Virus System tool Fermé

Question

Bonjour,  

Configuration: Windows XP / Firefox 3.5.16

Alors, j'ai attrapé le virus "system tool" (avec le fond bleu le message en rouge etc...) et mon anti virus avast n'arrive pas à supprimer le virus. 

Après avoir lu quelques posts sur le forum j'ai essayé de télécharger "Roguekiller". 
Seulement voilà, sur le pc infecté lorsque j'arrive enfin a lancer une page mozilla je ne dispose que de quelques secondes avant que la page freeze, ensuite je suis obliger de relancer une page internet et ca refait la même. 

J'ai donc téléchargé "rogue killer" sur un autre pc, j'ai mis le programme sur clé USB et je l'ai copié/collé sur le pc infecté, mais quand je lance roguekiller la fenêtre du programme apparaît à peine 1sec puis se referme tout de suite. 
Pourtant, j'ai essay" de lancer le programme roguekiller sur le pc non infecté et il se lance très bien. 



Donc voilà j'aurais besoin de votre aide pour enlever ce virus, je ne sais plus quoi faire. 
Pour info je suis sur XP. 


Merci d'avance.

Valuu · Accepted Answer

Alala malheureux !
Va falloir recommencer, le scan de MBAM... Tu n'as pas fait supprimer la sélection à la fin...

Si tu redémarres ton ordinateur d'ici là, relance RogueKiller avant.

oeht · Answer

J'ai finalement réussi a lancer roguekiller, je suis en train de faire l'nalyse via malwarebytes.

Pendant quu j'y suis je voudrais savoir quel était le meilleur antivirus (gratuit), j'utilisais avast mais bon apparement il ne détecte pas ce genre de virus, quelqu'un a mieux à proposer?

Valuu · Answer

Salut oeht !

Je prend le relais ;)
J'attend ton rapport MBAM, et celui de RK aussi.

Quand aux antivirus, aucun n'est infaillible. Si tu as bien la dernière version d'Avast, à jour, c'est tout bon. Je t'expliquerais comment bien te sécuriser à la fin de ta désinfection.

Personnellement en antivirus gratuit je préfère Antivir plutôt qu'Avast, mais après c'est une question de gout.

oeht · Answer

D'accord, merci alors voilà pour le rapport RK : ----------------- RogueKiller V3.8.4 by Tigzy ---------------- ----------- contact at https://www.luanagames.com/index.fr.html ----------- -------------- mail: tigzyRKgmailcom ---------------- Searching bad processes... Found AppData/Temp Runner in updates.exe : Killed: updates.exe Found AppData/Temp Runner in nOlAaBo15400.exe : Killed: nOlAaBo15400.exe Found AppData/Temp Runner in Zvl.exe : Killed: Zvl.exe Found AppData/Temp Runner in setup.exe : Killed: setup.exe Searching bad services running... ------------------- -- 1. Scan -- -- 2. Delete -- -- 3. Hosts fix -- ------------------- 2 Searching startup entries... Run: ==== Deregistered : HKCU \ engel : C:\Documents and Settings homas\Application Data\ updates\updates.exe Deregistered : HKCU \ CE8SIIFGSU : C:\DOCUME~1 homas\LOCALS~1\Temp\Zvl.exe RunOnce: ======== Deregistered : HKCU \ nOlAaBo15400 : C:\Documents and Settings\All Users\Applica tion Data OlAaBo15400 OlAaBo15400.exe RunServices: ============ RunOnceEx: ========== RunServiceOnce: =============== Shell: ====== Services: ========= SSHNAS : SSHNAS Deregistered : SYSTEM\ControlSet003\services\SSHNAS -> LocalSystem Services LEGACY: ================ Scheduled tasks: ================ Deleted: {22116563-108C-42c0-A7CE-60161B75E508}.job : Zvl.exe Startup Folder: =============== Process residues and DLLs... Searching hijack entries... Proxy server: ============= DNS server: =========== Image File Execution Option: ============================ Hijack Policies: ================ Shell Spawning: =============== Hijack WBEM: =========== Hijack AppInitDLLs: =================== HOSTS File: =========== 127.0.0.1 localhost Finished Voir RKreport.txt pour le rapport et les remontees Merci a Egwene et Eric_71 pour leur aide precieuse, ainsi qu'a Malekal_morte pour ses remontees. Merci a la team W~T pour les tests et remontees. Pour le rapport MBAM il n'est pas encore fini, je te l'enverrai peut etre demain à moins qu il ne faut pas redémarrer le pc entre temps?

