Virus XP security : interprétation du hijackt Fermé

Question

Bonjour,
Suite au message d'alerte de la part de XP Sécurité Center qui me demande mon n° de CB pour acheter leur antivirus :-(( j'ai consulte les forums sur ce bug et passé hijackthis voici le rapport quie je ne sais pas interpréter, merci de votre aide.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:54, on 06/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe
C:\Program Files\Lexmark 4800 Series\lxdemon.exe
C:\Program Files\Lexmark 4800 Series\lxdeamon.exe
D:\Margaux\SsAAD.exe
C:\Program Files\Orange HSS\Systray\SystrayApp.exe
C:\WINDOWS\system32\lxdecoms.exe
C:\WINDOWS\system32\lphcls1j0e9bp.exe
C:\Program Fileshcgs1j0e9bphcgs1j0e9bp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\WINDOWS\system32\pphcls1j0e9bp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Orange HSS\Launcher\Launcher.exe
C:\Program Files\Orange HSS\connectivity\connectivitymanager.exe
C:\Program Files\Orange HSS\Deskboard\deskboard.exe
C:\Program Files\Orange HSS\connectivity\CoreCom\CoreCom.exe
C:\Program Files\Orange HSS\connectivity\CoreCom\OraConfigRecover.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.orange.fr/portail
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\Orange HSS\SearchURLHook\SearchPageURL.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OBealsched.exe"  -osboot
O4 - HKLM\..\Run: [lxdemon.exe] "C:\Program Files\Lexmark 4800 Series\lxdemon.exe"
O4 - HKLM\..\Run: [lxdeamon] "C:\Program Files\Lexmark 4800 Series\lxdeamon.exe"
O4 - HKLM\..\Run: [SsAAD.exe] D:\Margaux\SsAAD.exe
O4 - HKLM\..\Run: [SystrayORAHSS] "C:\Program Files\Orange HSS\Systray\SystrayApp.exe"
O4 - HKLM\..\Run: [lphcls1j0e9bp] C:\WINDOWS\system32\lphcls1j0e9bp.exe
O4 - HKLM\..\Run: [SMrhcgs1j0e9bp] C:\Program Fileshcgs1j0e9bphcgs1j0e9bp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\fr.htm
O15 - Trusted Zone: https://www.orange.fr/portail
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {09CC593B-E8A9-4491-927D-A3E33534DDD4} - http://mm.tf1.fr/superdistribution/installer2.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/FR-FR/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://jeuxentelechargement.orange.fr/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {E8CA5880-1F9F-48C9-B72E-C97FE7F2B94F} - https://disu.multimedia-conference.orange-business.com/EData/3.2.0.3/eDataV3.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O21 - SSODL: QqIdDPF - {B0B481BC-1A1E-2B16-FD3D-E438A1F043B0} - C:\WINDOWS\system32\lk.dll
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: lxdeCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\lxdeserv.exe
O23 - Service: lxde_device -   - C:\WINDOWS\system32\lxdecoms.exe

Utilisateur anonyme · Answer

Bonjour ,

&#8594; Télécharge Smitfraudfix de S!Ri sur ton bureau ,

&#8594; Double clique dessus , choisi l’option 1, il va générer un rapport > sauvegarde le.


Poste le rapport obtenu.

(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )


Tutorial : 
http://siri.urz.free.fr/Fix/SmitfraudFix.php
http://site-naheulbeuk.com/

Note : 

Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 

++

Utilisateur anonyme · Answer

Re ,

&#8594; Redémarre en MSE

Autre tutorials pour MSE :

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
http://www.coupdepoucepc.com/modules/news/article.php?storyid=253

&#8594; Relance Smitfraudfix  , choisi l'option 2 , il va générer un rapport > sauvegarde le.

-------[Redémarre normalement]--------

&#8594; Poste moi le rapport obtenu


(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )

***************************************************************************


&#8594; Imprime ou enregistre ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

&#8594; Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau.

