HELP! Probleme trojan Worm.Win32.AutoRun.onp. Résolu

Question

Bonjour,
j'ai attrapé une espèce de Trojan nommé Worm.Win32.AutoRun.onp.
J'ai eu un message de Kaspersky Internet Security disant "Requête sur les fichiers D:\autorun.inf , contenant virus Worm.Win32.AutoRun.onp." Puis ensuite, Kaspersky m'indique qu'il l'a supprimé, mais le message d'infection revient deux minutes à peine après. Par ailleurs, j'ai remarqué que l'accès en double click à mon disque dur externe est plus lent et Kaspersky m'avait indiqué un problème avec le fichier BOOT.COM lorsque je voulais accéder à ce disque dur externe. Problème qui ne se présentait pas lorsque j'y accédais en click droit>explorer.
Qui peut m'aider SVP !!! Je ne sais pas comment me débarrasser de cette saleté!!!

Merci d'avance!

hooligan63780 · Answer

Salut 

Fait ceci :

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. 
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : 
• Redémarre ton ordinateur 
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). 
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. 
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". 
• Choisis ton compte. 
Déroule la liste des instructions ci-dessous : 
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script. 
• Appuie sur Y pour commencer le processus de nettoyage. 
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. 
• Appuie sur une touche pour redémarrer le PC. 
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. 
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. 
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. 
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. 
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum

Utilisateur anonyme · Answer

Salut,


Telecharge UsbFix (No 19 en bas de la page) sur ton bureau

--> Lance l installation avec les parametres par default

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

--> Le pc va redémarer

-->Apres redémarrage post le rapport UsbFix.txt 

Note : le rapport UsbFix.txt est sauvegardé a la racine du disque

Utilisateur anonyme · Answer

bon ba dja rep ^^

hooligan63780 · Answer

si  tu peux mais tu sera bien obliger de te reconnecter a internet un jour ou l'autre alors  fait les 2 chose ^^

nicobenny · Answer

Merci Hooligan

voici le log apres avoir suivi tes instructions:


[b]SDFix: Version 1.238 [/b]
Run by Nicolas on dim. 02/11/2008 at 03:33

Microsoft Windows XP [version 5.1.2600]
Running From: C:\SDFix

[b]Checking Services [/b]:


Restoring Default Security Values
Restoring Default Hosts File

DNSChanger Trojan Found!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdbwl.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C:\WINDOWS\system32\kdbwl.exe"

Restoring Default System value


Rebooting


[b]Checking Files [/b]: 

Trojan Files Found:

C:\WINDOWS\system32\kdbwl.exe - Deleted



Folder C:esycled - Removed


Removing Temp Files

[b]ADS Check [/b]:
 


                                 [b]Final Check [/b]:

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-02 03:59:11
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


[b]Remaining Services [/b]:




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\uTorrent\uTorrent.exe"="C:\Program Files\uTorrent\uTorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\Soulseek\slsk.exe"="C:\Program Files\Soulseek\slsk.exe:*:Enabled:SoulSeek"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Enabled:Firefox"
"C:\Program Files\Skype\Phone\Skype.exe"="C:\Program Files\Skype\Phone\Skype.exe:*:Enabled:Skype"
"D:\Program Files\Codemasters\Worms 4 Mayhem\WORMS 4 MAYHEM.EXE"="D:\Program Files\Codemasters\Worms 4 Mayhem\WORMS 4 MAYHEM.EXE:*:Enabled:Worms 4 Mayhem"
"C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\french\setup.exe"="C:\Documents and Settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Internet Security 2009\french\setup.exe:*:Enabled:Programme d'installation de Kaspersky Internet Security 2009"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\Program Files\Bonjour\mDNSResponder.exe"="C:\Program Files\Bonjour\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\Network Diagnostic\xpnetdiag.exe"="%windir%\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\Program Files\Windows Live\Messenger\msnmsgr.exe"="C:\Program Files\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[b]Remaining Files [/b]:


File Backups: - C:\SDFix\backups\backups.zip

[b]Files with Hidden Attributes [/b]:

Tue 28 Oct 2008        32,768 A.SHR --- "C:\WINDOWS\Temp	mp5F.tmp"
Tue 28 Oct 2008        32,768 A.SHR --- "C:\WINDOWS\Temp	mp7.tmp"
Tue 28 Oct 2008        32,768 A.SHR --- "C:\WINDOWS\Temp	mp9.tmp"
Tue 28 Oct 2008        32,768 A.SHR --- "C:\WINDOWS\Temp	mpC.tmp"
Tue 28 Oct 2008        32,768 A.SHR --- "C:\WINDOWS\Temp	mpD.tmp"
Wed 13 Feb 2008             0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Thu  7 Dec 2006     3,096,576 A..H. --- "C:\Documents and Settings\Nicolas\Application Data\U3	emp\Launchpad Removal.exe"

