Infections et autres maux Fermé

Question

Bonsoir, 

Finallement mon problème commence plus à devenir une blague qu'autre chose. Ca a commencé le jour ou j'ai recuperé le pc il était infecté jusqu'a la moelle. J'ai essayé d'installer antivirus sur antivirus mais rien n'y faisait. Prise par le boulot et par manque de temps j'ai laissé tomber et reporté la lutte à plus tard. 
Jusqu'a hier s'en était trop : L'accés au réseau sans fil était devenu impossible apres 24H de cable réseau j'en ai eu marre ! 
Avira, Stinger, Hijackthis , MBAM, tout y es passé finallement j'ai recuperé le sans fil, j'ai pu installer Avira et regagné un peu de mon pc. 
Je lance le redemarrage ! 
Ouf j'ai encore le wifi mais plus de FF et Avira refuse de rester allumé plus de 10 secondes 

En gros j'ai la totale niveau infections et les plus tenaces qui plus est : 

- Conficker 
- Virtumonde 
Et j'en passe, et pas les plus simples 

Etat des lieus et des problèmes : 

- Accés réseau sans fil : bloqué 
- Accés Gestionnaire des taches bloqué 
- Accés au site d'antivirus et microsoft : bloqué 
- Accés MSN : Bloqué 
- Réinitialisation de la date à 2002 a chaque redemarrage 
- Ressources PC surutilisées 
- Installation ou lancement d'antivirus quasi impossible 

Et encore ce ne sont que ceux dont je me souviens et les plus majeurs d'entre eux mais je commence à croire que d'autres problèmes sont la conséquence de ces infections : 

- Batterie toujours à plat
- PC qui chauffe hors normes et j'en passe 

Après 3h d'interventions : 

- Accés réseau sans fil : Fixed 
- Accés Gestionnaire des taches Bloqué 
- Accés au site d'antivirus et microsoft : Fixed pour certains pas pour d'autres 
- Accés MSN : Fixed 
- Réinitialisation de la date à 2002 a chaque redemarrage : Fixed 
- Ressources PC surutilisées : ON dirait pas que ce soit reglé 
- Firefox refuse de fonctionner j'ai droit à : crashreporter.exe n'existe plus 
- Avira qui m'a pas mal aidé à supprimer les infections refuse à nouveau de se lancer 


Je dit STOP je jette l'éponge cela dépasse mes maigres compétences et me fatigue plus qu'autre chose, Une âme charitable pourrais-t-elle m'aider à me debarasser des ces infections malsaines car entre les trojan, les vers, les malware et j'en passe j'ai fini par être  perdue 
Je peux vous fournir le rapport hijackthis de depart et le deuxieme, le rapport stinger, le rapport avira et le rapport MBAM

Windaube m'a tué ce soir

Configuration: Windows XP / Safari 534.13

Utilisateur anonyme · Answer

Bonsoir   
Attention, cet outil n'est pas à utiliser à la légère   

Assure toi d'abord d'avoir fait une sauvegarde des documents   

 Télécharge ComboFix de sUBs sur ton Bureau :   
http://download.bleepingcomputer.com/sUBs/ComboFix.exe   

tutoriel pour bien utiliser l'outil   
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix  

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\   
---> Double-clique sur ComboFix.exe   
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter   
Surtout, accepte d'installer la console de récupération   
---> Mets-le en langue française F   
Tape sur la touche 1 (Yes) pour démarrer le scan.   

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC   

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.   

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu   

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\   

Note : Le rapport se trouve également là : C:\ComboFix.txt   



O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Gee · Answer

C'est bien ce que je pensais 

J'ai bien failli m'y attaquer toute seule 

Mais j'aurais pas su interpreter de toute facon 

Merci en tout cas, bon je m'y met je te tiens au courant après coup

Gee · Answer

C'est dingue j'ai pas dit que je baissais les bras pour rien 

Même ComboFix n'y resiste pas 

" Il est dangereux de continuer " 

" Votre pc ... Virut " 

Dommage l'imprimecran a raté :/ 

Bref je recommence

Utilisateur anonyme · Answer

Attend ne t'inquiète pas j'ai d'autres cartes en main

Gee · Answer

Toujours rien : 

https://imageshack.com/

Gee · Answer

Oh je m'inquiete pas je doute pas de tes compétences 
Je me lasse juste 

En générale j'ai déja horreur de pas pouvoir regler mes problèmes seules :D

Utilisateur anonyme · Answer

Cela sent le rogue ça, on va essayer l'outil Rogue Killer

Laisse ComboFix pour le moment

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1  et valide
* Si le programme demande pour supprimer le proxy, tape 1 si tu es sûr que ce n'est pas toi qui l'a mis, sinon taper 2
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