Valuu · Answer

Il ne faut pas redémarrer l'ordinateur entre RogueKiller et MBAM, mais une fois le scan MBAM terminé, tu peux redémarrer ton ordinateur (il se peut même qu'il te le propose lui même).
Pour retrouver le rapport il est dans : Rapports/Logs, tu fais ouvrir et tu copies/colles le rapport ici.

oeht · Answer

et voilà le rapport MBAM :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5641

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30/01/2011 23:26:52
mbam-log-2011-01-30 (23-26-42).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 195536
Temps écoulé: 1 heure(s), 4 minute(s), 37 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 5
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 12

Processus mémoire infecté(s):
c:\WINDOWS\Zwolea.exe (Trojan.FraudPack.Gen) -> 1352 -> No action taken.

Module(s) mémoire infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.FraudPack.Gen) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS (Trojan.Renos) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_XMLLookup (Hijacker.XMLLookup) -> Value: bak_XMLLookup -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_intl (Hijacker.intl) -> Value: bak_intl -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\XMLLookup (Hijacker.XMLLookup) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\intl (Hijacker.intl) -> Bad: (http://www.helpmeopen.com/?n=app&l=%04x&ext=%s) Good: (http://shell.windows.com/fileassoc/fileassoc.asp?LangID=%04x&Ext=%s) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\system32\sshnas21.dll (Trojan.FraudPack.Gen) -> No action taken.
c:\WINDOWS\Zwolea.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\documents and settings\all users\application data
olaabo15400
olaabo15400.exe (Rogue.SystemTool) -> No action taken.
c:\documents and settings	homas\local settings\Temp\Zvj.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\documents and settings	homas\local settings\Temp\Zvk.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\documents and settings	homas\local settings\Temp\Zvl.exe (Trojan.FraudPack.Gen) -> No action taken.
c:\documents and settings	homas\local settings	emporary internet files\Content.IE5\FZ1HN373\sjnlgn[1].htm (Trojan.Agent) -> No action taken.
c:\documents and settings	homas\local settings	emporary internet files\Content.IE5\N3HNWAWQ\xbvqxsa[1].htm (Trojan.FraudPack.Gen) -> No action taken.
c:\documents and settings	homas\local settings	emporary internet files\Content.IE5\TDFEJ3OG	yfnhc[1].htm (Rogue.SystemTool) -> No action taken.
c:\windows	emp\43.tmp (Rootkit.TDSS) -> No action taken.
c:\documents and settings	homas\application data\updates\updates.exe (Backdoor.Bot) -> No action taken.
c:\WINDOWS\Tasks\{62c40aa6-4406-467a-a5a5-dfdf1b559b7a}.job (Trojan.FakeAlert) -> No action taken.

oeht · Answer

Arf...
bon ba je recommence tout alors je relance roguekiller puis le scan de MBAM, je vais redonner les nouveaux rapports, au cas ou.

oeht · Answer

Nouveau rapport RK : RogueKiller V3.8.4 by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits User: Admin Mode: Remove -- Time : 31/01/2011 12:57:08 Bad processes: Killed SERVICE SSHNAS : C:\WINDOWS\system32\svchost.exe -k netsvcs... NOT KILLED! Deregistred: Fichier HOSTS: 127.0.0.1 localhost Finished

oeht · Answer

et voilà pour le rapport MBAM :


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5641

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

31/01/2011 16:34:19
mbam-log-2011-01-31 (16-34-19).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 196090
Temps écoulé: 3 heure(s), 23 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 13

Processus mémoire infecté(s):
c:\windows\zwolea.exe (Trojan.FraudPack.Gen) -> 2752 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\CE8SIIFGSU (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_XMLLookup (Hijacker.XMLLookup) -> Value: bak_XMLLookup -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_intl (Hijacker.intl) -> Value: bak_intl -> Quarantined and deleted successfully.





