Sujet Précédent Sujet Suivant

Demande d'aide contre xp antispyware 2009

Fermé
BertrandG - 26 oct. 2008 à 22:11
 Utilisateur anonyme - 28 oct. 2008 à 16:59
Bonjour,

ça y est... Je ne pensais pas que cela m'arriverait un jour mais si..; Mon PC est infecté.
En fait, je cherchais un outil pour préparer une bande son en modifiant le timbre de ma voix (spectacle de magie en préparation) Du coup, je suis tombé sur un shareware du nom de "switch personality" ou un truc de ce genre (je l'ai supprimé depuis mais le mal est hélas fait).
très vite, mon antivirus avast m'a alerté .
J'ai donc supprimé l'installation. et le PC a semblé fonctionné au ralenti pendant 5 minutes...
puis, d'un coup mon firewall Windows s'est retrouvé désactivé... puis le PC a rebooté tout seul... et au redémarrage avast n'était plus fonctionnel..
La suite vous la connaissez : une croix rouge en bas à roite dans la barre de démarrage et une alerte quasi permanente du style "windows a detecté un troyen, pour l'éliminer il faut télécharger l'outil XP antispyware 2009."
Je ne me suis pas fait avoir plus longtemps. J'ai immédiatement débranché le cable réseau et bien sûr, je n'ai pas procédé à l'installation du soit disant "super logiciel" . J'ai tenté une restauration à une date antérieure mais cela n'a pas enlevé ce troyen. J'ai aussi eliminé dans la base des registres toute référence au logiciel qui m'avait posé problème.
Puisqu'il m'était impossible de lancer avast, je l'ai désinstallé puis réinstallé. J'ai demandé un scan des disques au redémarrage. résultat : supression de 2 occurences d'un fichier nommé beep.sys (win32: Agent-QNY ([Trj]) et deux autres de Karna.dat (Trojan-Gen [other])
Malheureusement la croix rouge et son message reste toujours présente...
Ayant atteint les limites de ce que je pouvais faire, je m'adresse à vous.
Pouvez-vous m'aider à éliminer cette "saleté"?

Je pense que le fait de ne pas avoir procédé à l'installation rendra sa suppression plus aisée que si j'avais commis l'erreur d'écouter ce soit disant message windows qui m'a mis la puce à l'oreille...

Actuellement, je vous écris de mon second PC qui lui est sous Linux et qui, dieu merci, fonctionne à merveille.
Mon autre PC (celui qui est infesté) tourne sous Windows XP classique avec mises à jour automatiques. donc à priori au top...

Merci d'avance pour vos réponses et votre aide qui me sera précieuse.
A voir également:

13 réponses

Réponse 1 / 13
BertrandG
26 oct. 2008 à 22:37
Ok je vais essayer.
Pour info, je viens de redémarrer mon PC Windows et..; surprise : plus de crois rouge ni de message !!!
Aurais-je réussi avec mes manoeuvres à supprimer ce geneur?

Du coup, j'ai pu lancer hijackthis dont voici le log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:28:55, on 26/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Creative\Shared Files\CTSched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: karna.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
0
Réponse 2 / 13
BertrandG
26 oct. 2008 à 22:43
j'ai sélectionné la ligne qui me semblait suspecte (celle correspondant à karna.dat)
ensuite j'ai demandé des infos sur cet item eu soft hijackthis et la réponse etit que cela correspondait souvent à un troyen...
Comme il y avait l'option fix checked, je l'ai utilisée et donc maintenant, le log de mon PC est devenu :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:43:09, on 26/10/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\Acer\eRecovery\Monitor.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Acer\Acer eMode Management\AspireService.exe
C:\Program Files\Acer\Acer eConsole\MediaSync.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Program Files\Creative\Shared Files\CTSched.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Program Files\Acer\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AspireService] C:\Program Files\Acer\Acer eMode Management\AspireService.exe
O4 - HKLM\..\Run: [MediaSync] C:\Program Files\Acer\Acer eConsole\MediaSync.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKCU\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
0
Réponse 3 / 13
BertrandG
26 oct. 2008 à 22:51
Génial, Merci

Bon et bien désolé de vous avoir embêté pour rien avec mon problème.
En l'occurence, les actions que j'avais faites hier ont donc été visiblement efficaces. (ouf)

Puis-je me permettre de vous demander si il était effectivement judicieux de supprimer le ligne karna.dat puisque c'était un des fichiers qu'avast avait détecté hier?
j'avoue que je ne conaissais pas ce soft (que de nom puisque je n'avais jamais eu à m'en servir). sobre mais puissant !