&#8594; A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

&#8594; Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

&#8594; Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

&#8594; MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

&#8594; Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

&#8594; MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

&#8594; A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

&#8594; Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. &#9658;&#9658; FAIT LE

&#8594; MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

&#8594; Ferme MBAM en cliquant sur Quitter.

&#8594; Poste le rapport dans ta réponse


Tutorial : https://forum.pcastuces.com/malwarebytes_antimalwares___tutoriel-f31s3.htm





++

Utilisateur anonyme · Answer

Re ,
Passe à la suite maintenant  


++

Utilisateur anonyme · Answer

Re ,
Laisse le de coté pour l'instant.





Télécharge SAS 

&#8594; Choisis "enregistrer" et enregistre-le sur ton bureau.

&#8594; Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.

[ Créé une icône sur le bureau. ]

&#8594; Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.

-> Si l'outil te demande de mettre à jour le programme >> 'update the program definitions', clique sur yes.
-> Sous 'Configuration and Preferences', clique sur le bouton 'Preferences'
-> Clique sur l'onglet 'Scanning Control'
-> Dans 'Scanner Options', assure toi que la case devant les lignes suivantes est cochée :

- Close browsers before scanning -

- Scan for tracking cookies -

- Terminate memory threats before quarantining -

-> Laisse les autres lignes décochées.

&#8594; Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.

&#8594; Dans la fenêtre principale, clique dans "Scan for Harmful Software", sur "Scan your computer".

__Dans la colonne de gauche, coche   'C:\Fixed Drive'.

__Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"

Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.

A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.

->Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".

->Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.

->Pour recopier les informations sur le forum, fais ceci :

- après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
- Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
- Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.

- Le rapport va s'ouvrir dans ton éditeur de texte par défaut.

&#8594; Copie son contenu dans ta réponse.


(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )


++

Margaux · Answer

voici le rapport :

Malwarebytes' Anti-Malware 1.26
Version de la base de données: 1119
Windows 5.1.2600 Service Pack 2

06/09/2008 15:22:29
mbam-log-2008-09-06 (15-22-29).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 117198
Temps écoulé: 22 minute(s), 9 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 15
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 14
Fichier(s) infecté(s): 16

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\6e3bf962 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\6e3bf962 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6e3bf962 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstallhcgs1j0e9bp (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWAREhcgs1j0e9bp (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion	dssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE	dss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services	dssserv (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services	dssserv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services	dssserv (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\ErrorKiller (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Program Files\ErrorKiller\Log (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Program Files\ErrorKiller\Registry Backups (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
D:\Documents and Settings\Family\Application Datahcgs1j0e9bp\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP3\A0000006.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP3\A0000017.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\6e3bf962.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Program Files\ErrorKiller\Errors.stg (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Program Files\ErrorKiller\Log\log_2006_06_05_16_14_14.eklog (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\Program Files\ErrorKiller\Registry Backups\2006-06-05_16-16-45.reg (Rogue.ErrorKiller) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dssadw.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dssl.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dssserf.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dssmain.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dsslog.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32	dssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers	dssserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Re ,

Faut m'expliquer la.


Tu as pu scanner quand même avec ce message ? 

L'installation du pgm Malwarebytes ne se passe pas bien j'ai le message suivant
Impossible denregistrer la bibilothèque DLL/OCX:RegSvr32 a échoué et retourné le code erreur 0x5


?

Utilisateur anonyme · Answer

Re ,

Mon message date de 14:51:11 alors que le tiens date de 14:56:10

Je ne peut pas prévoir l'avenir ;)

Ne fait pas la procédure avec SAS .




Reposte un rapport HJT.

++

Utilisateur anonyme · Answer

Re ,

Redémarre en mode normal stp.



