Virus TR/FakeSysdef.A.187

Résolu/Fermé
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011 - 4 févr. 2011 à 19:05
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 11 févr. 2011 à 00:10
Bonjour,

hier Avira m'a indiqué que mon ordinateur avait été infecté par ce virus :
TR/FakeSysdef.A.187
et aussi par TR/FakeSysdef.A.188
J'ai eu plein de fois la fenêtre qui s'est ouverte, comme si j'avais eu 80 fois ces virus !
Dès que je fermais un fenêtre une autre s'ouvrait, etc... du coup dans la panique j'ai débranché mon ordi. Après je l'ai rallumé, j'ai eu un écran noir et une fenêtre me demandant de faire une défragmentation, pareil j'ai éteint.
Ensuite j'ai rallumé, j'ai fermé les fenêtres de l'antivirus qui me disaient que j'avais un cheval de troie (je les ai tous supprimés), et j'ai lancé un scan intégral.
Avira a trouvé 8 virus, que j'ai également supprimé.

J'aimerai savoir si mon ordi est désinfecté, ou bien si le virus est encore là ? Si il y est encore, comment le détruire ?

Merci d'avance pour votre aide...

PS : J'écris d'un autre ordinateur, je n'ai connecté mon ordinateur à Internet que pour faire la mise à jour d'Avira, j'ai trop peur d'aggraver la situation avec Internet !

A voir également:

19 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 4/02/2011 à 19:09
Bonjour,

Est-ce que tu peux poster le rapport Avira

Sinon on va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
4 févr. 2011 à 19:09
Hello,

A mon avis tu es encore infecté. On va vérifier ça :

-+-+-+-+-> ZHPDiag <-+-+-+-+-


[x] Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

[x] Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

[x] Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau ( Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur " )

[x] Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

[x] Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

[x] Rend toi sur cjoint puis clique sur " Parcourir ".

[x] Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

[x] Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
0
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011
4 févr. 2011 à 19:15
Voici le rapport Avira :



Avira AntiVir Personal
Date de création du fichier de rapport : jeudi 3 février 2011 13:14

La recherche porte sur 2450817 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
Numéro de série : 0000149996-ADJIE-0000001
Plateforme : Windows XP
Version de Windows : (Service Pack 3) [5.1.2600]
Mode Boot : Démarré normalement
Identifiant : SYSTEM
Nom de l'ordinateur : HELENE

