Sujet Précédent Sujet Suivant

On me dit que je suis infecter

Fermé
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008 - 7 févr. 2008 à 19:52
 Utilisateur anonyme - 11 févr. 2008 à 22:36
Bonjour,
on me dit que je suis infecté d'un virus, mais je n'y comprens rien, pouvez m'aider a identifier mes virus
merci a vous bonjour

51 réponses

Réponse 1 / 51
Utilisateur anonyme
7 févr. 2008 à 19:55
Coucou,
oui...c'est possible..:))

> Fais un scan en ligne avec Kaspersky : https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
- Sous Démonstration en ligne, on t'explique la marche à suivre, et pour lancer le scan il faut sélectionner < Exécuter l'analyse en ligne >.
Le scan ne marche que sous Internet Explorer.
- On va te demander de télécharger un contôle active x, accepte .
- Dans le menu Choisissez la cible de l'analyse, sélectionne Poste de travail. Le scan va commencer.
- Poste le rapport qui sera généré stp.
S'il y a un problème, assure toi que les contrôles active x sont bien configurés dans les options internet comme décrit sur ce lien : http://www.inoculer.com/activex.php3
Rappel : le scan est à faire sous Internet Explorer

;)

A+
0
katemouse
11 févr. 2008 à 21:02
Bonjour,


J'ai effectué un scann avec avast et j'ai mis des virus sous quarantaine. J'ai par la suite efffectué un scann de tous ces fichiers infectés, voici le résultat

Scan des fichiers sélectionnés

L'action a été accomplie avec succès !

Le virus a été détruit !
Nom du fichier : pavDll.dll
ID du fichier : 6
Description du Virus : Win32:Kuang2

Le virus a été détruit !
Nom du fichier : pavDll.dll
ID du fichier : 11
Description du Virus : Win32:Kuang2

Le virus a été détruit !
Nom du fichier : MS32DLL.dll.vbs
ID du fichier : 8
Description du Virus : VBS:Solow

Le virus a été détruit !
Nom du fichier : INFO.EXE
ID du fichier : 10
Description du Virus : Win32:AutoRun-NE [Wrm]

Le virus a été détruit !
Nom du fichier : Autorun.inf
ID du fichier : 9
Description du Virus : VBS:Malware-gen

Le virus a été détruit !
Nom du fichier : adober.exe
ID du fichier : 4
Description du Virus : Win32:Rjump [Wrm]

Le virus a été détruit !
Nom du fichier : AdobeR.exe
ID du fichier : 7
Description du Virus : Win32:Rjump [Wrm]

Le virus a été détruit !
Nom du fichier : A0030102.exe
ID du fichier : 5
Description du Virus : Win32:Rjump [Wrm]



Que dois je faire des fichiers infectés maintenant?
0
Utilisateur anonyme > katemouse
11 févr. 2008 à 22:36
Coucou katemouse,
Très bien... :)
C'est toujours cela de moins... ;))

Je sais plus trop où on en est...

Peux tu reposer un HiJackT stp et décrire vite fait tes problèmes (en fin de discussion..).
Plus de connexion, tjs ?

Merci,

A+
0
Réponse 2 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
7 févr. 2008 à 19:57
merci :)
0
Réponse 3 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
7 févr. 2008 à 20:03
il effectue des mise a jours est-ce normal??
0
Réponse 4 / 51
Utilisateur anonyme
7 févr. 2008 à 22:06
Coucou,
bon....
Dans ce cas :
Commence par poster un rapport HijackThis stp,
>Télécharge HiJackThis : https://www.commentcamarche.net/telecharger/securite/11747-hijackthis/
- Lance Hijackthis, sélectionne < Scan > puis < save log >
- Enregistre le rapport sur ton bureau.
Et envoie stp, par collier/coller, ton log Hijackthis sur le forum,
;)

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
7 févr. 2008 à 23:39
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:38:42, on 2008-02-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\oppqn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NI.UGES_0001_N122M0502] "C:\Documents and Settings\Cyber@ction\Application Data\setup_en[1].exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O24 - Desktop Component 0: (no name) - https://www.notre-planete.info/photos/image.php?rep=espace&fichier=globe_east.jpg
0
Réponse 6 / 51
Utilisateur anonyme
7 févr. 2008 à 23:47
Bonsoir,
Ton pack MacAfee propose un parefeu ? En as tu un ?

Ok,
il y a du nettoyage...
> Les logiciels suivants (AVG et Ccleaner te seront utiles par la suite)...