NOTE: taper 2 pour mode suppression
NOTE: S'il y a un proxy de trouvé , taper 1 pour la suppression

Gee · Answer

voici le rapport : RogueKiller V3.10.0 by Tigzy contact at https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Feedback: https://www.luanagames.com/index.fr.html Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version Started in : Normal mode User: Administrateur [Admin rights] Mode: Scan -- Time : 15/02/2011 22:48:14 Bad processes: Found: HKCU\...\Policies\System\ DisableTaskMgr : 1 HKCU\...\Policies\System\ DisableRegistryTools : 1 HOSTS File: 127.0.0.1 localhost Finished

Utilisateur anonyme · Answer

Fait l'option 2 (delete) et poste le rapport

Gee · Answer

Il me proposais pas la supression la premiere fois j'ai pensé qu'il la faisait de lui même 

Voici le deuxieme rapport 


Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Normal mode
User: Administrateur [Admin rights]
Mode: Remove -- Time : 15/02/2011 23:00:51

Bad processes:

Deregistred:
HKCU\...\Policies\System\ DisableTaskMgr : 1
HKCU\...\Policies\System\ DisableRegistryTools : 1

HOSTS File:
127.0.0.1       localhost


Finished

Deregistred ... Je veux bien 

Mais c'est tenace c'est bêtes la j'ai relancé le scan et effectivement KEUDALLE ils y sont encore :/ 

*Perdue*

Utilisateur anonyme · Answer

Attends je te prépare quelque chose, supprime ComboFix déjà

Gee · Answer

Ca marche 

Tu vois qu'il a de quoi devenir dingue 

D'ailleurs je commence à douter que quelque autre bizzarerie sur mon pc ne soient pas dues à tout ce ramdam

Utilisateur anonyme · Answer

Retélécharge ComboFix que j'ai renommé gee.exe 
http://sd-1.archive-host.com/membres/up/203669918515832581/gee.exe 
Et suis bien les instructions que je t'ai donné 
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Gee · Answer

Il est mignon il supprime pour moi 

Combofix a été éliminé de lui même o_O

Utilisateur anonyme · Answer

j'ai pas compris
retélécharge le au nouveau lien que je t'ai donné

Gee · Answer

Mon il s'est supprimé automatiquement était en rapport avec le message précedent a savoir l'instruction de suppression des Combofix telechargés 

Merci pour la version personalisée en tout cas 

Ca a ete rapide je n'ai pas eu le temps de connecter mon telephone à peine je commencais a ecrire que c'etait bon, quoi que j'ai eu peur quand il s'est autoexecuter sans me demander la console de sauvegarde 


Voila ou j'en suis : 

Apres analyse tres rapide 
Redemarrage du pc 
Avira s'est lancé à signalé une infection que j'ai pas eu le temps de lire  puis à redisparu 
Les programmes de demarrage se sont lancés normalement 
Et j'ai eu ceci 

https://imageshack.com/

Je t'avoue que pendant quelque secondes je n'ai su que faire 
Je n'ai touché à rien je suppose que je doit annuler mais je prefere m'en assurer 

Cette boite de dialogue est apparu au même moment ou ComboFix me disait qu'il enregistrait le rapport ... Y a-t-il un lien ? 

Finallement Combofix s'est fermé je n'avais toujours touché rien et voici le rapport 
Je le poste a part parceque c'est du lourd

Gee · Answer

ComboFix 11-02-15.01 - Administrateur 15/02/2011  23:25:55.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.2039.1561 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Downloads\gee.exe
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\system.pif
C:\win1.pif
C:\win10.pif
C:\win11.pif
C:\win12.pif
C:\win13.pif
C:\win19.pif
C:\win2.pif
C:\win20.pif
C:\win3.pif
C:\win4.pif
C:\win5.pif
C:\win6.pif
C:\win7.pif
C:\win8.pif
C:\win9.pif
c:\windows\system32\msconfig.exe
c:\windows\system32\office.exe
c:\windows\system32\sysurl.dll
c:\windows\Temp\scsE.tmp
c:\windows\Temp\scsF.tmp
D:\Autorun.inf
D:\explorer.exe
D:\qquq.bat

c:\windowsegedit.exe . . . est infecté!!

