Infection?

Fermé
Zenreg Messages postés 2 Date d'inscription mardi 28 juin 2011 Statut Membre Dernière intervention 28 juin 2011 - 28 juin 2011 à 22:38
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 1 juil. 2011 à 11:09
Bonjour,

Je crois que mon pc est infecté... Quelqu'un peut il m'aider et me donner la marche a suivre?

Ci dessous un rapport Malwarebytes' Anti-Malware(que je n'ai pu faire qu'en mode sans echec car le log bloquait sinon) et le rapport SmitFraudFix





Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6938

Windows 5.1.2600 Service Pack 3 (Safe Mode)
Internet Explorer 7.0.5730.11

24/06/2011 18:41:04
mbam-log-2011-06-24 (18-41-01).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 299150
Temps écoulé: 27 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\SYSTEM32\WGA.EXE (Hacktool.WGAFix) -> Value: WGA.EXE -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\idoser v4\Doses\i-doser.4.5-patch.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\WINDOWS\system32\calc.exe (Trojan.Agent.Gen) -> No action taken.
c:\WINDOWS\system32\WGA.exe (Hacktool.WGAFix) -> No action taken.
d:\autocad 2008 fra\Crack\autocad-2008-keygen.exe (RiskWare.Tool.CK) -> No action taken.
d:\autocad 2008 fra\Crack\kiss_cad08.exe (RiskWare.Tool.CK) -> No action taken.




*********************

















SmitFraudFix v2.423

Rapport fait à 13:21:32,25, 28/06/2011
Executé à partir de D:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\DU Meter\DUMeter.exe
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\AVAST Software\Avast\avastUI.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe
C:\Program Files\TuneUp Utilities 2011\TuneUpUtilitiesApp32.exe
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jucheck.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wscntfy.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="acaptuser32.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\Userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Carte SMC EZ 10/100 PCI (SMC1211TX) - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9E401E7C-9EF0-4A6A-A955-2B50A266AD87}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9E401E7C-9EF0-4A6A-A955-2B50A266AD87}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9E401E7C-9EF0-4A6A-A955-2B50A266AD87}: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E9D4C65C-25C4-4B8E-830B-77B81A8995B9}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.241 212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin



merci d'avance pour vos reponse

10 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
28 juin 2011 à 22:53
N'oublie pas de supprimer le crack

Smart
1
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
1 juil. 2011 à 11:09
Ta version de Windows est également crakée. Tu seras continuellement infecté.
En effet tu as installé:
Wocarson Windows Genuine Advantage Validation v1.9.40.0 Cracked V2
pour permettre les mises à jour et la validation de Windows.
Je te conseille d'avoir un Windows officiel.

On va supprimer les les adware que tu as, mais je ne ferai pas plus car tu va revenir sans cesse.

- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : http://www.teamxscript.org/adremoverTelechargement.html
- Clique sur TÉLÉCHARGER et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Smart
1
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
28 juin 2011 à 22:49
Bonjour,

Normal que tu sois infecté tu as téléchargé un crack pou utiliser gratiuitement Autocad
Lis ce dossier ci dessous:
Les dangers des cracks

* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

Smart
0
Zenreg Messages postés 2 Date d'inscription mardi 28 juin 2011 Statut Membre Dernière intervention 28 juin 2011
28 juin 2011 à 22:52
ok merci je poste ça des que c terminé
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Ci dessous le rapport MBAM. Tous tes fichiers ont été supprimés, par contre j'aimerais y a t'il d'autres demarches a faire pour m4assurer que je ne suis pas infecté par autre chose? (faire un point complet et minutieux de mon pc)



Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6985

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

30/06/2011 14:42:00
mbam-log-2011-06-30 (14-41-56).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 296902
Temps écoulé: 3 heure(s), 35 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151592.exe (PUP.Hacktool.Patcher) -> No action taken.
c:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151593.exe (Trojan.Agent.Gen) -> No action taken.
c:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151594.exe (Hacktool.WGAFix) -> No action taken.
c:\WINDOWS\Temp\unp230766989.tmp (Malware.Packer.Gen) -> No action taken.
d:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151595.exe (RiskWare.Tool.CK) -> No action taken.
d:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151596.exe (RiskWare.Tool.CK) -> No action taken.

zenreg
0
quelqu'un peu me donner des information sur ce dernier rapport?

merci d'avance pour vos reponses
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
30 juin 2011 à 17:30
Le rapport MBAM ne montre pas que les fichiers ont été supprimés.
Pour le vérifier, relance MBAM va dans l'onglet Rapports/logs et poste le dernier rapport

Smart
0
Voila le dernier rapport :

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 6985

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

30/06/2011 14:42:05
mbam-log-2011-06-30 (14-42-05).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 296902
Temps écoulé: 3 heure(s), 35 minute(s), 26 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151592.exe (PUP.Hacktool.Patcher) -> Quarantined and deleted successfully.
c:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151593.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
c:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151594.exe (Hacktool.WGAFix) -> Quarantined and deleted successfully.
c:\WINDOWS\Temp\unp230766989.tmp (Malware.Packer.Gen) -> Quarantined and deleted successfully.
d:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151595.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
d:\system volume information\_restore{8337a181-8740-4956-bb68-3d8455e3cd86}\RP7126\A0151596.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.



a noter que je n'ai pas realisé cette examen en mode sans echec. C'est quoi ces virus?


Y a til d'autres chose a faire afin de s'assurer que je ne suis plus infecté?
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
1 juil. 2011 à 10:29
Tu n'as pas à t'inquiéter. Ces virus ont été supprimé par MBAM et en en plus ils se trouvaient dans des points de restauration donc inactifs tant que tu ne fais pas uen restauration sytème.
Mais je ne comprends pas pourquoi tu as fait ces scans en mode sans echec. Je ne l'avais pas demandé. Ou alors tu ne peux pas le faire en mode normal

En mode normale
Relance MBAM ert vide la quarantaine
Ensuite on va faire un diagnostic de ton PC pour voir s'il n'y pas d'autres infections

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 comme antivirus, à l'alerte choisis "lancer normalement"
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart
0
Voila le rapport

http://www.cijoint.fr/cjlink.php?file=cj201107/cij4ilJcdv.txt
0