Sujet Précédent Sujet Suivant

[Virus] Infecté par win32 Rontokbr-k

j_takhawaloukat Messages postés 26 Statut Membre -  
 hll -
Bonjour tout le monde,

Je viens solliciter votre assistance pour une infection de ma bécane par le virus win32
Rontokbr-k.En lisant quelques posts du forum,j'ai pris connaissance des procédures à mettre
en oeuvre pour l'élimination du virus à savoir le nettoiement de la machine par les antivirus tel:
Ad-aware
Spybot
Cleanup
Ccleaner
SmitFraudFix

J'ai effectué toutes ces étapes et à la dernière(exécution de SmitFraudFix),je voudrais savoir si je dois lancer la procédure de réparation des erreurs du registre avec ce programme
ou dois-je aussitôt lancer Hijackthis pour vous soumettre le fichier log?

Merci de vouloir m'aider car je suis vraiment bloqué dans mes travaux.

P.S:sur ma bécane est installée Windows 2003 server SE et elle ne peut être connectée à internet
A voir également:

21 réponses

  • 1
  • 2
Réponse 1 / 21
olivier
 
Bonsoir

Brontok ou Rontokbro (celon les éditeurs AV) est un ver de messagerie assez vicieux et qui a la particularité de faire rebooter le pc s'il détecte dans le titre de n'importe quelle fenêtre d'application ouverte certaines chaines de caractères ou mots d'une liste prédéfinie par l'auteur du ver (comme: exe, cmd, hijack...etc).
C'est pour cette raison entre autre que j_takhawaloukat ne peut pas ni en mode normal ni en mode sans échec, lancer hijacthis (même renommé, la fenêtre du prog porte toujours le nom Hijackthis une fois lancé...) et ne pourra surement pas lancer certains utilitaires ou scripts batch, et car KesenjanganSosial.exe se sert du shell de explorer.exe pour assurer sont exécution via cette clé:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = Explorer.exe C:\WINDOWS\KesenjanganSosial.exe
Entre autre il modifie le hosts, désactive aussi l'accès au registre, supprime l'accès à "option des dossiers" et empêche de voir les fichiers cachés et systeme, puis masque les extentions de fichiers.
Certaines variantes du ver se copient aussi dans la plupart des dossiers et sous-dossiers de "Mes Documents" en empruntant le nom du dossier ou il se copie.
Exemple, dans Ma musique il se copiera sous le nom Ma musique.exe, dans Mes images, Mes images.exe etc...

Il existe plusieurs manips plus ou moins compliquées pour le virer manuellement, mais la plus plus méconnue en france pour éradiquer cette infection et qui m'a l'air la plus efficace après quelques tests en VM, reste d'utiliser en mode sans échec si possible cet outil de désinfection:
http://vaksin.com/File/Fix-VBWorm-Rontok-Lightmoon.exe
Contrairement aux removals de Sophos et Bitdef, ce tool peu connu (signé Norman AV) est sensé couvrir la désinfection de la plupart des variantes.
Le scan est assez long, aussi long qu'un scan AV complet du pc lol...
Le rapport sera généré au même endroit ou est enregistré le fix sous le nom NFix_aaaa-mm-jj.log (aaaa=année mm=mois jj=jour )

Certains fichiers et dossiers non infectieux ne seront pas détectés par le fix et il faudra les supprimer manuellement dans
C:\Documents and Settings\nom_d'utilisateur\Local Settings\Application Data.
Ces fichiers et dossiers portent tous dans leur nom le mot "bron" ou "bron.tok"
Excepté les fichiers: ListHost*.txt ('*' = chiffre aléatoire)
et
C:\Documents and Settings\nom_d'utilisateur\Mes images\about.Brontok.A.html

Si jamais, j_takhawaloukat tu souhaites passer smitfraudfix avant de t'occuper de Brontok, ou si le removal échouait, il existe une petite astuce pour pouvoir lancer n'importe quel fichier batch ou cmd sans que le ver ne reboote le pc.
Dans le dossier smitfraudfix, fais un clic droit sur Smitfraudfix.cmd et clic sur "modifier"
Le bloc notes s'ouvrira et le code du fix sera visible.
Rajoute ceci en tout premier juste au dessus de "@echo off":
title takhawaloukat
et dans le menu du bloc notes clic sur Fichier -> enregistrer

Relance smitfraudfix, dans la barre de titre de la fenêtre du fix il y aura maintenant marqué takhawaloukat et plus C:\Windows\System32\cmd.exe qui provoquait le reboot (à cause du mot cmd), bête et discipliné le ver n'y verra que du bleu et smitfraudfix devrait s'exécuter maintenant sans problèmes :-).