Informations de version :
BUILD.DAT : 9.0.0.81 21698 Bytes 22/10/2010 12:02:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 13/05/2010 19:49:19
AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02
LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11
LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 19:49:18
VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 21:33:58
VBASE002.VDF : 7.11.0.1 2048 Bytes 14/12/2010 21:33:58
VBASE003.VDF : 7.11.0.2 2048 Bytes 14/12/2010 21:33:58
VBASE004.VDF : 7.11.0.3 2048 Bytes 14/12/2010 21:33:58
VBASE005.VDF : 7.11.0.4 2048 Bytes 14/12/2010 21:33:59
VBASE006.VDF : 7.11.0.5 2048 Bytes 14/12/2010 21:33:59
VBASE007.VDF : 7.11.0.6 2048 Bytes 14/12/2010 21:33:59
VBASE008.VDF : 7.11.0.7 2048 Bytes 14/12/2010 21:33:59
VBASE009.VDF : 7.11.0.8 2048 Bytes 14/12/2010 21:33:59
VBASE010.VDF : 7.11.0.9 2048 Bytes 14/12/2010 21:33:59
VBASE011.VDF : 7.11.0.10 2048 Bytes 14/12/2010 21:34:00
VBASE012.VDF : 7.11.0.11 2048 Bytes 14/12/2010 21:34:00
VBASE013.VDF : 7.11.0.52 128000 Bytes 16/12/2010 21:57:14
VBASE014.VDF : 7.11.0.91 226816 Bytes 20/12/2010 19:41:18
VBASE015.VDF : 7.11.0.122 136192 Bytes 21/12/2010 19:41:20
VBASE016.VDF : 7.11.0.156 122880 Bytes 24/12/2010 20:56:58
VBASE017.VDF : 7.11.0.185 146944 Bytes 27/12/2010 21:32:07
VBASE018.VDF : 7.11.0.228 132608 Bytes 30/12/2010 16:21:51
VBASE019.VDF : 7.11.1.5 148480 Bytes 03/01/2011 21:23:26
VBASE020.VDF : 7.11.1.37 156672 Bytes 07/01/2011 16:40:05
VBASE021.VDF : 7.11.1.65 140800 Bytes 10/01/2011 21:54:42
VBASE022.VDF : 7.11.1.87 225280 Bytes 11/01/2011 21:54:47
VBASE023.VDF : 7.11.1.124 125440 Bytes 14/01/2011 18:55:43
VBASE024.VDF : 7.11.1.155 132096 Bytes 17/01/2011 18:55:31
VBASE025.VDF : 7.11.1.189 451072 Bytes 20/01/2011 18:56:00
VBASE026.VDF : 7.11.1.230 138752 Bytes 24/01/2011 19:30:40
VBASE027.VDF : 7.11.2.12 164352 Bytes 27/01/2011 21:03:52
VBASE028.VDF : 7.11.2.43 178176 Bytes 01/02/2011 11:30:41
VBASE029.VDF : 7.11.2.44 2048 Bytes 01/02/2011 11:30:41
VBASE030.VDF : 7.11.2.45 2048 Bytes 01/02/2011 11:30:41
VBASE031.VDF : 7.11.2.63 121856 Bytes 03/02/2011 11:30:41
Version du moteur : 8.2.4.158
AEVDF.DLL : 8.1.2.1 106868 Bytes 29/07/2010 20:04:16
AESCRIPT.DLL : 8.1.3.53 1282427 Bytes 30/01/2011 21:56:46
AESCN.DLL : 8.1.7.2 127349 Bytes 24/11/2010 06:32:29
AESBX.DLL : 8.1.3.2 254324 Bytes 24/11/2010 06:32:32
AERDL.DLL : 8.1.9.2 635252 Bytes 21/09/2010 19:41:34
AEPACK.DLL : 8.2.4.9 512374 Bytes 30/01/2011 21:56:43
AEOFFICE.DLL : 8.1.1.16 205179 Bytes 30/01/2011 21:56:42
AEHEUR.DLL : 8.1.2.70 3191159 Bytes 30/01/2011 21:56:41
AEHELP.DLL : 8.1.16.0 246136 Bytes 03/12/2010 19:21:40
AEGEN.DLL : 8.1.5.2 397683 Bytes 20/01/2011 18:56:26
AEEMU.DLL : 8.1.3.0 393589 Bytes 24/11/2010 06:32:18
AECORE.DLL : 8.1.19.2 196983 Bytes 20/01/2011 18:56:21
AEBB.DLL : 8.1.1.0 53618 Bytes 13/05/2010 19:49:19
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30
AVPREF.DLL : 9.0.3.0 44289 Bytes 13/05/2010 19:49:19
AVREP.DLL : 8.0.0.7 159784 Bytes 13/05/2010 19:49:20
AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42
AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57
NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/05/2010 19:49:16
RCTEXT.DLL : 9.0.73.0 88321 Bytes 13/05/2010 19:49:16

Configuration pour la recherche actuelle :
Nom de la tâche...............................: Contrôle intégral du système
Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
Documentation.................................: bas
Action principale.............................: interactif
Action secondaire.............................: ignorer
Recherche sur les secteurs d'amorçage maître..: marche
Recherche sur les secteurs d'amorçage.........: marche
Secteurs d'amorçage...........................: C:,
Recherche dans les programmes actifs..........: marche
Recherche en cours sur l'enregistrement.......: marche
Recherche de Rootkits.........................: marche
Contrôle d'intégrité de fichiers système......: arrêt
Fichier mode de recherche.....................: Tous les fichiers
Recherche sur les archives....................: marche
Limiter la profondeur de récursivité..........: 20
Archive Smart Extensions......................: marche
Heuristique de macrovirus.....................: marche
Heuristique fichier...........................: moyen

