WINSYS2.EXE Rootkit processus cachés: virus? [Résolu/Fermé]

Signaler
-
 tiag -
Bonjour,

Depuis quelques temps, à chaque démarrage de mon pc un message d'avast apparait:

"un fichier suspect à été trouvé (par la méthode heuristique). cela peut être un signe d'une infection.Veuillez permettre l'envoi de ce fichier à nos laboratoires pour une analyse."
Nom du fichier: C:\WINDOWS\system32\WINSYS2.EXE
Type Rootkit processus cachés

J'ai d'abord "ignorer" puis je l'ai redémarrer en faisant un scan mais il n'a rien trouvé et le message est réapparu. Et aujd'hui j'ai lancé l'ordi et dans les 5 minutes le message est de nouveau apparu.

QQ1 pourrait-il me donner un coup de main à résoudre ce problème SVP?

Merci d'avance à tous....

14 réponses

Voila j'ai scanné avec malware et j'ai 2 éléments infectés.Je n'ai pas osé les supprimé surtout "C:\WINDOWS\system32\WinSys2.exe

Je post dans le prochain hijackthis.


Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1221
Windows 5.1.2600 Service Pack 3

29/09/2008 11:47:45
mbam-log-2008-09-29 (11-47-39).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 131766
Temps écoulé: 56 minute(s), 36 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> No action taken.
J'ai supprimé les fichiers infectés trouvés avec malware amis l'un des deux n'a pu etre supprimé qu'après le redémarrage de l'ordi.Voici le rapport de combofix.







ComboFix 08-09-27.06 - Propri‚taire 2008-09-29 12:47:43.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.689 [GMT 2:00]
Lancé depuis: C:\Documents and Settings\Propri‚taire\Bureau\ComboFix.exe
* Un nouveau point de restauration a été créé

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\Noémie\Cookies\noémie@ad.yieldmanager[1].txt
C:\Documents and Settings\Noémie\Cookies\noémie@serving-sys[1].txt

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-08-28 au 2008-09-29 ))))))))))))))))))))))))))))))))))))
.

2008-09-29 10:49 . 2008-09-29 11:53 <REP> d-------- C:\hijackthis
2008-09-29 10:45 . 2008-09-29 11:47 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-09-29 10:45 . <REP> C:\Documents and Settings\Propriétaire\Application Data\Malwarebytes
2008-09-29 10:45 . 2008-09-29 10:45 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-09-29 10:45 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-29 10:45 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-26 10:00 . 2008-09-26 10:01 <REP> d-------- C:\rsit
2008-09-26 10:00 . 2008-09-26 10:01 <REP> d-------- C:\Program Files\trend micro
2008-09-23 17:06 . <REP> C:\Documents and Settings\Propriétaire\Application Data\Apple Computer
2008-09-23 17:04 . 2008-09-23 17:04 <REP> d-------- C:\Program Files\QuickTime
2008-09-23 17:04 . 2008-09-23 17:04 <REP> d-------- C:\Program Files\Fichiers communs\Apple
2008-09-23 17:03 . 2008-09-23 17:03 <REP> d-------- C:\Program Files\Apple Software Update
2008-09-23 17:03 . 2008-09-23 17:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple Computer
2008-09-23 17:03 . 2008-09-23 17:03 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Apple
2008-09-20 14:34 . 2008-09-20 14:34 244 --ah----- C:\sqmnoopt08.sqm
2008-09-20 14:34 . 2008-09-20 14:34 232 --ah----- C:\sqmdata08.sqm
2008-09-18 11:49 . 2008-09-18 11:49 244 --ah----- C:\sqmnoopt07.sqm
2008-09-18 11:49 . 2008-09-18 11:49 232 --ah----- C:\sqmdata07.sqm
2008-09-18 10:26 . 2008-09-18 10:26 244 --ah----- C:\sqmnoopt06.sqm
2008-09-18 10:26 . 2008-09-18 10:26 232 --ah----- C:\sqmdata06.sqm
2008-09-18 10:16 . 2008-09-18 10:16 <REP> d-------- C:\Program Files\Microsoft.NET
2008-09-18 10:15 . 2008-09-18 10:16 <REP> d-------- C:\WINDOWS\SHELLNEW
2008-09-17 13:57 . 2008-09-17 13:57 <REP> d-------- C:\WINDOWS\Sun
2008-09-17 09:58 . 2008-09-17 09:58 244 --ah----- C:\sqmnoopt05.sqm
2008-09-17 09:58 . 2008-09-17 09:58 232 --ah----- C:\sqmdata05.sqm
2008-09-16 14:57 . 2008-09-16 14:57 244 --ah----- C:\sqmnoopt04.sqm
2008-09-16 14:57 . 2008-09-16 14:57 232 --ah----- C:\sqmdata04.sqm
2008-09-16 09:43 . 2008-09-16 09:43 244 --ah----- C:\sqmnoopt03.sqm
2008-09-16 09:43 . 2008-09-16 09:43 232 --ah----- C:\sqmdata03.sqm
2008-09-06 15:09 . 2008-09-06 15:09 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-09-06 15:09 . 2008-09-06 15:09 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-09-01 21:23 . 2008-09-01 21:23 244 --ah----- C:\sqmnoopt02.sqm
2008-09-01 21:23 . 2008-09-01 21:23 232 --ah----- C:\sqmdata02.sqm

