Virus Project1 Résolu

Question

Bonjour, je suis infecté d'un virus appelé project1 qui ralentit considérablement mon pc , ne pouvant plus jouer à des jeux en ligne ! Je c'est qu'il faut des rapports et je les ais merci de votre aide.Des la réponse d'un utilisateur je posterer mes rapports.MERCI d'avance! 



Configuration: Windows XP / Internet Explorer 8.0

Malekal_morte- · Accepted Answer

Salut,


Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.


ETAPE 1 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!! 


ETAPE 2 :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs 
* Clique sur le bouton Analyse. 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

seb81laclasse · Answer

ok att sa analyse merci pour l'aide!

seb81laclasse · Answer

re voici le rapport en ligne :https://pjjoint.malekal.com/files.php?id=e6a42c0c2c957

Malekal_morte- · Answer

Tu as deux étapes à faire, t'as fait la deuxième et elles sont à faire dans l'ordre :/

Envoie ce fichier C:\Program Files\Windows Mail\lsm.exe
sur http://upload.malekal.com

seb81laclasse · Answer

Voila l'upload à réussi ! et c'est tout ?

seb81laclasse · Answer

a oui dsl je télécharge  Malwarebytes' Anti-Malware

seb81laclasse · Answer

le scan rapide est entrain de s'éffectuer dsl pour l'attente...

seb81laclasse · Answer

voici le scan avant que je rallume le pc :Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6969

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

28/06/2011 20:16:27
mbam-log-2011-06-28 (20-16-27).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 168777
Temps écoulé: 21 minute(s), 56 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 3
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
c:\program files\windows mail\lsm.exe (Backdoor.HMCPol.Gen) -> 3556 -> Unloaded process successfully.
c:\program files\windows mail\lsm.exe (Backdoor.HMCPol.Gen) -> 1808 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{E013EU72-6SX0-DO00-4R6P-O233N00NH1B3} (Backdoor.HMCPol.Gen) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E013EU72-6SX0-DO00-4R6P-O233N00NH1B3} (Backdoor.HMCPol.Gen) -> Delete on reboot.
HKEY_CURRENT_USER\Software\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ShoppingReport2 (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\QUESTSCAN (Adware.QuestScan) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_QUESTSCAN_SERVICE (Adware.QuestScan) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Backdoor.HMCPol.Gen) -> Value: svchost.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dwm.exe (Backdoor.HMCPol.Gen) -> Value: dwm.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\QuestScan\DllPath (Adware.QuestScan) -> Value: DllPath -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
c:\program files\shoppingreport2 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\program files\shoppingreport2\Bin (Adware.ShoppingReport2) -> Quarantined and deleted successfully.
c:\program files\shoppingreport2\Bin\2.7.34 (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\documents and settings\Jérôme\local settings\Temp\{96f24a79-b7b8-4b66-9719-6c814c53f233}\{0571ccce-83ed-45fd-97a6-979fd0d21b96}\sweetimpack_3405.exe (Trojan.Dropper.Pak) -> Quarantined and deleted successfully.
c:\documents and settings\Jérôme\local settings\Temp\{6044e76b-64cf-40aa-a767-449b159a1a19}\{0571ccce-83ed-45fd-97a6-979fd0d21b96}\sweetimpack_3405.exe (Trojan.Dropper.Pak) -> Quarantined and deleted successfully.
c:\documents and settings\Jérôme\application data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\Jérôme\local settings\Temp\IEPASS.abc (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\Jérôme\local settings\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\Jérôme\local settings\Temp	este.vbs (Trojan.VBS) -> Quarantined and deleted successfully.
c:\program files\windows mail\lsm.exe (Backdoor.HMCPol.Gen) -> Quarantined and deleted successfully.
c:\program files\shoppingreport2\Uninst.exe (Adware.ShoppingReport2) -> Quarantined and deleted successfully.

Malekal_morte- · Answer

OK fais ça :

Télécharge AD-Remover : http://www.teamxscript.org/adremoverTelechargement.html
Lance le en mode nettoyage
Poste le rapport ici.

et tu refais un scan OTL comme indiqué dans la première procédure.

seb81laclasse · Answer

re voici le rapport: ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [2]) -> Lancé à 20:36:50 le 28/06/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86) 
Jérôme@SEBASTIEN ( ) 
 
============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{BFE569F7-646C-4512-969B-9BE3E580D393}
Clé supprimée: HKLM\Software\Classes\Interface\{C8D424EF-CB21-49A0-8659-476FBAB0F8E8}


