Attaque par nombreux virus/chevaux troieRésolu/Fermé

Question

Bonjour, 

Je subis des attaques de virus/chevaux de troie. Malgré les mises en quarantaine successives effectuées par AVIRA, les virus réapparaissent presque tout de suite et il y en a de plus en plus. Il s'agirait de: Small.FI, ATRAPS.Gen2, JS/Expack.AS.1 et Obfuscate.XQ.32.

Je ne m'en sors pas!! 
Quelqu'un aurait-il déjà eu ce souci? Comment faire pour les éliminer définitivement?

Merci beaucoup de votre aide!

g3n-h@ckm@n · Answer

salut desinstalle tout java on le remettra après

===========

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Lost in the sea · Answer

Salut g3n-h@ckma@n,

Merci beaucoup de ton retour.

En attendant une réponse à ma question, j'avais lancé un scan par MBAM. Il a trouvé 4 éléments qu'il a réussi à supprimer d'après le rapport.

Pour être sûre, j'ai voulu suivre tes consignes: j'ai réussi à télécharger winlogon0.exe (puis Pre_scan.pif puisque cela ne fonctionnait pas) après avoir désinstallé java. Après chacun des lancements de l'une ou l'autre de ces 2 applications, le même message est apparu dans une fenêtre "Autolt Error":
Line 15529 (File "C:\Documents and settings\Marie\Bureau\winlogon0.exe")
Error: Variable must be of type "Object".

Et impossible de récupérer le bureau après chaque lancement, j'ai été obligée de forcer l'extinction puis de rallumer le PC.

Penses-tu que MBAM a été suffisant (je n'ai pas encore reçu de message d'alerte depuis...)?

Merci

g3n-h@ckm@n · Answer

je ne sais pas poste le rapport d'MBAM

Lost in the sea · Answer

Voici:

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.06.03.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Marie :: TOSHIBA_M70 [administrateur]

03/06/2012 14:53:07
mbam-log-2012-06-03 (14-53-07).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 303090
Temps écoulé: 2 heure(s), 24 minute(s), 52 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 2
HKCR\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Mauvais: (C:\Documents and Settings\Marie\Local Settings\Application Data\{685f63a9-1a9d-206b-2674-0dba64725c5d}
.) Bon: (%SystemRoot%\system32\shdocvw.dll) -> Mis en quarantaine et réparé avec succès
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32| (Trojan.Zaccess) -> Mauvais: (\.\globalroot\systemroot\Installer\{685f63a9-1a9d-206b-2674-0dba64725c5d}
.) Bon: (%systemroot%\system32\wbem\wbemess.dll) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\WINDOWS\Installer\{685f63a9-1a9d-206b-2674-0dba64725c5d}
 (Trojan.Dropper.PE4) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Installer\{685f63a9-1a9d-206b-2674-0dba64725c5d}\U\00000001.@ (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Installer\{685f63a9-1a9d-206b-2674-0dba64725c5d}\U\80000000.@ (Trojan.Sirefef) -> Mis en quarantaine et supprimé avec succès.
C:\WINDOWS\Installer\{685f63a9-1a9d-206b-2674-0dba64725c5d}\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

ok heberge C:\Pre_scan.txt comme indiqué

Lost in the sea · Answer

C'est fait mais j'ai le message d'erreur (déjà posté) qui s'affiche. Comment faire pour que l'appli se déroule normalement et aboutisse à un rapport?

Merci!!

g3n-h@ckm@n · Answer

je viens de te le dire le rapport est dans c:\

Lost in the sea · Answer

J'ai bien un répertoire C:\Pre_Scan mais aucun rapport du type Pre_Scan_la_date_et_l'heure.txt (ni sur le bureau). Quand je lance Pre_Scan, j'ai un message d'erreur et le scan n'est pas réalisé apparemment.

g3n-h@ckm@n · Answer

moi je lance sur mes vm hyper infectées y a pas de souci... bref /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. ▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