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 19:09 --------- d-----w C:\Documents and Settings\Noémie\Application Data\OpenOffice.org2
2008-09-27 21:16 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\LimeWire
2008-09-24 18:41 --------- d-----w C:\Documents and Settings\Noémie\Application Data\LimeWire
2008-09-12 10:16 --------- d-s---w C:\Documents and Settings\Noémie\Application Data\Microsoft
2008-09-10 16:08 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\OpenOffice.org2
2008-08-28 16:50 --------- d-s---w C:\Documents and Settings\Propriétaire\Application Data\Microsoft
2008-08-23 06:50 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-08-22 08:10 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-08-20 16:27 --------- d-----w C:\Documents and Settings\Noémie\Application Data\Adobe
2008-08-17 15:03 --------- d-----w C:\Documents and Settings\Noémie\Application Data\Sun
2008-08-16 15:02 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\CyberLink
2008-08-16 15:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
2008-08-03 15:43 5,632 ----a-w C:\WINDOWS\system32\drivers\StarOpen.sys
2008-08-03 12:40 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Ahead
2008-07-30 08:49 --------- d-----w C:\Documents and Settings\Propriétaire\Application Data\Icone
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-15 10:13 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-07-07 20:28 253,952 ----a-w C:\WINDOWS\system32\es.dll
2004-10-01 13:00 40,960 ----a-w C:\Program Files\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"PowerBar"="C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" [2004-04-21 86016]
"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-23 68856]
"NBJ"="C:\Program Files\Ahead\Nero BackItUp\NBJ.exe" [2006-02-10 2048000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-06-01 7618560]
"SW20"="C:\WINDOWS\system32\sw20.exe" [2006-09-07 208896]
"SW24"="C:\WINDOWS\system32\sw24.exe" [2006-09-07 69632]
"RemoteControl"="C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2004-11-02 32768]
"InCD"="C:\Program Files\Ahead\InCD\InCD.exe" [2006-11-02 1397760]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-09-06 413696]
"nwiz"="nwiz.exe" [2006-06-01 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2006-06-01 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Documents and Settings\No‚mie\Menu D‚marrer\Programmes\D‚marrage\
OpenOffice.org 2.3.lnk - C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 393216]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R3 cm102u32;C-Media CM6501 Like Sound Interface;C:\WINDOWS\system32\drivers\c6501.sys [2006-07-11 1419776]
S3 SMCWGU(SMC);SMCWUSB-G 802.11g Wireless USB 2.0 Adapter(SMC);C:\WINDOWS\system32\DRIVERS\SMCWGU.sys [2005-12-16 408064]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{000327fe-7aaa-11dd-bebf-00138fcb80fd}]
\Shell\AutoRun\command - F:\EmDesk.exe
\Shell\EmDesk\command - F:\EmDesk.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ac4ed3a-6d65-11dd-bea2-00138fcb80fd}]
\Shell\Auto\command - F:\Start.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77018b42-3872-11dd-8cf9-806d6172696f}]
\Shell\AutoRun\command - E:\Bin\assetup.exe