*************************************************************

/!\ Outils très puissant , ne pas reproduire la manip ci-dessous sur son pc sans y avoir été autorisé par une personne compétente /!\


_________________________________________________

1)Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK] 

_________________________________________________


2)Télécharge ComboFix ici &#8594; http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

Et enregistre le sur le bureau >>> /!\ IMPORTANT /!\

Regardes ici, si tu souhaites te familiariser avec son utilisation: https://www.google.fr/?gws_rd=ssl

 AVANT d'utiliser ComboFix :
&#8594; Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours.   /!\
&#8594; Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection !!!, (activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil). /!\

3)Sur ton bureau double clic sur Combofix.exe.
Appuies sur la touche 1, pour que le programme commence à s'exécuter et suis les instructions à l'écran.

/!\ PENDANT TOUTE la durée (ça peut être assez long si le pc est très infecté) du scan de ComboFix, n'ouvres aucun programme, ne touche pas à ta souris et ne surfe pas sur le net /!\

Soit patient (même si tu penses que le PC est arrêté) ; les temps « d'arrêt apparent » sont parfois de plusieurs minutes (il y a ± 40 étapes d’analyse).

En cours de nettoyage il est possible, que tu reçoives un avertissement te disant que le pc va redémarrer, laisse le faire.

Après le redemarrage du pc, un rapport s'ouvrira dans le Bloc notes en fin d'analyse, copie et colle tout son contenu dans ton prochain message.

(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)


_________________________________________________

4)Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK] 

_________________________________________________

Tutorial ( aide ): 

http://bibou0007.com/outils-specifiques-f78/tutorial-combofix-t121.htm

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


*************************************************************




++

Utilisateur anonyme · Answer

Re ,

****************************************************

/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gris )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note ) 



KillAll::

Driver::
Legacy_SYSREST.SYS
Legacy_TDSSSERV

File::  
"D:\Documents and Settings\Family\Application Data\wklnhst.dat"
"D:\Documents and Settings\Family\vxuckg.exe"
"D:\Documents and Settings\Family\xsiwuw.exe"
"D:\Documents and Settings\Family\jevuog.exe"
C:\WINDOWS\system32\lk.dll
C:\WINDOWS\ALCMTR.EXE 

Folder::
"D:\Documents and Settings\Administrateur\Application Data\Symantec" 
C:\SDFix 

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"QqIdDPF"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"ctfmon.exe"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] 
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Service]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr] 
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services] 
"avast! Web Scanner"=-
"avast! Mail Scanner"=-
"avast! Antivirus"=-
"aswUpdSv"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"D:\Documents and Settings\Family\jevuog.exe"=-
"D:\Documents and Settings\Family\xsiwuw.exe"=-
"D:\Documents and Settings\Family\vxuckg.exe"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"13456:TCP"=-
"13442:TCP"=-
"12367:TCP"=-
"13325:TCP"=-
"13083:TCP"=-
"16031:TCP"=-
"13233:TCP"=-
"17114:TCP"=-
"18180:TCP"=-
"16089:TCP"=-
"15670:TCP"=-
"12200:TCP"=-
"13080:TCP"=-
"13974:TCP"=-


Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.



Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://serveur1.archive-host.com/membres/up/1366464061/CFScript.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

****************************************************

Utilisateur anonyme · Answer

Re ,
Tu ignores & tu coupes le résident ( clique droit sur l'icône dans la barre des tâches -> décoche ' antivir guard énable ' )

+

Utilisateur anonyme · Answer

Re ,

Essaye de redémarrer , tu peux ?  

Possèdes-tu le cd d'installation  ? 


++

Utilisateur anonyme · Answer

Re ,

c'est embêtant ...  aucun moyen de restaurer.


Tu peux redémarrer en MSE

Autre tutorials :

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
http://www.coupdepoucepc.com/modules/news/article.php?storyid=253


,?


++

Utilisateur anonyme · Answer

Re ,

Pas le choix , Il te faut que tu te procures un cd d'installation.

Demande à des connaissances ou des amis.


Sans ça , on peut pas faire grand chose...



++

Utilisateur anonyme · Answer

Re ,

Reviens poster ici quand tu auras le cd , je t'aiderais .


++

Utilisateur anonyme · Answer

Je revient dans 1 h environ , la j'ai du travail.

++

Utilisateur anonyme · Answer

Re ,

Voila.