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [8.0.6001.18702] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_URLSearchHooks|{90b49673-5506-483e-b92b-ca0265bd9ca8} - "IMVU Inc Toolbar" (C:\Program Files\IMVU_Inc\prxtbIMVU.dll)
HKCU_Toolbar|{710EB7A1-45ED-11D0-924A-0020AFC7AC4D} (x)
HKCU_Toolbar\WebBrowser|{EEE6C35B-6118-11DC-9C72-001320C79847} (x)
HKCU_Toolbar\WebBrowser|{90B49673-5506-483E-B92B-CA0265BD9CA8} (C:\Program Files\IMVU_Inc\prxtbIMVU.dll)
HKLM_Toolbar|{98889811-442D-49dd-99D7-DC866BE87DBC} (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbarTlbr.dll)
HKLM_Toolbar|{90b49673-5506-483e-b92b-ca0265bd9ca8} (C:\Program Files\IMVU_Inc\prxtbIMVU.dll)
HKLM_ElevationPolicy\${ELV_GUID} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbarsrv.exe (Babylon Ltd.)
HKLM_ElevationPolicy\{079CD7B0-F5BC-4014-824B-5CA9A93EAE03} - C:\Program Files\IMVU_Inc\IMVU_IncToolbarHelper.exe (?)
HKLM_ElevationPolicy\{4226956D-E329-4003-A124-6826F157DDAD} - C:\Documents and Settings\Jérôme\Local Settings\Application Data\Conduit\CT2612669\IMVU_IncAutoUpdateHelper.exe (x)
HKLM_ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291} - C:\Program Files\IMinent Toolbar\TbHelper2.exe (x)
HKLM_ElevationPolicy\{E6B969FB-6D33-48d2-9061-8BBD4899EB08} - C:\Program Files\Iminent\MMServer\Iminent.MMServer.exe (x)
HKLM_Extensions\{d9288080-1baa-4bc4-9cf8-a92d743db949} - "Run IMVU" (C:\Documents and Settings\Jérôme\Application Data\IMVUClient\imvu.ico)
HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
BHO\{2EECD738-5844-4a99-B4B6-146BF802613B} - "CescrtHlpr Object" (C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.23.10\bh\BabylonToolbar.dll)
BHO\{90b49673-5506-483e-b92b-ca0265bd9ca8} - "IMVU Inc Toolbar" (C:\Program Files\IMVU_Inc\prxtbIMVU.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 46 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 28/06/2011 20:27:01 (5010 Octet(s)) 
C:\Ad-Report-CLEAN[2].txt - 28/06/2011 20:38:48 (2540 Octet(s)) 

Fin à: 20:39:51, 28/06/2011 
 
============== E.O.F ==============

seb81laclasse · Answer

Maintenant je refais l'étape 2 c'est bien ça ? (j'ai un sens de réflexion à couper le soufle =D)

seb81laclasse · Answer

le fichier est en ligne vous pouvez des à présent le consulté :) https://pjjoint.malekal.com/files.php?id=0ce5ef1d8d7126

Malekal_morte- · Answer

Désinstalle :
BabylonToolbar
MVU Inc Toolbar

et éventuellement la GoogleTooblar si tu t'en sers pas.


Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut. 
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB. 
Au final, il est pas conseillé d'en utiliser. 
Lire : 
Les toolbars c'est pas obligatoire! 



~~

Maintenant un peu d'écoute...

c:\documents and settings\Jérôme\application data\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\Jérôme\local settings\Temp\IEPASS.abc (Malware.Trace) -> Quarantined and deleted successfully.
c:\documents and settings\Jérôme\local settings\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully. 

Ca ce sont des fichiers qui contiennent des informations volées par l'infection que tu avais.
Pour info cette infection se connecte à une adresse sfr.net, ça veux dire que y a des chances que le pirate soit français donc :
1/ tu changes tous tes mots de passe (mail, msn)
2/ si tu fais des achats en ligne, check ton relevé de compte.

Quand tu as fait tout ça, tu me le dis.

seb81laclasse · Answer

C'est valable pour les jeux en ligne et facebook aussi ?

jfkpresident · Answer

B'soir ;)

J'espere que vous êtes payer pour sa :)
Avec des cailloux :D

seb81laclasse · Answer

lol !

seb81laclasse · Answer

c'est fait j'ai tout changé ! j'ai pas pu encore désinstaler imvu par contre je les désactiver.Je fait quoi maintenant?

Malekal_morte- · Answer

Fais plus attention à l'avenir....

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf  
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html  
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte : 
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

Virus Project1

18 réponses

Votre réponse

Discussions similaires