Lost in the sea · Answer

ComboFix 12-06-03.04 - Marie 03/06/2012  22:36:29.1.1 - x86
Lancé depuis: c:\documents and settings\Marie\Bureau\Marie.exe
 * Un nouveau point de restauration a été créé
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Default User\WINDOWS
c:\documents and settings\Marie\WINDOWS
c:\documents and settings\Yann\WINDOWS
c:\windows\system32\config\systemprofile\WINDOWS
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_USNJSVC
-------\Service_usnjsvc
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-05-03 au 2012-06-03  ))))))))))))))))))))))))))))))))))))
.
.
2012-06-03 15:32 . 2012-06-03 20:08	--------	d-----w-	C:\Pre_Scan
2012-06-03 12:50 . 2012-04-04 13:56	22344	----a-w-	c:\windows\system32\drivers\mbam.sys
2012-05-28 20:27 . 2012-05-28 20:27	--------	d-----w-	c:\documents and settings\NetworkService\Favoris
2012-05-28 20:00 . 2012-06-03 15:06	--------	d-----w-	c:\windows\system32\NtmsData
2012-05-27 18:42 . 2007-05-18 09:00	143360	----a-r-	c:\windows\apptune1020.exe
2012-05-27 18:42 . 2007-05-18 09:00	61440	----a-r-	c:\windows\system32\zIMF.dll
2012-05-27 18:42 . 2007-05-18 09:00	53248	----a-r-	c:\windows\system32\ztag.dll
2012-05-27 18:42 . 2007-05-18 09:00	106496	----a-r-	c:\windows\system32\ZSPOOL.dll
2012-05-27 18:42 . 2007-05-18 09:00	102400	----a-r-	c:\windows\system32\zlhp1020.dll
2012-05-27 18:42 . 2007-05-18 09:00	434176	----a-r-	c:\windows\system32\zshp1020.exe
2012-05-27 18:42 . 2012-05-27 18:43	--------	d-----w-	c:\program files\Hewlett-Packard
2012-05-27 18:42 . 2007-05-18 09:00	57344	----a-r-	c:\windows\system32\Spool\prtprocs\w32x86\zimfprnt.dll
2012-05-27 18:42 . 2012-05-27 18:42	--------	d--h--w-	c:\program files\Zenographics
2012-05-12 10:27 . 2012-05-12 10:27	--------	d-----w-	c:\documents and settings\Marie\Application Data\Avira
2012-05-12 10:21 . 2012-02-15 13:16	74640	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2012-05-12 10:21 . 2012-02-15 13:16	137416	----a-w-	c:\windows\system32\drivers\avipbb.sys
2012-05-12 10:21 . 2011-09-16 14:29	36000	----a-w-	c:\windows\system32\drivers\avkmgr.sys
2012-05-12 10:21 . 2012-05-12 10:21	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2012-05-12 10:21 . 2012-05-12 10:21	--------	d-----w-	c:\program files\Avira
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-04 19:13 . 2012-04-02 17:22	419488	----a-w-	c:\windows\system32\FlashPlayerApp.exe
2012-05-04 19:13 . 2011-05-15 17:33	70304	----a-w-	c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-11 13:51 . 2004-08-04 00:48	2071168	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-04-11 13:51 . 2005-09-16 06:23	1862400	----a-w-	c:\windows\system32\win32k.sys
2012-04-11 13:51 . 2005-09-16 06:23	2194688	----a-w-	c:\windows\system32
toskrnl.exe
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD	oscdspd.exe" [2005-04-11 65536]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 68856]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2011-04-22 247728]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LtMoh"="c:\program files\ltmoh\Ltmoh.exe" [2003-09-06 184320]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 88358]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2004-03-24 196608]
"CeEKEY"="c:\program files\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 671744]
"TPNF"="c:\program files\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 53248]
"HWSetup"="c:\program files\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 28672]
"SVPWUTIL"="c:\program files\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 65536]
"Zooming"="ZoomingHook.exe" [2005-06-06 24576]
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 28672]
"TPSMain"="TPSMain.exe" [2005-08-12 266240]
"SmoothView"="c:\program files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe" [2005-05-17 118784]
"TFncKy"="TFncKy.exe" [BU]
"NDSTray.exe"="NDSTray.exe" [BU]
"dla"="c:\windows\system32\dla	fswctrl.exe" [2005-05-31 122941]
"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064]
"Zune Launcher"="c:\program files\Zune\ZuneLauncher.exe" [2011-08-05 159456]
"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2012-02-20 59240]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2011-10-24 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2012-03-06 421736]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2012-02-15 258512]
"OrderReminder"="c:\program files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2007-05-18 98304]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