.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ABP470N5
-------\Service_abp470n5


(((((((((((((((((((((((((((((   Fichiers créés du 2011-01-15 au 2011-02-15  ))))))))))))))))))))))))))))))))))))
.

2011-02-15 19:52 . 2011-02-15 19:52	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Malwarebytes
2011-02-15 19:52 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-02-15 19:52 . 2011-02-15 19:52	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-02-15 19:52 . 2011-02-15 19:52	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-02-15 19:52 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-02-15 19:20 . 2011-02-15 19:30	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Google
2011-02-15 19:20 . 2011-02-15 19:20	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\Deployment
2011-02-15 18:28 . 2011-02-15 18:28	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Avira
2011-02-15 18:24 . 2011-02-15 18:24	--------	d-----w-	c:\program files\Avira
2011-02-15 18:24 . 2011-02-15 18:24	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2011-02-15 18:24 . 2011-01-10 13:23	61960	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2011-02-15 18:24 . 2011-01-10 13:23	135096	----a-w-	c:\windows\system32\drivers\avipbb.sys
2011-02-15 18:24 . 2010-06-17 13:27	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2011-02-15 18:24 . 2010-06-17 13:27	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2011-02-10 06:52 . 2011-02-12 19:23	--------	d-----w-	c:\documents and settings\Administrateur\Local Settings\Application Data\AskToolbar
2011-02-10 03:36 . 2011-02-15 17:53	--------	d-----w-	c:\program files\Ask.com
2011-02-10 03:36 . 2011-02-10 03:36	--------	d-----w-	c:\program files\Foxit Software
2011-01-27 06:35 . 2011-01-27 06:42	--------	d-----w-	c:\program files\LearnWords

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-15 22:30 . 2010-07-01 17:24	17408	----a-w-	c:\windows\system32pcnetp.exe
2011-02-15 22:30 . 2010-07-02 09:18	57752	----a-w-	c:\windows\system32pcnet.dll
2011-02-08 02:43 . 2010-08-02 00:53	1620	----a-w-	c:\documents and settings\Administrateur\errorlog.tmp
2011-01-24 19:27 . 2010-07-01 17:24	17408	----a-w-	c:\windows\system32pcnetp.dll
.

------- Sigcheck -------

[-] 2010-01-12 05:24 . 65C243BD71E319B59BCF24696C039B29 . 2004480 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll

[-] 2010-01-12 . AE0D48AF37F5A48156D4A6BAE07C9121 . 568320 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe

[-] 2010-01-12 . D449DF66B6335B443508A58B1E8DB996 . 647680 . . [5.82] . . c:\windows\system32\comctl32.dll
[7] 2010-01-12 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
[7] 2010-01-12 . F92E6BEA9349D49341383F8403B4DFE5 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll

[-] 2010-01-12 . DB3AB42404D66860A4C4E9ED8530D0FD . 724480 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll

[-] 2010-01-12 . D84567752FB42D8DC55CFB85FE0EDECE . 1916416 . . [6.00.2900.2894] . . c:\windows\explorer.exe


[-] 2010-01-12 . A5780186A76EABA3E656E63B41862997 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll

[-] 2010-01-12 . 58DB2EE838D5B7BAD0F7F10A6C920390 . 40960 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe

[-] 2010-01-12 . 36FA7DAFA6C2658D9F48C69FB812943B . 2165760 . . [5.1.2600.5586] . . c:\windows\system32
tkrnlpa.exe

[-] 2010-01-12 . 928F1D57DD79B2EDDE517B2FFEB570C9 . 2287104 . . [5.1.2600.5586] . . c:\windows\system32
toskrnl.exe