Bonne suite avec Philae que je salut au passage... en coup de vent :-)

Olivier

PS:
FixPerl est un fix codé pour supprimer perlovga, il ne te sera pas très utile pour supprimer ton infection...
3
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonsoir et merci olivier, je n'ai encore jamais eu affaire à celui ci
0
Réponse 2 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonjour,

poste le rapport de smitfraud puisque tu l'as fait, et poste également un rapport hijackthis stp
0
Réponse 3 / 21
j_takhawaloukat Messages postés 26 Statut Membre 8
 
Merci philae pour ton aide,mais t'as pas encore répondu à ma question.Tu voudras bien relire attentivement mon post stp.
Merci à toi
0
Réponse 4 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
re 
J'ai effectué toutes ces étapes et à la dernière(exécution de SmitFraudFix),je voudrais savoir si je dois lancer la procédure de réparation des erreurs du registre avec ce programme
ou dois-je aussitôt lancer Hijackthis pour vous soumettre le fichier log?


j'ai lu ton post, et ne veux pas te répondre pour le moment, j'aimerai voir les rapports demandés
c'est comme tu veux
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 21
j_takhawaloukat Messages postés 26 Statut Membre 8
 
Ok,Philae,je comprends.Je vais le faire,reste à l'écoute s'il te plaît
0
Réponse 6 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
suis là, j'attends les rapports simplement :)
0
Réponse 7 / 21
j_takhawaloukat Messages postés 26 Statut Membre 8
 
j'ai essayé de lancer le programme en question mais le système refuse apparemment d'exécuter les .exe,la machine redémarre quand j'essaie les programmes.J'ai tenté de lancer fixperl mais le résultat est pareil.Je t'avise au passage que la machine redémarre en mode sans échec.

P.S: j'ai le fichier kensenjangansosial.exe qui est infecté entre autres
0
Réponse 8 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
  
J'ai tenté de lancer fixperl mais le résultat est pareil.

je connais pas qu'est-ce ? 

Je t'avise au passage que la machine redémarre en mode sans échec.


et même en MSE impossible de lancer hijackthis ? même en le renommant ?

peux tu supprimer kensenjangansosial.exe
ensuite que veux tu dire par entre autre. 
P.S: j'ai le fichier kensenjangansosial.exe qui est infecté entre autres


ensuite tu m'as parlé de smitfraud, tu l'as utilisé ?
0
Réponse 9 / 21
j_takhawaloukat Messages postés 26 Statut Membre 8
 
fixperl m'a permis d'accéder à ma base de registre.En effet,le virus en empêche l'accès avec la commande regedit.En consultant quelques valeurs d'entrées de la registry,je m'aperçois qu'elles ont été modifiées.Par entre autres je veux dire que d'autres fichiers ont été infectés.La machine démarre tjrs en mode sans échec.Et comme je l'avais dit je n'arrive pas à executer SmitFraud.Je vais tenter de mettre les fichiers en quarantaine et je t'avise du résultat.
0
Réponse 10 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
re

mais tu n'as pas répondu à toutes mes question stp 

et même en MSE impossible de lancer hijackthis ? même en le renommant ?

peux tu supprimer kensenjangansosial.exe
ensuite que veux tu dire par entre autre.

P.S: j'ai le fichier kensenjangansosial.exe qui est infecté entre autres
0
Réponse 11 / 21
j_takhawaloukat Messages postés 26 Statut Membre 8
 
Bonsoir,
Merci et excusez-moi pour ce retard de réaction due au fait que je tentais de trouver une solution pour que la machine arrête de booter afin de pouvoir faire les manips pour les rapports que demandait Philea.Olivier,la description que tu fais des agissements de ce ver est exactement ce que j'obtiens sur ma bécane.
Cela dit,j'ai réussi à installer avast server et à configurer un scan au démarrage.Les fichiers qui étaient infectés dont la plupart sont du système ont été mis en quarantaine ce qui a pu empêcher la machine de rester dans un état assez stable.Olivier que sais-tu du fichier "cmd-brontok.exe"?Il était infecté et j'ai préféré le faire mettre en quarantainecomme du reste kesenjangansosial.exe.
Philea,je suis parvenu à lancer SmitFraud et ensuite Hijackthis dont voici les rapports.Je joins également un rapport de Ad-aware que j'avais lancé dans la nuit du vendredi au samedi.

