Sujet Précédent Sujet Suivant

Virus ?

lafoug Messages postés 323 Statut Membre -  
lafoug Messages postés 323 Statut Membre -
Bonjour,

J'étais sur internet (avec Firefox), quand j'ai une fenêtre qui s'est ouverte, m'annonçant que j'étais infestée par un virus, et que Windows security allait faire un scan. Il me trouve alors une vingtaine de virus et me propose 'remove all'.
A ce moment je me suis appercue de plusieurs choses :
- cette fenêtre n'est pas une vraie fenêtre de windows sécurity, mais s'est ouverte dans un onglet de firefox
- les disques durs et dossiers ne semble pas correspondre aux miens.

Du coup, je pense que c'est un fake, et probablement que si j'accepte 'remove all' il va me télacharger le virus.

J'ai lancé un scan avec antivir qui pour le moment ne trouve rien.

Mais bon, dans le doute, je voulais quand même vérifier que je passe pas à côté de quelque chose...
Que pensez vous de ca ?
D'avance merci !!

A voir également:

41 réponses

Réponse 1 / 41
Utilisateur anonyme
 
Bonjour,

1) * Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html

*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

Ensuite

*Télécharges Malwarebytes' (mbam)

ICI >> Malwarebytes' (mbam)

* installes + mise a jour
* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir
* Lances--> Malwarebytes (MBAM)
* Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
* puis "Rechercher"
* Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
*Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
* S'il t' es demandé de redémarrer, clique sur "oui "
* aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
!!! Ne pas vider la quarantaine de MBAM sans avis !!!

0
Réponse 2 / 41
lafoug Messages postés 323 Statut Membre
 
Voilà le rapport :

RogueKiller V4.3.9 [16/04/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: rh [Droits d'admin]
Mode: Suppression -- Date : 23/04/2011 10:35:15

Processus malicieux: 0

Entrees de registre: 0

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt


J'en déduit que tout va bien ?
0
Réponse 3 / 41
Utilisateur anonyme
 
Re,

Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indisponible:
http://www.cijoint.fr/

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Hébergement de rapport sur pjjoint.malekal.com

* Rends toi sur http://pjjoint.malekal.com/
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
*Clique sur le bouton Envoyer
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.

@+
Membre, Contributeur

H.F. : Fish66
0
Réponse 4 / 41
lafoug Messages postés 323 Statut Membre
 
J'étais en train d'effectuer la deuxième étape de ton premier post malwarebytes... JE laisse tomber ?
0
Utilisateur anonyme
 
Non laisse le terminer puis lance ZhpDiadg et poste les deux rapports

@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 41
lafoug Messages postés 323 Statut Membre
 
Bon c'est fait.MBAM a trouvé un malware que je lui ai demandé de supprimer. Voilà le rapport.

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6424

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

23/04/2011 12:03:19
mbam-log-2011-04-23 (12-03-14).txt

Type d'examen: Examen complet (C:\|D:\|I:\|)
Elément(s) analysé(s): 238410
Temps écoulé: 1 heure(s), 21 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\RECYCLER\s-1-5-21-1715567821-789336058-725345543-1003\Dc374.exe (Trojan.FakeAlert) -> No action taken.


Et voilà le rapport de Zhpdiag :
https://pjjoint.malekal.com/files.php?id=2d7eaad38271310
0
Réponse 6 / 41
Utilisateur anonyme
 
Re,

1/
Est ce que tu utilises COMODO Internet Security juste le pare-feu ou non?

2/
Désinstalle spybot, il est inutile et dépassé

3/
Relance Malwarebytes, à la fin du scan, clique sur Afficher les résultats, puis sur ==>Supprimer la sélection

Car le trojan n'est pas supprimé.

@+
0
Réponse 7 / 41
lafoug Messages postés 323 Statut Membre
 
OUi j'utilise le pare feu de comodo
Ok je desinstalle spybot.

Malwarebytes est en court...

Sinon qu'est ce que tu me conseilles comme protection ?
0
Utilisateur anonyme
 
le pare-feu seulement ?
0
lafoug Messages postés 323 Statut Membre
 
oui oui, seulement le pare feu, comme antivirus j'ai antivir. Pourquoi ? (enfin j'ai geekbuddy qui va avec...)
0
Utilisateur anonyme
 
Ca va parcequ'il faut avoir qu'un seul antivirus, on attend le rapport MBAM
0
lafoug Messages postés 323 Statut Membre
 
Oui, j'attends. Ca a buggé une fois. Je viens de le relancer.
0
lafoug Messages postés 323 Statut Membre
 
Ca vient encore de bugger... je sais pas pourquoi :/
0
Réponse 8 / 41
Utilisateur anonyme
 
Re,

Si MBAM se bloque une autre fois, laisse le et prépare le rapport ZHPDiag pour avancer!