*Newly Created Service* - PROCEXP90
.
Contenu du dossier 'Tâches planifiées'
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-C6501Sound - c6501.cpl


.
------- Examen supplémentaire -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/
R0 -: HKCU-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-29 12:49:53
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-09-29 12:50:22
ComboFix-quarantined-files.txt 2008-09-29 10:50:20

Avant-CF: 52ÿ623ÿ568ÿ896 octets libres
Après-CF: 53,282,340,864 octets libres

157 --- E O F --- 2008-09-10 09:01:58
analyse du premier fichier:

Fichier sw20.exe reçu le 2008.06.20 20:46:24 (CET)
Situation actuelle: terminé

Résultat: 0/33 (0.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.19.0 2008.06.20 -
AntiVir 7.8.0.59 2008.06.20 -
Authentium 5.1.0.4 2008.06.20 -
Avast 4.8.1195.0 2008.06.20 -
AVG 7.5.0.516 2008.06.20 -
BitDefender 7.2 2008.06.20 -
CAT-QuickHeal 9.50 2008.06.20 -
ClamAV 0.93.1 2008.06.20 -
DrWeb 4.44.0.09170 2008.06.20 -
eSafe 7.0.15.0 2008.06.19 -
eTrust-Vet 31.6.5890 2008.06.20 -
Ewido 4.0 2008.06.20 -
F-Prot 4.4.4.56 2008.06.19 -
F-Secure 7.60.13501.0 2008.06.20 -
Fortinet 3.14.0.0 2008.06.20 -
GData 2.0.7306.1023 2008.06.20 -
Ikarus T3.1.1.26.0 2008.06.20 -
Kaspersky 7.0.0.125 2008.06.20 -
McAfee 5322 2008.06.20 -
Microsoft 1.3604 2008.06.20 -
NOD32v2 3204 2008.06.20 -
Norman 5.80.02 2008.06.20 -
Panda 9.0.0.4 2008.06.20 -
Prevx1 V2 2008.06.20 -
Rising 20.49.42.00 2008.06.20 -
Sophos 4.30.0 2008.06.20 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.20 -
TheHacker 6.2.92.355 2008.06.19 -
TrendMicro 8.700.0.1004 2008.06.20 -
VBA32 3.12.6.7 2008.06.19 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.20 -
Information additionnelle
File size: 208896 bytes
MD5...: 0a1df392a051340048daadc928856b0a
SHA1..: 14608284be67fd62b99b724709126ad9570e7afc
SHA256: f2108433f05b5c18877507ec3f86845b7cc0b22b600a9aea1e5769dc36852e9a
SHA512: c06f948ac6cc1143d57df73368e58b310719ab2adc02e5330457055f2db8a3b5
42ae4bc1cc8f5c5395ae890591544ba8bdb559d40640a99f281473f112c8866e
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4104af
timedatestamp.....: 0x44fff0dc (Thu Sep 07 10:13:48 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x21436 0x22000 6.61 bba27e4278eeaa706e3df0d3a30fcdf2
.rdata 0x23000 0x8222 0x9000 4.66 d041f933702a6777dff4e8c22e5b6f7c
.data 0x2c000 0x663c 0x3000 2.87 048e1370aed0da5654c9e7c11ac420fe
.rsrc 0x33000 0x32c0 0x4000 4.55 6c770f72fc6d18005eea72bdd45b5e89

