non cela ne change rien. J'ai également tenter une commande windows pour rebooter l'ip mais nada encore. 

C'est vraiment incompréhensible cette histoire !

gen-hackman · Answer

clic sur la "clé à molette" / option / options avancées / modifier les paramètres du proxy / connexions / paramètres réseau / serveur proxy : décocher "utiliser un serveur proxy pour votre réseau local" et valider par OK.

Nacho · Answer

Bingo !

Problème résolu en suivant tes instructions ;)

Un grand merci pour ta disponibilité depuis le tout début, c'est vraiment chouette et t'es un as !

gen-hackman · Answer

Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace ▶---> Télécharge ToolsCleaner2sur ton Bureau. * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur ToolsCleaner2.exe pour le lancer. * Clique sur Recherche et lais se le scan agir. * Clique sur Suppression pour finaliser. * Tu peux, si tu le souhaites, te servir des Options Facultatives. * Clique sur Quitter pour obtenir le rapport. * Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\). ___________________________________________________ ▶ Tu peux supprimer ToolCleaner ___________________________________________________ ▶ Télécharge :ATF Cleaner par Atribune Double-clique (clic droit "en tant qu'administrateur" pour Vista) ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected a NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invité. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. __________________________________________________ ▶ Tu peux garder ATF pour d'eventuels nettoyages un peu plus poussés __________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse * Veille a ce que dans les options le reglage soit au demarrage de windows et réglé sur "effacement securisé" 35 passes (guttman) __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Recherche de mises à jour. * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. * Ferme l'application. Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ si tu as installé Antivir : Configuration ________________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ Si tu as Spybot S&D et que nous avons desactive le "Tea-timer" tu peux le réactiver ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

Virus trèèèèès envahissant !!

28 réponses

Votre réponse

Discussions similaires

Newsletters