Début de la recherche : jeudi 3 février 2011 13:14

La recherche d'objets cachés commence.
'173179' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :
Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iPodService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WindowsSearch.exe' - '1' module(s) sont contrôlés
Processus de recherche 'QbyEjDmJqwk.exe' - '1' module(s) sont contrôlés
Module infecté -> 'C:\Documents and Settings\All Users\Application Data\QbyEjDmJqwk.exe'
Processus de recherche 'msmsgs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'msnmsgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ISUSPM.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ctfmon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sttray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
Processus de recherche 'iTunesHelper.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hidfind.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApntEx.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PDVDDXSrv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'WLTRAY.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'DellWMgr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxpers.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxsrvc.exe' - '1' module(s) sont contrôlés
Processus de recherche 'ApMsgFwd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'hkcmd.exe' - '1' module(s) sont contrôlés
Processus de recherche 'igfxtray.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AESTFltr.exe' - '1' module(s) sont contrôlés
Processus de recherche 'Apoint.exe' - '1' module(s) sont contrôlés
Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'searchindexer.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'SeaPort.exe' - '1' module(s) sont contrôlés
Processus de recherche 'PSIService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'o2flash.exe' - '1' module(s) sont contrôlés
Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés
Processus de recherche 'mDNSResponder.exe' - '1' module(s) sont contrôlés
Processus de recherche 'AppleMobileDeviceService.exe' - '1' module(s) sont contrôlés
Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
Processus de recherche 'stacsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
Processus de recherche 'BCMWLTRY.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'WLTRYSVC.EXE' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
Le processus 'QbyEjDmJqwk.exe' est arrêté
C:\Documents and Settings\All Users\Application Data\QbyEjDmJqwk.exe
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.188
[REMARQUE] Fichier supprimé.

'54' processus ont été contrôlés avec '53' modules

La recherche sur les secteurs d'amorçage maître commence :
Secteur d'amorçage maître HD0
[INFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :
Secteur d'amorçage 'C:\'
[INFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '64' fichiers).


La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <OS>
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Hélène\Application Data\Sun\Java\Deployment\cache\6.0\37\7e0bf2a5-2976b07e
[0] Type d'archive: ZIP
--> prev/monoid.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Applet.K
C:\Documents and Settings\Hélène\Local Settings\Temp\jar_cache3262277585233426656.tmp
[0] Type d'archive: ZIP
--> tower/Drivers.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Agent.EA
--> tower/Googles.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/ClassLoad.J
--> tower/Updaters.class
[RESULTAT] Contient le modèle de détection du virus Java JAVA/Dldr.OpenConnection.EX
C:\Documents and Settings\Hélène\Local Settings\Temp\tmp28.tmp
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.188
C:\Documents and Settings\Hélène\Local Settings\Temp\tmp29.tmp
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.188
C:\Documents and Settings\Hélène\Mes documents\Téléchargements\OOo_3.1.1_Win32Intel_install_wJRE_fr(2).exe
[0] Type d'archive: NSIS
--> e
[1] Type d'archive: CAB (Microsoft)
--> testtar.tar
[2] Type d'archive: TAR (tape archiver)
[AVERTISSEMENT] Erreur interne !
C:\Program Files\OpenOffice.org 3\Basis\program\python-core-2.6.1\lib\test\testtar.tar
[AVERTISSEMENT] Erreur interne !
[AVERTISSEMENT] Erreur interne !
C:\System Volume Information\_restore{7F06EDF5-C529-4657-A0A2-A39C96FDE661}\RP218\A0128330.dll
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.187
C:\System Volume Information\_restore{7F06EDF5-C529-4657-A0A2-A39C96FDE661}\RP218\A0128350.dll
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.187
C:\System Volume Information\_restore{7F06EDF5-C529-4657-A0A2-A39C96FDE661}\RP218\A0128351.exe
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.188

