aide pour un virus trojan :(

Question

Bonjour, j'ai un gros problème window se lance normalement jusqu'a l'insertion de mon mot de passe et puis après avoir entré celui ci plus rien ne s affiche sur le burau et je ne peux meme pas faire ctrl alt + suppr. J ai demarer en mode sans echec qui marche d ailleur 1 fois sur 2 j ai fait un scan avec sdfix voila ce qu'il ma dit:
SDFix: Version 1.240
Run by Administrateur on 24/02/2011 at 14:52

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-02-24 15:15:23
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:72,44,43,05,30,e6,02,f8,d6,a5,4f,2d,ee,98,15,7e,a8,a4,bd,69,c1,..
"u0"=hex:f5,28,00,00,00,00,00,00,b5,49,99,02,04,00,00,00,ff,ff,00,00,ff,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:a0,02,00,00,0f,1f,69,28,fc,e3,a7,fc,6b,4d,46,aa,71,a5,44,7e,51,..
"hdf12"=hex:d8,59,9f,69,78,54,f9,b8,d1,c4,c6,b1,a1,78,10,84,e9,4e,6e,e0,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:a7,be,f9,65,bf,3a,4e,c5,7c,32,77,9c,b1,46,69,c6,38,75,f4,f6,cb,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC]
"h0"=dword:00000000
"hdf12"=hex:72,44,43,05,30,e6,02,f8,d6,a5,4f,2d,ee,98,15,7e,a8,a4,bd,69,c1,..
"u0"=hex:f5,28,00,00,00,00,00,00,b5,49,99,02,04,00,00,00,ff,ff,00,00,ff,..
"p0"="C:\Program Files\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001]
"a0"=hex:a0,02,00,00,0f,1f,69,28,fc,e3,a7,fc,6b,4d,46,aa,71,a5,44,7e,51,..
"hdf12"=hex:d8,59,9f,69,78,54,f9,b8,d1,c4,c6,b1,a1,78,10,84,e9,4e,6e,e0,ec,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0]
"hdf12"=hex:a7,be,f9,65,bf,3a,4e,c5,7c,32,77,9c,b1,46,69,c6,38,75,f4,f6,cb,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Messenger\msmsgs.exe"="C:\Program Files\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\Program Files\DNA\btdna.exe"="C:\Program Files\DNA\btdna.exe:*:Enabled:DNA"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:*:Enabled:eMule"
"C:\Program Files\BitTorrent\bittorrent.exe"="C:\Program Files\BitTorrent\bittorrent.exe:*:Enabled:BitTorrent"
"C:\Program Files\AVG\AVG9\avgupd.exe"="C:\Program Files\AVG\AVG9\avgupd.exe:*:Enabled:avgupd.exe"
"C:\Program Files\AVG\AVG9\avgnsx.exe"="C:\Program Files\AVG\AVG9\avgnsx.exe:*:Enabled:avgnsx.exe"
"C:\Program Files\Skype\Plugin Manager\skypePM.exe"="C:\Program Files\Skype\Plugin Manager\skypePM.exe:*:Enabled:Skype Extras Manager"
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"C:\Program Files\Sports Interactive\Football Manager 2010\fm.exe"="C:\Program Files\Sports Interactive\Football Manager 2010\fm.exe:*:Enabled:Football Manager 2010"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"="C:\Program Files\Windows Live\Sync\WindowsLiveSync.exe:*:Enabled:Windows Live FolderShare"
"C:\Program Files\Windows Live\Messenger\wlcsdk.exe"="C:\Program Files\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :



Files with Hidden Attributes :

Sun 4 May 2008 6,104,632 A..H. --- "C:\Program Files\Picasa2\setup.exe"
Wed 22 Oct 2008 949,072 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008 1,562,960 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDHelper.dll"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008 1,833,296 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008 962,896 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\Tools.dll"
Sat 21 Feb 2009 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 5 Feb 2009 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\Administrateur\Application Data\U3	emp\Launchpad Removal.exe"
Thu 7 Dec 2006 3,096,576 A..H. --- "C:\Documents and Settings\mathea\Bureau\Mes documents\Math'a\Application Data\U3	emp\Launchpad Removal.exe"