c:\windows\System32\wscntfy.exe ... manque !!
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Google Update"="c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" [2011-02-15 205808]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3949904]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2010-01-12 40960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-01-10 281768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"RocketDock"="c:\program files\RocketDock\RocketDock.exe" [2007-09-02 643072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-03-01 124928]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
binternet.lnk - c:\documents and settings\Administrateur\binternet.exe [N/A]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
BTTray.lnk - c:\program files\WIDCOMM\Bluetooth Software\BTTray.exe [N/A]
CD ROM Maroc.lnk - c:\program files\cdmaroc\exe\ACCUEIL.EXE [2010-7-23 536576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"= 1 (0x1)
"DisableRegistryTools"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\WBSrv]
2005-12-20 20:57	176128	----a-w-	c:\progra~1\Stardock\OBJECT~1\WINDOW~1\WbSrv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"DisablePagingExecutive"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"AntiVirusOverride"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"UacDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\Yahoo!\Messenger\YahooMessenger.exe"=
"c:\WINDOWS\system32\CHDAudPropShortcut.exe"=
"c:\WINDOWS\system32\igfxtray.exe"=
"c:\Program Files\Analog Devices\Core\smax4pnp.exe"=
"c:\Program Files\Windows Sidebar\sidebar.exe"=
"c:\Program Files\Windows Live\Photo Gallery\WLXPhotoGallery.exe"=
"c:\WINDOWS\system32\igfxpers.exe"=
"c:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe"=
"c:\Program Files\BitTorrent\bittorrent.exe"=
"c:\Program Files\LG Electronics\LG EV-DO Rev.A USB Modem\Modem Software\IEUM.exe"=
"c:\WINDOWS\system32\hkcmd.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\LG Electronics\Modem USB LG Electronics\IEUM.exe"=
"c:\Program Files\RocketDock\RocketDock.exe"=
"c:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe"=
"c:\Program Files\Fichiers communs\Real\Update_OB\RealOneMessageCenter.exe"=
"d:\iTunes.exe"=
"d:\iTunesHelper.exe"=
"c:\Program Files\LG Electronics\Modem USB LG Electronics\UMAService.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Real\RealPlayer\RealPlay.exe"=
"c:\Program Files\aMSN\bin\wish.exe"=
"c:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE"=
"c:\Program Files\cdmaroc\exe\consult.exe"=
"c:\Program Files\Skype\Plugin Manager\skypePM.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Ares\Ares.exe"=
"c:\Program Files\cdmaroc\exe\ACCUEIL.EXE"=
"c:\Program Files\Skype\Phone\Skype.exe"=
"c:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe"=
"c:\WINDOWS\system32\netsh.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4666:TCP"= 4666:TCP:zyjaia

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [15/02/2011 19:24 VALR 135336]
R2 DeviceManager;DeviceManager;c:\program files\Fichiers communs\DeviceHelper\DeviceManager.exe -start --> c:\program files\Fichiers communs\DeviceHelper\DeviceManager.exe -start [?]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [04/11/2010 01:21 VALR 114432]
S3 gzbuepn;gzbuepn;\??\c:\windows\system32\05.tmp --> c:\windows\system32\05.tmp [?]
S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [27/06/2010 20:25 VALR 9216]
S3 qcusbser;Modem Interface USB Device for Legacy Serial Communication;c:\windows\system32\drivers\qcusbser.sys [19/12/2010 11:33 VALR 103552]
S3 qgsjni;qgsjni;\??\c:\windows\system32\05.tmp --> c:\windows\system32\05.tmp [?]
S3 UsbEvdoAtc;LGE EVDO USB Serial Port;c:\windows\system32\drivers\lgevdoatc.sys [10/04/2010 14:19 VALR 19840]
S3 usbevdobus;LGE EVDO Composite USB Device;c:\windows\system32\drivers\lgevdobus.sys [10/04/2010 14:19 VALR 12800]
S3 UsbEvdoDiag;LGE EVDO USB Serial DM Port;c:\windows\system32\drivers\lgevdodiag.sys [10/04/2010 14:19 VALR 19840]
S3 UsbEvdomAtc;LGE EVDOM USB Serial Port;c:\windows\system32\drivers\lgevdomatc.sys [10/04/2010 14:08 VALR 19840]
S3 usbevdombus;LGE EVDOM Composite USB Device;c:\windows\system32\drivers\lgevdombus.sys [10/04/2010 14:08 VALR 13696]
S3 UsbEvdomDiag;LGE EVDOM USB Serial DM Port;c:\windows\system32\drivers\lgevdomdiag.sys [10/04/2010 14:08 VALR 19840]
S3 USBEVDOmModem;LGE EVDOM USB Modem;c:\windows\system32\drivers\lgevdommodem.sys [10/04/2010 14:08 VALR 21632]
S3 USBEVDOModem;LGE EVDO USB Modem;c:\windows\system32\drivers\lgevdomodem.sys [10/04/2010 14:19 VALR 21632]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ABP470N5
*NewlyCreated* - HELPSVC

