Divers problème depuis install keygen.exe

billi -  
 billi -
Bonjour,
j'ai double cliqué sur un keygen.exe qui depuis à disparu de mon bureau et de mon ordi. impossible de le retrouver .
Le problème est que depuis que j'ai cliqué dessus j'ai l'ordi qui ram. J'ai un port usb qui déconne et j'ai une tentative de connection à internet qui s'effectue environ toutes les 20min.
(Je me dis que je dois avoir un trojan du type win32...je sais pas trop quoi)

Quelles sont les procédures à suivre? (scan navilog? HJTI?)

merci par avance!
Configuration: Windows vista basique
Firefox 1.5.0.12

4 réponses

  1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
     
    salut telecharge malwarbyte http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware a l'installation tu verifie que mise a jour et lançer program et scan complet sont bien cocher a la fin du scan tu suprime se qu'il trouve et tu poste le raport generer et apres sa

    tu fait un scan avec hijackthis http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis pour generer un raport que tu postera aussi

    içi un mode d'emploi pour generer un raport http://pageperso.aol.fr/balltrap34/demohijack.htm
    0
    1. bili
       
      voici le premier rapport :

      Malwarebytes' Anti-Malware 1.18
      Version de la base de données: 870

      17:04:25 20/06/2008
      mbam-log-6-20-2008 (17-04-25).txt

      Type de recherche: Examen complet (C:\|)
      Eléments examinés: 92965
      Temps écoulé: 31 minute(s), 6 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 2
      Elément(s) de données du Registre infecté(s): 1
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 8

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      C:\Windows\System32\geBqQHwx.dll (Trojan.FakeAlert) -> Unloaded module successfully.

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\CLSID\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Delete on reboot.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.FakeAlert) -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Windows\System32\geBqQHwx.dll (Trojan.FakeAlert) -> Delete on reboot.
      C:\Users\biatch\AppData\Local\Temp\tmp00007add (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Users\biatch\AppData\Local\Temp\tmp000088a8 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Users\biatch\AppData\Local\Temp\tmp00008dd8 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Users\biatch\AppData\Local\Temp\tmp00009078 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Windows\System32\iIBqRJbc.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Windows\System32\jkkLDTlK.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      C:\Windows\System32\vtUMdBTj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.




      voici le deuxième rapport avec hijackthis :

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 17:12:06, on 20/06/2008
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16386)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
      C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      C:\Program Files\TOSHIBA\Utilities\VolControl.exe
      C:\Program Files\Avast4\ashDisp.exe
      C:\Windows\System32\rundll32.exe
      C:\Program Files\Synaptics\SynTP\SynToshiba.exe
      C:\Windows\system32\taskeng.exe
      C:\Windows\system32\wbem\unsecapp.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O1 - Hosts: ::1 localhost
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
      O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      O4 - HKLM\..\Run: [TOSHIBA Volume Indicator] "C:\Program Files\Toshiba\Utilities\VolControl.exe"
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [RavAV] C:\Windows\AdobeR.exe
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
      O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winxtx32.rom,mycRun
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
      O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
      O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
      O13 - Gopher Prefix:
      O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
      O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
      O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
      O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
      O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
      O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
      O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
      O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
      0
      1. benurrr Messages postés 9766 Statut Contributeur sécurité 107 > bili
         
        tu a rebooter comme demander par malwarbye
        0
      2. billi > benurrr Messages postés 9766 Statut Contributeur sécurité
         
        oui j'ai rebooté et il m'a mis un message d'erreur (logo rouge avec croix blanche). "impossible...."
        0
      3. billi > benurrr Messages postés 9766 Statut Contributeur sécurité
         
        le fichier qui devait être supprimé au redémarrage n'à apparemment pas été supprimé
        0
      4. benurrr Messages postés 9766 Statut Contributeur sécurité 107 > billi
         
        re telecharge clean http://www.malekal.com/download/clean.zip tu le dezippe avec un clic droit et tu fait extraire tout ou extraire içi

        tu double clic sur le dossier generer et tu double clic sur clean.cmd

        une fenetre noir va s'ouvrir et tu choisie l'option 1 recherche

        a la fin du scan clean te proposera d'ouvrir le raport pour çela il suffit de valider par la touche entre enregistre pour pouvoir le poster mais il sera quand meme enregistrer sous rapport _clean.txt et tu poste le rapport stp

        s'il te demande d'inploader le raport tu accepte
        0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Fais ça stp :
    Vas sur http://upload.malekal.com
    clic sur parcourir et sélectionne le fichier :
    winxtx32.rom (clic sur poste de travail à gauche puis Disque C --> Dossier Windows --> Dossier System32 --> winxtx32.rom )
    Ne touche pas au champs "Choisir le dossier de destination"
    Clic sur envoyer fichier

    0
    1. benurrr Messages postés 9766 Statut Contributeur sécurité 107
       
      salut oups telescopage je te laisse t'occuper de lui et bon courage trop cool je tombe sur malekal_morte bien tout se que tu fait enchanter
      0
    2. billi
       
      rebonjour, je n'arrive pas à envoyer le fichier winxtx32.rom.
      Je clique sur envoyer le fichier et ça m'écrit : les fichier .rom ne peuvent pas être uploader.
      0
    3. billi
       
      que dois-je faire maintenant? merci de m'aider.
      0
    4. billi
       
      re, c'est bon j'ai envoyé le fichier "winxtx32.rom" en .zip
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Merci!
    0
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Pour ceux que cela interresse, c'est un pinch et il est bien détecté.
    9/33 : http://www.virustotal.com/fr/analisis/5e2581ad76daff61ca00b33da2be9553
    0
    1. billi
       
      avec tout ce qui ce qui s'est passé, je ne sais plus où en est la désinfection de mon ordi.
      J'ai fait un scan avec clean qui m'a trouvé un fichier infecté (mais je n'ai pas envoyé le rapport). j'ai fait un scan avec malwarebytes qui m'a trouvé un fichier infecté et qu'il a ensuite apparemment réussi à supprimer.
      Que faire maintenant?

      Sinon qu'est-ce qu'un pinch?
      0