Divers problème depuis install keygen.exe

Fermé
billi - 23 juin 2008 à 14:22
 billi - 27 juin 2008 à 12:54
Bonjour,
j'ai double cliqué sur un keygen.exe qui depuis à disparu de mon bureau et de mon ordi. impossible de le retrouver .
Le problème est que depuis que j'ai cliqué dessus j'ai l'ordi qui ram. J'ai un port usb qui déconne et j'ai une tentative de connection à internet qui s'effectue environ toutes les 20min.
(Je me dis que je dois avoir un trojan du type win32...je sais pas trop quoi)

Quelles sont les procédures à suivre? (scan navilog? HJTI?)

merci par avance!
A voir également:

4 réponses

benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
23 juin 2008 à 15:51
salut telecharge malwarbyte http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware a l'installation tu verifie que mise a jour et lançer program et scan complet sont bien cocher a la fin du scan tu suprime se qu'il trouve et tu poste le raport generer et apres sa

tu fait un scan avec hijackthis http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis pour generer un raport que tu postera aussi

içi un mode d'emploi pour generer un raport http://pageperso.aol.fr/balltrap34/demohijack.htm
0
voici le premier rapport :

Malwarebytes' Anti-Malware 1.18
Version de la base de données: 870

17:04:25 20/06/2008
mbam-log-6-20-2008 (17-04-25).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 92965
Temps écoulé: 31 minute(s), 6 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Windows\System32\geBqQHwx.dll (Trojan.FakeAlert) -> Unloaded module successfully.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{be7e4ce1-8cba-44a6-956f-462a667d3286} (Trojan.FakeAlert) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\System32\geBqQHwx.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\Users\biatch\AppData\Local\Temp\tmp00007add (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\biatch\AppData\Local\Temp\tmp000088a8 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\biatch\AppData\Local\Temp\tmp00008dd8 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\biatch\AppData\Local\Temp\tmp00009078 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\iIBqRJbc.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\jkkLDTlK.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Windows\System32\vtUMdBTj.dll (Trojan.Vundo) -> Quarantined and deleted successfully.




voici le deuxième rapport avec hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:12:06, on 20/06/2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\TOSHIBA\Utilities\VolControl.exe
C:\Program Files\Avast4\ashDisp.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://fr.yahoo.com/?p=us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [TOSHIBA Volume Indicator] "C:\Program Files\Toshiba\Utilities\VolControl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [RavAV] C:\Windows\AdobeR.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winxtx32.rom,mycRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
O4 - Global Startup: Accélérateur de démarrage AutoCAD.lnk = C:\Program Files\Common Files\Autodesk Shared\acstart16.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url.pl?FR (file missing)
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Avast4\aswUpdSv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Avast4\ashWebSv.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107 > bili
23 juin 2008 à 17:30
tu a rebooter comme demander par malwarbye
0
billi > benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012
23 juin 2008 à 17:51
oui j'ai rebooté et il m'a mis un message d'erreur (logo rouge avec croix blanche). "impossible...."
0
billi > benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012
23 juin 2008 à 19:38
le fichier qui devait être supprimé au redémarrage n'à apparemment pas été supprimé
0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107 > billi
23 juin 2008 à 20:12
re telecharge clean http://www.malekal.com/download/clean.zip tu le dezippe avec un clic droit et tu fait extraire tout ou extraire içi

tu double clic sur le dossier generer et tu double clic sur clean.cmd

une fenetre noir va s'ouvrir et tu choisie l'option 1 recherche

a la fin du scan clean te proposera d'ouvrir le raport pour çela il suffit de valider par la touche entre enregistre pour pouvoir le poster mais il sera quand meme enregistrer sous rapport _clean.txt et tu poste le rapport stp

s'il te demande d'inploader le raport tu accepte
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
23 juin 2008 à 20:09
Salut,

Fais ça stp :
Vas sur http://upload.malekal.com
clic sur parcourir et sélectionne le fichier :
winxtx32.rom (clic sur poste de travail à gauche puis Disque C --> Dossier Windows --> Dossier System32 --> winxtx32.rom )
Ne touche pas au champs "Choisir le dossier de destination"
Clic sur envoyer fichier

0
benurrr Messages postés 9643 Date d'inscription samedi 24 mai 2008 Statut Contributeur sécurité Dernière intervention 11 janvier 2012 107
23 juin 2008 à 20:13
salut oups telescopage je te laisse t'occuper de lui et bon courage trop cool je tombe sur malekal_morte bien tout se que tu fait enchanter
0
rebonjour, je n'arrive pas à envoyer le fichier winxtx32.rom.
Je clique sur envoyer le fichier et ça m'écrit : les fichier .rom ne peuvent pas être uploader.
0
que dois-je faire maintenant? merci de m'aider.
0
re, c'est bon j'ai envoyé le fichier "winxtx32.rom" en .zip
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
27 juin 2008 à 11:41
Merci!
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
27 juin 2008 à 12:05
Pour ceux que cela interresse, c'est un pinch et il est bien détecté.
9/33 : http://www.virustotal.com/fr/analisis/5e2581ad76daff61ca00b33da2be9553
0
avec tout ce qui ce qui s'est passé, je ne sais plus où en est la désinfection de mon ordi.
J'ai fait un scan avec clean qui m'a trouvé un fichier infecté (mais je n'ai pas envoyé le rapport). j'ai fait un scan avec malwarebytes qui m'a trouvé un fichier infecté et qu'il a ensuite apparemment réussi à supprimer.
Que faire maintenant?

Sinon qu'est-ce qu'un pinch?
0