0
Réponse 9 / 41
lafoug Messages postés 323 Statut Membre
 
Le rapport Zhp diag? Je te l'ai mis dans un post précédent...
0
Utilisateur anonyme
 
ok, il est caché sous le 1er rapport MBAM :)
0
lafoug Messages postés 323 Statut Membre
 
MBAM a rebuggé... JE fais quoi du coup ?
0
Réponse 10 / 41
Utilisateur anonyme
 
Re,

1) Démarre en Mode sans échec avec prise en charge réseau
fais ainsi

Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer enMode sans échec avec prise en charge réseau
puis tape entrée.
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal !
(Si F8 ne marche pas utilise la touche F5)

Ensuite lance Malwarebytes de nouveau comme avant ensuivant ces Procedures

Membre, Contributeur

H.F. : Fish66
0
Réponse 11 / 41
lafoug Messages postés 323 Statut Membre
 
ok c'est lancé. Je te met le rapport quand c'est fini.
Merci de ton aide !
0
Réponse 12 / 41
lafoug Messages postés 323 Statut Membre
 
Ben non...ca bloque toujours :/
0
Réponse 13 / 41
Utilisateur anonyme
 
Re,

1/
On va essayer autrement :

Tu vas faire ceci:
- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 1 [SCAN] et valide
- Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

2/
Attention, avant de commencer, lit attentivement la procédure

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

? Fais un clic droit sur ce lien, enregistre le dans ton bureau

Voici Aide combofix

? /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\


? Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

? ? SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

? Mets-le en langue française F

? Tape sur la touche 1 (Yes) pour démarrer le scan.

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

?En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

? Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

? ? /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

? Note : Le rapport se trouve également là : C:\ComboFix.txt

Membre, Contributeur

H.F. : Fish66
0
Réponse 14 / 41
lafoug Messages postés 323 Statut Membre
 
Voilà les 2 rapports (roguekiller et combofix) :

Rapport de Roguekiller
RogueKiller V4.3.9 [16/04/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: rh [Droits d'admin]
Mode: Recherche -- Date : 24/04/2011 09:59:01

Processus malicieux: 1
[APPDT/TMP/DESKTOP] lsnfier.exe -- c:\documents and settings\rh\application data\microsoft\notification de cadeaux msn\lsnfier.exe -> KILLED

Entrees de registre: 1
[APPDT/TMP/DESKTOP] Notification de cadeaux MSN.lnk : C:\Documents and Settings\rh\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> FOUND

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[1].txt >>
RKreport[1].txt


Rapport de combofix :