Comme je n'ai pas trop compris ce que j'ai fais, tu pourrais me dire si j'ai éliminé tous virus ou reste il des choses à faire?
Est ce que je dois laisser RogueKiller et MBAM installés sur mon pc?
Et si tu as des conseils pour que ca ne se reproduise plus? Je vais déja téléchargé Antivir et enlever Avast.

merci

oeht · Answer

Re, bon après avoir supprimé la liste dans MBAM ils m ont demandé de redémarrer le pc, ce que j'ai fais mais mon pc ne s"est pas rallumé correctement, j ai donc du l'éteindre au bouton puis le rallumé pour qu'enfin il s'allume normalement,et là avast me dit que j'ai un virus Rootkit Drive0, et il y a pas mal de fichiers dans la liste de quarantainte, j ai parfois des pages internet qui         s' ouvre avec des publicités bref je sais pas trop quoi faire.

Si quelqu'un pouvait m'aider, merci d'avance.

oeht · Answer

up

Valuu · Answer

Patience patience, j'ai un travail ^^

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\  
tutoriel combofix 

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION  
(si il te propose de l'installer remets internet)  

&#9654 Mets-le en langue française F  

&#9654 Tape sur la touche 1 (Yes) pour démarrer le scan.  
  

&#9654 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  

&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  

&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\  

&#9654 Note : Le rapport se trouve également là : C:\ComboFix.txt

oeht · Answer

D'accord je vais faire ca, mais je sais pas comment désactivé completement mon antivirus (avast) et il y a quoi d autres comme logiciels de protection? le pare feu? 


merci encore pour ton aide valuu, et désolé je ne m'y connais pas trop en informatique et si je suis un peu impatient^^.



Edit: ha j ai trouvé pour désactiver avast, je vais regardé pour le pare feu maintenant

Valuu · Answer

Pour le pare-feu c'est pas la peine ;) c'est surtout antivirus, antispyware (Spybot si tu as par exemple)

oeht · Answer

OK, merci je suis en train de lancer combofix, il me dit qu ile st en train de rechercher les fichiers infectés mais rien ne se passe, ce st là que j appuie sur "1"?



Edit: ha ca y est il commence à faire les différentes étapes.

Valuu · Answer

nan tu as déjà du appuyer sur 1 pour lancer le scan.
Attends que ça se fasses...

Tu as raté une étape essentielles...
? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\

Et patience, ça peut être long si y a du boulot.

oeht · Answer

Non, j' ai bien désactivé mon antivirus, et j'ai quitté internet, en disant déconnectes toi du net tu veux dire que je dois carrément débranché ma livebox?^^


Sinon j ai :
-quitté internet/protections
-lancé l analyse et à la fin il a redémarré j ai laissé faire, seulement en se rallumant il a eu le "bug" (lié au virus je crois) et mon pc n'a donc pas réussi à s allumer j ai donc du "l éteindre au bouton" puis le rallumer et là ca  a marché, je ne sais pas si ca change quelque chose mais je préfère le dire.

-Là il vient de me donner son rapport, j ai réactivé avast et donc je te poste le rapport de ComboFix.


(J'ai supprimé la partie avant "Lancé depuis" où il affiche l heure etc...je pense pas que ca soit vraiment utile et j avais l impression qu il y avait mon adresse IP donc voilà, je préfère ne pas la mettre, si tu en as besoin dis le moi je la met)




Lancé depuis: c:\documents and settings	homas\Mes documents\Téléchargements\Theo.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings	homas\Application Data\PriceGong
c:\documents and settings	homas\Application Data\PriceGong\Data\1.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\a.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\b.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\c.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\d.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\e.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\f.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\g.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\h.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\i.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\J.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\k.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\l.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\m.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\mru.xml
c:\documents and settings	homas\Application Data\PriceGong\Data
.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\o.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\p.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\q.xml
c:\documents and settings	homas\Application Data\PriceGong\Data.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\s.xml
c:\documents and settings	homas\Application Data\PriceGong\Data	.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\u.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\v.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\w.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\x.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\y.xml
c:\documents and settings	homas\Application Data\PriceGong\Data\z.xml
c:\documents and settings	homas\Menu Démarrer\Programmes\System Tool
c:\program files\GamesBar\obERontb.dll
c:\windows\system32	mp.tmp . . . . impossible à supprimer

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SSHNAS


(((((((((((((((((((((((((((((   Fichiers créés du 2010-12-28 au 2011-01-31  ))))))))))))))))))))))))))))))))))))
.

