Virus ?

Bullguard -  
salwa5 Messages postés 7552 Statut Contributeur -
Bonjour,

l'ordinateur d'un ami avait un problème (se figeait sur le bureau sans contrôle souris/clavier). J'ai connecté l'ordi sur mon réseau domestique et lorsque j'ai redémarré, tous mes raccourcis vers des exécutables comme modzilla, Spybot, ad-aware, ainsi que tous les raccourcis vers les jeux ont été "endommagés".
Je dois faire : "sélectionner un programme dans la liste" et je constate que toutes les applications (.exe) sont endommagées. Plus d'icone, plus rien...
IE, poste de travail, favoris réseau ne sont pas touchés.

Merci d'avance
Bullguard
Configuration: Windows XP
Internet Explorer 6.0

48 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un ordinateur sur le réseau domestique s’est figé et, au redémarrage, tous les raccourcis vers les exécutables ont été endommagés, plus d’icônes et de chemins affichant des erreurs.
Plusieurs éléments évoquent une infection complexe, avec HijackThis et des rapports détaillant des services ou modules malveillants, des BHO et des entrées de démarrage modifiées.
Des analyses avec AVG Anti-Spyware et d’autres utilitaires ont révélé des cookies suspects et des éléments corrigés, mais le problème revenait après redémarrage et certains programmes restaient inaccessibles.
D’autres indiquent que, malgré les nettoyages, IE ne démarre pas alors que Firefox fonctionne, ce qui suggère une corruption résiduelle du profil ou du registre.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonjour fait un scan kaspersky ensuite colle le raport ici

    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

    Clic sur l'image Kaspersky Online Scanner
    Clic sur J'accepte
    Installes le ActiveX
    Tu attends que la mise à jour se termine, une fois terminé,
    clic sur Suivant
    Clic sur Paramètres d'analyse
    Coche la case Étendue >> Ok
    Clic sur Poste de travail pour faire un scan complet
    Une fois le scan fini à 100%, clic sur Enregistrer rapport
    sous...
    Enregistrer le rapport au format .txt (en nom tu mets rapport ou
    ce que tu veux et en type tu choisis fichier texte (*.txt)
    Tu ouvres le fichier que tu viens de sauvegarder, copie et colle
    le rapport ici si tu es infecté

    a+++
    0
  2. Bullguard
     
    Salut salwa5,

    Merci d'avoir répondu. J'ai Firefox (dernière version) et lorsque je clique sur "J'accepte" rien ne se passe.
    J'arrive plus à lancer IE (j'accède à Internet via un portable connecté sur mon réseau domestique).
    J'ai Kaspersky AVP pro v4.5.0.49, est-ce que si je lance Kaspersky AV scanner et que je colle le rapport ça ira ?
    0
  3. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonjour telecharge hijackthis ensuite colle le resultat ici

    http://www.infos-du-net.com/telecharger/HijackThis.html
    demo :
    http://pageperso.aol.fr/balltrap34/demohijack.htm

    si t'arrive pas a lancer hijacthis alors fait ceci

    click droit sur le fichier hijacthis.exe et renomme le hijacthis.com puis colle le resultat ici

    a+++
    0
  4. Bullguard
     
    Ca marche toujours pas, ni en .exe, ni en .com.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Bullguard
     
    J'ai renommé hijacthis en .exe et j'ai tapé les deux adresses que tu m'as données sous firefox, mais je sais pas ce qu'il faut faire des scripts. Lorsque je double-clique sur hijack il ne se lance pas.
    0
  7. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    bonjour concernant les script il faut les telecharger a partir d'internet explorer car le site n'est pas compatible avec firefox

    donc le mieu c'est que tu les telecharger depuis un autre ordi puis tu les transfer sur l'ordi infecter a l'aide d'une clée usb

    a+++
    0
  8. Bullguard
     
    C'est-à-dire je les transfère ? Je les copie sur le bureau ou je les exécute à partir de la fonction démarrer : exécuter ?
    0
  9. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    ree

    telecharge les a partir de ton autre ordi ( avec internet explorer car ca marche pas avec firefox)

    ensuite tu va obtenir c'est 2 fichiers :