ComboFix 11-04-23.01 - rh 24/04/2011 20:00:07.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1022.645 [GMT 2:00]
Lancé depuis: c:\documents and settings\rh\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *Disabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
FW: COMODO Firewall *Enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-03-24 au 2011-04-24 ))))))))))))))))))))))))))))))))))))
.
.
2011-04-23 17:51 . 2011-04-23 17:51 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Mozilla
2011-04-23 17:51 . 2011-04-23 17:51 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2011-04-23 11:34 . 2011-04-23 11:34 512 ----a-w- C:\PhysicalDisk0_MBR.bin
2011-04-23 11:30 . 2011-04-23 11:34 -------- d-----w- c:\program files\ZHPDiag
2011-04-23 08:39 . 2011-04-23 08:39 -------- d-----w- c:\documents and settings\rh\Application Data\Malwarebytes
2011-04-23 08:38 . 2010-11-29 15:42 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-23 08:38 . 2011-04-23 08:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2011-04-23 08:38 . 2011-04-23 08:38 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-04-23 08:38 . 2010-11-29 15:42 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-04-12 13:17 . 2011-04-23 13:56 -------- d-----w- c:\documents and settings\rh\Local Settings\Application Data\Xara
2011-04-12 13:15 . 2011-04-23 13:56 -------- d-----w- c:\program files\Xara
2011-04-05 13:59 . 2011-04-05 13:59 -------- d-----w- c:\windows\Sun
2011-04-05 13:58 . 2011-04-05 13:58 -------- d-----w- c:\program files\Fichiers communs\Java
2011-04-05 13:57 . 2011-04-05 13:56 472808 ----a-w- c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll
2011-04-05 13:57 . 2011-04-05 13:56 73728 ----a-w- c:\windows\system32\javacpl.cpl
2011-04-05 13:57 . 2011-04-05 13:56 472808 ----a-w- c:\windows\system32\deployJava1.dll
2011-04-05 13:56 . 2011-04-05 13:56 -------- d-----w- c:\program files\Java
2011-04-01 06:04 . 2011-04-01 06:04 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer
2011-03-26 19:18 . 2009-02-13 19:02 11520 ----a-r- c:\windows\system32\drivers\wdcsam.sys
2011-03-26 18:58 . 2011-03-27 09:39 -------- d-----w- c:\documents and settings\rh\Application Data\U3
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-01 06:03 . 2011-03-19 10:07 137656 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-03-22 11:17 . 2011-03-22 11:17 21275 ----a-w- c:\windows\system32\drivers\AegisP.sys
2011-03-19 09:33 . 2011-03-19 09:33 1060864 ----a-w- c:\windows\system32\mfc71.dll
2011-03-19 09:33 . 2011-03-19 09:33 1700352 ----a-w- c:\windows\system32\gdiplus.dll
2011-03-15 18:19 . 2011-03-15 18:19 86576 ----a-w- c:\documents and settings\rh\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2011-03-15 18:19 . 2011-03-15 18:19 392728 ----a-w- c:\documents and settings\rh\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2011-03-15 18:19 . 2011-03-15 18:19 135680 ----a-w- c:\documents and settings\rh\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
2011-03-15 18:19 . 2011-03-15 18:19 132672 ----a-w- c:\documents and settings\rh\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2011-03-07 05:33 . 2011-03-15 16:15 692736 ----a-w- c:\windows\system32\inetcomm.dll
2011-03-04 06:45 . 2004-08-10 12:00 434176 ----a-w- c:\windows\system32\vbscript.dll
2011-03-03 13:53 . 2004-08-10 12:00 1858048 ----a-w- c:\windows\system32\win32k.sys
2011-02-17 13:51 . 2006-03-04 03:35 671232 ----a-w- c:\windows\system32\wininet.dll
2011-02-17 13:51 . 2004-08-10 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2011-02-17 13:51 . 2004-08-10 12:00 61952 ----a-w- c:\windows\system32\tdc.ocx
2011-02-17 13:51 . 2004-08-10 12:00 371200 ----a-w- c:\windows\system32\html.iec
2011-02-17 13:18 . 2004-08-10 12:00 455936 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2011-02-17 13:18 . 2004-08-10 12:00 357888 ----a-w- c:\windows\system32\drivers\srv.sys
2011-02-17 12:54 . 2008-05-05 06:25 5632 ----a-w- c:\windows\system32\xpsp4res.dll
2011-02-15 12:56 . 2004-08-10 12:00 290432 ----a-w- c:\windows\system32\atmfd.dll
2011-02-08 13:34 . 2004-08-10 12:00 978944 ----a-w- c:\windows\system32\mfc42.dll
2011-02-08 13:34 . 2004-08-10 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll
2011-02-04 16:48 . 2004-08-10 12:00 456192 ----a-w- c:\windows\system32\encdec.dll
2011-02-04 16:48 . 2004-08-10 12:00 291840 ----a-w- c:\windows\system32\sbe.dll
2011-02-04 11:09 . 2011-03-19 10:07 61960 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-02-02 07:59 . 2011-03-15 16:09 2067456 ----a-w- c:\windows\system32\mstscax.dll
2011-01-27 11:57 . 2011-03-15 16:09 677888 ----a-w- c:\windows\system32\mstsc.exe
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-05-08 7561216]
"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2011-01-17 2548552]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2011-02-04 281768]
"Apoint"="c:\program files\Apoint\Apoint.exe" [2004-11-17 118784]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"COMODO"="c:\program files\COMODO\COMODO GeekBuddy\CLPSLA.exe" [2011-04-06 208184]
"CPA"="c:\program files\COMODO\COMODO GeekBuddy\VALA.exe" [2011-04-06 182584]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\rh\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rh\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2011-3-15 135680]
.
c:\documents and settings\rh\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rh\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2011-3-15 135680]
.
c:\documents and settings\rh\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rh\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2011-3-15 135680]
.
c:\documents and settings\rh\Menu D'marrer\Programmes\D'marrage\
Notification de cadeaux MSN.lnk - c:\documents and settings\rh\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe [2011-3-15 135680]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\guard32.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"=
.
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [06/01/2011 18:37 239368]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [06/01/2011 18:37 27576]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [19/03/2011 12:07 135336]
R2 CLPSLS;COMODO livePCsupport Service;c:\program files\COMODO\COMODO GeekBuddy\CLPSLS.exe [06/04/2011 08:53 154424]
R3 ti21sony;ti21sony;c:\windows\system32\drivers\ti21sony.sys [15/03/2011 16:23 226304]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [26/03/2011 21:18 11520]
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1715567821-789336058-725345543-1003Core.job
- c:\documents and settings\rh\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-03-15 20:04]
.
2011-04-23 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1715567821-789336058-725345543-1003UA.job
- c:\documents and settings\rh\Local Settings\Application Data\Google\Update\GoogleUpdate.exe [2011-03-15 20:04]
.
.
------- Examen supplémentaire -------
.
TCP: {DC02D225-4B1E-43C2-8E30-6BB57A6EE2D9} = 156.154.70.25,156.154.71.25
TCP: {E77AF7AF-07D0-4418-B174-B6B9DDF7EFD4} = 156.154.70.25,156.154.71.25
FF - ProfilePath - c:\documents and settings\rh\Application Data\Mozilla\Firefox\Profiles\x3ghmm3c.default\
FF - prefs.js: browser.startup.homepage - hxxp://google.fr/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=MIMWA5&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
.
- - - - ORPHELINS SUPPRIMES - - - -
.
HKLM-Run-Mouse Suite 98 Daemon - ICO.EXE
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-24 20:08
Windows 5.1.2600 Service Pack 3 NTFS
.
detected NTDLL code modification:
ZwClose, ZwOpenFile
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'lsass.exe'(992)
c:\windows\system32\guard32.dll
.
Heure de fin: 2011-04-24 20:09:59
ComboFix-quarantined-files.txt 2011-04-24 18:09
.
Avant-CF: 18 852 462 592 octets libres
Après-CF: 19 339 649 024 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect
.
- - End Of File - - CF72323848716D13FF16D753EF4F3D16
0
Réponse 15 / 41
Utilisateur anonyme
 
