Système gravement infecté... - Page 2
Résolu
Précédent
- 1
- 2
Quoi qu'il en soit, au sujet de GenProc, j'ai trouvé un utilitaire de dépistage de Malware et autres saloperies du genre qu'un ami à moi a pu passer sous test aux 24 antivirus offert sur le site virustotal.com, parce que moi je ne suis pas en mesure d'accéder aucun site du genre, malheureusement.
Cet application se nomme Spynomore.
Alors, je l'ai fait rouler et ça m'a trouvé 2 infections qui sont les suivantes:
Vundo trojan (Adware/Trojan) sur c:\windows\system32\asr_pfu.exe
que j'ai immédiatement effacé pour le voir presque immédiatement réapparaître, comme ça, tout seul,, sans être vraiment surpris...
Possiblement dû à une stratégie de restauration automatique des fichiers de Win XP, éventualité à considéré quoi que n'ayant pas reçu de message du système à cet effet...
ensuite, ça ma trouvé dans
HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersions\Windows.Applnit_DLLs
une Applnit DLLs Malware/Spyware
et en allant vérifier ça immédiatement, je me suis rendu compte que ça, ça me semble être relié de très près à Kaspersky qui est en installation pendante puisque je n'arrive pas à contacter les serveurs pour valider mon installation.
Alors, je ne sais vraiment pas quoi penser de cette seconde menace car je me demande si ça ne serais pas identifié comme étant un faux positif par Spynomore...
Quoi qu'il en soit, voici les données inscrite sous cette clef dans la base de registre:
粑⇧粀??Ề쳄P,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
À noter que les 3 DLL en question n'ont pas été détectés comme étant potentiellement dangereux par Cureit cependant...
Cet application se nomme Spynomore.
Alors, je l'ai fait rouler et ça m'a trouvé 2 infections qui sont les suivantes:
Vundo trojan (Adware/Trojan) sur c:\windows\system32\asr_pfu.exe
que j'ai immédiatement effacé pour le voir presque immédiatement réapparaître, comme ça, tout seul,, sans être vraiment surpris...
Possiblement dû à une stratégie de restauration automatique des fichiers de Win XP, éventualité à considéré quoi que n'ayant pas reçu de message du système à cet effet...
ensuite, ça ma trouvé dans
HKEY_LOCAL_MACHINE\software\Microsoft\WindowsNT\CurrentVersions\Windows.Applnit_DLLs
une Applnit DLLs Malware/Spyware
et en allant vérifier ça immédiatement, je me suis rendu compte que ça, ça me semble être relié de très près à Kaspersky qui est en installation pendante puisque je n'arrive pas à contacter les serveurs pour valider mon installation.
Alors, je ne sais vraiment pas quoi penser de cette seconde menace car je me demande si ça ne serais pas identifié comme étant un faux positif par Spynomore...
Quoi qu'il en soit, voici les données inscrite sous cette clef dans la base de registre:
粑⇧粀??Ề쳄P,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
À noter que les 3 DLL en question n'ont pas été détectés comme étant potentiellement dangereux par Cureit cependant...
infections = non pas 12 mais 25..........as tu redemarré ?
as tu fait le scan de malwarebytes en sans echec??
n'hesite pas a refaire un scan et renvoyer un rapoort complet
as tu fait le scan de malwarebytes en sans echec??
n'hesite pas a refaire un scan et renvoyer un rapoort complet
ouais,bon, enfin, j'y suis finalement parvenu et tout est au pooint maintenant
il a fallu que je roule une série d'applications antimachintrucs en tous genre dont MalwareBytes, puis ComboFix renommé Antibagle et finalement Spybot Search & Destroy pour remettre de l'ordre à tout ça avant de finalement être en mesure de pouvoir installer le Service Pack 3 mais c'est MalwareBytes qui a eu le plus d'effets car il a détecté et éradiquer 2 virus.
On a beau dire, mais même lorsque la partie semble gagnée, on ne peut jamais être tout à fait certain tant qu'on a pas passé en revue le système sous la loupe d'un vaste choix d'applications de désinfection très varié parce que ce que certaines applicaions ne voient pas, d'autres le voient et sont en mesure d'intervenir efficacement.
J'ai toujours dis qu'il n'existait pas d'antivirus parfait et je continue de prétendre que cette affirmation tient parfaitement la route.
En ce qui concerne la création d'un nouveau point de restauration du système, ça ne s'applique pas à mon cas mon cher BOB3 puisque je désactive toujours la restauration du système en préférant utiliser Ghost pour me sauvegarder une image de mon système tel qu'il est installé au moment ou il opère dans les conditons idéales et c'est ce que je me prépare à faire une fois que j'aurai scanné tout mes disques durs avec Kaspersky Internet Security 2009 que j'ai en essai pour 30 jours et la base de virus la plus récente qui vient tout juste de se charger.