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
zhsvuhdo
gkldgec

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{D58F39FF-953E-4F45-898F-59F243B9A523}]
2008-03-01 12:58	124928	----a-w-	c:\windows\system32\advpack.dll
.
Contenu du dossier 'Tâches planifiées'

2011-02-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]

2011-02-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-861567501-115176313-1417001333-500Core.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-02-15 19:20]

2011-02-15 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-861567501-115176313-1417001333-500UA.job
- c:\documents and settings\Administrateur\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-02-15 19:20]

2011-02-15 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job
- c:\program files\Ask.com\UpdateTask.exe [2010-09-28 21:44]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpjrdrh&cof=GIMP%3ACCCCCC%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A10%3BDIV%3A%23FFFFF0%3B&q={searchTerms}
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Envoyer au périphérique &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Envoyer à Bluetooth - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
Trusted Zone: chat-land.org
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{1C491116-C175-45E1-A570-6FB14FEA8B7B} - (no file)
WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
HKU-Default-Run-VisualTaskTip - \Program Files\VisualTaskTips\VisualTaskTips.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-15 23:31
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\gzbuepn]
"ImagePath"="\??\c:\windows\system32\05.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\qgsjni]
"ImagePath"="\??\c:\windows\system32\05.tmp"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(836)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\COMRes.dll
c:\windows\system32\cscui.dll
c:\progra~1\STARDOCK\OBJECT~1\WINDOW~1\wbsrv.dll

- - - - - - - > 'lsass.exe'(900)
c:\windows\system32\setupapi.dll
c:\windows\system32\scecli.dll

- - - - - - - > 'explorer.exe'(2892)
c:\windows\system32\SHDOCVW.dll
c:\windows\system32\COMRes.dll
c:\windows\System32\cscui.dll
c:\windows\system32
tshrui.dll
c:\windows\system32\msi.dll
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\NETSHELL.dll
c:\windows\system32\credui.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\DeviceHelper\DeviceManager.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\windows\system32pcnet.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
.
**************************************************************************
.
Heure de fin: 2011-02-15  23:36:54 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-02-15 22:36

Avant-CF: 102 031 409 152 octets libres
Après-CF: 108 386 562 048 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - D214320BB5AC6EB1BEFCC9AF0CDA0AC2

Gee · Answer

Eh ca kézako c'est apparu comme ca ! 

https://imageshack.com/ 

Elle dit qu'elle comprend rien 

Fallait si attendre les bonnes choses ne vienent jamais seules -_-

Tigzy · Answer

Salut

ça s'annonce mal....


Telecharge:

The avenger

* dezippe le , Lance le , executer en tant qu'administrateur sous vista 

capture

Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:



Drivers to delete:
gzbuepn
qgsjni
ABP470N5
zhsvuhdo
gkldgec
Files to delete:
c:\windows\system32\05.tmp


* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

Utilisateur anonyme · Answer

Bonjour  
Désolée de dire cela, mais ça pue vraiment le rapport de ComboFix  

Humm, ça déjà  

c:\windows\regedit.exe . . . est infecté!!   

c:\windows\System32\wscntfy.exe ... manque !!   

Et ceci 
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] 
"nltide_2"="shell32" [X] 
"nltide_3"="advpack.dll" [2008-03-01 124928] 

Et ya pas que cela 

Lancé depuis: c:\documents and settings\Administrateur\Mes documents\Downloads\gee.exe 

L'outil n'a pas été lancé à partir du bureau, pas bien


O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Gee · Answer

Ouf enfin :  


Quand le pc a redamarré après avenger j'ai pas pu me connecter : voila ce que me disais le réseau sans fil  

https://imageshack.com/

La connection par cable ethernet ne donnais rien non plus !  

Bon finalement, j'ai redemarré le pc et ca remarche mais on dirait qu'un coup sur deux mes connections réseaux sont controlées ou detournées  

Bref Avira continue de m'annoncer Sality avant de se fermer tout seul  

Et voici le rapport de The Avenger : 


Logfile of The Avenger Version 2.0, (c) by Swandog46 
http://swandog46.geekstogo.com 

Platform:  Windows XP 

******************* 

Script file opened successfully. 
Script file read successfully. 

Backups directory opened successfully at C:\Avenger 

******************* 

Beginning to process script file: 

Rootkit scan active. 
No rootkits found! 

Driver "gzbuepn" deleted successfully. 
Driver "qgsjni" deleted successfully. 

Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\ABP470N5" not found! 
Deletion of driver "ABP470N5" failed! 
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) 
  --> the object does not exist 


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\zhsvuhdo" not found! 
Deletion of driver "zhsvuhdo" failed! 
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) 
  --> the object does not exist 


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\gkldgec" not found! 
Deletion of driver "gkldgec" failed! 
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) 
  --> the object does not exist 


Error:  file "c:\windows\system32\05.tmp" not found! 
Deletion of file "c:\windows\system32\05.tmp" failed! 
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) 
  --> the object does not exist 


Completed script processing. 

******************* 

Finished!  Terminate. 


A noter que pendant son execution j'ai eu une boite de dialogue avec : " cette action à été bloquée par votre administrateur "  
Et j'ai aussi eu une fenetre du nom de netfish.exe ( ou un truc y ressemblant ) me disant que l'application à pas pu demarrer erreur avec plein de chiffre cliquez sur ok bref

Utilisateur anonyme · Answer

Aie aie, Sality, c'est de la vraie m**** ce truc, c'est une variante Virut un des
plus redoutables virus informatique

*Utilise le moins possible ton PC, car plus tu l'utilises, plus tu l'infecte, car le Sality
attaque les fichiers exécutables et y injectent un code malveillant dedans
*Sauvegarde tous tes documents (photos...), sauf les fichiers .exe, .rar, .scr, .html, .htm, .dll, .dat, zip, keygens, keygens générator ou cracks dernièrement téléchargés
*Utilise seulement ton PC que pour les manips que je te demande de faire, et ne perd surtout pas de temps, fait tout de suite ce que je te demande
*Dans ce genre d'infection très difficile à traiter,le temps est contre nous


 Télécharge Dr Web CureIt sur ton Bureau :

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

- Double clique drweb-cureit.exe et ensuite clique sur Analyse;

- Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
- Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
- De retour à la fenêtre principale : clique pour activer Analyse complète
- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
- Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
- Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
- Ferme Dr.Web Cureit
- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
- Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.

Gee · Answer

C'est fou ca charge encore DrWeb et toujours rien 

CD Windows pas la si je l'avais eu à portée de main le refo ca aurait été fait hier soir déja

Tigzy · Answer

Re

Le LiveCD DrWeb il vaut mieux le faire depuis un autre PC, sinon il sera aussi infecté.

Gee · Answer

Donc je telecharge depuis un autre pc 
Je le passe sur le PC 
Et je lance le CD en autorun au demarrage ? 
Ou j'installe le CD sur le pc, je redemarre en mode sans echec ?

Tigzy · Answer

Ah, Jawa t'a proposé le scan direct... je le laisse continuer, mais je tiens à dire que le scan direct marche pas terrible. L'infection continue de se propager en même temps que le scan avance..

Le mieux c'est de faire le Live CD, de booter dessus et déinsfecter tranquillement. au moins l'infection est gelée.

Xplode · Answer

Hello,

Si ça peut aider, je poste mon canned pour DrWeb Live Cd , ça sera peut être plus clair pour notre amie :)

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; DrWeb Live CD &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


-> Ce live CD contient DrWeb CureIt, un antivirus. Le principal avantage du live CD est qu'il permet d'être chargé avant le démarrage de windows.
-> Il peut donc être utilisé même si l'ordinateur ne démarre plus.

/!\ Le temps d'analyse peut être très long si l'ordinateur possède beaucoup de données /!\

-> La partie n°1 s'effectue sur un PC fonctionnel disposant d'un graveur, la partie n°2 s'effectue sur le PC infecté ne démarrant plus.

|-----| Partie n°1 : Téléchargement/Gravure du Live CD |-----|

[x] Télécharge le live CD de DrWeb à cette adresse )

[x] Une fois le téléchargement fini, il faut que tu graves l'image ISO sur un CD vierge. Pour ce faire, suis ce tutoriel.

|-----| Partie n°2 : Utilisation du Live CD |-----|

[x] Une fois en possession du CD correctement gravé, place le dans le lecteur CD du PC infecté.

[x] Redémarre celui ci. Au redémarrage, le live CD se chargera de lui même.

[x] A l'écran principal, sélectionne [Dr.Web LiveCD (Default)] puis appuie sur [Entrée]

[x] Patiente pendant le chargement du système.

[x] Une fois arrivé sur le bureau, une fenêtre "Dr.Web Scanner" s'ouvrira.

[x] Dans la partie supérieure, coche toutes les partitions présentes ( C: , etc.. ) et vérifie que la case "Scan subdirectories" est également cochée.