[b]Finished![/b]

nicobenny · Answer

Bon, je viens de checker et mon DD externe est toujours lent d'acces. Je vais faire le USBFix . Sinon, les messages worm sont toujours là. Il y a Worm.Win32.autorun.onp. et Worm.Win32.autorun.nuu. Au fait jen'avais pas précisé et je ne sais pas si c'est important mais le message de Kaspersky est précédé de "Spooler subsystem app". Merci pour l'aide jusqu'à présent en tout cas

nicobenny · Answer

Voilà, je viens de finir le USBFix. Il est à noter que pendant le scan de la base de registre, j'ai eu deux fois le message "acces refusé" dans la fenetre de USBFix et que Kaspersky a visiblement bloqué certains processus, notamment l'accès à c:\autorun.inf pendant le processus. Je ne sais pas si c'est important ou pas. Donc voici le log de USBFix:

 

-------------- UsbFix V2.395 ---------------

* User : Nicolas - ORDINICO
* Outils mis a jours le 01/11/2008 par Chiquitine29 et Chimay8
* Recherche effectuée à  4:21:35 le dim. 02/11/2008
* Windows Xp - Internet Explorer 7.0.5730.13 
  
  
--------------- [ Processus actifs ] ----------------   
  
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Mouse Driver\KMWDSrv.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MGE\PersonalSolutionPac\RunSC.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Program Files\MGE\PersonalSolutionPac\PCtl.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\MGE\PersonalSolutionPac\BIL.EXE
C:\Program Files\MGE\PersonalSolutionPac\CILRS232.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\DOCUME~1\Nicolas\LOCALS~1\Temp\4.tmp\b2e.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\Mouse Driver\StartAutorun.exe
C:\Program Files\Mouse Driver\KMConfig.exe
C:\Program Files\MGE\PersonalSolutionPac\mgenetsystray.exe
C:\WINDOWS\VM305_STI.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Mouse Driver\KMProcess.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\visual-tooltip-crystalxp.net-en-197\VisualToolTip.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\WFlip050\WinFlip.exe
C:\Program Files\JPA\Madotate 3D\madotate.exe
C:\Program Files\Launchy\Launchy.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Program Files\GIGABYTE\VGA Utility Manager\Utility.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
 
  
--------------- [ Informations lecteurs ] ----------------   
  
C: - Lecteur fixe

D: - Lecteur fixe

K: - Lecteur fixe

 
+- Contenu de l'autorun : C:\autorun.inf  

 
+- Contenu de l'autorun : D:\autorun.inf  

 
+- Contenu de l'autorun : K:\autorun.inf  

[autorun]
shellexecute="resycled\boot.com k:"
shell\Open\command="resycled\boot.com k:"
shell=Open
  
--------------- [ Registre / Startup ] ----------------   
 

! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    SoundMAX	REG_SZ	"C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
    NvCplDaemon	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    nwiz	REG_SZ	nwiz.exe /install
    KMCONFIG	REG_SZ	C:\Program Files\Mouse Driver\StartAutorun.exe KMConfig.exe
    pspNetSystray	REG_SZ	C:\Program Files\MGE\PersonalSolutionPac\mgenetsystray.exe
    BigDog305	REG_SZ	C:\WINDOWS\VM305_STI.EXE USB PC Camera VC305
    OpwareSE2	REG_SZ	"C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
    SunJavaUpdateSched	REG_SZ	"C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
    AVP	REG_SZ	"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
    QuickTime Task	REG_SZ	"C:\Program Files\QuickTime\QTTask.exe" -atboottime
    AppleSyncNotifier	REG_SZ	C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
    SoundMAXPnP	REG_SZ	C:\Program Files\Analog Devices\Core\smax4pnp.exe
    VisualTooltip	REG_SZ	C:\Program Files\visual-tooltip-crystalxp.net-en-197\VisualToolTip.exe
    NvMediaCenter	REG_SZ	RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    CloneCDTray	REG_SZ	"C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
    iTunesHelper	REG_SZ	"C:\Program Files\iTunes\iTunesHelper.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE	REG_SZ	C:\WINDOWS\system32\ctfmon.exe
    RocketDock	REG_SZ	"C:\Program Files\RocketDock\RocketDock.exe"
    Sony Ericsson PC Suite	REG_SZ	"C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
    WinFlip	REG_SZ	C:\Program Files\WFlip050\WinFlip.exe
    madotate	REG_SZ	C:\Program Files\JPA\Madotate 3D\madotate.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater
  