Alors mes plus sincères remerciements à ceux ayant portés assistance au solutionnement de ce problème et ne vas surtout pas croire que ça t'inclut [o.o]REplay...
il a fallu que je roule une série d'applications antimachintrucs en tous genre dont MalwareBytes, puis ComboFix renommé Antibagle et finalement Spybot Search & Destroy pour remettre de l'ordre à tout ça avant de finalement être en mesure de pouvoir installer le Service Pack 3 mais c'est MalwareBytes qui a eu le plus d'effets car il a détecté et éradiquer 2 virus.
On a beau dire, mais même lorsque la partie semble gagnée, on ne peut jamais être tout à fait certain tant qu'on a pas passé en revue le système sous la loupe d'un vaste choix d'applications de désinfection très varié parce que ce que certaines applicaions ne voient pas, d'autres le voient et sont en mesure d'intervenir efficacement.
J'ai toujours dis qu'il n'existait pas d'antivirus parfait et je continue de prétendre que cette affirmation tient parfaitement la route.
En ce qui concerne la création d'un nouveau point de restauration du système, ça ne s'applique pas à mon cas mon cher BOB3 puisque je désactive toujours la restauration du système en préférant utiliser Ghost pour me sauvegarder une image de mon système tel qu'il est installé au moment ou il opère dans les conditons idéales et c'est ce que je me prépare à faire une fois que j'aurai scanné tout mes disques durs avec Kaspersky Internet Security 2009 que j'ai en essai pour 30 jours et la base de virus la plus récente qui vient tout juste de se charger.
Alors mes plus sincères remerciements à ceux ayant portés assistance au solutionnement de ce problème et ne vas surtout pas croire que ça t'inclut [o.o]REplay...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour à tous !
La réponse est à cette adresse :
https://forum.zebulon.fr/topic/148163-infection-virus-alert#entry1266936
Cordialement
MyT
Ps : Excusez-moi je me suis permis de mettre souvent ce message à certaines pages (3 ou 4 je ne sais plus).
Car dans la recherche Google c'était les pages qui m'ont été favorables a trouver la solution.
La réponse est à cette adresse :
https://forum.zebulon.fr/topic/148163-infection-virus-alert#entry1266936
Cordialement
MyT
Ps : Excusez-moi je me suis permis de mettre souvent ce message à certaines pages (3 ou 4 je ne sais plus).
Car dans la recherche Google c'était les pages qui m'ont été favorables a trouver la solution.
Précédent
- 1
- 2
il faut compredre que ta machine est detournee, au profit de --->>>>asiuoqgusdbaksd.com
peut importe ce que t'as trouvé ca ne t'avance pas en plus, car tu ne peux les reparer manuellement.
fait ce que je t'ai demandé dans un 1er temps, et tes fichiers vont etre repare par l'action.
on verra apres.
BOB3
Premièrement, j'ai dwnloadé Malwarebytes' Anti-Malware en le renommant machinbête.exe, ensuite, j'ai dwnloadé SmitFraudFix en le renommant MachinFraudFx.exe. Évidemment, j'ai renommé avant le dwnload, alors les fichiers ont été dwnloadé sous les noms indiqués.
Après quoi, j'ai tout d'abords roulé Malwarebytes qui m'a trouvé 12 infections, je n'y croyais pas bordel de merde...lolll
Alors, je lui ai fait me désinfecgter tout ça et j'ai ensuite roulé CCleaner avant de basculer en safe mode pour rouler SmitFraudFix.
Cependant, dans un premier teps, je me suis trompé de SmitFraudFix et j'ai roulé la vielle version qui n'a rien trouvé d'Anormal, ensuite, j'ai roulé la version fraîchement dwnloadé et cette fois elle m'a trouvé quelques trucs.
Alors, voici les rapport de tout ça, ci-inclus,plus bas.
J'ajoute à ceci qu'en plus de tout ça, j'ai détruis le fichier d'installation de Kaspersky Internet Security 2009 que j'avais downloadé durant l'infection, en l'expédiant à la poubelle, par mesure de sécurité et j'en ai downloadé un nouveau tout frais.
De plus, après avoir fait tout ça mais avant d'installer à nouveau Kaspersky, j'ai roulé CCleaner et j'ai exécuté un nettoyage de la base de registres.
Alors, avant de lire ces rapports là, je vous confirme que j'ai maintenant bel et bien un système en santé qui fonctionne parfaitement bien et j'ai pu installer sans aucun problème Kaspersky Internet Security 2009 version 8.0.0.357 et faire les mises à jour sans aucun problème avec la liscence d'essaie gratuite de 30 jours.
Donc, tout est maintenant rentré dans l'ordre.
Un grand merci à toi BOB3 ainsi qu'à tous les autres qui assisté ou sont intervenu poour aider.