1)log de Ad-aware

Ad-Aware SE Build 1.06r1
Logfile Created on:samedi 14 avril 2007 02:17:44
Created with Ad-Aware SE Personal, free for private use.
Using definitions file:SE1R47 24.05.2005
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Alexa(TAC index:5):8 total references
Windows(TAC index:3):4 total references
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings
===========================
Set : Search for negligible risk entries
Set : Safe mode (always request confirmation)
Set : Scan active processes
Set : Scan registry
Set : Deep-scan registry
Set : Scan my IE Favorites for banned URLs
Set : Scan my Hosts file

Extended Ad-Aware SE Settings
===========================
Set : Unload recognized processes & modules during scan
Set : Scan registry for all users instead of current user only
Set : Always try to unload modules before deletion
Set : During removal, unload Explorer and IE if necessary
Set : Let Windows remove files in use at next reboot
Set : Delete quarantined objects after restoring
Set : Include basic Ad-Aware settings in log file
Set : Include additional Ad-Aware settings in log file
Set : Include reference summary in log file
Set : Include alternate data stream details in log file
Set : Play sound at scan completion if scan locates critical objects

14-04-2007 02:17:44 - Scan started. (Full System Scan)

Listing running processes
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]
FilePath : \SystemRoot\System32\
ProcessID : 396
ThreadCreationTime : 14-04-2007 01:52:14
BasePriority : Normal

#:2 [csrss.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 452
ThreadCreationTime : 14-04-2007 01:52:19
BasePriority : Normal

#:3 [winlogon.exe]
FilePath : \??\C:\WINDOWS\system32\
ProcessID : 476
ThreadCreationTime : 14-04-2007 01:52:23
BasePriority : High

#:4 [services.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 520
ThreadCreationTime : 14-04-2007 01:52:23
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Applications Services et Contrôleur
InternalName : services.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : services.exe

#:5 [lsass.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 532
ThreadCreationTime : 14-04-2007 01:52:23
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Noyau LSA
InternalName : lsass.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : lsass.exe

#:6 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 760
ThreadCreationTime : 14-04-2007 01:52:26
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:7 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 908
ThreadCreationTime : 14-04-2007 01:52:37
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:8 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 924
ThreadCreationTime : 14-04-2007 01:52:37
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:9 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 952
ThreadCreationTime : 14-04-2007 01:52:37
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:10 [spoolsv.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1216
ThreadCreationTime : 14-04-2007 01:53:05
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Application sous-système spouleur
InternalName : spoolsv.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : spoolsv.exe

#:11 [msdtc.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1240
ThreadCreationTime : 14-04-2007 01:53:05
BasePriority : Normal
FileVersion : 2001.12.4720.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : MS DTCconsole program
InternalName : MSDTC.EXE
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : MSDTC.EXE

#:12 [dfssvc.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1352
ThreadCreationTime : 14-04-2007 01:53:06
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows NT Distributed File System Service
InternalName : dfssvc.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : dfssvc.exe

#:13 [dns.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1388
ThreadCreationTime : 14-04-2007 01:53:06
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Serveur du Système de Noms de Domaine (DNS)
InternalName : dns.exe
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : dns.exe

#:14 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1436
ThreadCreationTime : 14-04-2007 01:53:06
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:15 [inetinfo.exe]
FilePath : C:\WINDOWS\system32\inetsrv\
ProcessID : 1492
ThreadCreationTime : 14-04-2007 01:53:06
BasePriority : Normal

#:16 [ismserv.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1528
ThreadCreationTime : 14-04-2007 01:53:06
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Windows NT Intersite Messaging Service
InternalName : ismserv.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : ismserv.exe

#:17 [mdm.exe]
FilePath : C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\
ProcessID : 1540
ThreadCreationTime : 14-04-2007 01:53:06
BasePriority : Normal
FileVersion : 7.00.9466
ProductVersion : 7.00.9466
ProductName : Microsoft® Visual Studio .NET
CompanyName : Microsoft Corporation
FileDescription : Machine Debug Manager
InternalName : mdm.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : mdm.exe

#:18 [ntfrs.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1552
ThreadCreationTime : 14-04-2007 01:53:06
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Service de réplication de fichiers
InternalName : NTFRS.EXE
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : NTFRS.EXE