--------------- [ Registre / Mountpoint2 ] ----------------   
  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\Shell\AutoRun\command  
Supprimé ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\K\Shell\open\Command  
  
--------------- [ Nettoyage des disques ] ----------------   
   
Supprimé ! - [07/11/2007 07:03] C:\install.exe    
Supprimé ! - [02/11/2008 04:10] C:esycled\boot.com    
Supprimé ! - [02/11/2008 04:23] C:esycled    
Supprimé ! - [02/11/2008 04:10] D:esycled\boot.com    
Supprimé ! - [02/11/2008 04:23] D:esycled    
Supprimé ! - [02/11/2008 04:18] K:\autorun.inf    
Supprimé ! - [02/11/2008 04:10] K:esycled\boot.com    
Supprimé ! - [01/11/2008 20:39] K:esycled    
  
--------------- [ Listing des fichiers présents ] ----------------   
  
 -> /!\ Le resultat doit etre interprété par un spécialiste  /!\   
  
[13/02/2008 18:46][--a------] C:\AUTOEXEC.BAT   
[03/08/2004 21:38][-rahs----] C:\NTDETECT.COM   
[04/07/2008 14:16][--ahs----] C:\boot.ini   
[04/07/2008 14:16][--ahs----] C:\globdata.ini   
[04/07/2008 14:16][--ahs----] C:\install.ini   
 
--------------- ! Fin du rapport ! ----------------

hooligan63780 · Answer

Salut fait ceci : 

Fais un scan avec cet antispyware : 

Telecharge malwarebytes + tutoriel : 

-> https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

Tu l´instale; le programme va se mettre automatiquement a jour. 

Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression". 

Click maintenant sur l´onglet recherche et coche la case : "executer un examun complet". 

Puis click sur "rechercher". 

Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.

nicobenny · Answer

Après avoir exécuté USBFix, je n'ai plus eu les messages des trojans via kaspersky ni de problème de lenteur pour accèder au DD. Mais voilà, j'ai fait un scan avec AntiMalware. Il m'a trouvé 13 menaces, des Trojans. Je lkes ai tous supprimés en fin d'analyse. Croyez-vous que je sois enfin tranquille? Voici le log:

Malwarebytes' Anti-Malware 1.30
Version de la base de données: 1356
Windows 5.1.2600 Service Pack 3

2/11/2008 20:27:34
mbam-log-2008-11-02 (20-27-34).txt

Type de recherche: Examen complet (C:\|D:\|K:\|)
Eléments examinés: 359895
Temps écoulé: 1 hour(s), 50 minute(s), 45 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 9
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\sexvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\madotate (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{26efc218-b5ff-4929-81da-241bfdf041e5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.169;85.255.112.84 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6ef941f4-d74b-4b2e-a134-5bbac0e2c0d6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169;85.255.112.84 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6ef941f4-d74b-4b2e-a134-5bbac0e2c0d6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.169;85.255.112.84 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{26efc218-b5ff-4929-81da-241bfdf041e5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.169;85.255.112.84 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6ef941f4-d74b-4b2e-a134-5bbac0e2c0d6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169;85.255.112.84 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6ef941f4-d74b-4b2e-a134-5bbac0e2c0d6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.169;85.255.112.84 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{26efc218-b5ff-4929-81da-241bfdf041e5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.169;85.255.112.84 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{6ef941f4-d74b-4b2e-a134-5bbac0e2c0d6}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.169;85.255.112.84 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{6ef941f4-d74b-4b2e-a134-5bbac0e2c0d6}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.169;85.255.112.84 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\JPA\Madotate 3D\madotate.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
C:\Program Files\VSO\ConvertX\3\patch.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

hooligan63780 · Answer

salut , télécharge combofix (par sUBs)à partir d'un de ces liens : 
En premier 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/ 

A lire 
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix 


et enregistre le sur le Bureau. 


désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware) 
ferme internet =====>panneau de configuration======>connection reseau======> clique gauche sur les deux  et desactive

hooligan63780 · Answer

double cliques sur RunThis.bat pour lancer le script.

