Sujet Précédent Sujet Suivant

Virus : infecté par spyware et chaval de troi

maloulolo Messages postés 53 Statut Membre -  
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
bonjour a tous,
alors voila j'ai ete infecté par un spyware hier soir apres avoir oublier de reactiver mon parfeu windows ( ce qui n'est pas tres malin je sais :) ).
Bref ce virus redemarre mon pc automatiqyement, je ne peut donc travailler qu'en mode sans echec.
En mode sans echec j'ai pu telecharger avast et scanner mon pc et supprimer tous les fichiers infecté.
J'ai ensuite telecharger CCleaner qui nettoie et reparre les fichiers endommager. On pourrait croire quoi maintenant tout va bien mais non !!!!! mon pc redemarre encors tout seul !! je ne sis plus quoi faire !!! merci de votre aide ...

PS : apres le scan j'ai egalement decouvert 6 autre virus et 3 chaval de troi et je travail sous xp .
A voir également:

28 réponses

Précédent
  • 1
  • 2
Réponse 21 / 28
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Re,

Normalement c est en mode normal...

On va faire autrement, renomme hijackthis.exe en ccm.exe puis redonne un rapport stp

A+
0
Réponse 22 / 28
maloulolo Messages postés 53 Statut Membre 1
 
voila le rapport :

Logfile of HijackThis v1.99.1
Scan saved at 22:02:20, on 05/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\hijackthis\ccm.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {41F328E2-5E46-F5B8-0160-020188931F32} - C:\WINDOWS\system32\imtqodk.dll
O2 - BHO: (no name) - {46A4E9D9-B30E-452A-8157-DBBEC8573B03} - C:\Program Files\VSAdd-in\VSAdd-in.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - C:\WINDOWS\system32\rwcsieom.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30785~1\Bar888.dll
O2 - BHO: (no name) - {FD3A771A-B6C2-4AEF-9C82-4F94197B7BE0} - C:\WINDOWS\system32\efcde.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\FICHIE~1\{30785~1\Bar888.dll
O3 - Toolbar: &VSAdd-in - {74DD705D-6834-439C-A735-A6DBE2677452} - C:\Program Files\VSAdd-in\VSAdd-in.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [amen bait list comp] C:\Documents and Settings\All Users\Application Data\plus media amen bait\Keep heck.exe
O4 - HKLM\..\Run: [{9078529D-01C2-1036-0531-991106980021}] "C:\Program Files\Fichiers communs\{9078529D-01C2-1036-0531-991106980021}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [wdokbye.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Kids\Local Settings\Application Data\wdokbye.dll",bpzgoi
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [{9078529D-01C3-1036-0531-991106980021}] "C:\Program Files\Fichiers communs\{9078529D-01C3-1036-0531-991106980021}\Update.exe" mc-110-12-0000272
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\hnogfpjw.dll",setvm
O4 - HKLM\..\RunOnce: [VundoFix] "C:\Documents and Settings\Administrateur\Bureau\vundofix.exe"
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: efcde - C:\WINDOWS\system32\efcde.dll
O20 - Winlogon Notify: msldr32 - msldr32.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\system32\svchosts.exe" -e mc-110-12-0000272 (file missing)
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
0
Réponse 23 / 28
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Ok, les infections apparaissent.

Le mode normal tjr HS?

Télécharge lopxp ici:

http://pageperso.aol.fr/balltrap34/lopxp.zip (Merci Moe31 et Balltrap34)

2) dezippe le (clic droit dessus > extraire tout)
et lance lopxp.bat
le bloc note va s'ouvrir, copie et colle le contenu ici

A+
0
Réponse 24 / 28
maloulolo Messages postés 53 Statut Membre 1
 
Rapport fait à 22:21:26,07 le 05/01/2007

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 9078-529D

R‚pertoire de C:\Documents and Settings\Administrateur\Application Data

04/01/2007 20:09 <REP> Macromedia
04/01/2007 20:06 <REP> Mozilla
04/01/2007 19:17 62 desktop.ini
04/01/2007 19:17 <REP> Microsoft
04/01/2007 19:17 <REP> ..
04/01/2007 19:17 <REP> .
1 fichier(s) 62 octets
5 R‚p(s) 3039784960 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 9078-529D

R‚pertoire de C:\Documents and Settings\All Users\Application Data

08/11/2006 19:03 <REP> plus media amen bait
30/10/2006 12:25 <REP> QuickTime
12/08/2006 09:26 <REP> Windows Genuine Advantage
31/07/2006 09:37 <REP> Adobe
24/07/2006 17:06 <REP> BOONTY
20/07/2006 21:35 <REP> AOL
20/07/2006 21:32 <REP> AOL Downloads
12/07/2006 12:48 62 desktop.ini
12/07/2006 12:47 <REP> Microsoft
12/07/2006 12:47 <REP> .
12/07/2006 12:47 <REP> ..
1 fichier(s) 62 octets
10 R‚p(s) 3039780864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 9078-529D

R‚pertoire de C:\Documents and Settings\Default User\Application Data

12/07/2006 12:48 62 desktop.ini
12/07/2006 12:47 <REP> ..
12/07/2006 12:47 <REP> Microsoft
12/07/2006 12:47 <REP> .
1 fichier(s) 62 octets
3 R‚p(s) 3039780864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 9078-529D