#:19 [omtsreco.exe]
FilePath : C:\oracle\Ora9iR2\bin\
ProcessID : 1640
ThreadCreationTime : 14-04-2007 01:53:07
BasePriority : Normal
FileVersion : 9.2.0.1.0
ProductVersion : 9.2.0.1.0
ProductName : Oracle MTS Recovery Service
CompanyName : Oracle Corporation
FileDescription : Oracle MTS Recovery Service
InternalName : Oracle Services for MTS
LegalCopyright : Copyright © Oracle Corporation 1998, 2000. All rights reserved.
OriginalFilename : omtsreco.exe

#:20 [agntsrvc.exe]
FilePath : C:\oracle\Ora9iR2\bin\
ProcessID : 1652
ThreadCreationTime : 14-04-2007 01:53:07
BasePriority : Normal
FileVersion : 9.2.0.0.0
CompanyName : Oracle Corporation
FileDescription : Oracle Intelligent Agent Executable
OriginalFilename : agntsrvc.exe

#:21 [svchost.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1672
ThreadCreationTime : 14-04-2007 01:53:07
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:22 [cmd.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 1684
ThreadCreationTime : 14-04-2007 01:53:07
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Interpréteur de commandes Windows
InternalName : cmd
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : Cmd.Exe

#:23 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1720
ThreadCreationTime : 14-04-2007 01:53:07
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:24 [tomcat5.exe]
FilePath : C:\Program Files\Apache Software Foundation\Tomcat 5.0\bin\
ProcessID : 1748
ThreadCreationTime : 14-04-2007 01:53:07
BasePriority : Normal
FileVersion : 1.0.0.0
ProductVersion : 1.0.0.0
ProductName : Service Runner
CompanyName : Apache Software Foundation
FileDescription : Service Runner
InternalName : Service Runner
LegalCopyright : Copyright © 2000-2003 The Apache Software Foundation.
OriginalFilename : prunsrv.exe

#:25 [dbsnmp.exe]
FilePath : C:\oracle\Ora9iR2\bin\
ProcessID : 1848
ThreadCreationTime : 14-04-2007 01:53:08
BasePriority : Normal
FileVersion : 9.2.0.0.0
CompanyName : Oracle Corporation
FileDescription : Oracle Intelligent Agent Executable
OriginalFilename : dbsnmp.exe

#:26 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1916
ThreadCreationTime : 14-04-2007 01:53:09
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:27 [svchost.exe]
FilePath : C:\WINDOWS\System32\
ProcessID : 1000
ThreadCreationTime : 14-04-2007 01:53:37
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : Generic Host Process for Win32 Services
InternalName : svchost.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : svchost.exe

#:28 [wmiprvse.exe]
FilePath : C:\WINDOWS\system32\wbem\
ProcessID : 2092
ThreadCreationTime : 14-04-2007 01:54:08
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : WMI
InternalName : Wmiprvse.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : Wmiprvse.exe

#:29 [explorer.exe]
FilePath : C:\WINDOWS\
ProcessID : 2532
ThreadCreationTime : 14-04-2007 02:00:34
BasePriority : Normal
FileVersion : 6.00.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 6.00.3790.0
ProductName : Système d'exploitation Microsoft® Windows®
CompanyName : Microsoft Corporation
FileDescription : Explorateur Windows
InternalName : explorer
LegalCopyright : © Microsoft Corporation. Tous droits réservés.
OriginalFilename : EXPLORER.EXE

#:30 [jusched.exe]
FilePath : C:\Program Files\Java\j2re1.4.2_05\bin\
ProcessID : 2632
ThreadCreationTime : 14-04-2007 02:00:37
BasePriority : Normal

#:31 [realsched.exe]
FilePath : C:\Program Files\Fichiers communs\Real\Update_OB\
ProcessID : 2644
ThreadCreationTime : 14-04-2007 02:00:37
BasePriority : Normal
FileVersion : 0.1.0.3510
ProductVersion : 0.1.0.3510
ProductName : RealPlayer (32-bit)
CompanyName : RealNetworks, Inc.
FileDescription : RealNetworks Scheduler
InternalName : schedapp
LegalCopyright : Copyright © RealNetworks, Inc. 1995-2004
LegalTrademarks : RealAudio(tm) is a trademark of RealNetworks, Inc.
OriginalFilename : realsched.exe