( 7 imports )
> KERNEL32.dll: HeapAlloc, HeapFree, HeapReAlloc, VirtualAlloc, RtlUnwind, GetCommandLineA, GetProcessHeap, GetStartupInfoA, RaiseException, ExitProcess, HeapSize, VirtualFree, HeapDestroy, HeapCreate, GetStdHandle, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetACP, GetConsoleCP, GetConsoleMode, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, SetErrorMode, GetOEMCP, GetCPInfo, GetCurrentProcess, GetThreadLocale, FlushFileBuffers, SetFilePointer, ReadFile, GlobalFlags, WritePrivateProfileStringA, InterlockedIncrement, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, GlobalGetAtomNameA, GlobalFindAtomA, lstrcmpW, GetVersionExA, InterlockedDecrement, GetModuleFileNameW, FreeResource, GetCurrentProcessId, GlobalAddAtomA, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GlobalDeleteAtom, GetModuleHandleA, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, FindResourceA, LoadResource, LockResource, SizeofResource, MulDiv, SetLastError, CreateFileA, WriteFile, CloseHandle, LoadLibraryA, GetProcAddress, FreeLibrary, lstrlenA, CompareStringA, GetVersion, GetLastError, WideCharToMultiByte, MultiByteToWideChar, Sleep, InterlockedExchange
> USER32.dll: LoadCursorA, GetSysColorBrush, EndPaint, BeginPaint, ReleaseDC, GetDC, ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, ShowWindow, SetWindowTextA, IsDialogMessageA, RegisterWindowMessageA, SendDlgItemMessageA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, SetFocus, GetWindowTextA, GetForegroundWindow, GetTopWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, UpdateWindow, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, GetSysColor, AdjustWindowRectEx, CopyRect, PtInRect, GetDlgCtrlID, DefWindowProcA, CallWindowProcA, SetWindowLongA, SetWindowPos, SystemParametersInfoA, GetWindowPlacement, GetWindowRect, GetWindow, UnhookWindowsHookEx, GetDesktopWindow, SetActiveWindow, CreateDialogIndirectParamA, DestroyWindow, IsWindow, MessageBoxA, DrawIcon, GetDlgItem, GetNextDlgTabItem, EndDialog, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, SetCursor, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DestroyMenu, UnregisterClassA, SendMessageA, IsIconic, GetClientRect, LoadIconA, EnableWindow, GetSystemMetrics, GetSubMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, PostQuitMessage, PostMessageA, CheckMenuItem, EnableMenuItem, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapA, GetFocus, GetParent, ModifyMenuA
> GDI32.dll: SetWindowExtEx, ScaleWindowExtEx, DeleteDC, GetStockObject, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, GetObjectA, SetBkColor, SetTextColor, GetClipBox, CreateBitmap
> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA
> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegDeleteKeyA, RegOpenKeyA, RegOpenKeyExA, RegQueryValueExA, RegCreateKeyExA, RegSetValueExA, RegCloseKey
> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA
> OLEAUT32.dll: -, -, -

( 0 exports )
le deuxième fichier:

Fichier sw24.exe reçu le 2008.06.28 05:18:52 (CET)
Situation actuelle: terminé

Résultat: 0/33 (0.00%)
Formaté Impression des résultats
Antivirus Version Dernière mise à jour Résultat
AhnLab-V3 2008.6.27.1 2008.06.27 -
AntiVir 7.8.0.59 2008.06.27 -
Authentium 5.1.0.4 2008.06.27 -
Avast 4.8.1195.0 2008.06.27 -
AVG 7.5.0.516 2008.06.27 -
BitDefender 7.2 2008.06.28 -
CAT-QuickHeal 9.50 2008.06.26 -
ClamAV 0.93.1 2008.06.27 -
DrWeb 4.44.0.09170 2008.06.27 -
eSafe 7.0.17.0 2008.06.26 -
eTrust-Vet 31.6.5911 2008.06.27 -
Ewido 4.0 2008.06.27 -
F-Prot 4.4.4.56 2008.06.27 -
F-Secure 7.60.13501.0 2008.06.26 -
Fortinet 3.14.0.0 2008.06.28 -
GData 2.0.7306.1023 2008.06.28 -
Ikarus T3.1.1.26.0 2008.06.28 -
Kaspersky 7.0.0.125 2008.06.28 -
McAfee 5327 2008.06.27 -
Microsoft 1.3704 2008.06.28 -
NOD32v2 3224 2008.06.27 -
Norman 5.80.02 2008.06.27 -
Panda 9.0.0.4 2008.06.27 -
Prevx1 V2 2008.06.28 -
Rising 20.50.42.00 2008.06.27 -
Sophos 4.30.0 2008.06.28 -
Sunbelt 3.0.1176.1 2008.06.26 -
Symantec 10 2008.06.28 -
TheHacker 6.2.96.362 2008.06.27 -
TrendMicro 8.700.0.1004 2008.06.27 -
VBA32 3.12.6.8 2008.06.27 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.28 -
Information additionnelle
File size: 69632 bytes
MD5...: a6309d3ff5c253738b14e4abf0930ec4
SHA1..: 06f29b3e8cc4375c097ce76be09a07dad4625f2b
SHA256: 54347459ee59e9e415f66c30426440592e869feb3a86c131597e08ba8efa52f6
SHA512: 34679c7014c2ddf24c57f85662c299aa1171dd473400f2a109b45488656bf69e
0ff80c08e5116c17114f958886f2bf755c849bd6089db64a319d5ae416681fe8
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4029a9
timedatestamp.....: 0x44fff110 (Thu Sep 07 10:14:40 2006)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xafa6 0xb000 6.60 28745c612b94f44faba3a818c92fd271
.rdata 0xc000 0x2b1c 0x3000 5.11 a977e342d51b624adf14fd5dc4532460
.data 0xf000 0x2d38 0x1000 2.42 ec5ffa27e3ec1d30fd02c7f95e78a70d
.rsrc 0x12000 0x9f0 0x1000 3.84 9160f7270dbf051381e725cbffc143f7

( 2 imports )
> KERNEL32.dll: FreeLibrary, GetProcAddress, LoadLibraryA, CloseHandle, WriteFile, CreateFileA, FlushFileBuffers, GetLastError, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetLocaleInfoA, HeapSize, GetOEMCP, GetACP, GetCPInfo, GetConsoleMode, GetConsoleCP, WideCharToMultiByte, MultiByteToWideChar, InterlockedExchange, HeapAlloc, HeapFree, RaiseException, HeapReAlloc, VirtualAlloc, GetModuleHandleA, RtlUnwind, GetCommandLineA, GetVersionExA, GetProcessHeap, GetStartupInfoA, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, VirtualFree, HeapDestroy, HeapCreate, ExitProcess, GetStdHandle, GetModuleFileNameA, SetUnhandledExceptionFilter, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, IsDebuggerPresent, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, InitializeCriticalSection, Sleep, SetFilePointer, GetThreadLocale
> USER32.dll: LoadAcceleratorsA, GetMessageA, TranslateAcceleratorA, TranslateMessage, DispatchMessageA, CreateWindowExA, ShowWindow, UpdateWindow, SendMessageA, LoadIconA, LoadCursorA, RegisterClassExA, LoadStringA, DefWindowProcA, DestroyWindow, DialogBoxParamA, BeginPaint, EndPaint, PostQuitMessage, EndDialog

( 0 exports )
voici le rapport Findykill:



----------------- FindyKill V3.095 ------------------

* User : Propri‚taire - PROPIETA-91EBBA
* Emplacement : C:\Program Files\FindyKill\FindyKill.exe
* Outils Mis a jours le 28/09/08 par Chiquitine29
* Recherche effectuée à 13:19:38 le 29/09/2008
* Windows XP - Internet Explorer 7.0.5730.13

((((((((((((((((( *** Recherche *** ))))))))))))))))))


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Documents and Settings\Propri‚taire\Application Data


»»»» Presence des fichiers dans C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp


»»»» Registre :


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
SW20 REG_SZ C:\WINDOWS\system32\sw20.exe
SW24 REG_SZ C:\WINDOWS\system32\sw24.exe
NvMediaCenter REG_SZ RunDLL32.exe NvMCTray.dll,NvTaskbarInit
RemoteControl REG_SZ "C:\Program Files\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
InCD REG_SZ C:\Program Files\Ahead\InCD\InCD.exe
NeroFilterCheck REG_SZ C:\WINDOWS\system32\NeroCheck.exe
SunJavaUpdateSched REG_SZ "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
QuickTime Task REG_SZ "C:\Program Files\QuickTime\QTTask.exe" -atboottime