[x] Clique maintenant sur le rond vert ( Update Bases ) afin de mettre à jour DrWeb.

[x] Une fois la mise à jour terminée, clique sur [Start] pour lancer l'analyse.

[x] Une fois l'analyse terminée, clique sur [Select All] puis sur [Cure]

[x] Clique sur l'icône " Terminal " ( icône en forme de carré noir tout en bas à gauche du bureau )

[x] Tape la commande suivante dans le terminal :

leafpad /root/.drweb/logs/scanner.log

[x] Valide en appuyant sur [Entrée] pour ouvrir le rapport de DrWeb.

[x] Poste son contenu dans ton prochain message en accédant à ce sujet directement via le live CD de DrWeb ( Firefox ).


Note : Si le PC ne démarre pas sur le CD, c'est qu'il faut modifier la séquence de démarrage du BIOS.
Un tutoriel est disponible ici pour t'aider à modifier ces paramètres.

Gee · Answer

Le CD live et nero sont en telechargement 

Tiens au fait Tigzy The Avenger ca a donné quoi ? 

Et XPlode Merci 

Ceci dit pour le coup une fois DrWeb Booté est-ce que je  le lance comme Xplode l'indique ou est-ce que je suis les instructions de Jawa 
Si c'est la même chose sorry pour la question 
A moins que ce ne soit pas les même fonctions avec le LiveCD 
Je demande ca entre autre  Jawa me demande dedécocher  l'analyse heuristique alors que dans le "tuto" d'Xplode c'est pas précisé  alors je décoche je décoche pas ?

Utilisateur anonyme · Answer

The Avenger a supprimé 2 drivers néfastes
Décoche heuristique
Il faut absolument que tu passes Dr Web, car ce virus va tout infecter

Gee · Answer

Bon alors va falloir s'accrocher j'ai passé Dr Web qui a tourné plus de 2h      

Je vous transmet le rapport      

Ceci dit :      

- J'ai une boite de dialogue avec : certain fichier necessaire au fonctionnement de windows ont été remplacés par une version non reconnue pour maintenir la stabilité du système windows doit restaurerla version originale de ces fichiers veuillez inserer  votre CD du Service Pack 3 pour Windows XP      

- Avira detecte deux infections au demarrage :      
Un truc du nom de TR/Patched .... je sais pas trop quoi      
Une detection de Sality dans Avira lui même uniquement      

http://www.cijoint.fr/cjlink.php?file=cj201102/cij2Ighcbd.txt

Geeee · Answer

Bon, ca me soule au possible 

Quelqu'un a une corde -_- 

Il refuse de demarrer :/ ecran bleu et reboot 
J'ai relancé Dr Web en esperant juste pouvoir avoir la main dessus :/ 

Et Tigzy C'est simple : Avira est le fichier infecté en question 
Avira me signale qu'avira est infecté apres y'en a d'autre qu'avira detecte mais comme j'ai pas la main sur avira j'ai a peine le temps de lire que ca disparait 
A mon avis Avira à du devenir malveillant lui même 

Fait **** j'en ai vraiment besoin du pc pour le boulot en plus en ce moment :/ 

*lassée*

gen-hackman · Answer

salut à tous

une question :

il n'y a pas moyen de demarrer en mode sans echec ?

Utilisateur anonyme · Answer

Bonsoir Gee
Le virus que tu as attrapé, c'est probablement dû à un téléchargement
de cracks ou keygens avec un logiciel peer to peer
Si tu as des cracks ou keygens, vire les
De toute façon ton antivirus est lui même infecté, c'est pour ça qu'il s'affiche
lui même infecté, le virus s'est bien propagé et infecte petit à petit tous les
programmes. Je pense que le formatage sera inévitable, ce sera la meilleure
solution pour éradiquer ce virus

Geeee · Answer

Bonsoir Gen; 

J'attend que le scan DrWeb Finnisse pour tenter le sans echec 

Bonsoir Jawa, 

Je pense pas avoir de cracks ou de Keygen, et je ne telecharge jamais en p2p pour ca que j'ai été surprise, ceci dit quand on m'a volé mon pc la famille m'a dépanné avec celui la, donc tout devais y être en sommeil ce que je trouve bizarre c'est que ca se réveille maintenant avec cette force 

Je n'ai pas accés au pc j'ai droit à l'ecran bleu, si ca marche pas zou je formate parceque je me met en retard sur du boulot depuis des jours

gen-hackman · Answer

si tu formates en reinstallant windows , il sera encore là il faut formater en bas-niveau