#:32 [aswdisp.exe]
FilePath : C:\PROGRA~1\ALWILS~1\Avast4\
ProcessID : 2696
ThreadCreationTime : 14-04-2007 02:00:38
BasePriority : Normal
FileVersion : 4, 7, 951, 0
ProductVersion : 4, 7, 0, 0
ProductName : avast! Antivirus
FileDescription : avast! service GUI component
InternalName : aswDisp
LegalCopyright : Copyright (c) 2007 ALWIL Software
OriginalFilename : aswDisp.exe

#:33 [ctfmon.exe]
FilePath : C:\WINDOWS\system32\
ProcessID : 2704
ThreadCreationTime : 14-04-2007 02:00:38
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : CTF Loader
InternalName : CTFMON
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : CTFMON.EXE

#:34 [supercopier.exe]
FilePath : C:\Program Files\SuperCopier\
ProcessID : 2720
ThreadCreationTime : 14-04-2007 02:00:38
BasePriority : Normal
FileVersion : 1.35.0.516
ProductVersion : 1.35
ProductName : SuperCopier
CompanyName : SFX TEAM
FileDescription : Remplacement de la copie de fichiers de l'explorateur
InternalName : SuperCopier
LegalCopyright : 2002 SFX TEAM (Freeware)
LegalTrademarks : Freeware
OriginalFilename : SuperCopier.exe

#:35 [winlogon.exe]
FilePath : C:\Documents and Settings\Administrateur\Local Settings\Application Data\
ProcessID : 2944
ThreadCreationTime : 14-04-2007 02:00:45
BasePriority : Normal

#:36 [services.exe]
FilePath : C:\Documents and Settings\Administrateur\Local Settings\Application Data\
ProcessID : 3032
ThreadCreationTime : 14-04-2007 02:00:49
BasePriority : Normal

#:37 [lsass.exe]
FilePath : C:\Documents and Settings\Administrateur\Local Settings\Application Data\
ProcessID : 3040
ThreadCreationTime : 14-04-2007 02:00:51
BasePriority : Normal

#:38 [wmiprvse.exe]
FilePath : C:\WINDOWS\system32\wbem\
ProcessID : 3308
ThreadCreationTime : 14-04-2007 02:08:29
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : Microsoft® Windows® Operating System
CompanyName : Microsoft Corporation
FileDescription : WMI
InternalName : Wmiprvse.exe
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : Wmiprvse.exe

#:39 [ad-aware.exe]
FilePath : C:\PROGRA~1\Lavasoft\AD-AWA~1\
ProcessID : 3956
ThreadCreationTime : 14-04-2007 02:15:58
BasePriority : Normal
FileVersion : 6.2.0.236
ProductVersion : SE 106
ProductName : Lavasoft Ad-Aware SE
CompanyName : Lavasoft Sweden
FileDescription : Ad-Aware SE Core application
InternalName : Ad-Aware.exe
LegalCopyright : Copyright © Lavasoft AB Sweden
OriginalFilename : Ad-Aware.exe
Comments : All Rights Reserved

#:40 [hh.exe]
FilePath : C:\WINDOWS\
ProcessID : 3964
ThreadCreationTime : 14-04-2007 02:15:58
BasePriority : Normal
FileVersion : 5.2.3790.0 (srv03_rtm.030324-2048)
ProductVersion : 5.2.3790.0
ProductName : HTML Help
CompanyName : Microsoft Corporation
FileDescription : Microsoft® HTML Help Executable
InternalName : HH 1.41
LegalCopyright : © Microsoft Corporation. All rights reserved.
OriginalFilename : HH.exe

Memory scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 0

Started registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Alexa Object Recognized!
Type : Regkey
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : MenuStatusBar

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Script

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : clsid

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : Icon

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : HotIcon

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment :
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\internet explorer\extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Value : ButtonText

Alexa Object Recognized!
Type : RegValue
Data :
TAC Rating : 5
Category : Data Miner
Comment : "{c95fe080-8f5d-11d2-a20b-00aa003c157a}"
Rootkey : HKEY_USERS
Object : S-1-5-21-2524801540-2006683411-1744465360-500\software\microsoft\internet explorer\extensions\cmdmapping
Value : {c95fe080-8f5d-11d2-a20b-00aa003c157a}