    exefix.reg
    linkfilerestore.reg

    tu les met dans une clé usb ou disquette ensuite tu les transfer sur le bureau de l'ordi infect , puis double clikant sur les fichiers et accepte la fusion avec le registre

    a+++
    0
  10. Bullguard
     
    j'obtiens le message suivant : "Windows ne peut pas ouvrir le fichier. Pour ouvrir ce fichier, Windows doit connaître le programme utilisé pour sa création... Que voulez-vous faire ? ..."
    0
  11. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    essay ca

    click droit sur exefix.reg choisi fusionner

    puis accepte la fusion avec le registre

    tu fait pareil avec ce fichier linkfilerestore.reg

    a+++
    0
  12. Bullguard
     
    C'est bon j'ai choisi un programme dans la liste, regedit.exe. et j'ai fusionné les deux fichiers.
    je viens de lancer hijachthis v1.99.1. Sur quel onglet dois-je cliquer stp ?
    Merci déjà pour tout ce que tu as fait jusque là.
    0
  13. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    clic sur "do a system scan and save logfile "

    le bloc note s'ouvre copie colle le contenues du raport ici
    a+++
    0
  14. Bullguard
     
    Logfile of HijackThis v1.99.1
    Scan saved at 17:35:03, on 04/02/2007
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpm.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\Avp32.exe
    C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe
    C:\Documents and Settings\Bullguard\Mes documents\hitjackthis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer avec Club-Internet
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O2 - BHO: (no name) - {9853ABF2-6DDC-4139-A191-88C3F91CE383} - C:\WINDOWS\System32\MsPMTNSv.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - Startup: VLC Freeplayer.lnk = C:\Program Files\Freeplayer\vlc-fbx.bat
    O4 - Global Startup: KODAK Software Updater.lnk = C:\Program Files\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_10\bin\ssv.dll
    O9 - Extra button: Correcteur - {F7C8E5F6-B6D1-45db-8D91-2BCFA5DF11A9} - C:\PROGRA~1\ANTIDO~1\Antidote\Internet Explorer\6\Antidote K - IE 6.htm (HKCU)
    O9 - Extra button: Dictionnaire - {FB4AE6A3-EE20-442c-9189-251885352358} - C:\PROGRA~1\ANTIDO~1\Antidote\Internet Explorer\6\Antidote D - IE 6.htm (HKCU)
    O9 - Extra button: Synonymes - {FDD637F8-2693-49ce-817E-1AD59574900C} - C:\PROGRA~1\ANTIDO~1\Antidote\Internet Explorer\6\Antidote S - IE 6.htm (HKCU)
    O9 - Extra button: Conjugueur - {FF229BEC-9E1F-48c1-99A6-AF34ABEFAB0A} - C:\PROGRA~1\ANTIDO~1\Antidote\Internet Explorer\6\Antidote C - IE 6.htm (HKCU)
    O9 - Extra button: Grammaire - {FFB5EE7F-726F-423e-83C2-572FE7CEB3F0} - C:\PROGRA~1\ANTIDO~1\Antidote\Internet Explorer\6\Antidote G - IE 6.htm (HKCU)
    O17 - HKLM\System\CCS\Services\Tcpip\..\{17890016-C703-4AD9-BEB0-2A625499F58D}: NameServer = 194.117.200.10,194.117.200.15
    O17 - HKLM\System\CS1\Services\Tcpip\..\{17890016-C703-4AD9-BEB0-2A625499F58D}: NameServer = 194.117.200.10,194.117.200.15
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
    O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpcc.exe" /service (file missing)
    O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
    O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus\avpm.exe" /service (file missing)
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
    O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol 120%\Alcohol 120\StarWind\StarWindService.exe
    0
  15. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    pourquoi ton antivirus n'est pas activé ?

    ouvre hijackthis coches ces lignes puis clic sur fix checked

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

    O2 - BHO: (no name) - {9853ABF2-6DDC-4139-A191-88C3F91CE383} - C:\WINDOWS\System32\MsPMTNSv.dll

    maintenant que tu peu lancer les exe fait un scan en ligne kaspersky puis colle le resultat ici ( voir message numero 1)

    a+++
    0
  16. Bullguard
     
    Je suis en train de faire le scan. Kaspersky n'était pas lancé parce que comme la plupart de mes applications qui se lancent au démarrage, il a été "rongé".
    Je poste le log dès que le scan est terminé.
    Merci encore pour tout ce que tu as fait jusqu'à présent.
    0
  17. Bullguard
     