Geeee · Answer

Ok, 

Bon j'ai le CD Windows 7 Pour le formatage 
Je doit faire quoi pour formater en bas niveau 
Formatage classique je connais 
Formatage en bas niveau je vois ce que tu veux dire 
Mais sais pas faire ... Enfin je crois

Geeee · Answer

Jawa je veux bien mais j'ai pas accés au pc et vu le délai que j'ai pour rendre un travail je crois que je vais sacrifier les docs :/ 

Je viens de réaliser ( en réactivant ma mémoire ) que le formatage bas niveau = formatage physique 

Si mes souvenirs sont bon j'ai pas formaté depuis des lustres 

il faut mettre :

format c:/ ( suivi d'une lettre dont je me souviens plus )

Utilisateur anonyme · Answer

https://forums.commentcamarche.net/forum/affich-37636608-formater-avec-killdisk 
Attention, cette méthode est radicale, et ça efface tout sur le disque dur
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Geeee · Answer

Bien je crois qu'a ce stade je n'ai plus trop le choix c'est parti CD gravé 

Ca risque de prendre longtemps ?

Utilisateur anonyme · Answer

Oui, le temps que KillDisk efface tout sur le disque dur
Attention, c'est irréversible, et tous les documents seront effacés aussi

Geeee · Answer

J'ai bien compris merci de l'avertissement Jawa 
Comme je disais ai-je le choix ?

Utilisateur anonyme · Answer

Avec cette infection, on est obligé le plus souvent de formater le PC pour
éradiquer complètement ce virus
Comme tes logiciels sont infectés, il est trop tard pour désinfecter, car
l'infection est trop importante

Geeee · Answer

En fait j'aurais du ne pas fairem a tête de mule et m'enteter à vouloir desinfecter par souci de comodité j'aurais du me lancer et formater 
Ce qui va être galere apres c'est la recup de tout mes logiciels et y'en que j'aurais vraiment preferé ne pas perdre des truc galere à recuperer :/

gen-hackman · Answer

je releverais bien le défi moi......

Geeee · Answer

Gen j'aime bien Ton état d'esprit je t'aurais volonté donné l'occasion de le relever si je n'était pas aussi prise par le temps 

Voila Formatage en bas niveau effectué 
Instalation Windows 7 ultimate Finnished 

Jawa Merci pour ton soutien et ton accompagnement, 
Merci également à Tigzy, Xplode et Gen pour votre passage en renfort et votre aide 

Me reste plus qu'a mettre à jour tout ce binz 
Driver etc 
et me trouver un bon AV

gen-hackman · Answer

tu l'as fait avec quoi le formatage de bas-niveau ?

Geeee · Answer

Killdisk comme suggeré par jawa

gen-hackman · Answer

parfait :)  

ils font des bons trucs dommage que ce soit payant : 

https://www.lsoft.net/index.html 
G3?-?@¢??@?......Concepteur de List_Kill'em...

Utilisateur anonyme · Answer

Bonjour à tous
C'était la meilleure solution pour supprimer ce virus

gen-hackman · Answer

hello

en fait je trouve que t'as fait bien vite

tu as passé killdisk sur "tout" le disque ? ou juste sur la partition ?

Geeee · Answer

Sur tout le disque et ca à pris 2h28 pour un disque de 230 Go mais la partition D était quasi inutilisée 

Quoi qu'il en soit au grands maux les grands remèdes je n'ai plus le pc en question je viens d'en acheter un :D 
*toute contente*

gen-hackman · Answer

lol si t'as pas passé killdisk sur toute la surface , tu lui as refilé sality avec , D:\devait etre infecté aussi ^^

Geeee · Answer

Lol je pense que j'ai bien passé killdisk sur toute la surface ^^ si c'est pas le cas je lui souhaite bonne merde  :/

gen-hackman · Answer

bah si tu l'as pas passé sur D ,.....

logiquement , s'il est passé comme il faut , il reste plus qu'une partition (tout le disque) apres reinstall de win , qui prend toute la surface :)

Geeee · Answer

Bah je lui souhaite bien du plaisir avec Sality :D 

Bon bah si quelqu'un viens dire qu'il a sality sur son D vous saurez d'ou ca viens xD

gen-hackman · Answer

mdr :D

Geeee · Answer

C'est bien que ca t'amuse !

Infections et autres maux

57 réponses

Discussions similaires