Windows Object Recognized!
Type : RegData
Data : regedit.exe %1
TAC Rating : 3
Category : Vulnerability
Comment : Possible virus infection, REG file extension compromised
Rootkey : HKEY_CLASSES_ROOT
Object : regfile\shell\open\command
Value :
Data : regedit.exe %1

Windows Object Recognized!
Type : RegData
Data : "%1" %*
TAC Rating : 3
Category : Vulnerability
Comment : Possible virus infection, SCR file extension compromised
Rootkey : HKEY_CLASSES_ROOT
Object : scrfile\shell\open\command
Value :
Data : "%1" %*

Windows Object Recognized!
Type : RegData
Data :
TAC Rating : 3
Category : Vulnerability
Comment : Possible unintended lockout from Registry Editor (Regedit access disabled)
Rootkey : HKEY_USERS
Object : S-1-5-21-2524801540-2006683411-1744465360-500\software\microsoft\windows\currentversion\policies\system
Value : DisableRegistryTools
Data :

Windows Object Recognized!
Type : RegData
Data : explorer.exe "c:\windows\kesenjangansosial.exe"
TAC Rating : 3
Category : Vulnerability
Comment : Shell Possibly Compromised
Rootkey : HKEY_LOCAL_MACHINE
Object : software\microsoft\windows nt\currentversion\winlogon
Value : Shell
Data : explorer.exe "c:\windows\kesenjangansosial.exe"

Registry Scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 12
Objects found so far: 12

Started deep registry scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 12

Started Tracking Cookie scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking cookie scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 12

Deep scanning and examining files (C:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 12

Deep scanning and examining files (D:)
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for D:\
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 12

Scanning Hosts file......
Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
1 entries scanned.
New critical objects:0
Objects found so far: 12

Performing conditional scans...
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
New critical objects: 0
Objects found so far: 12

02:40:17 Scan Complete

Summary Of This Scan
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Total scanning time:00:22:33.203
Objects scanned:258898
Objects identified:12
Objects ignored:0
New critical objects:12

2)Rapport de SmitFraud
SmitFraudFix v2.158

Rapport fait à 20:02:38,68, 15/04/2007
Executé à partir de D:\Installations\Freewares\SmitfraudFix
OS: Microsoft Windows [version 5.2.3790] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

3) Rapport de hijackthisLogfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:19:05, on 15/04/2007
Platform: Windows 2003 (WinNT 5.02.3790)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswServ.exe
C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe
C:\WINDOWS\explorer.exe
D:\Installations\Freewares\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus-3708] "C:\Documents and Settings\Administrateur\Local Settings\Application Data\br8439on.exe"
O4 - HKUS\S-1-5-21-2524801540-2006683411-1744465360-500\..\Run: [Tok-Cirrhatus-3708] "C:\Documents and Settings\Administrateur\Local Settings\Application Data\br8439on.exe" (User '?')
O4 - HKUS\S-1-5-21-2524801540-2006683411-1744465360-500\..\Run: [Tok-Cirrhatus] (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - ESC Trusted Zone: http://pro.pronet.net
O15 - ESC Trusted Zone: http://*.senegambie
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters:
O17 - HKLM\Software\..\Telephony:
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB351A5C-D42D-4EB4-BE7B-E798409138FF}:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters:
O17 - HKLM\System\CS2\Services\Tcpip\Parameters:
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswWebSv.exe
0
Réponse 12 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
re

* lance hijackthis puis coche ces lignes :

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"
O4 - HKLM\..\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\RakyatKelaparan.exe"
O4 - HKCU\..\Run: [Tok-Cirrhatus-3708] "C:\Documents and Settings\Administrateur\Local Settings\Application Data\br8439on.exe"
O4 - HKUS\S-1-5-21-2524801540-2006683411-1744465360-500\..\Run: [Tok-Cirrhatus-3708] "C:\Documents and Settings\Administrateur\Local Settings\Application Data\br8439on.exe" (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User '?')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

* ferme toutes les applications ouvertes y compris IE et clique sur "fix checked"

puis

il faut essayer le fix

si possible cet outil de désinfection:
http://vaksin.com/File/Fix-VBWorm-Rontok-Lightmoon.exe

reprend ce que t'a dit olivier pour supprimer ce qui ne l'ai pas dans le fix
tiens nous au courant