Cordialement
Christian
rapports
»»»»»»»»»»»»»»»»»»»»»»»» Début
SmitFraudFix v2.331
Rapport fait à 16:35:57,34, 2008-07-27
Executé à partir de C:\Documents and Settings\Chris\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
D:\OpenVPN\bin\openvpn-gui.exe
C:\WINDOWS\system32\kxmixer.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Druide\Antidote\Gestionnaire Antidote.exe
D:\Adolix Wallpaper Changer\AWC.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
D:\Logitech\SetPoint\SetPoint.exe
C:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
D:\Program Files\MagicDisc\MagicDisc.exe
D:\OpenOffice.org 2.1\program\soffice.exe
D:\OpenOffice.org 2.1\program\soffice.BIN
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Chris
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Chris\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\CHRIS\FAVORIS
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=hex(1):3f,00,3f,00,3f,00,3f,00,3f,00,3f,00,3f,00,1a,00,3f,00,07,\
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\Userinit.exe"
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Rustock
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Carte réseau Fast Ethernet PCI Realtek RTL8139 Family - Miniport d'ordonnancement de paquets
DNS Server Search Order: 192.168.0.1
Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 206.126.95.179
DNS Server Search Order: 206.126.95.163
HKLM\SYSTEM\CCS\Services\Tcpip\..\{9D15832E-A256-4E46-99C6-56798E942FAD}: NameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CB7B6D84-5CA7-4A8D-B34F-536301ECC2DA}: NameServer=206.126.95.179 206.126.95.163
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9D15832E-A256-4E46-99C6-56798E942FAD}: NameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CB7B6D84-5CA7-4A8D-B34F-536301ECC2DA}: NameServer=206.126.95.179 206.126.95.163
HKLM\SYSTEM\CS2\Services\Tcpip\..\{9D15832E-A256-4E46-99C6-56798E942FAD}: NameServer=192.168.0.1
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
»»»»»»»»»»»»»»»»»»»»»»»» Début
Malwarebytes' Anti-Malware 1.23
Version de la base de données: 998
Windows 5.1.2600 Service Pack 2
12:56:35 2008-07-27
mbam-log-7-27-2008 (12-56-35).txt
Type de recherche: Examen rapide
Eléments examinés: 42651
Temps écoulé: 4 minute(s), 47 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 19
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\Interface\{04a38f6b-006f-4247-ba4c-02a139d5531c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{3c2d2a1e-031f-4397-9614-87c932a848e0} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1 (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{25ddd24d-1a1b-41ac-919b-b6bc6dfbc2fc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{11ea6f11-55b4-4460-ade5-b0b06736790f} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{34b5a18e-62d7-47ad-8801-1da95cacc9ba} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4b745bde-f479-42de-9c18-37422ea83bcc} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{83e03729-a156-46ec-9cb8-afedc71aec0a} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{026de0b2-d99d-4f4b-9ee2-0bf0007755d7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{17ecc2c1-beb2-486d-83b9-c7cc4d9eea70} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3ef79531-01b1-4685-b31f-bfcabe78fc73} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c9d92574-4dcb-45c9-97a1-5d8dccbd7260} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f6292422-0664-4663-b54f-d2bf3fb78446} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8edc11e8-1e1d-4296-9796-3b3ca44dd1a5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b4263c09-8b17-46fd-8638-fca7b007e23b} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f0a834da-9202-47a3-bff5-80a47227418c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{fd192f30-817f-4710-9f42-e151f3b2f744} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\eqvwamkl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\Fichiers communs\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clbdll.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\fdxbameg.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\fsrpknov.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
»»»»»»»»»»»»»»»»»»»»»»»» Fin
pour etre tranquille, il reste qq verifications a faire,
1--desactives, puis reactives ta restauration sur tout les disques, ensuite crees un nouveau point.
2--verifis les reglages de securité de IE7, peut etre ils ont ete modifié
3--telecharges SP3, qui va remettre a jour tout les fichiers systeme, et remettre de l'ordre dans la base de registre.
Bonne journee
BOB3
lorsque je tente d'installer SP3, l'installation se déroule bien jusqu'au moment ou tout s'arrête et un message m'indique l'erreur suivante:
Le programme d'installation ne peut pas copier le fichier clbcatq.dll
si je vérifie dans le répertoire vers lequel clbcatq.dll est cherché, je ne trouve effectivement pas clbcatq.dll.
Alors, je me demande quel est la solution à ce problème d'installation de SP3 parce que là, je n'ose même pas éteindre l'ordi étant donné que j'ai comme la très forte impression que si je fais ça, il ne va jamais redémnarré.
Selon les informations que j'ai trouvé à gauche et à droite sur le net, il semblerait que certain virus contaminent ce fichier précisément pour empêcher la mise à jour des fichiers système.
pourtant, le répertoire vers lequel est cherché clbcatq.dll est récent et date du moment même ou j'ai débuté l'installation du SP3, alors, clbcatq.dll devrait normalement s'y touver puisque ce répertoire a précisément été écris par la procédure d'installation du SP3
ça sent de plus en plus l'infection du système
Alors, je suis réellement assis entre 2 chaises en ce moment...
Un léger sourire se dessine sur mon visage chaque fois que je constate que ce sujet s'allonge et s'étale dans le temps ^^
Bonne continuation,
Un petit formateur.