Début de la désinfection :
C:\Documents and Settings\Hélène\Application Data\Sun\Java\Deployment\cache\6.0\37\7e0bf2a5-2976b07e
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d7ab1bd.qua' !
C:\Documents and Settings\Hélène\Local Settings\Temp\jar_cache3262277585233426656.tmp
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dbcb1b9.qua' !
C:\Documents and Settings\Hélène\Local Settings\Temp\tmp28.tmp
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.188
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4dbab1c5.qua' !
C:\Documents and Settings\Hélène\Local Settings\Temp\tmp29.tmp
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.188
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cc2031e.qua' !
C:\System Volume Information\_restore{7F06EDF5-C529-4657-A0A2-A39C96FDE661}\RP218\A0128330.dll
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.187
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4d7bb189.qua' !
C:\System Volume Information\_restore{7F06EDF5-C529-4657-A0A2-A39C96FDE661}\RP218\A0128350.dll
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.187
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4963ebca.qua' !
C:\System Volume Information\_restore{7F06EDF5-C529-4657-A0A2-A39C96FDE661}\RP218\A0128351.exe
[RESULTAT] Contient le cheval de Troie TR/FakeSysdef.A.188
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c0c1a9a.qua' !


Fin de la recherche : jeudi 3 février 2011 14:44
Temps nécessaire: 1:30:43 Heure(s)

La recherche a été effectuée intégralement

12099 Les répertoires ont été contrôlés
530078 Des fichiers ont été contrôlés
11 Des virus ou programmes indésirables ont été trouvés
0 Des fichiers ont été classés comme suspects
1 Des fichiers ont été supprimés
0 Des virus ou programmes indésirables ont été réparés
7 Les fichiers ont été déplacés dans la quarantaine
0 Les fichiers ont été renommés
2 Impossible de contrôler des fichiers
530065 Fichiers non infectés
14312 Les archives ont été contrôlées
4 Avertissements
10 Consignes
173179 Des objets ont été contrôlés lors du Rootkitscan
0 Des objets cachés ont été trouvés
0
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011
4 févr. 2011 à 19:26
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
4 févr. 2011 à 19:40
Salut Xplode :)

@quazed
Ton logiciel ZHPDiag n'est pas à jour.
Désinstalle ZHPDiag et réinstalle le depuis ce lien:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Refais un scan et poste le rapport via cijoint

Smart
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
4 févr. 2011 à 19:47
Hello Smart, je te laisse continuer ;-)
@+
0
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011
4 févr. 2011 à 19:45
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 5/02/2011 à 10:30
Je pense que tu as des restes d'un rogue:

- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011
4 févr. 2011 à 21:01
Il m'a affiché ça :


RogueKiller V3.9.0 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: Hélène [Admin rights]
Mode: Scan -- Time : 04/02/2011 20:58:47

Bad processes:

Found:
HKCU\...\RUN\ QbyEjDmJqwk.exe : C:\Documents and Settings\All Users\Application Data\QbyEjDmJqwk.exe
HKCU\...\RUN\ YI3DTnvu : C:\Documents and Settings\All Users\Application Data\YI3DTnvu.exe
HKCU\...\Internet Settings\ ProxyServer : proxy.ls.groupe-esa.fr:8080

HOSTS File:
127.0.0.1 localhost


Finished
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
4 févr. 2011 à 21:04
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.
0
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011
4 févr. 2011 à 21:06
Voilà :

RogueKiller V3.9.0 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: Hélène [Admin rights]
Mode: Remove -- Time : 04/02/2011 21:06:00

Bad processes:

Deregistred:
HKCU\...\RUN\ QbyEjDmJqwk.exe : C:\Documents and Settings\All Users\Application Data\QbyEjDmJqwk.exe
HKCU\...\RUN\ YI3DTnvu : C:\Documents and Settings\All Users\Application Data\YI3DTnvu.exe
HKCU\...\Internet Settings\ ProxyServer : proxy.ls.groupe-esa.fr:8080 ...NOT REMOVED, USE PROXYFIX

HOSTS File:
127.0.0.1 localhost


Finished
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
4 févr. 2011 à 21:11
Maintenant tu fais ceci:

* Télécharge et installe Malwarebytes
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart
0
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011
4 févr. 2011 à 23:07
Voici le rapport obtenu, avant le redémarrage de l'ordinateur :


Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5679

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

04/02/2011 23:02:03
mbam-log-2011-02-04 (23-02-03).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 295874
Temps écoulé: 1 heure(s), 3 minute(s), 43 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 11
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com\http (Hijack.TrustedZone) -> Bad: (2) Good: (4) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Hélène\application data\Sun\Java\deployment\cache\6.0\44\113392c-573274fb (Rogue.WindowsDisk) -> Quarantined and deleted successfully.
c:\documents and settings\Hélène\local settings\Temp\0.5308188522085825.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Hélène\local settings\Temp\0.9694807182202746.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\Hélène\application data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\41.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\ES15.exe (Rogue.SecurityEsssentials) -> Quarantined and deleted successfully.