Bon à ce que je vois tu t'es encore fait infecté ton pc ... c'est à ce demander comment.





****************************************************

/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\

Ouvre le Bloc-Notes (Démarrer\Tous les programmes\Accessoires\Bloc notes.)

Copie ce texte ( en gras )d'une traite ( CTRL+C pour copier ) puis colle-le ( CTRL+V dans le bloc-note ) 

File::  
D:\Documents and Settings\Family\vxuckg.exe
D:\Documents and Settings\Family\xsiwuw.exe
D:\Documents and Settings\Family\jevuog.exe

Folder::
C:\Program Files\Ad-Aware 

DirLook::
C:\WINDOWS2 
C:\Program Files\JDoe Tools 
C:\WINDOWS
ldrv 


Sauvegarde ce fichier sur ton bureau sous le nom de CFScript.txt.



Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

Cela va relancer Combofix,

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Après redémarrage, poste le contenu du rapport Combofix.txt accompagné d'un rapport Hijackthis.

S'il n'y a pas de rédémarrage, poste quand même les rapports.

****************************************************


++

Utilisateur anonyme · Answer

Re ,

&#9679; Scanne avec ton anti-virus Antivir & poste moi le rapport.

Tutorial : https://www.malekal.com/avira-free-security-antivirus-gratuit/#mozTocId480658 

++

Utilisateur anonyme · Answer

Re ,

C'est pas encore ça la traduction chez Avira ... 


Je connais le temps d'un scan en moyenne , alors ne t'inquiète pas ;)



Repostes un rapport Hijackthis stp.

+

Utilisateur anonyme · Answer

Re ,

Va dans le panneau de configuration, Options régionales et linguistiques, onglet "Langues", bouton "Détails", l'onglet "Avancé", cocher la case "Arrêter les services de texte avancés". 

+-------------------------------------------------------------------------------------------------------+

&#8594; Relance hijackthis , en menu principal choisis ' Do a system scan only' Et fixe ces/cette ligne(s) : ( coche la case à leurs gauches )

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) 
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') 
O21 - SSODL: QqIdDPF - {B0B481BC-1A1E-2B16-FD3D-E438A1F043B0} - C:\WINDOWS\system32\lk.dll 


Ferme toutes les fenêtres (hormis Hijackthis), y compris ton navigateur web. 

&#8594; clique sur  ' fixchecked '

+-------------------------------------------------------------------------------------------------------+

/!\ Manip crée spécialement pour cet utilisateur , ne pas reproduire chez soi ... /!\


1)Télécharge  OTMoveIt2 ( de Old Timer ) 

2)Une fois téléchargé  double-clique sur OTMoveIt2.exe pour le lancer.

Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

3)puis copie les lignes en gras qui se trouvent en dessous :



C:\WINDOWS\system32\lk.dll 



et colle-les dans le cadre de gauche de OTMoveIt :   "Paste List Of Files/Folders to Move."
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
4) Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.


(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )

5) Il te sera peut-être demander de redémarrer le pc pour achever la suppression -> Accepte ( si il ne fait pas automatiquement , fait-le toi même )

/!\ Note : Au démarrage ton bureau RISQUE de ne plus apparaître , dans ce cas fait --> CTRL+ALT+SUPP pour ouvrir le Gestionnaire des tâches.
Puis rends toi à l'onglet "Processus". Clique en haut à gauche sur Fichiers et choisis "Exécuter"

Tape explorer.exe et valide. Cela fera re-apparaître le Bureau.