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
MSMSGS REG_SZ "C:\Program Files\Messenger\msmsgs.exe" /background
PowerBar REG_SZ "C:\Program Files\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
swg REG_SZ C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
NBJ REG_SZ "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"



»»»» Presence d infections dans Support amovible :




----------------- ! Fin du rapport ! ------------------
a priori tout semble bon. j'ai redémarré l'ordi: je n'ai plus de message qui apparait.

Avant j'ai fait les scan avec kaspersky mais je n'ai pas vraiment eu de rapport, juste la confirmation qu'aucun fichiers n'était infecté.

MErci bcq pour ton aide.

et dernière question: quand tu me dit de garder malware, c pour l'avoir comme protection résidente, pour scanner de tps en tps ou en cas de nouveau souci avec ce virus ou un autre?

Merci et bonne journée!
merci de ta réponse.

et au fait, puis-je supprimer sans risque pour le système les fichiers mis en quarantaine dans malware (notamment C:\WINDOWS\system32\WINSYS2.EXE )
Messages postés
51549
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 mai 2020
5 025
slt,


scan avec
MalwareByte's Anti-Malware et vire ce qui est trouvé et colle le rapport

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

__________________



colle un rapport hijackthis


http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis/download

manuel :

https://leblogdeclaude.blogspot.com/2006/10/informatique-section-hijackthis.html

Je conseille de renomer Hijackthis, pour contrer une éventuelle infection de Vundo.

ex:Renomme le fichier HijackThis.exe en eden.exe pour cela, fais un clic droit sur le fichier HijackThis.exe et choisis renommer dans la liste

Ensuite avec Explorer créer un dossier c:\hijackthis
Décompresser Hijackthis dans ce dossier.
C'est important pour les sauvegardes."
Messages postés
51549
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 mai 2020
5 025
supprime tout et mets en quarantaine , on pourra toujours restaurer
mais ayant deja vu ton cas je ^pense que c'est une infection!





pour verifier



télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le bureau.


déconnecte toi d'internet et ferme toutes tes applications.

désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


double-clique sur combofix.exe et suis les instructions

à la fin, il va produire un rapport C:\ComboFix.txt

réactive ton parefeu, ton antivirus, la garde de ton antispyware

copie/colle le rapport C:\ComboFix.txt dans ta prochaine réponse.

Attention, n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi.

Tu as un tutoriel complet ici :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Messages postés
51549
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 mai 2020
5 025
analyse ces deux fichiers sur virus total et colle les rapports: https://www.virustotal.com/gui/

C:\WINDOWS\system32\sw20.exe
C:\WINDOWS\system32\sw24.exe


__________________


Telecharge FindyKill sur ton bureau :

--> http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les parametres par default

--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Messages postés
51549
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 mai 2020
5 025
Telecharge FindyKill sur ton bureau :

--> http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

--> Lance l installation avec les parametres par default

--> Double clic sur le raccourci FindyKill sur ton bureau

--> Au menu principal,choisi l option 1 (Recherche)

--> Post le rapport FindyKill.txt

Note : le rapport FindyKill.txt est sauvegardé a la racine du disque
Messages postés
51549
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 mai 2020
5 025
ok parfait


garde malwarebyte , vire le reste


encore des soucis???


si oui pour verifier:



colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr

Kaspersky en ligne
https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
Messages postés
51549
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 mai 2020
5 025
et dernière question: quand tu me dit de garder malware, c pour l'avoir comme protection résidente, pour scanner de tps en tps ou en cas de nouveau souci avec ce virus ou un autre?


pour scanner avec de temps en temps
Messages postés
51549
Date d'inscription
vendredi 18 mai 2007
Statut
Contributeur sécurité
Dernière intervention
1 mai 2020
5 025
tu le laisse et si dans une semaine tu n'as aucun souci tu le vire
ok merci encore