[Virus] désactivation du firewall

wangacoast Messages postés 17 Date d'inscription Statut Membre Dernière intervention -
jlpjlp Messages postés 51580 Date d'inscription Statut Contributeur sécurité Dernière intervention - 13 avril 2008 à 10:51

Bonjour tout le monde,

récemment je me suis fait attrapé par un virus qui apparement désactive systématiquement le firewall win xp (bon c pas une si mauvaise chose je sais ;) ). Mais en plus, ma connexion est ralentie. Ce virus semble pas être trop méchant, j'ai déjà fait une restauration ultérieure de la base de registre, sans succès ainsi qu'un scan spybot, sans succès. Je m'en remets à vous en postant mon rapport hijack this. En vous remerciant d'avance...

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\KM9801U\MMHotKey.EXE
C:\Program Files\Audio Deck\EnMixCPL.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\kqmhioib.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\KM9801U\HokHIDKC.EXE
C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KM9801U] C:\PROGRA~1\KM9801U\MMHotKey.EXE
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Program Files\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [WintelUpdate] C:\kqmhioib.exe
O4 - HKCU\..\Run: [nvcoi] C:\Program Files\nvcoi\nvcoi.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software - C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Afficher la suite

A voir également:

[Virus] désactivation du firewall
Comodo firewall - Télécharger - Pare-feu
Virus mcafee - Accueil - Piratage
Virus facebook demande d'amis - Accueil - Facebook
Desactivation compte zimbra - Accueil - Piratage
Undisclosed-recipients virus - Guide

9 réponses

Réponse 1 / 9

jlpjlp Messages postés 51580 Date d'inscription Statut Contributeur sécurité Dernière intervention 5 040

slt,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

______________

télécharge OTMoveIt
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe (de Old_Timer) sur ton Bureau. Ou sur https://www.luanagames.com/index.fr.html
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste List of Files/Folders to be moved.

Citation :

C:\kqmhioib.exe
C:\Program Files\nvcoi\nvcoi.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
__________
recolle un hijackhtis entier cette fois

Réponse 2 / 9

wangacoast Messages postés 17 Date d'inscription Statut Membre Dernière intervention

pour le SDfix :

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-12 18:26:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

[b]Remaining Services [/b]:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\aMSN\\bin\\wish.exe"="C:\\Program Files\\aMSN\\bin\\wish.exe:*:Enabled:Wish Application"
"C:\\Program Files\\Cyanide\\Pro Cycling Manager\\Cym2005.exe"="C:\\Program Files\\Cyanide\\Pro Cycling Manager\\Cym2005.exe:*:Enabled:Cym2005"
"C:\\Program Files\\Call of Duty\\CoDMP.exe"="C:\\Program Files\\Call of Duty\\CoDMP.exe:*:Enabled:CoDMP"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[b]Remaining Files [/b]:

File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Mon 28 Jan 2008 1,404,240 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 28 Jan 2008 5,146,448 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 28 Jan 2008 2,097,488 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Fri 4 Feb 2005 171,520 A..H. --- "C:\Documents and Settings\ren\Mes documents\Henac\3gbd\~WRL1403.tmp"
Sun 30 Jan 2005 436,736 A..H. --- "C:\Documents and Settings\ren\Mes documents\Henac\TFE\~WRL0003.tmp"
Fri 8 Apr 2005 641,536 A..H. --- "C:\Documents and Settings\ren\Mes documents\Henac\TFE\~WRL0004.tmp"
Fri 4 Feb 2005 436,736 A..H. --- "C:\Documents and Settings\ren\Mes documents\Henac\TFE\~WRL0005.tmp"
Fri 4 Feb 2005 437,760 A..H. --- "C:\Documents and Settings\ren\Mes documents\Henac\TFE\~WRL0474.tmp"
Fri 4 Feb 2005 438,272 A..H. --- "C:\Documents and Settings\ren\Mes documents\Henac\TFE\~WRL1246.tmp"
Sun 10 Apr 2005 634,880 A..H. --- "C:\Documents and Settings\ren\Mes documents\Henac\TFE\~WRL2770.tmp"

pour move it

C:\kqmhioib.exe moved successfully.
File/Folder C:\Program Files\nvcoi\nvcoi.exe not found.

et voici hijackthis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\KM9801U\MMHotKey.EXE
C:\Program Files\Audio Deck\EnMixCPL.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\KM9801U\HokHIDKC.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KM9801U] C:\PROGRA~1\KM9801U\MMHotKey.EXE
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Program Files\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software - C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

merci de ton aide

Réponse 3 / 9

jlpjlp Messages postés 51580 Date d'inscription Statut Contributeur sécurité Dernière intervention 5 040

ok
vire ce qui est dans moved files en allant dans poste de travail puis C puis OTMOVIT

____________

colle le rapport d'un scan en ligne
avec un des suivants:

bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr

Réponse 4 / 9

wangacoast Messages postés 17 Date d'inscription Statut Membre Dernière intervention

je m'excuse mais ce n'est pas très présentable. je n'ai conservé que la liste proprement dite..