R‚pertoire de C:\Documents and Settings\Kids\Application Data

04/01/2007 18:59 1443179 Install.dat
08/11/2006 19:02 <REP> proc1jugs
30/10/2006 12:26 <REP> iShell
29/08/2006 16:56 <REP> Opera
27/08/2006 17:46 17448 GDIPFONTCACHEV1.DAT
26/08/2006 13:42 <REP> Help
25/08/2006 22:14 <REP> PlayFirst
20/08/2006 13:21 <REP> Skype
02/08/2006 16:46 <REP> Sun
01/08/2006 16:26 <REP> Leadertech
31/07/2006 09:42 <REP> AdobeAUM
31/07/2006 09:42 <REP> AdobeUM
31/07/2006 09:32 <REP> Adobe
21/07/2006 12:10 <REP> vlc
20/07/2006 21:37 <REP> acccore
14/07/2006 10:45 <REP> Mozilla
12/07/2006 21:12 <REP> Macromedia
12/07/2006 11:36 <REP> Identities
12/07/2006 11:35 62 desktop.ini
12/07/2006 11:35 <REP> Microsoft
12/07/2006 11:35 <REP> .
12/07/2006 11:35 <REP> ..
3 fichier(s) 1460689 octets
19 R‚p(s) 3039780864 octets libres
Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 9078-529D

R‚pertoire de C:\Documents and Settings\Parents\Application Data

05/10/2006 10:19 <REP> Skype
18/09/2006 11:25 <REP> Sun
03/08/2006 20:51 <REP> Adobe
31/07/2006 16:31 <REP> Macromedia
31/07/2006 16:28 <REP> Mozilla
31/07/2006 16:22 <REP> Identities
31/07/2006 16:22 62 desktop.ini
31/07/2006 16:22 <REP> ..
31/07/2006 16:22 <REP> .
31/07/2006 16:22 <REP> Microsoft
1 fichier(s) 62 octets
9 R‚p(s) 3039780864 octets libres
******************************************
Recherche des taches planifiées dans C:\WINDOWS\tasks

Le volume dans le lecteur C n'a pas de nom.
Le num‚ro de s‚rie du volume est 9078-529D

R‚pertoire de C:\WINDOWS\Tasks

04/01/2007 18:35 260 AF5B9DDA90881156.job
12/07/2006 11:28 6 SA.DAT
12/07/2006 11:12 65 desktop.ini
12/07/2006 11:12 <REP> ..
12/07/2006 11:12 <REP> .
3 fichier(s) 331 octets
2 R‚p(s) 3ÿ039ÿ776ÿ768 octets libres

******************************************
Recherche dans Program files

Le dossier C:\Program Files\C2Media n'existe pas

*************** Fin du rapport ****************
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 28
maloulolo Messages postés 53 Statut Membre 1
 
mode normal tjrs HS
0
Réponse 26 / 28
janana
 
fourgue le wallah meme moi sa fesai sa
0
Réponse 27 / 28
maloulolo Messages postés 53 Statut Membre 1
 
dsl regis je deco , j'en ai asser pour ce soir

on verra peut etre demain et merci pour tes conseil
0
Réponse 28 / 28
Regis59 Messages postés 21143 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 322
 
Bonjour,

Imprime, ou enregistre la manip dans un fichier dans le bloc notes pour être sur ne rien oublier et de tout faire dans l'ordre.

1/Telecharge ceci: Clean Up 40:
http://pageperso.aol.fr/balltrap34/CleanUp40.exe
-aide en image:(merci à Balltrap34).
http://pageperso.aol.fr/balltrap34/democleanup.htm

2/Téléchargez ce fix parejvindh sur votre bureau : http://www.uploads.ejvindh.net/rustbfix.exe

3/ Télécharge et installe AVG Anti-Spyware :
https://www.malekal.com/avg-antivirus-free-antivirus-gratuit-pour-proteger-son-pc-des-virus/

Déconnecte toi d'Internet et ferme tout les programmes en cours.

Redémarre en mode sans échec
Redémarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.
(Si F8 ne marche pas, essai F5)

Rend visible les fichiers cachés et système
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extensions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Lance hijackthis et clic sur [do a system scan only]
cocher la case au début des lignes suivantes:

O4 - HKLM\..\Run: [amen bait list comp] C:\Documents and Settings\All Users\Application Data\plus media amen bait\Keep heck.exe

valider en cliquant sur le bouton [fix checked]

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Recherche et supprime ces dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés si possible, plutot que d'utiliser la fonction "Rechercher"

S'ils sont présents, supprime:
C:\Documents and Settings\All Users\Application Data\plus media amen bait

C:\Documents and Settings\Kids\Application Data\proc1jugs

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite fais Démarrer > exécuter et tape cmd
puis valide avec ok

dans la fenêtre qui va s'ouvrir, copie et colle ceci:

del /a C:\WINDOWS\tasks\AF5B9DDA90881156.job

et valide en appuyant sur entrée

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Ensuite, très important:

:: Supprimer les fichiers temporaires ::

Exécute cleanup40.

-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_

Redémarre normalement et reposte un Hijackthis sur le poste…

*****************************

1- Ouvre HijackThis -> Open the misc tools sections -> open Uninstall manager -> clique sur "Save list" -> enregistre le fichier -> fais-en un copier/coller ici.

2- Scan avec avg AS et copie colle le rapport.

3- Double-cliquez rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Téléchargez et installez AVG AntiSpyware : anti-malware recommandé
Démarrez Windows en mode sans échec : Guide pour redémarrer en mode sans échec
Ouvrez le fichier mwavscan.com
Cochez les options comme indiquées sur cette page
Cliquez Scan Clean pour démarrer le scan et laissez le scan se faire jusqu'au bout.

A demain. ;)
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
virus Artemis!
mabiche37 -
Malekal_morte- -

14 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Message Apple virus !!
Souclik67 -
MPMP10 -

3 réponses
a quoi sert softonic ?
durup1928 -
jacklyn -

25 réponses