Finished!






j ai redemarer normalement ca n'a pas marché alors j ai refait un scan avec malwarebytes voila le rapport:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5906

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 8.0.6001.18702

01/03/2011 01:27:08
mbam-log-2011-03-01 (01-27-08).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 236039
Temps écoulé: 36 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\MTUchk (Trojan.Agent) -> Value: MTUchk -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\mathea\application data\desktopicon\ebayshortcuts.exe (Adware.ADON) -> Quarantined and deleted successfully.
c:\documents and settings\mathea\local settings\Temp\crmaexwson.tmp (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
c:\documents and settings\mathea\local settings\Temp\err.log (Trojan.Agent) -> Quarantined and deleted successfully.
c:\system volume information\_restore{41cc861c-3976-4076-9d66-44a8fd23e808}\RP3\A0000143.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
c:\documents and settings\mathea\menu démarrer\programmes\démarrage\AdbUpd.lnk (Malware.Trace) -> Quarantined and deleted successfully.

Jai pourtant effacer les trojans et cela ne marche toujours pas!!!! Pourriez vous m aider s'il vous plait.Merci d'avance

jfkpresident · Accepted Answer

Bonsoir,

Inutile d'utiliser SdFix ...Il n'est plus tenu a jour depuis un moment .

   
    Télécharge ZhpDiag de Nicolas Coolman .
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista/7).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt (Une aide au cas ou])

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

foufman13 · Answer

Merci pour ta réponse. J ai suivi ton message et voici le rapport.
http://www.cijoint.fr/cjlink.php?file=cj201103/cij6LIcREM.txt

Merci pour ton aide

jfkpresident · Answer

Tu es bien infecté !

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 2 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

foufman13 · Answer

voici le rapport

RogueKiller V4.0.1 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Safe mode with network support
User: Administrateur [Admin rights]
Mode: Remove -- Time : 02/03/2011 22:11:04

Bad processes: 0

Registry Entries: 4
[APPDT/TMP/DESKTOP] HKUS\S-1-5-19[...]\Run : mmc.exe ("C:\Documents and Settings\mathea\Application Data\Adobe\plugs\mmc.exe") -> DELETED
[APPDT/TMP/DESKTOP] HKUS\S-1-5-19[...]\Run : certbootapp.exe ("C:\Documents and Settings\LocalService\Local Settings\Application Data\certbootapp.exe") -> DELETED
[APPDT/TMP/DESKTOP] HKUS\S-1-5-19[...]\Run : centerprovacl.exe ("C:\Documents and Settings\All Users\Application Data\centerprovacl.exe") -> DELETED
[APPDT/TMP/DESKTOP] HKUS\S-1-5-20[...]\Run : mmc.exe ("C:\Documents and Settings\mathea\Application Data\Adobe\plugs\mmc.exe") -> DELETED

HOSTS File:
127.0.0.1 localhost
127.0.0.1 82.165.237.14
127.0.0.1 82.165.250.33
127.0.0.1 akamai.avg.com
127.0.0.1 antivir.es
127.0.0.1 anti-virus.by
127.0.0.1 avg.com
127.0.0.1 avp.ru/download/
127.0.0.1 avpg.crsi.symantec.com
127.0.0.1 backup.avg.cz
127.0.0.1 bancoguayaquil.com
127.0.0.1 bcpzonasegura.viabcp.com
127.0.0.1 clamav.net
127.0.0.1 comodo.com
127.0.0.1 downloads1.kaspersky-labs.com/products/
127.0.0.1 downloads1.kaspersky-labs.com/updates/
127.0.0.1 downloads2.kaspersky-labs.com/products/
127.0.0.1 downloads2.kaspersky-labs.com/updates/
127.0.0.1 downloads3.kaspersky-labs.com/products/
127.0.0.1 downloads3.kaspersky-labs.com/updates/
[...]

