Infecter par le virus Win32 :S

Question

Bonjour,
J'ai un probleme avec mon ordi ,il a dectecter des virus ( win32 ).
J'ai lu sur differents topic des cas similiaires mais j'arrive pas a m'en sortir....

Pouvez vous m'aidez ?

Utilisateur anonyme · Answer

Salut fais ceci

*Télécharge HijackThis: http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
*Puis fais "Install" puis "I accept" puis tu cliques sur "Do a system scan and save a logfile".
*L'analyse se fait un bloc-note s'ouvrira tu fais copier/coller dans le forum.

Vyns · Answer

Logfile of HijackThis v1.99.1
Scan saved at 19:30:45, on 12/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Vincent\Bureau\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ProRat V1.8 - {89999700-cba3-4071-b251-47cb894244cd} - C:\Documents and Settings\Vincent\Bureau\prorat\prorat\ProRat.exe (file missing)
O9 - Extra 'Tools' menuitem: ProRat V1.8 - {89999700-cba3-4071-b251-47cb894244cd} - C:\Documents and Settings\Vincent\Bureau\prorat\prorat\ProRat.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\BitDefender\BitDefender 2008\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Vyns · Answer

impossible de réactivé protection en temps réel, pare feu , mode furtif, controle d'identiter et controle parental avec bitdefender 2008

Vyns · Answer

Tien voila des screens tu comprendra surment mieux


http://usa.lucretius-ada.com/zcvisitor/04f1fc00-48a6-11ea-ae2a-0a8cfe137cf7?campaignid=0d1dff40-82d7-11e9-9533-0a157bfa6bfc

http://images.imagehotel.net/?i9je5o6exy.jpg

http://images.imagehotel.net/?7sb8zv79zy.jpg

http://images.imagehotel.net/?r56o30ucsx.jpg

afideg · Answer

Salut Vyns, A)- Ta version HJT n'est pas à jour (Logfile of HijackThis v1.99.1) Supprime ta version actuelle de HijackThis via "Panneau de configuration" > "Ajout/Suppr. de programmes". a)- Avec connexion au Net en service, - Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2 < [ http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download ] > avec un installeur. - Sur la page, choisis « Download HijackThis Installer » http://img265.imageshack.us/img265/4575/screenshot127sd3.png et enregistre-le sur le bureau. Tu dois voir une nouvelle icône « HJTInstall.exe » sur le bureau. c)- Puis, double-clic sur le raccourci HJT créé sur le bureau, et clic sur "Do a system scan and save a logfile" pour lancer l'analyse et poster son rapport ici. e)- Tutoriel : < [ http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm ] > Tuto: https://bibou0007.forumpro.fr/t108-tutorial-de-hijackthis-v2-0-2 B)- L'infection : O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe Télécharger MsnFix < http://sosvirus.changelog.fr/MSNFix.exe > ([Enregistrer] > choisir sur le "Bureau") Accepter les alertes éventuelles de l'antivirus installé. Double-clique sur l’icône placé sur le bureau, puis [Exécuter] > choisir « Français » > [Suivant] dans l’assistant d’installation > cocher la case devant « Créer une icône sur le bureau » > [Suivant] > [Installer] > [Terminer] ==> le programme se lance automatiquement. - Exécute l'option R. - Si l'infection est détectée, presse une touche pour lancer le nettoyage. (N) Si tu dois redémarrer l’ordinateur, fais-le manuellement. Poste le rapport situé dans le dossier MSNFix. Le nom du rapport correspond au moment de sa création : date_heure.log C)- Terminer par une analyse complète avec ton BitDefender et poste le rapport SVP. Ton Bitdefender Internet Security 2008, est-ce une version d'évaluation (périmée) ? Quelle est ta version ? http://bitdefender.bwm-mediasoft.com/... Merci Coucou boy94450 ;) Al.