2011-01-31 20:51 . 2011-01-31 20:58	0	----a-w-	c:\windows\system32	mp.tmp
2011-01-31 20:33 . 2011-01-31 20:34	--------	d-----w-	C:\32788R22FWJFW
2011-01-31 15:27 . 2011-01-31 15:27	47616	----a-w-	c:\windows\system32\mfwturif.dll
2011-01-30 21:19 . 2011-01-30 21:19	--------	d-----w-	c:\documents and settings	homas\Application Data\Malwarebytes
2011-01-30 21:19 . 2011-01-30 21:19	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-01-30 21:19 . 2010-11-29 16:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-01-30 21:19 . 2011-01-30 21:19	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-01-30 21:19 . 2010-11-29 16:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-01-30 18:43 . 2011-01-31 15:34	--------	d-----w-	c:\documents and settings\All Users\Application Data
OlAaBo15400
2011-01-30 18:43 . 2011-01-31 15:34	--------	d-----w-	c:\documents and settings	homas\Application Data\updates
2011-01-29 21:09 . 2011-01-29 21:09	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2011-01-13 07:31 . 2011-01-13 18:29	--------	d-----w-	C:\Warcraft III
2011-01-13 07:10 . 2011-01-13 07:30	--------	d-----w-	c:\program files\Warcraft III
2011-01-02 12:44 . 2011-01-02 12:44	--------	d-----w-	c:\documents and settings	homas\Application Data\Mostick

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-13 08:47 . 2010-12-27 10:57	38848	----a-w-	c:\windows\avastSS.scr
2011-01-13 08:47 . 2010-12-27 10:57	188216	----a-w-	c:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2010-12-27 10:57	294608	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2010-12-27 10:57	47440	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2010-12-27 10:57	100176	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2010-12-27 10:57	94544	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2010-12-27 10:57	23632	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2010-12-27 10:57	29392	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-01-13 08:37 . 2010-12-27 10:57	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-12-16 16:03 . 2010-12-27 17:03	11264	------w-	c:\windows\system32\Utils.dll
2010-11-29 16:38 . 2010-11-29 16:38	94208	----a-w-	c:\windows\system32\QuickTimeVR.qtx
2010-11-29 16:38 . 2010-11-29 16:38	69632	----a-w-	c:\windows\system32\QuickTime.qts
2010-11-18 18:12 . 2010-01-15 21:02	86016	----a-w-	c:\windows\system32\isign32.dll
2010-11-12 17:53 . 2010-12-27 17:46	472808	----a-w-	c:\windows\system32\deployJava1.dll
2010-11-12 15:34 . 2010-12-27 17:46	73728	----a-w-	c:\windows\system32\javacpl.cpl
2010-11-09 14:52 . 2004-08-05 12:00	249856	----a-w-	c:\windows\system32\odbc32.dll
2010-11-06 00:21 . 2004-08-05 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-11-06 00:21 . 2004-08-05 12:00	43520	----a-w-	c:\windows\system32\licmgr10.dll
2010-11-06 00:21 . 2004-08-05 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2010-11-03 12:26 . 2004-08-05 12:00	385024	----a-w-	c:\windows\system32\html.iec
2010-01-16 10:40 . 2010-01-16 10:40	278528	----a-w-	c:\program files\Fichiers communs\FDEUnInstaller.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR	buTor.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
2010-12-09 11:51	3911776	----a-w-	c:\program files\uTorrentBar_FR	buTor.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
2010-12-09 11:51	3911776	----a-w-	c:\program files\ConduitEngine\ConduitEngine.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program files\ConduitEngine\ConduitEngine.dll" [2010-12-09 3911776]
"{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}"= "c:\program files\uTorrentBar_FR	buTor.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}"= "c:\program files\uTorrentBar_FR	buTor.dll" [2010-12-09 3911776]