RAMASST.lnk - c:\windows\system32\RAMASST.exe [2006-7-16 155648]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\startupfolder\C:^Documents and Settings^Marie^Menu Démarrer^Programmes^Démarrage^Lancement rapide de Microsoft Office OneNote 2003.lnk]
path=c:\documents and settings\Marie\Menu Démarrer\Programmes\Démarrage\Lancement rapide de Microsoft Office OneNote 2003.lnk
backup=c:\windows\pss\Lancement rapide de Microsoft Office OneNote 2003.lnkStartup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2012-03-06 17:05	421736	----a-w-	c:\program files\iTunes\iTunesHelper.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-10-18 09:34	5724184	----a-w-	c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
2010-05-14 09:32	1479680	----a-w-	c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2011-10-24 12:28	421888	----a-w-	c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
2007-07-17 17:51	68856	----a-w-	c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]
2011-04-22 12:21	247728	----a-w-	c:\program files\TomTom HOME 2\TomTomHOMERunner.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zune Launcher]
2011-08-05 11:29	159456	----a-w-	c:\program files\Zune\ZuneLauncher.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
.
R1 avkmgr;avkmgr;c:\windows\system32\drivers\avkmgr.sys [12/05/2012 12:21 36000]
R2 AntiVirMailService;Avira Protection e-mail;c:\program files\Avira\AntiVir Desktop\avmailc.exe [12/05/2012 12:21 342480]
R2 AntiVirSchedulerService;Avira Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [12/05/2012 12:21 86224]
R2 AntiVirWebService;Avira Protection Web;c:\program files\Avira\AntiVir Desktop\avwebgrd.exe [12/05/2012 12:21 463824]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [22/04/2011 14:21 92592]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [02/04/2012 19:22 257696]
S3 Service CANALPLAY;Service CANALPLAY;c:\program files\Lecteur CANALPLAY\CanalPlayService.exe [18/10/2009 17:43 444288]
S3 WMZuneComm;Zune Windows Mobile Connectivity Service;c:\program files\Zune\WMZuneComm.exe [05/08/2011 13:30 268512]
.
Contenu du dossier 'Tâches planifiées'
.
2012-06-03 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-02 19:13]
.
2012-01-08 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 16:57]
.
2012-05-12 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-01-03 19:30]
.
2006-07-15 c:\windows\Tasks\Rappel d'enregistrement 3.job
- c:\windows\system32\OOBE\oobebaln.exe [2005-09-16 02:34]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
Trusted Zone: canalplay.com
Trusted Zone: canalplusactive.com
TCP: DhcpNameServer = 212.27.40.240 212.27.40.241
DPF: {83A4D5A6-E2C1-4EDD-AD48-1A1C50BD06EF} - hxxp://www.photoweb.fr/telechargement/telechargement-photoweb-6.5.6.cab
.
- - - - ORPHELINS SUPPRIMES - - - -
.
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-06-03 22:46
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø*€|ÿÿÿÿ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(716)
c:\windows\system32\Ati2evxx.dll
.
- - - - - - - > 'lsass.exe'(776)
c:\program files\Avira\AntiVir Desktop\avsda.dll
.
- - - - - - - > 'explorer.exe'(344)
c:\windows\system32\eappprxy.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\program files\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\program files\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\program files\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_fre.nlr
c:\program files\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\TPwrCfg.DLL
c:\windows\system32\TPwrReg.dll
c:\windows\system32\TPSTrace.DLL
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\Ati2evxx.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\TOSHIBA\ConfigFree\CFSvcs.exe
c:\windows\system32\DVDRAMSV.exe
c:\windows\system32\Ati2evxx.exe
c:\program files\Zune\ZuneBusEnum.exe
c:\program files\Avira\AntiVir Desktop\avshadow.exe
c:\windows\AGRSMMSG.exe
c:\windows\system32\ZoomingHook.exe
c:\windows\system32\TCtrlIOHook.exe
c:\windows\system32\TPSMain.exe
c:\windows\system32\TPSBattM.exe
c:\program files\Apoint2K\Apntex.exe
c:\program files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
c:\program files\TOSHIBA\ConfigFree\NDSTray.exe
c:\program files\iPod\bin\iPodService.exe
.
**************************************************************************
.
Heure de fin: 2012-06-03  22:50:18 - La machine a redémarré
ComboFix-quarantined-files.txt  2012-06-03 20:50
.
Avant-CF: 41 177 358 336 octets libres
Après-CF: 41 175 150 592 octets libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP  dition familiale" /noexecute=optin /fastdetect
.
- - End Of File - - 64065F6615248F494E16A4629A42912F