Re,
1/
Un clé de registre infecté n'est pas supprimé, pour cela :

*Relance RogueKiller.exe.
*Un scan se lance, puis tu verra d'indiqué dans la fenêtre
* 1. Scan (écrit en vert)
* 2. Delete (écrit en rouge)
* 3. Hosts RAZ (écrit en rouge)
* 4. Proxy RAZ (écrit en rouge)
* 5. DNS RAZ (écrit en rouge)
* 6. Raccourcis RAZ (écrit en rouge)
*A ce moment tape 2 et valide
Note: s'il te demande de supprimer le proxy, tape 4
? Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
? Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

Membre, Contributeur

H.F. : Fish66
0
Réponse 16 / 41
lafoug Messages postés 323 Statut Membre
 
C'est fait. Voilà le rapport :

RogueKiller V4.3.9 [16/04/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: rh [Droits d'admin]
Mode: Suppression -- Date : 24/04/2011 21:11:40

Processus malicieux: 0

Entrees de registre: 1
[APPDT/TMP/DESKTOP] Notification de cadeaux MSN.lnk : C:\Documents and Settings\rh\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> DELETED

Fichier HOSTS:
127.0.0.1 localhost

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Réponse 17 / 41
Utilisateur anonyme
 
OK

1/
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:

=> Sous XP : "%userprofile%\Bureau\mbr" -f

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f

* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

2/
Relance Malwarebytes pour supprimer le rogue comme tu as fait précédamment

Membre, Contributeur

H.F. : Fish66
0
Réponse 18 / 41
lafoug Messages postés 323 Statut Membre
 
Comme je n'ai pas eu le message '"MBR rootkit code detected" je me suis arrêtée au début de la procédure... Voilà le rapport :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: TOSHIBA_MK1234GSX rev.AH001A -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-e

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK


Est ce que je dois continuer ?
0
Utilisateur anonyme
 
OK
Oui bien sure, lance comme je t'ai dit MBAM et supprime la sélection comme déjà expliqué
0
Utilisateur anonyme
 
stp attend moi je vais me renseigner !
0
Réponse 19 / 41
lafoug Messages postés 323 Statut Membre
 
MBAM bug toujours au bout d'une dizaine de minutes maxi....
0
lafoug Messages postés 323 Statut Membre
 
hum, je crois que c'est au moment du scan de ZHPdiag que ca bloquait a chaque fois. Du coup je l'ai desinstallé et ca a l'air de marcher...
0
lafoug Messages postés 323 Statut Membre
 
Ah hé bien non... ca vient de bloquer de nouveau !
0
Réponse 20 / 41
Utilisateur anonyme
 
Re,
1/
Essayer de le lancer en mode sans échec ! comme expliqué ICI

2/
Pour bien vérifier que les fichiers ci-dessous sont infectés rend toi sur ce site

Virus Total

Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir"

apres chaque analyse :

c:\documents and settings\rh\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation

actuelle : en cours d'analyse" est affiché.

* Il est possible que le fichier soit mis en file d'attente en raison d'un grand

nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser

la page.

* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine

réponse.

Fait de la même facon les fichiers :

c:\documents and settings\rh\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe

c:\documents and settings\rh\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll



Membre, Contributeur

H.F. : Fish66
0
Utilisateur anonyme
 
Demain on va continuer, bonne nuit...
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
a quoi sert softonic ?
durup1928 -
jacklyn -

25 réponses