> Télécharge et installe sur ton PC AVG anti-spyware (si tu as déjà les programmes alors fais juste les mises à jour) : http://www.commentcamarche.net/telecharger/telecharger 218 avg anti spyware, fais les mises à jour puis ferme le programme.

> Télécharge et installe Ccleaner : https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html fais les mises à jour puis ferme le programme.
Si besoin est tu trouveras des Tutoriaux ici :
https://kerio.probb.fr/t242-tuto-ccleaner-v-2 , https://www.malekal.com/tutoriel-ccleaner/ et [http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner

> Commence par faire un copier/coller de ce poste : (si tu as besoin)
Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" => "Programmes" =>"Accessoires" => "Bloc notes"),
puis fait un copier/coller de tout le contenu de la fenêtre de ce poste dans le fichier texte.
Sauvegarde le sur le bureau, tu pourras y avoir accès même déconnecté ou en mode sans échec.

> Démarre en mode sans échec : (image). Si problème : tuto ici

> Lance AVG,
- Clique sur le menu Analyse (de la barre d'outils). Clique après sur l'onglet Paramètres, puis <Dans Comment réagir?> clique sur <Actions recommandées> et choisi <Quarantaine>.
- Vérifie que toutes les cases sont cochées dans <Comment faire l'analyse ?> et dans <Programmes potentiellement dangereux> et vérifie que le bouton-radio <Générer un rapport après chaque analyse> soit aussi coché.
- Vas dans l'onglet 'Analyse', puis clique <Analyse complète du système>.
Remarque : Une fois l'analyse terminée, il faut faire un clique droit sur un fichier infecté et demander à "AVG Anti-Spyware 7.5" de le supprimer.
Puis clique sur "Appliquer toutes les actions" afin de tout supprimer automatiquement.
- Clique sur "Enregistrer le rapport" puis enregistre le sur ton bureau.
- Fais un copier/coller du rapport généré dans ton prochain poste.

> Lance Ccleaner,
- Choisi l’onglet "Options" puis clique sur "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures" (tout doit être supprimé).
- Dans l'onglet "Nettoyeur" clique sur "Analyse".
- Une fois l'analyse terminée, clique sur "Lancer le Nettoyage".
- Dans l'onglet "registre" => Recherches des erreurs => Réparer les erreurs sélectionnées => enregistre une sauvegarde => corriger toutes erreurs sélectionnées => ok => fermer.
N.B : Si Ccleaner te propose d'enregistrer une sauvegarde, reponds oui et enregistre sous 'Bureau'
Recommence jusqu’à ce qu’il ne trouve plus rien (cela varie en général entre 1 et 4 fois).

> Relance ton PC en mode normal

> Relance Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,

Et envoie moi, par collier/coller, ton log Hijackthis stp,

Bon courage,
;)
0
Réponse 7 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 02:02
Je n'ai pas pu enregistrer le rapport de avg??
voila mon hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:59:28, on 2008-02-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F3 - REG:win.ini: load=C:\WINDOWS\system32\oppqn.exe
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NI.UGES_0001_N122M0502] "C:\Documents and Settings\Cyber@ction\Application Data\setup_en[1].exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O24 - Desktop Component 0: (no name) - https://www.notre-planete.info/photos/image.php?rep=espace&fichier=globe_east.jpg
0
Réponse 8 / 51
Utilisateur anonyme
8 févr. 2008 à 02:07
Coucou,
Pas de rapport AVG ?

> Télécharge Cleaner : http://www.malekal.com/download/clean.zip (différent de Ccleaner),
- Décompresse-le sur ton bureau (clic droit / extraire tout), tu dois obtenir un dossier clean.
- Ouvre le dossier et double-clic sur clean.cmd
- Une fenêtre va apparaître, choisis l'option 1, suis les consignes et poste le rapport qui se trouve ici C:\rapport_clean.txt

> Télécharge SDFix sur ton bureau
- Double clique sur l'archive SDFix qui à été créé sur le Bureau et installe le programme (l'installation va créer un dossier (à la racine du disque dur par défaut) nommé SDFix).

> Démarre en mode sans échec : (image) Si problème : tuto ici (impératif).
- Vas dans c:/SDFix et double-clique sur RunThis.bat
- Appuie sur < Y > puis < Entrée >....Le nettoyage commance....patience...
- Le programme va te demander de relancer le PC, frappe une touche...
- Le nettoyage se termine...un rapport apparait...
-Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse

Ton pack MacAfee propose un parefeu ? En as tu un ?