hooligan63780 · Answer

oups me suis tromper dsl

nicobenny · Answer

j'ai suivi les instructions et exécuté combofix. Ca a été jusqu'à un peu après l'étape 50. J'ai eu un message me disant que '"\windows\system32"' (ou qqch du genre) n'était pas une commande valide. Là, combofix est resté sans bouger. J'ai donc redémarré apres un bon quart d'heure vu que rien ne se passait. Sinon, mon Ordi semble sain maintenant. J'espère que c'est bien le cas. Comment en avoir le coeur net?

hooligan63780 · Answer

je vais en avoir le coeur net je verai bien si tu es encore infecter 

Télécharge HiJackThis : https://www.commentcamarche.net/telecharger/ 159 hijackthis 
- Lance le programme, puis sélectionne < do a system scan and save a logfile > 
- Enregistre le rapport sur ton bureau. 
Et envoie, par copier/coller, ton log Hijackthis sur le forum, 


A+ 

Tuto : si problème : http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

nicobenny · Answer

Voici mon log Hijackthis. Encore une fois, merci de m'aider, c'est très appréciable!
Voilà:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55, on 2008-11-02
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Mouse Driver\KMWDSrv.exe
C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\MGE\PersonalSolutionPac\RunSC.exe
C:\Program Files\MGE\PersonalSolutionPac\PCtl.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\MGE\PersonalSolutionPac\BIL.EXE
C:\Program Files\MGE\PersonalSolutionPac\CILRS232.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Mouse Driver\StartAutorun.exe
C:\Program Files\MGE\PersonalSolutionPac\mgenetsystray.exe
C:\Program Files\Mouse Driver\KMConfig.exe
C:\WINDOWS\VM305_STI.EXE
C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\visual-tooltip-crystalxp.net-en-197\VisualToolTip.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Mouse Driver\KMProcess.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Program Files\WFlip050\WinFlip.exe
C:\Program Files\Launchy\Launchy.exe
C:\Program Files\Windows Desktop Search\WindowsSearch.exe
C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
C:\Program Files\GIGABYTE\VGA Utility Manager\Utility.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.be/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [KMCONFIG] C:\Program Files\Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [pspNetSystray] C:\Program Files\MGE\PersonalSolutionPac\mgenetsystray.exe
O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE USB PC Camera VC305
O4 - HKLM\..\Run: [OpwareSE2] "C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [VisualTooltip] C:\Program Files\visual-tooltip-crystalxp.net-en-197\VisualToolTip.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program Files\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [WinFlip] C:\Program Files\WFlip050\WinFlip.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: GIGABYTE VGA Utility.lnk = ?
O4 - Startup: Yahoo! Widgets.lnk = C:\Program Files\Yahoo!\Widgets\YahooWidgets.exe
O4 - Global Startup: Launchy.lnk = C:\Program Files\Launchy\Launchy.exe
O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Wireless Configuration Utility.lnk = C:\Program Files\TRENDnet\TEW-424UB\WlanCU.exe
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.13\AMVConverter\grab.html
O8 - Extra context menu item: Ajouter à Kaspersky Anti-Bannière - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Ajouter à la liste d'impressions - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint Impression rapide - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Imprimer - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Prévisualiser - res://C:\Program Files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Program Files\MP3 Player Utilities 4.13\MediaManager\grab.html
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistiques de la protection du trafic Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.line6.net
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {5C6698D9-7BE4-4122-8EC5-291D84DBD4A0} (Facebook Photo Uploader 4 Control) - http://upload.facebook.com/controls/FacebookPhotoUploader3.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Imapi Helper - Alex Feinman - C:\Program Files\ISO Recorder\ImapiHelper.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - C:\Program Files\Mouse Driver\KMWDSrv.exe
O23 - Service: M-Audio Series II MIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Program Files\M-Audio\M-Audio Series II MIDI\MA_CMIDI_Inst.exe
O23 - Service: MGE Service module - Unknown owner - C:\Program Files\MGE\PersonalSolutionPac\RunSC.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

hooligan63780 · Answer

Télécharges GenProc (de Jean-Chretien1 et Narco4) sur ton bureau (et pas ailleur !) : 
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

!!Déconnectes toi et fermes tes application en cours !! 

Dézippes (=extraire tout) le contenu de ce que tu viens de télécharger sur ton bureau . 

Ouvres le dossier Genproc : 
double-cliques sur GenProc.bat et laisses faire ... 

Une fois terminé, postes le contenu du rapport qui s'ouvre ... 