[HKEY_CLASSES_ROOT\clsid\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\program files\Steam\Steam.exe" [2010-11-17 1242448]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2011-01-03 15028104]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2010-12-28 396152]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-21 61440]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-12-13 421160]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings	homas\Menu D'marrer\Programmes\D'marrage\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2010-5-20 1195008]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BDARemote.lnk - c:\program files\USB TV\EM28XX\BDARemote.exe [2010-11-6 81997]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, mfwturif.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\World of Warcraft\WoW-3.2.0-frFR-downloader.exe"=
"c:\Program Files\World of Warcraft\Launcher.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\World of Warcraft Public Test\WoW-0.3.0.10522-frFR-ptr-downloader.exe"=
"c:\World of Warcraft Public Test\Launcher.exe"=
"c:\Documents and Settings\thomas\Mes documents\Téléchargements\StarCraft_2_Beta_frFR.exe"=
"c:\Documents and Settings\thomas\Mes documents\Téléchargements\StarCraft_2_Beta_frFR(2).exe"=
"c:\Documents and Settings\thomas\Mes documents\Téléchargements\StarCraft_2_Beta_frFR(3).exe"=
"c:\Documents and Settings\thomas\Mes documents\Téléchargements\StarCraft_2_Beta_frFR(4).exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\World of Warcraft\WoW-3.3.5.12340-x86-Win-frFR-BKGND-downloader.exe"=
"c:\Program Files\World of Warcraft\Blizzard Downloader.exe"=
"c:\Program Files\Steam\Steam.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\uTorrent\uTorrent.exe"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Program Files\Steam\SteamApps\oehthegg\counter-strike source\hl2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724
"6112:TCP"= 6112:TCP:Blizzard Downloader

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [27/12/2010 11:57 294608]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [27/12/2010 11:57 17744]
S0 uraluk;uraluk;c:\windows\system32\drivers\xnqg.sys --> c:\windows\system32\drivers\xnqg.sys [?]
S2 AMService;AMService;c:\windows\TEMP\jgug\setup.exe run --> c:\windows\TEMP\jgug\setup.exe run [?]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [17/07/2010 20:55 136176]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [17/12/2009 19:00 243056]
S3 XDva363;XDva363;\??\c:\windows\system32\XDva363.sys --> c:\windows\system32\XDva363.sys [?]
.
Contenu du dossier 'Tâches planifiées'

2010-10-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2011-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-17 19:55]

2011-01-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-07-17 19:55]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
TCP: {2B171A11-2E17-468C-8A9E-EB617E38D3A6} = 8.8.8.8,8.8.4.4
FF - ProfilePath - c:\documents and settings	homas\Application Data\Mozilla\Firefox\Profiles\xmo0rbf2.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}
FF - Ext: Yahoo! Toolbar: {635abd67-4fe9-1b23-4f01-e679fa7484c1} - %profile%\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
FF - Ext: Conduit Engine : engine@conduit.com - %profile%\extensions\engine@conduit.com
FF - Ext: uTorrentBar_FR Community Toolbar: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - %profile%\extensions\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - user.js: yahoo.homepage.dontask - true
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-01-31 22:01
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(684)
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1372)
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\SOUNDMAN.EXE
c:\program files\OpenOffice.org 3\program\soffice.exe
c:\program files\OpenOffice.org 3\program\soffice.bin
c:\program files\Skype\Plugin Manager\skypePM.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-01-31  22:05:01 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-01-31 21:04

Avant-CF: 152 759 054 336 octets libres
Après-CF: 154 250 686 464 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 8392A0FDB733037D79789AFFC9B9C4C6








Donc voilà j'espère que j'ai tout bien fait, j'attends tes instructions^^

Encore merci





PS: Avast me signale encore des virus (MBR : //PhysicalDrive0)

Valuu · Answer

Salut gen.  

Peux-tu scanner ceci sur VirusTotal et me coller ici les adresses après le rapport.  
c:\program files\Fichiers communs\FDEUnInstaller.exe
c:\windows\system32\mfwturif.dll    

Si le fichier est caché, affiche le en faisant Outils/Options des fichiers et coche "afficher le fichiers et dossiers cachés"  

En attendant je t'analyses la suite du rapport, y a des petits trucs pas cleans

oeht · Answer

http://www.virustotal.com/file-scan/reanalysis.html?id=c76bedeadeaa070880c101764dfb6d58b44b5816953ccb7cc114d17f842424de-1296511826



J'espère que c est ca qu'il fallait faire... Je n'ai pas tout compris

Valuu · Answer

C'est ça, j'ai édité mon message précédent, j'ai rajouté un deuxième fichier à analyser.

oeht · Answer

http://www.virustotal.com/file-scan/reanalysis.html?id=fc7c837a7e31bc9f69b922126c33a9f409b1f3a7799846b82e45ceaf17f6e1c4-1296512605