A+
;)
0
Réponse 9 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 02:12
pour le pare-feu je crois que oui comment puis-je vérifier?
0
Utilisateur anonyme
8 févr. 2008 à 02:19
Menu démarrer => panneau de cong. => centre de sécurité (le parefeu windows ne vaut rien..)

Passe ensuite à la suite !

;)
0
Réponse 10 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 02:19
je ne voit pas le fichier C:\rapport_clean.txt
0
Réponse 11 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 02:20
je l'ai trouvé
le voila :
02-07 a 20:17:26,20

*** Recherche des fichiers dans C:

*** Recherche des fichiers dans C:\WINDOWS\

*** Recherche des fichiers dans C:\WINDOWS\system32
C:\WINDOWS\system32\mcrh.tmp FOUND
0
Réponse 12 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 02:21
oui j'ai seulement le pare-feu windows
0
Réponse 13 / 51
Utilisateur anonyme
8 févr. 2008 à 02:22
Très bien alors en mêm temps que le sdfix (en mode sans échec) :
- Double-clic sur clean.cmd
- Une fenêtre va apparaître, choisis l'option 2, suis les consignes et poste le rapport clean
- Si tu obtiens un fichier C:\upload_moi.zip, alors fais ceci: http://www.malekal.com/tuto_upload_fichiers.php
NB : Si besoin, clean : http://mickael.barroux.free.fr/securite/clean.php

Poste aussi le rapport sdfix stp,

A+
0
Réponse 14 / 51
Utilisateur anonyme
8 févr. 2008 à 02:26
Re,
Quand tu auras posté les 2 rapports sdfix et clean peux tu installer un parefeu ?
rappel :
je te conseille : ZA mais Kerio est très bien si tu veux.
- Télécharge Zone Alarme ici, en cas de problème
- Installe le nouveau pare-feu, puis désactive le pare-feu windows.

A+

:)
0
Réponse 15 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 03:15
premierement j'ai pas de rapport sdfix mais j'ai un fichier zip. qui c rajouter sur mon bureau il se nomme "catchme.zip" et j'ai aussi "catchme.log"
0
Réponse 16 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 06:02
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-07 21:52:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden files ...

IPC error: 2 Le fichier spécifié est introuvable.
scan completed successfully
hidden files: 0
0
Réponse 17 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 07:17
ok voila mon report de sdfix :

SDFix: Version 1.138

Run by Cyber@ction on 2008-02-08 at 00:37

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\scif\MSWINSCK.OCX - Deleted


Could Not Remove C:\POS285D.TMP



Removing Temp Files...

ADS Check:



Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 01:01:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:b7765a92
"s1"=dword:768536b5
"s2"=dword:35540880
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:aa,c9,ad,83,25,6c,11,33,ec,95,13,18,10,2e,df,f0,fe,a8,78,41,fd,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"p0"="C:\Program Files\Alcohol Soft\Alcohol 120\"
"h0"=dword:00000000
"ujdew"=hex:aa,c9,ad,83,25,6c,11,33,ec,95,13,18,10,2e,df,f0,fe,a8,78,41,fd,..

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 30


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Disabled:Messenger"
"C:\\Program Files\\Steam\\steamapps\\deadpool31\\counter-strike\\hl.exe"="C:\\Program Files\\Steam\\steamapps\\deadpool31\\counter-strike\\hl.exe:*:Disabled:Half-Life Launcher"
"C:\\Program Files\\Steam\\steamapps\\424tif424\\counter-strike\\hl.exe"="C:\\Program Files\\Steam\\steamapps\\424tif424\\counter-strike\\hl.exe:*:Disabled:Half-Life Launcher"
"C:\\Program Files\\Steam\\Steam.exe"="C:\\Program Files\\Steam\\Steam.exe:*:Disabled:Steam Client"
"C:\\Program Files\\Warcraft III\\Warcraft III.exe"="C:\\Program Files\\Warcraft III\\Warcraft III.exe:*:Disabled:Warcraft III"
"C:\\Program Files\\Starcraft\\StarCraft.exe"="C:\\Program Files\\Starcraft\\StarCraft.exe:*:Disabled:Starcraft - Brood War"
"C:\\Program Files\\Warcraft III\\War3.exe"="C:\\Program Files\\Warcraft III\\War3.exe:*:Disabled:Warcraft III"
"C:\\Program Files\\Azureus\\Azureus.exe"="C:\\Program Files\\Azureus\\Azureus.exe:*:Disabled:Azureus"
"C:\\Program Files\\Impressions Games\\Lords of the Realm III\\Lords3.exe"="C:\\Program Files\\Impressions Games\\Lords of the Realm III\\Lords3.exe:*:Disabled:Lords of the Realm III"
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------
C:\POS285D.TMP Found