0
Réponse 13 / 21
j_takhawaloukat Messages postés 26 Statut Membre 8
 
Salut Philea,
je effectuer les opérations mais je te signale que j'avais déjà utilisé l'utilitaire conseillé par Olivier.Je vais tout de même l'utiliser après avoir fait le fix des entrées que tu as indiquées.
Merci
0
Réponse 14 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonjour,

tu me tiendras au courant. Ensuite tu peux faire ceci stp

* Télécharge clean.zip (merci Malekal).
http://www.malekal.com/download/clean.zip

* Dézippe-le sur le bureau.
* Ouvre le dossier jaune nommé clean sur ton bureau.
* Double-clique sur go.cmd
* Choisis l'option 1 et copie sur le bureau le rapport généré. Il doit normalement aussi se trouver là : c:\rapport_clean.txt
* Clique sur Q pour quitter le programme.

* Redémarre en mode sans échec. Pour cela : au démarrage du PC, tapote sur F8 (ou F5). Ton PC démarre, mais sans accès à Internet.
* Ouvre le dossier jaune nommé clean sur ton bureau.
* Double-clique sur go.cmd
* Choisis l'option 2 et copie sur le bureau le rapport généré.
* Si une fenêtre s'ouvre, laisse-la.
* Clique sur Q pour quitter le programme.
* Redémarre normalement.

et

Étape 1:

Télécharge eScan Antivirus Toolkit
http://www.spywareinfo.dk/download/mwav.exe

Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

Étape 2:

Voici comment mettre l'outil à jour :

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau ; dézippe les fichiers dans le nouveau dossier suggéré (C:\Kaspersky). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

2.) Double-clique sur le Poste de travail puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky ; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue" ; tape sur une touche pour continuer. Deux nouveaux répertoires (dossiers) ont été créés lors de la mise à jour (C:\Bases et C:\Downloads).

4.) Sélectionne/copie tous les fichiers présents dans le dossier C:\Downloads, puis colle-les dans le dossier C:\Kaspersky. Accepte à l'invite de remplacer les fichiers existants.

Ne pas lancer le scan tout de suite !

Étape 3:

Imprime ceci.

Redémarre en mode Sans Échec :

1) Redémarre ton PC.

2) Tapote la touche F8 (ou F5) immédiatement, juste après le "Bip"

3) Tu verras un écran avec options de démarrage apparaître

4) Choisi la première option : Sans Échec, et valide avec "Entrée"

5) Choisis ton compte régulier, et non Administrateur.

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky.

2.) Double-clique sur mwavscan.com ; l'interface d'eScan va apparaître à l'écran.

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous ; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte et choisi la lettre de ton disque dur, habituellement C:\.

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

6.) Clique sur Scan Clean et laisse l'outil vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre [b]Virus Log Information[/b] (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

Ferme le programme. Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse.
0
Réponse 15 / 21
j_takhawaloukat Messages postés 26 Statut Membre 8
 