En tout cas, merci pour ce forum et merci aux "helpers".
0
Réponse 4 / 13
BertrandG
27 oct. 2008 à 07:37
hmm... vraient bizarre :
hier soir nickel...
Ce matin re démarrage : semble nickel aussi.
mais au bout de 3/4 minutes reboot du PC et depuis, écran bleu au démarrage "visage de la mémoire physique" et reboot et maintenant, ça boucle démarrage, écran bleu redémarrage, re écran bleu.
Windows ne se charge pas.
En mode sans échecs, j'arrive à me connecter mais impossible de faire à une restauration à quelques jours auparavant puisqu'au redémarrage : écran bleu..
est-ce que cela peut être lié à la saleté que j'avais eu juste avant ou est-ce que je joue de malchance???
en tout cas, pour le moment, impossible d'utiliser mon PC Windows... donc je maintiens mon "HELP" !
Merci d'avance.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 13
BertrandG
27 oct. 2008 à 10:32
Oups, il faut lire "viDage de la mémoire physique" et non pas "viSage..." désolé pour la typo.
J'ai lu dans les autres sujets que le problème semble s'être déjà produit pour au moins une personne concernée par le même saleté d de "XP antispyware 2009".
je vais donc essayer le smitfraudfix et le malwarebytes. (j'aurai du le faire hier... j'étais tellement sur que le probeme etait terminé que j'ai oublié la plus élémentaire des prudences... Désolé Jeanjacques525... tu me l'avais pourtant demandé)
je vais lancer mbam en mode sans echecs.avec "executer un examen complet" coché.
Si quelque chose est trouvé je clique sur "suppression"
un petit coup de CCleaner par dessus.
J'ai imprimé la "procédure" pour pouvoir lancer cela ce soir de chez moi tranquillement (là je suis au boulot)

ça vous semble bon comme démarche ou je fait fausse route?
0
Réponse 6 / 13
Utilisateur anonyme
27 oct. 2008 à 12:51
la démarche est correct
0
Réponse 7 / 13
BertrandG
27 oct. 2008 à 21:47
c'est un peu court JeanJacques525...
Puis-je me permettre une question??? êtes vous vraiment le spécialiste dont vous essayez de jouer le rôle?
Pour l'instant vous ne m'avez rien indiqué et je me débrouille très bien tout seul. Vos seules réponses toujours très succinctes sont Oui c'est correct... mais encore????
Si vous n'avez pas plus d'aide que cela à apporter, laissez d'autres répondre à votre place... ou laissez moi me débrouiller tout seul.... ça ne changera apparemment rien.
pourquoi j'écris cela ? Simple il suffit de lire ce que j'ai écrit plus haut pour comprendre que j'allais avoir un "petit" souci pour lancer les exes...
Bon je passerai les problèmes que tout vrai spécialiste m'aurait indiqué.
Je rappelle qu'il m'est impossible de booter mon PC autrement qu'en mode sans échecs... donc aller cherche les exe.. sur un poste qui ne boote qu'en mode sans échecs... pas simple hein ;)
Bref passons.


Donc il m'a fallu télécharger les exe sur l'autre PC, ensuite le mode sans échecs ben... c'est drivers minimum donc pas usb, donc pour copier les fichiers... pas évidents J'ai donc branché mon DD du PC windows en esclave sur mon PC linux pour faire la copie du fichiers...
En suite j'ai suivi la procédure que j'avais trouvée sur un autre topic.
En clair j'ai d'abord lancé smitfraudfix en attaquant directement la phase"2" à savoir supprimer les fichiers responsables de l'infection.
les icônes ont disparues mais cela, il me semble avoir lu que c'était normal donc pas de panique. Apres15 minutes sans plus aucune activité j'ai rebooté le PC.
Le log était le suivant : 

SmitFraudFix v2.367

Rapport fait à 20:32:15,35, 27/10/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est FAT32
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