Vyns · Answer

voila

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:58:38, on 12/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\Mixer.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\SAGEM WiFi manager\WLANUTL.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2008\IEToolbar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKLM\..\RunOnce: [!5C78D7FB3CFC5C043A764285E6BE8B] C:\WINDOWS\system32\MsiExec.exe /@ "!5C78D7FB3CFC5C043A764285E6BE8B"
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: ProRat V1.8 - {89999700-cba3-4071-b251-47cb894244cd} - C:\Documents and Settings\Vincent\Bureau\prorat\prorat\ProRat.exe (file missing)
O9 - Extra 'Tools' menuitem: ProRat V1.8 - {89999700-cba3-4071-b251-47cb894244cd} - C:\Documents and Settings\Vincent\Bureau\prorat\prorat\ProRat.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Program Files\Fichiers communs\BitDefender\BitDefender Communicator\xcommsvr.exe

Vyns · Answer

Bon merci bcp l'antivirus qui remarche , aucun virus detecter , enfin nikel ^^

Merci bcp bonne fin de soiree :)

afideg · Answer

Bonsoir Vyns,

J'aurais besoin des détails suivants SVP:

1° As-tu lancé MSNFix à la suite de l'analyse HijackThis ?
Poste le rapport situé dans le dossier MSNFix.
Le nom du rapport correspond au moment de sa création : date_heure.log
Merci

2°- Je vois encore:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\fservice.exe
O4 - HKLM\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKCU\..\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
O4 - HKLM\..\Policies\Explorer\Run: [DirectX For Microsoft® Windows] C:\WINDOWS\system32\fservice.exe
O4 - HKLM\..\Policies\Explorer\Run: [Windows Reg Services] C:\WINDOWS\system32\ffservice.exe
Je dis "bizarre".
Peux-tu relancer une analyse complète avec HijackThis et nous poster le rapport SVP ?
Merci.

3°- Pour cette ligne O4 - HKLM\..\RunOnce: [!5C78D7FB3CFC5C043A764285E6BE8B] C:\WINDOWS\system32\MsiExec.exe /@ "!5C78D7FB3CFC5C043A764285E6BE8B" , il faudrait faire analyser ce fichier MsiExec.exe (attention à l'écriture) par VirusTotal, comme ceci:
Tutoriel ici http://bibou0007.com/tutos-f45/tutorial-sur-virustotal-t190.htm
Vas là :< https://www.virustotal.com/gui/ >
•- sur la page qui s'affiche tu cliques sur [Parcourir]
•- ensuite sur la nouvelle page qui s'affiche, tu suis le chemin du fichier MsiExec.exe
c'est-à-dire via "Poste de travail" > C:\WINDOWS\system32\
•- Tu ouvres le dossier "system32\", et quand tu y as trouvé le fichier MsiExec.exe, tu cliques sur "Ouvrir" ( sur cette dernière page affichée)
•- le fichier MsiExec.exe se retrouve alors ainsi dans la fenêtre de VirusTotal, pour l'analyse
•- là, tu cliques sur "send file" = « Envoyer » ( de la page de VirusTotal )
•- et tu attends le résultat (il faut parfois patienter)
•- Dans l'encadré: "Situation actuelle: terminé" ==> cliquer sur "Formaté"
•- Une nouvelle fenêtre de votre navigateur apparaîtra...
•- Dans la nouvelle fenêtre, cliquer sur cette image : < http://img215.imageshack.us/img215/6039/virustotalpourcopierip3.jpg >
•- Faire un clic-droit sur la page, choisir => "Sélectionner tout" > puis encore clic-droit => Copier...
Enfin , clic-droit => Coller le(s) résultat(s) dans le WordPad ou Bloc-Notes ==> et le poster sur forum ici.
Merci

Fais la même chose avec :
- C:\WINDOWS\system32\ffservice.exe
- C:\WINDOWS\system32\fservice.exe
... parce que je trouve http://www.sophos.fr/security/analyses/viruses-and-spyware/trojproratba.html
Avec Troj/Prorat-BA l'entrée de registre suivante est créée pour exécuter fservice.exe au démarrage :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run DirectX For Microsoft® Windows <System>\fservice.exe
... et parce que "Windows Reg Services" a été déterminé comme dangereux par WinSOS.

Bonne nuit
Al.

afideg · Answer

Bonsoir boy94450,

Merci
Mais l'internaute à l'air d'avoir abandonné un peu tôt.
Dommage, ça m'aurait intéressé de poursuivre l'investigation.

Al.

Utilisateur anonyme · Answer

pour suivre au cas ou s'il revient :)

Infecter par le virus Win32 :S

10 réponses

Votre réponse

Discussions similaires

Newsletters