Finished

c'est grave ou pas?

jfkpresident · Answer

c'est grave ou pas?

Un rogue et d'autres infections mais on va réparer tout ça ,pas d'inquiétudes .

Relance RogueKiller mais ce coup ci choisis l'option 3 et colle moi le rapport .

foufman13 · Answer

voila le rapport:

RogueKiller V4.0.1 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Safe mode with network support
User: Administrateur [Admin rights]
Mode: Remove -- Time : 02/03/2011 22:11:04

Bad processes: 0

Registry Entries: 4
[APPDT/TMP/DESKTOP] HKUS\S-1-5-19[...]\Run : mmc.exe ("C:\Documents and Settings\mathea\Application Data\Adobe\plugs\mmc.exe") -> DELETED
[APPDT/TMP/DESKTOP] HKUS\S-1-5-19[...]\Run : certbootapp.exe ("C:\Documents and Settings\LocalService\Local Settings\Application Data\certbootapp.exe") -> DELETED
[APPDT/TMP/DESKTOP] HKUS\S-1-5-19[...]\Run : centerprovacl.exe ("C:\Documents and Settings\All Users\Application Data\centerprovacl.exe") -> DELETED
[APPDT/TMP/DESKTOP] HKUS\S-1-5-20[...]\Run : mmc.exe ("C:\Documents and Settings\mathea\Application Data\Adobe\plugs\mmc.exe") -> DELETED

HOSTS File:
127.0.0.1 localhost
127.0.0.1 82.165.237.14
127.0.0.1 82.165.250.33
127.0.0.1 akamai.avg.com
127.0.0.1 antivir.es
127.0.0.1 anti-virus.by
127.0.0.1 avg.com
127.0.0.1 avp.ru/download/
127.0.0.1 avpg.crsi.symantec.com
127.0.0.1 backup.avg.cz
127.0.0.1 bancoguayaquil.com
127.0.0.1 bcpzonasegura.viabcp.com
127.0.0.1 clamav.net
127.0.0.1 comodo.com
127.0.0.1 downloads1.kaspersky-labs.com/products/
127.0.0.1 downloads1.kaspersky-labs.com/updates/
127.0.0.1 downloads2.kaspersky-labs.com/products/
127.0.0.1 downloads2.kaspersky-labs.com/updates/
127.0.0.1 downloads3.kaspersky-labs.com/products/
127.0.0.1 downloads3.kaspersky-labs.com/updates/
[...]

Finished

RogueKiller V4.0.1 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Safe mode with network support
User: Administrateur [Admin rights]
Mode: HOSTSFix -- Time : 02/03/2011 22:43:40

Bad processes: 0

HOSTS File:
127.0.0.1 localhost
127.0.0.1 82.165.237.14
127.0.0.1 82.165.250.33
127.0.0.1 akamai.avg.com
127.0.0.1 antivir.es
127.0.0.1 anti-virus.by
127.0.0.1 avg.com
127.0.0.1 avp.ru/download/
127.0.0.1 avpg.crsi.symantec.com
127.0.0.1 backup.avg.cz
127.0.0.1 bancoguayaquil.com
127.0.0.1 bcpzonasegura.viabcp.com
127.0.0.1 clamav.net
127.0.0.1 comodo.com
127.0.0.1 downloads1.kaspersky-labs.com/products/
127.0.0.1 downloads1.kaspersky-labs.com/updates/
127.0.0.1 downloads2.kaspersky-labs.com/products/
127.0.0.1 downloads2.kaspersky-labs.com/updates/
127.0.0.1 downloads3.kaspersky-labs.com/products/
127.0.0.1 downloads3.kaspersky-labs.com/updates/
[...]

Resetted HOSTS:
127.0.0.1 localhost

Finished

jfkpresident · Answer

Double-clique sur ZhpFix (icone avec la seringue)

Clique sur l'onglet MBRFix .

Ensuite fait ceci :

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Aide pour un virus trojan :(

7 réponses

Votre réponse

Discussions similaires

Newsletters