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VWUS2C4\sdferw[1].htm
</td>
<td width="43%" align="left">
Infecté par: Trojan.Downloader.Zlob.ABMO
</td>
</tr><tr>
<td width="57%">
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VWUS2C4\sdferw[1].htm
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\0VWUS2C4\sdferw[1].htm
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\ilriupf.exe
</td>
<td width="43%" align="left">
Infecté par: Backdoor.Rustock.Z
</td>
</tr><tr>
<td width="57%">
C:\ilriupf.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\jriy.exe
</td>
<td width="43%" align="left">
Infecté par: Win32.Worm.Socks.A
</td>
</tr><tr>
<td width="57%">
C:\jriy.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\jriy.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\RECYCLER\S-1-5-21-1202660629-1606980848-725345543-1003\Dc118\kqmhioib.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Puvbed.A
</td>
</tr><tr>
<td width="57%">
C:\RECYCLER\S-1-5-21-1202660629-1606980848-725345543-1003\Dc118\kqmhioib.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>keygen.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Vundo.EFI
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>keygen.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)
</td>
<td width="43%" align="left">
Echec de la mise à jour
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>patch.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Mezzia.CY
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>patch.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>patch.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)
</td>
<td width="43%" align="left">
Echec de la mise à jour
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>crack.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Downloader.Harnig.ZF
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>crack.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>crack.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)
</td>
<td width="43%" align="left">
Echec de la mise à jour
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>install.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Retapu.D
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>install.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>install.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)
</td>
<td width="43%" align="left">
Echec de la mise à jour
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP43\A0006984.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Downloader.Agent.ZEX
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP43\A0006984.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP43\A0006984.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP44\A0007010.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Downloader.Agent.ZEX
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP44\A0007010.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP44\A0007010.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP47\A0008105.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Downloader.Agent.ZEX
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP47\A0008105.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP47\A0008105.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008211.dll
</td>
<td width="43%" align="left">
Infecté par: Trojan.Downloader.Zlob.ABMP
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008211.dll
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008211.dll
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008214.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Downloader.Agent.ZEX
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008214.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008214.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008336.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Downloader.Harnig.ZF
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008336.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008336.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008337.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Vundo.EFI
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP49\A0008337.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP51\A0008434.exe
</td>
<td width="43%" align="left">
Infecté par: Backdoor.Rustock.Z
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP51\A0008434.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP51\A0008435.exe
</td>
<td width="43%" align="left">
Infecté par: Win32.Worm.Socks.A
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP51\A0008435.exe
</td>
<td width="43%" align="left">
Echec de la désinfection
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP51\A0008435.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP51\A0008443.exe
</td>
<td width="43%" align="left">
Infecté par: Trojan.Puvbed.A
</td>
</tr><tr>
<td width="57%">
C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP51\A0008443.exe
</td>
<td width="43%" align="left">
Supprimé
</td>
</tr>
</table>
</td>

<td width="10%">
 
</td>
</tr>

<tr>
<td width="458">
 
</td>
<td width="40%">
 
</td>
<td width="10%">
 
</td>
</tr>

<tr>
<td width="458">
 
</td>
<td width="40%">
 
</td>
<td width="10%">
 
</td>
</tr>

</table>
 

</body>
</html>

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 5 / 9

jlpjlp Messages postés 51580 Date d'inscription Statut Contributeur sécurité Dernière intervention 5 040

oui le rapport n'est pas bon, il me faut un rapport donnant le nom des virus, les fichiers inféctés et l'action de bitdefender

Réponse 6 / 9

wangacoast Messages postés 17 Date d'inscription Statut Membre Dernière intervention

Statistiques

Temps
	

00:13:48

Fichiers
	

53626

Directoires
	

4784

Secteurs de boot
	

2

Archives
	

784

Paquets programmes
	

5538
	

 
	

 

Résultats

Virus identifiés
	

4

Fichiers infectés
	

4

Fichiers suspects
	

0

Avertissements
	

0

Désinfectés
	

0

Fichiers effacés
	

4
	

 
	