    Est-ce que tu pourrais m'expliquer comment savoir les lignes qu'il faut fixer dans hijackThis stp ? J'ai déjà eu à utiliser ce programme une fois et je ne comprends pas comment il fonctionne.
    Merci d'avance.
    0
  18. salwa5 Messages postés 7552 Statut Contributeur 1 671
     
    concernant les logs hijackthis

    tu peu les analyser ici http://www.hijackthis.de/fr

    ligne verte = ligne saine ( ne pas touché)

    crois rouge = ligne dangereuse a fixé

    point d'interogation jaune = ligne douteuse ou inconnu

    mais bon il faut faire tres attention car le robot peu se tromper
    l'astuce c'est de toujour lire l'avis des visiteur en cas de doute, en clickant sur le petit rectangle a droite de chaque ligne :) ( tu vois la ou c'est ecrit very safe ou nasty...ect ) , tu peu aussi faire des recherches sur google pour savoir si le fichier dans lignes hijacthis est sains ou pas

    je pense que tu devrais commencé par apprendre a quoi correspondent chaque lignes

    exemple les ligne qui commence par O4 represente les programe qui se lance au demarrage pour le reste regarde ici https://www.zebulon.fr/dossiers/securite/56-analyse-rapports-hijackthis.html

    generalement c'est dans les lignes 04 qu'on decouvre les virus , car les virus se lancé au demarrage

    a++++
    0
  19. Bullguard
     
    -------------------------------------------------------------------------------
    KASPERSKY ON-LINE SCANNER REPORT
    Sunday, February 04, 2007 8:29:46 PM
    Système d'exploitation : Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
    Kaspersky On-line Scanner version : 5.0.83.0
    Dernière mise à jour de la base antivirus Kaspersky : 4/02/2007
    Enregistrements dans la base antivirus Kaspersky : 264799
    -------------------------------------------------------------------------------

    Paramètres d'analyse:
    Analyser avec la base antivirus suivante: étendue
    Analyser les archives: vrai
    Analyser les bases de messagerie: vrai

    Cible de l'analyse - Poste de travail:
    A:\
    C:\
    D:\
    E:\
    F:\
    G:\

    Statistiques de l'analyse:
    Total d'objets analysés: 149652
    Nombre de virus trouvés: 2
    Nombre d'objets infectés: 5 / 0
    Nombre d'objets suspects: 0
    Durée de l'analyse: 01:17:14

    Nom de l'objet infecté / Nom du virus / Dernière action
    C:\Documents and Settings\Bullguard\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Bullguard\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Bullguard\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\Bullguard\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Bullguard\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Bullguard\Mes documents\backups\backup-20070204-182848-623.dll Infecté : not-a-virus:AdWare.Win32.BHO.af ignoré
    C:\Documents and Settings\Bullguard\Mes documents\Tools\Copylock v1.09.ace/CopyLock.exe Infecté : not-a-virus:RiskTool.Win32.Replacer.a ignoré
    C:\Documents and Settings\Bullguard\Mes documents\Tools\Copylock v1.09.ace ACE: infecté - 1 ignoré
    C:\Documents and Settings\Bullguard\ntuser.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\Bullguard\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
    C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
    C:\Program Files\Copylock\CopyLock.exe Infecté : not-a-virus:RiskTool.Win32.Replacer.a ignoré
    C:\System Volume Information\_restore{DF0D5541-9CB9-485A-B729-83C41BA961A9}\RP459\A0053807.dll Infecté : not-a-virus:AdWare.Win32.BHO.af ignoré
    C:\System Volume Information\_restore{DF0D5541-9CB9-485A-B729-83C41BA961A9}\RP459\change.log L'objet est verrouillé ignoré
    C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
    C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
    C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
    C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
    C:\WINDOWS\Temp\kav1.tmp L'objet est verrouillé ignoré
    C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
    C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
    C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

    Analyse terminée.
    0
  • 1
  • 2
  • 3