Mon ordinateur contient-il encore le virus ? Ou bien est-ce un autre soucis que vous m'aidez à régler ?
En tout cas, je vous remercie de prendre sur votre temps pour me venir en aide !
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
4 févr. 2011 à 23:31
Realnce MBAM et vide la quarantaine.
Ensuite, refais un scan ZHPDiag pour une vérification et poste le rapport via cijoint.

Smart
0
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011
5 févr. 2011 à 09:13
Bonjour !

Voilà le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijlP6ity5.txt
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
5 févr. 2011 à 10:47
OK. C'est bon. Imprime ce qui suit pour bien suivre la procédure

Fais les mises à jour suivantes:

Mise àjour Firefox vers la version 3.6.13:
Allez dans ? > Rechercher des mises à jour ... et cliquez sur "Appliquer la mise à jour"
Sinon aller sur ce lien ==> http://www.mozilla-europe.org/fr/firefox/

Mise à jour Java 6 update 23 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Yahoo" avant de cliquer su suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 dont l'update est infèrieurs à 23

Mise à jour vers Adobe 9.4.1
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour

Mise à jour flashplayer vers la version 10.1.102.64
* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle http://fpdownload.adobe.com/get/flashplayer/current/install_flash_player_ax.exe ActiveX] (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
O64 - Services: CurCS - (.not file.) - tuwesg (tuwesg) .(.Pas de propriétaire - Pas de description.) - LEGACY_TUWESG
CTFDisabled
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- c:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKCU\..\Run: [ISUSPM] . (.Macrovision Corporation - Macrovision Software Manager.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-2590883602-3045922567-1847128847-1005\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-21-2590883602-3045922567-1847128847-1005\..\Run: [ISUSPM] . (.Macrovision Corporation - Macrovision Software Manager.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
OPT:O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
OPT:SR - | Auto 12/12/2008 238888 | (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe

----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
Dans la barre des tâches de Windows, clique sur Démarrer.
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
Clique sur Appliquer.
Ensuite décoche "Désactiver la restauration du systeme"
Clique sur appliquer puis ok
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

- Par rapport au P2P : http://www.libellules.ch/...

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart
0
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011
Modifié par quazeg le 5/02/2011 à 11:27
merci beaucoup !
Par contre je me suis arrêtée au point 2 avec C Cleaner, car le logiciel est payant... Je peux faire le point 3 sans le 2 ?

Pensez-vous qu'Avira est un bon antivirus ? Ou bien vous m'en conseilleriez un autre ?

Merci pour tout !
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 5/02/2011 à 11:39
Le logiciel CCleaner n'est pas payant, il demande simplement si tu veux faire un don, et tu n'y es pas obligé

==>https://www.ccleaner.com/ccleaner/download/standard

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
Modifié par Tigzy le 10/02/2011 à 12:22
Hello smart,

EDIT (Grosse connerie)

Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
10 févr. 2011 à 12:00
Je l'ai bien vu Tigzy, mais je ne l'ai pas supprimé car j'avais un doute, il se peut que soit un proxy légitime, qui vient de ce domaine : groupe-esa.fr
Qui est l'Ecole supèrieure d'Agiculture
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
10 févr. 2011 à 12:22
Ah au temps pour moi! J'ai pas bien regardé, oui il est tout à fait légitime.

:)
0
quazeg Messages postés 12 Date d'inscription vendredi 4 février 2011 Statut Membre Dernière intervention 17 juin 2011
10 févr. 2011 à 12:51
C'est mon école ! Il y a un problème ?
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
10 févr. 2011 à 13:45
Aucun.
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
11 févr. 2011 à 00:10
:-)
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
Modifié par Smart91 le 10/02/2011 à 14:40
Non aucun pb. C'était une discussion entre nous Helper. Je n'ai pas supprimé le proxy de ton école

Fais la suite pour terminer proprement ta désinfection

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
0