Valuu · Answer

Re, Attend que Gen-hackman passe par là et valide ce script avant de le faire.  
C'est un outil puissant, et mal maitrisé ça peut faire mal. Pour ta sécurité, attend sa bénédiction. (Je dis pas par là que je fais n'importe quoi non plus)  

*Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :  

KillAll::  

File::  
c:\windows\system32\odbc32.dll   
c:\windows\system32\wininet.dll   
c:\program files\ConduitEngine\ConduitEngine.dll   
c:\windows\system32\XDva363.sys  
c:\windows\system32	mp.tmp   
c:\windows\system32\mfwturif.dll   

Folder::  
c:\documents and settings\All Users\Application Data
OlAaBo15400   


Enregistre ce fichier sous le nom CFScript  

*Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture  

http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif  

*Combofix se lance, laisse toi guider..  

*Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!  
Ne touche à rien tant que le scan n'est pas terminé.  
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu  

*Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

oeht · Answer

OK, donc j'attend que gen-hackman me dise de le faire, et sinon je peux le faire demain, ca fait rien s'y j'éteind mon pc et le rallume demain?Et demain l'alimentation de chez moi va être coupé, ca ne va rien changé non plus? je peux vraiment éteindre mon pc même si le courant va être coupe?

Valuu · Answer

Non c'est pas grave si tu éteints entre temps. Et toute façon si demain t'as plus de courant, ton pc se couperait tout seul d'une manière où d'une autre.
On continue dès que Gen est passé par là.

A demain.

gen-hackman · Answer

hello est-il possible de lire l'entête du rapport combofix ?

tu ne crains rien personne ne peut rien faire avec ces données :)

Valuu · Answer

Comment ça ? Mon script est pas bon ? il manque un truc ?

gen-hackman · Answer

sisi mais il manque l'entete du rapport de Combofix 

edit::

en fait non

ceci appartient à Combofix

G3?-?@¢??@?......Concepteur de List_Kill'em...

oeht · Answer

Bonjour, alors voilà il y a du nouveau

-je n ai plus le virus system tool (en tout cas il ne s affiche plus il je n ai plus le fond d ecran bleu , donc aucunes traces de lui)
-mon pc continue a mal s'allumer.
-des pages internets intempestives s ouvrent quand je suis sur intnert (sites pornos,pubs etc..°
-mon antivirus avast detecte un virus qu il n arrive pas a supprimer du nom de MBR://PHYSICALDRIVE0
-je n'ai pas de sons sur internet (quand je regarde des videos etc...)mais el son marchent tres bien sur les jeux videos



donc voilà pour les changements maintenant quelques questions:

-déjà si je dois faire le truc du document texte et tout suite au changement de problèmes
-j aimerai aussi savoir à quoi servira le rapport que je dois vous envoyer apres l analyse?et ce que je dois faire après?
      En fait, depuis le debut je sais pas trop ce que je fais et à quoi ca mène donc voilà j aurais juste besoin de quelques précisions sur ces points là, en particulier sur les étapes futures pour savoir si ca va durer encore longtemps et tout quoi^^



Merci d'avance

Valuu · Answer

Bonjour bonjour !

Merci pour le point sur les problèmes, on va régler ça.

déjà si je dois faire le truc du document texte et tout suite au changement de problèmes 

Oui oui, c'est sont des éléments infectieux, ton alerte antivirus vient surement de là.
Fais le donc.

j aimerai aussi savoir à quoi servira le rapport que je dois vous envoyer apres l analyse

En fait c'est pas une analyse là, ça va te supprimer les fichiers que j'ai inscrit dans le texte. Ce sont des éléments infectieux.
Donc le rapport va me permettre de savoir si ça a bien été supprimé ou pas.

et ce que je dois faire après? 
Bah... Chaque chose en son temps. En verra en fonction du rapport d'analyse.

En fait, depuis le debut je sais pas trop ce que je fais et à quoi ca mène
Si tu veux, à la fin je te fais un récap' pour t'expliquer ce qu'on a fait ?

savoir si ca va durer encore longtemps
Alors là... Seul l'avenir nous le dira :D Des fois on est surpris. Quand j'ai pris ton sujet, je pensais qu'un simple passage de RogueKiller + MBAM aurait suffit, mais tu avais d'autres infections cachées :)

Virus System tool

29 réponses

Discussions similaires