C:\WINDOWS\karna.dat supprimé
C:\WINDOWS\system32\brastk.exe supprimé

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{554BB5AA-7DF0-4439-BF3F-A6188B2F5BD1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{554BB5AA-7DF0-4439-BF3F-A6188B2F5BD1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{554BB5AA-7DF0-4439-BF3F-A6188B2F5BD1}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


ensuite, j'ai lancé l'install de Malwarebytes antimalware.
puis lancé le programme lui même.
au final le log suivant : 
Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1306
Windows 5.1.2600 Service Pack 3

27/10/2008 20:50:22
mbam-log-2008-10-27 (20-50-22).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 92006
Temps écoulé: 6 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 21

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\TDSSlxwp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10801.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoiqh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSbrsr.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSriqp.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSxfum.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSrhym.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnmxh.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSosvn.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSoeqh.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSosvd.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSnrsr.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSScfub.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSsbhc.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\TDSSfpmp.log (Trojan.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\TDSSpqlt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\TDSSpqxt.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

ensuite j'ai pu (seulement à la deuxième tentative) me connecter en mode normal et non plus en mode sans échecs.
donc j'ai refait un cycle :
j'ai refait un coup de hijackthis.
j'ai eu la surprise de revoir la ligne 20 qu'il me semblait avoir déjà supprimée qui concernait karna.dat. 
O20 - AppInit_DLLs: karna.dat

j'ai donc à nouveau lancé le fix.

et la ligne a disparu.. (déjà hier elle etait soit disant partie... donc, je me méfie maintenant...)
ensuite j'ai fait un coup de CCleaner et j'ai supprimé toutes les traces inutilisées. Idem dans la base de registre.
par contre j'ai une question concernant les programmes lancés au démarrage de Windows.
Eb effet il figure une ligne que je ne comprends pas donc si quelqu'un connait sa signification exacte, je suis preneur pour savoir si il faut que je la supprime ou non... 
program : KernelFaultCheck
%systemroot%\system32\dumprep 0 -k

J'avoue être dubitatif sur le sens de cette ligne.
0
Réponse 8 / 13
BertrandG
28 oct. 2008 à 11:02
C'est tout bon.
J'ai reglé mon problème.
merci pour votre "aide" (MORT DE RIRE !)
0
Réponse 9 / 13
BertrandG
28 oct. 2008 à 16:38
Pour terminer, afin d'être complet, la réponse à la question que je posais au sujet du KernelFaultCheck est qu'il s'agit d'une ligne Microsoft, légitime, qui consiste à demander la création d'un vidage mémoire (alias dump) en cas de plantage système.
Il est finalement assez facile de l'enlever puisque microsoft l'anonce comme non essentiel.
Mains bon... Je vous laisse chercher un peu comment l'enlever hein... déjà que je me fais les questions réponses depuis le début...
:)


P.S. :
Je saurai quoi dire maintenant quand on me demandera mon avis dur les forum de "comment ça marche"...
Il y a quelques experts rares dont il faut chercher les réponses et beaucoup, beaucoup de pseudo experts qui croient connaitre ou qui jouent le rôle par procuration...
ou alors je n'ai pas eu de chance... mais j'ai des doutes.. de gros doutes...
0
Réponse 10 / 13
Utilisateur anonyme
28 oct. 2008 à 16:59
Jeanjacques525 n'a pas dit qu'il est un expert
0
Réponse 11 / 13
Utilisateur anonyme
26 oct. 2008 à 22:22
Bonjour,

éssai d'analyser avec Malwarebytes' Anti-Malware



https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
-1
Réponse 12 / 13
Utilisateur anonyme
26 oct. 2008 à 22:46
oui en effet tout à l'air d'etre correct
-1
Réponse 13 / 13
Utilisateur anonyme
26 oct. 2008 à 22:58
oui


karna.dat fait partie des fichier du virus
-1

Discussions similaires

Télécharger le logiciel Encarta gratuit 2015 version française.
Rémy M. SAKI -
medab -

13 réponses
Telecharger encarta junior 2015 Gratuit en Francais
Chairman -
Weuz -

2 réponses
cartouche imprimante Epson XP 2200
fafouic -
jeannets -

3 réponses