Merci Philéa pour cette nouvelle procédure à suivre.Cependant il était question que je te transmette le rapport de HijackThis après avoir apporté les corrections sur certaines entrées du registre que tu avais indiquées.Je le soumets à ton appréciation.
Bien à toi.
P.S: actuellement mon PC fonctione apparemment bien,mais il se peut que je me trompe.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 21:32:56, on 19/04/2007
Platform: Windows 2003 (WinNT 5.02.3790)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswServ.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\System32\ismserv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\ntfrs.exe
C:\oracle\Ora9iR2\bin\omtsreco.exe
C:\oracle\Ora9iR2\bin\agntsrvc.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe
C:\WINDOWS\System32\svchost.exe
C:\oracle\Ora9iR2\bin\dbsnmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\setup\avast.setup
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe
C:\Program Files\SuperCopier\SuperCopier.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Installations\Freewares\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [TempCom] C:\WINDOWS\FONTS\691E6.com
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Program Files\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\aswDisp.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Administrateur\Local Settings\Application Data\br8439on.exe"
O4 - HKCU\..\Run: [SuperCopier.exe] C:\Program Files\SuperCopier\SuperCopier.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O15 - ESC Trusted Zone: http://pro.pronet.net
O15 - ESC Trusted Zone: http://*.senegambie
O15 - ESC Trusted Zone: http://*.windowsupdate.com
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lambda.senegambie.magix.net
O17 - HKLM\Software\..\Telephony: DomainName = lambda.senegambie.magix.net
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB351A5C-D42D-4EB4-BE7B-E798409138FF}: NameServer = 169.254.5.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lambda.senegambie.magix.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lambda.senegambie.magix.net
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswWebSv.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Serveur DNS (DNS) - Unknown owner - C:\WINDOWS\System32\dns.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: HTTP SSL (HTTPFilter) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Intel Alert Handler - Intel® Corporation - C:\WINDOWS\system32\ams_ii\hndlrsvc.exe
O23 - Service: Intel Alert Originator - Intel® Corporation - C:\WINDOWS\system32\ams_ii\iao.exe
O23 - Service: Intel File Transfer - Intel® Corporation - C:\WINDOWS\system32\cba\xfr.exe
O23 - Service: Intel PDS - Intel® Corporation - C:\WINDOWS\system32\cba\pds.exe
O23 - Service: Centre de distribution de clés Kerberos (kdc) - Unknown owner - C:\WINDOWS\System32\lsass.exe
O23 - Service: Ouverture de session réseau (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Service de réplication de fichiers (NtFrs) - Unknown owner - C:\WINDOWS\system32\ntfrs.exe
O23 - Service: Fournisseur de la prise en charge de sécurité LM NT (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: OracleMTSRecoveryService - Oracle Corporation - C:\oracle\Ora9iR2\bin\omtsreco.exe
O23 - Service: OracleOra9iR2Agent - Oracle Corporation - C:\oracle\Ora9iR2\bin\agntsrvc.exe
O23 - Service: OracleOra9iR2ClientCache - Unknown owner - C:\oracle\Ora9iR2\BIN\ONRSD.EXE
O23 - Service: OracleOra9iR2HTTPServer - Unknown owner - C:\oracle\Ora9iR2\Apache\Apache\apache.exe (file missing)
O23 - Service: OracleOra9iR2PagingServer - Unknown owner - C:\oracle\Ora9iR2/bin/pagntsrv.exe
O23 - Service: OracleOra9iR2SNMPPeerEncapsulator - Unknown owner - C:\oracle\Ora9iR2\BIN\ENCSVC.EXE
O23 - Service: OracleOra9iR2SNMPPeerMasterAgent - Unknown owner - C:\oracle\Ora9iR2\BIN\AGNTSVC.EXE
O23 - Service: OracleOra9iR2TNSListener - Unknown owner - C:\oracle\Ora9iR2\BIN\TNSLSNR.exe
O23 - Service: OracleServiceSENEG - Oracle Corporation - c:\oracle\ora9ir2\bin\ORACLE.EXE
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Services IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Emplacement protégé (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Fournisseur d'un jeu de stratégie résultant (RSoPProv) - Unknown owner - C:\WINDOWS\system32\RSoPProv.exe
O23 - Service: Gestionnaire de comptes de sécurité (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Spouleur d'impression (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\system32\tlntsvr.exe
O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\Program Files\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe
O23 - Service: Service de disque virtuel (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
0
Réponse 16 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
Bonsoir,

tu n'as pas fait les manips avec e scan et clean.zip ?
0
Réponse 17 / 21
vdv
 
Bonjour,
a tous, j ai un virus apeler win32:rontokbr-I2 j ai comme anti virus avast. Et le probleme que j ai c est que mo, pc rame a fond donc je lance le scan de avast et tout redevien comme avan. Sauf que deux jours apres je peux recommencer l operation avec avast actuelemen j ai mis 3 750 fichier qui sont infectés en quarantaine. Je n arrive pas a savoir ou est se virus et si sa continu je crain de ne plus rien avoir sur mon pc. Merci a tous ceux qui ont eu ce probleme ou qui savent le resodre de m expliquer les demarche et si possible de bien decrire les manif car je ne sui pas tres fort en imformatique merci a biento
0
Réponse 18 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonjour vdv,

créé toi ton propre sujet stp
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm

merci
0
Réponse 19 / 21
jhony
 
saben como eleminarlo
0
Réponse 20 / 21
philae83 Messages postés 12854 Statut Contributeur sécurité 206
 
bonjour,

tu dois te créer ton propre sujet pour que l'on puisse t'aider stp. Merci

estoy espanol ? no hablas frances ?
debes crear tu propio tema por favor, es mas facil. gracias

0

Discussions similaires

convertir en k€
domi -
kevinfive -

2 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Les K sur Instagram et Tiktok
Anonyme123450 -
Radinoz -

3 réponses
Conversion k€ en €
cycy -
aza -

10 réponses
Rendre un montant en Millions d'Euro
Kaka_67 -
Kaka_67 -

2 réponses