 

Info sur les moteurs

Définition virus
	

1142192

Version des moteurs
	

AVCORE v1.0 (build 2422) (i386) (Sep 25 2007 08:26:36)

Analyse des plugins
	

16

Archive des plugins
	

41

Unpack des plugins
	

7

E-mail plugins
	

6

Système plugins
	

5
	

 
	

 

Paramètres d'analyse

Première action
	

Désinfecté

Seconde Action
	

Supprimé

Heuristique
	

Oui

Acceptez les avertissements
	

Oui

Extensions analysées
	

exe;com;dll;ocx;scr;bin;dat;386;vxd;sys;wdm;cla;class;ovl;ole;hlp;doc;dot;xls;ppt;wbk;wiz;pot;ppa;xla;xlt;vbs;vbe;mdb;rtf;htm;hta;html;xml;xtp;php;asp;js;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Excludez les extensions
	

 

Analyse d'emails
	

Oui

Analyse des Archives
	

Oui

Analyser paquets programmes
	

Oui

Analyse des fichiers
	

Oui

Analyse de boot
	

Oui
	

 
	

 
 

Fichier analysé
	

 Statut

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>keygen.exe
	

Infecté par: Trojan.Vundo.EFI

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>keygen.exe
	

Supprimé

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)
	

Echec de la mise à jour

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>patch.exe
	

Infecté par: Trojan.Mezzia.CY

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>patch.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>patch.exe
	

Supprimé

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)
	

Echec de la mise à jour

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>crack.exe
	

Infecté par: Trojan.Downloader.Harnig.ZF

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>crack.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>crack.exe
	

Supprimé

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)
	

Echec de la mise à jour

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>install.exe
	

Infecté par: Trojan.Retapu.D

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>install.exe
	

Echec de la désinfection

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)=>install.exe
	

Supprimé

C:\System Volume Information\_restore{7DB95AC3-4C1B-43F0-A8B0-A815A40346ED}\RP41\A0006943.exe=>(RAR Sfx o)
	

Echec de la mise à jour

Réponse 7 / 9

jlpjlp Messages postés 51580 Date d'inscription Statut Contributeur sécurité Dernière intervention 5 040

si tout c'est bien passé désactive la restauration système pour purger les virus qui seraient dedans puis réactive là : https://www.informatruc.com

_______
recolle un hijackthis et dis tessoucis actuels

Réponse 8 / 9

wangacoast Messages postés 17 Date d'inscription Statut Membre Dernière intervention

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\PROGRA~1\KM9801U\MMHotKey.EXE
C:\Program Files\Audio Deck\EnMixCPL.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\KM9801U\HokHIDKC.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Songbird0\songbird.exe
C:\Program Files\Winamp\Winamp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KM9801U] C:\PROGRA~1\KM9801U\MMHotKey.EXE
O4 - HKLM\..\Run: [EnvyHFCPL] C:\Program Files\Audio Deck\EnMixCPL.exe 1
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab
O23 - Service: F-PROT Antivirus for Windows system (FPAVServer) - FRISK Software - C:\Program Files\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Apparement le fire wall ne se désactive plus mais f-prot stoppe toujours des virus qui se trouve selon lui dans un répertoire qui n'existe pas : C:\Documents and Settings\ren\local settings\applicationdata\mozilla\firefox\profiles\11mbynu9.default\Cache\

et il trouve W32/Tibs.E.Gen!Eldorado

Réponse 9 / 9

jlpjlp Messages postés 51580 Date d'inscription Statut Contributeur sécurité Dernière intervention 5 040

utilise pour supprimer tes traces (nettoie bien le cache de firefox)

CCLEANER: (lance un nettoyage et répare 3 fois le registre) sans installer la barre yahoo

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html

____________

Télécharge Combofix de sUBs : Renomme le avant toute installation, par exemple, nomme le "KillBagle". aide ici : https://forum.pcastuces.com/sujet.asp?f=25&s=37315

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

Aide à l’utilisation de combofix ici: https://bibou0007.forumpro.fr/login?redirect=%2Ft121-topic

Double-clic sur combofix, Il va te poser une question, réponds par la touche 1 et entrée pour valider, laisse toi guider.
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Discussions similaires

Softonic,est-ce un virus ?

message de postmaster incessant !

Désinstaller Softonic

Message Apple virus !!

Désactiver une touche du clavier : possible ?

Votre réponse

Discussions similaires