g3n-h@ckm@n · Answer

essaie de relancer pre_scan

lost in the sea · Answer

Bonjour

Pre-scan a réussi à tourner cette fois-ci. Voici le lien vers le résultat: http://pjjoint.malekal.com/files.php?id=20120609_r7l10s13r13g12

Par contre mon PC est super lent au démarrage, je ne sais pas si cela a un lien avec les infections?

Merci bcp

g3n-h@ckm@n · Answer

re

desinstalle Adobe reader  9
desinstalle Java

==========

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"QuickTime Task"=-
"iTunesHelper"=-
[HKU\S-1-5-21-2097459317-1445197287-2251392247-1006\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-
[-HKLM\Software\BrowserChoice]     

list::
C:\Jiwok 

File::
C:\WINDOWS\system32\config\systemprofile\Application Data\sgcpom.dat 

Folder::
C:\765091e13bed658a5a53de3c49bb6d 
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy     
C:\Program Files\Spybot - Search & Destroy     

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

lost in the sea · Answer

Bonsoir,

Voici le script:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.603 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Marie : Microsoft Windows XP (32 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 22:24:38

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\WINDOWS\system32\config\systemprofile\Application Data\sgcpom.dat

¤

Supprimé : C:\765091e13bed658a5a53de3c49bb6d 
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy 
Supprimé : C:\Program Files\Spybot - Search & Destroy 

¤

¤¤¤¤¤¤¤¤¤¤ | Listing de : C:\Jiwok 



¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x0000000c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 98 MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 22:30:52

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ca te dit quelque chose cee "Jiwok" là ?

lost in the sea · Answer

oui, c'est un logiciel que j'utilise pour créer des programme d'entrainement de sport (superposition d'une voix de coatch sur ma propre musique)

g3n-h@ckm@n · Answer

bien que reste-t-il comme soucis ?

lost in the sea · Answer

Tout a l'air d'être ok côté virus. J'étais une version gratuite d'Avira qui se périmait demain, j'ai donc réinstallé ce soir la version gratuite d'Avira.

Pour le reste, je suis toujours preneuse de solution pour accélérer mon PC que je trouve très lent au démarrage et assez lent en général. Mais il n'est pas tout jeune, peut-être que c'est normal vu son grand âge??

Merci bcp pour ton aide jusque là, c'est vraiment sympa

g3n-h@ckm@n · Answer

fais le menage ca lui fera dubien :

https://gen-hackman.kanak.fr/

lost in the sea · Answer

Bonsoir g3n-h@ckm@n, 
Mieux vaut tard que jamais, j'ai enfin pris le temps d'effectuer les manips demandées pour faire le ménage... Ci dessous les rapports.
Par contre, WIGI n'a jamais voulu terminer son scan... A défaut, j'ai voulu utiliser le programme suivant: http://secunia.com/vulnerability_scanning/online/
mais il n'arrive pas à démarrer Sun java alors que j'ai réinstallé la dernière version (en vérifiant via le lien que tu indiques).

Purera :
Total space cleaned: 274.17 MB



DelFix :

# DelFix v8.8 - Rapport créé le 01/07/2012 à 11:10:54
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Marie - TOSHIBA_M70 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Marie\Mes documents\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\Qoobox
Supprimé : C:\pre_scan

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Documents and Settings\Marie\Bureau\Marie.exe <-- Combofix
Supprimé : C:\ComboFix.txt
Supprimé : C:\TCleaner.txt
Supprimé : C:\Documents and Settings\Marie\Bureau\Pre_Scan.pif
Supprimé : C:\Documents and Settings\Marie\Bureau\Pre_Scan_08_06_2012_21_43_15.txt
Supprimé : C:\Documents and Settings\Marie\Bureau\Pre_script.txt
Supprimé : C:\Documents and Settings\Marie\Bureau\ToolsCleaner2.exe
Supprimé : C:\Documents and Settings\Marie\Bureau\WhyIGotInfected.exe
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\SED.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\Zip.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

~~~~~~ Autres ~~~~~~

Désinstallé : ESET Online Scanner
-> Prefetch Vidé

*************************

DelFix[S1].txt - [1566 octets] - [01/07/2012 11:10:54]

########## EOF - C:\DelFix[S1].txt - [1690 octets] ##########


Mon PC est tjs aussi lent. Aurais tu une idée ou est-ce lié au grand âge de mon PC??

A nouveau merci pour ton aide précieuse!

g3n-h@ckm@n · Answer

t'as tout fait defrag et tout ?

lost in the sea · Answer

Oui, j'ai tout fait sauf WIGI (pas marché) et effectivement la défrag car en la lançant, le PC m'a indiqué que ce n'était pas utile.

g3n-h@ckm@n · Answer

fais-en une avec defraggler quand meme

lost in the sea · Answer

Ok c'est fait.
Y a-t-il une manip pour accélérer le PC au démarrage?
Merci bcp

g3n-h@ckm@n · Answer

non tout a été fait

et ne vas pas telecharger des soi-disant booster-accelerateurs de pc sur le net c'est que du pipeau

lost in the sea · Answer

Ok merci bcp pour tout!

g3n-h@ckm@n · Answer

:)

Attaque par nombreux virus/chevaux troie

27 réponses

Discussions similaires

Newsletters