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 13 Oct 2004 1,694,208 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Fri 8 Feb 2008 19,128 ..SH. --- "C:\WINDOWS\system32\rwjfhypb.dllbox"
Wed 15 Feb 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Thu 16 Feb 2006 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv12.bak"
Tue 30 May 2006 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv17.bak"
Mon 14 Jan 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Mon 14 Jan 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv02.tmp"

Finished!
0
Réponse 18 / 51
Utilisateur anonyme
8 févr. 2008 à 10:48
Bonsoir,
très bien...:)
> Lance Hijackthis :
- Puis sélectionne < Scan >
- Coche les cases des lignes suivantes :

F3 - REG:win.ini: load=C:\WINDOWS\system32\oppqn.exe

O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
O24 - Desktop Component 0: (no name) - https://www.notre-planete.info/photos/image.php?rep=espace&fichier=globe_east.jpg

Ensuite,
- Ferme toutes les autres fenêtres et applications (même internet)
- Clic sur < fixe checked >

> Télécharge OTMoveIT (de Old_Timer) : http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe sur ton bureau...
- Double-clique sur OTMoveIt.exe pour le lancer.
- Assure toi que la case "Unregister Dll's and Ocx's" est bien cochée !!!
- Copie le texte qui se trouve ci-dessous et colle-le dans le cadre de gauche de OTMoveIt nommé <Paste standard List of Files/Folders to be moved>.

C:\WINDOWS\system32\oppqn.exe

- Clique sur < MoveIt! > pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit
N.B :Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.
Un rapport est créé dans %SYSTEMDRIVE%\_OTMoveIt\MovedFiles\date du jour, copie-colle-le dans ta réponse suivante stp.

> Démarre en mode sans échec : (image). Si problème : tuto ici
- Double-clic sur clean.cmd
- Une fenêtre va apparaître, choisis l'option 2, suis les consignes et poste le rapport clean
- Si tu obtiens un fichier C:\upload_moi.zip, alors fais ceci: http://www.malekal.com/tuto_upload_fichiers.php
NB : Si besoin, clean : http://mickael.barroux.free.fr/securite/clean.php
PS : En fait tu n'as pas du voir mais je t'avais aussi mis du boulot ici : http://www.commentcamarche.net/forum/affich 4945085 on me dit que je suis infecter#14 ;)

> Peux tu passer aussi un coup de Ccleaner au passage (en mode sans échec aussi..:))

> Relance ton PC et Hijackthis :
Puis sélectionne < do a system scan and save a logfile >,

Et envoie, par collier/coller, ton log Hijackthis stp,

> Rends toi ensuite sur ce site virustotal et fais analyser le fichier :
(Si problème : http://pageperso.aol.fr/loraline60/virus_total.htm )

C:\Documents and Settings\Cyber@ction\Application Data\setup_en[1].exe

et poste le resultat par copier/coller stp.

Bon courage,
On termine...

;)

A+
0
Réponse 19 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 20:25
je ne trouve pas : F3 - REG:win.ini: load=C:\WINDOWS\system32\oppqn.exe
mais je trouve les autres est-ce que je fais tout de meme un scan???
0
Utilisateur anonyme
8 févr. 2008 à 20:30
Oui,
si la ligne n'est pas là...c'est pas grave...

Continue la manip. et dis moi si tu as des problèmes...

A+
0
Réponse 20 / 51
rusteejuxx Messages postés 80 Date d'inscription mercredi 16 janvier 2008 Statut Membre Dernière intervention 26 février 2008
8 févr. 2008 à 20:31
a oui et en faite une fois que j'avais installe zonealram je n'arrivais plus a naviguer sur internet c pourquoi j'ai effacé zonealarm.!
0

Discussions similaires

Est ce que je suis Infecté
Valérie -
Malekal_morte- -

3 réponses
Suis-je infecté ?
avocatdudiable -
lilidurhone -

5 réponses
suis je infecté
mehditunisien -
buginformatik -

6 réponses
infecter par crossrider
maaxx712 -
bazfile -

10 réponses
AVAST me dit que setup.exe est infecté par IDP.Generic
cloclo777 -
cloclo777 -

9 réponses