Tutorial : 
https://forum.malekal.com/viewtopic.php?f=36&t=3043
http://sasi.xooit.fr/t41-Utilisation-de-OtMoveIt-d-Old-Timer.htm

+-------------------------------------------------------------------------------------------------------+

&#9679; Télécharge la derniere version de Sun Java Runtime Environment 6 Update 7.
&#9679; Clique sur Windows XP/Vista/2000/2003 En ligne pour télécharger jre-6u7-windows-i586-p-iftw.exe sur ton bureau.
&#9679; Ferme tout les programmes qui tournent encore - tout spécialement ton navigateur web 
&#9679; Maintenant , va dans " Ajout et suppression de programmes ou  " Programmes et fonctionnalités " ( pour Vista ) et désinstalle les anciennes version de Java.
&#9679; Exemple d'anciennes versions :

_J2SE Runtime Environment 5.0 Update 10 
_J2SE Runtime Environment 5.0 Update 11 
_Java™ 6 Update 2

&#9679; Cherche & désinstalle tout ce qui reste de Java Runtime Environment ( JRE or J2SE dans le nom )
&#9679; Redémarre ton pc après la/les désinstallation(s) 
&#9679; Maintenant double clique sur jre-6u7-windows-i586-p-iftw.exe présent sur ton bureau pour lancer l'installation de la dernière version. 

A lire :
http://www.secuser.com/vulnerabilite/2008/080305-java.htm

+-------------------------------------------------------------------------------------------------------+

(!) Ta version d'Adobe Reader n'est pas à jour = Failles de sécurité

&#9679; Pour télécharger la dernière version d'Adobe Acrobat Reader , va sur ce site : https://get2.adobe.com/reader/otherversions/
&#9679; Clique sur " Télécharger dès maintenant " pour télécharger le fichier AdbeRd90_fr_FR.exe sur ton bureau.
&#9679; Ferme tout les programmes qui tournent encore.
&#9679; Maintenant , va dans " Ajout et suppression de programmes ou  " Programmes et fonctionnalités " ( pour Vista ) et désinstalle les anciennes versions d'Adobe Reader.
&#9679; Exemple d'anciennes versions :

_ Adobe Reader 8.1.2
_ Adobe Reader 7.0

&#9679; Redémarre ton pc après la/les désinstallation(s)
&#9679; Maintenant double clique sur AdbeRd90_fr_FR.exe présent sur ton bureau pour lancer l'installation de la dernière version.

Bulletin de sécurité sur les versions Adobe 7.0.8 et antérieures :

https://www.adobe.com/support/security/bulletins/apsb07-01.html

+-------------------------------------------------------------------------------------------------------+

&#9679; Désactive le pare-feu Windows en t'aidant de ce lien :

http://www.libellules.ch/firewall_xpsp2.php

+-------------------------------------------------------------------------------------------------------+

&#9679; Télécharge le pare-feu Kerio

Tutorial en cas de problèmes : https://kerio.probb.fr/f2-sunbelt-kerio-personal-firewall

+-------------------------------------------------------------------------------------------------------+


Voila fait tout ceci dans l'ordre , j'attends le rapport d'OtmoveIt , suivi d'un nouveau rapport Hijackthis une fois tout cela fait.

+++

Utilisateur anonyme · Answer

Re ,
Il me semble que c'est logique.
Tu continues le reste.

+

Utilisateur anonyme · Answer

Re ,

Fait ceci dès que tu peux :


Télécharge The Avenger par Swandog46 sur ton Bureau:

Fait un clique droit sur ' Avenger.zip ' > extraire tout ( toujours sur le bureau )

Copie tout le texte en gras ci-dessous (CTRL+C) : 


Begin copying here:

Files to delete:  
C:\WINDOWS\system32\lk.dll 



&#8594; Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Un message en anglais va te demander de confirmer , répond ' OK '
Dans le cadre qui apparait sous 'input script there '  Colle le texte copié précédemment ( CTRL +V )
Vérifie que les cases ' Scan for rootkit ' & 'Automatically disable any rootkits found ' soient cochées.
Clique sur ' Execute '

...........The Avenger va automatiquement faire ce qui suit:

&#8594; Redémarrage du pc .....
&#8594; Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur ton bureau -> NORMAL.
&#8594; Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
&#8594; Copie-en le contenu et poste le moi. 


(CTRL+A Pour tout selectionner  , CTRL+C pour copier et CTRL+V pour coller )


++

Virus XP security : interprétation du hijackt

21 réponses

Discussions similaires