Aide en images ici : http://www.alt-shift-return.org/Info/GenProc-HowTo.html 

IMPORTANT : postes le rapport et ne fait rien d'autre pour l'instant ( souvant il faut ajouter des consignes à la manipe indiquée pour que cela fonctionne parfaitement ) .

nicobenny · Answer

Voici le rapport:

Ton rapport GenProc, Nicolas

Rapport GenProc 2.168 [1] le 2008-11-03 à 0:02:55.23 - Windows XP


Etape 1/ Télécharge :


CCleaner
- Ce logiciel va permettre de supprimer tous les fichiers temporaires.
- Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures".
- Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

MSNFix (!aur3n7) et décompresse-le sur le Bureau.

important Redémarre en mode sans échec comme indiqué ICI pour retrouver le rapport, clique sur le raccourci "GenProc"sur ton bureau.
Choisis ta session courante "Nicolas"


Etape 2/


Lance le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau.
- Exécute l'option R.
- Si l'infection est détectée, exécute l'option N.
- Sauvegarde ce rapport sur ton bureau.

Etape 3/


Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.


Etape 4/


Redémarre normalement et poste, dans la même réponse :
Le contenu du rapport MSNfix situé sur le Bureau ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

hooligan63780 · Answer

Télécharges MSNFix.zip (de !aur3n7) : 
http://sosvirus.changelog.fr/MSNFix.zip 
--> décompresses-le sur le Bureau ( = extraire tout ). 

Déplaces ensuite le dossier que tu viens d'extraire directement sous ton disque dure , 
c'est à dire ici -> C:\MSNFix . 
( c'est très important pour le bon fonctionnement de l'outil ! ). 

Impératif : Démarrer en mode sans echec . 

/!\ Ne jamais démarrer en mode sans échec via MSCONFIG /!\ 

Comment aller en Mode sans échec : 
1) Redémarres ton ordi . 
2) Tapotes la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" . 
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage . 
4) Choisis la première option : Sans Échec , et valides en tapant sur [Entrée] . 
5) Choisis ton compte habituel ( et pas Administrateur ). 
attention : pas de connexion possible en mode sans échec , donc copies ou imprimes bien la manipe pour éviter les erreurs ... 

Lances le fichier MSNFix.bat qui se trouve dans le dossier MSNfix, sur le bureau. 
- Exécute l'option R (recherche). 
- Si l'infection est détectée, exécute l'option N (nettoyage) . 

-> Une fois finit, sauvegardes le rapport généré sur ton bureau . 
Redémarres ton PC ( = retour au mode normal ). 

-> il se peut aussi que l'infection doit être nettoyer au redémarrage du PC : avant l'arrivée du bureau , une fenêtre demandant l'exécution de "MSNfix" s'ouvre . 
-> cliques sur ok pour que l'outil puisse finir de travailler (patiente jusqu'à l'apparition du bureau ... ceci peut s'avérer relativement long). 
le rapport s'ouvrira à l'arrivée du bureau ... 

( PS : le rapport est en outre sauvegardé ici C:\MSNFix\"date_heure".txt ou ici C:\WINDOWS\msnfix.txt ) 

---> postes moi ce rapport dans ta prochaine réponse pour analyse ... 


Laisse le scanner le pc... 

Si des elements on ete trouvés > click sur supprimer la selection. 

si il t´es demandé de redemarrer > click sur "yes". 

A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum. 
 

et enfin:


Télécharges : - CCleaner 
https://www.pcastuces.com/logitheque/ccleaner.htm 
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corrigé ton registre .Lors de l'installation, avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 première. 
Une fois le prg instalé et lancé, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures"( Par la suite, laisse-le avec ses réglages par défaut. C'est tout ).

nicobenny · Answer

Voici le log de MSNFix après lancement et redémarrage:

MSNFix 1.749  
 
C:\MSNFix 
Fix exécuté le 2008-11-03 -  0:23:48.15 By Nicolas 
mode sans échec           
    
************************ Recherche les fichiers présents      
    
... C:\WINDOWS\IFinst27.exe 
 
************************ Recherche les dossiers présents       
 
Aucun dossier trouvé 
 
 
 
 
************************ Suppression des fichiers       
    
.. OK ... C:\DOCUME~1\Nicolas\LOCALS~1\Temp\winlogon.exe 
.. OK ... C:\DOCUME~1\Nicolas\LOCALS~1\Temp\services.exe 
.. OK ... C:\WINDOWS\system32\cftmon.exe 
.. OK ... C:\WINDOWS\IFinst27.exe  
 
 
 
************************ Nettoyage du registre 
 
 
 
************************ Hostsclean 
 
Cleanhosts v 0.1.0.7  By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20081103002439
-- original size 0.75 Kb / 21 lines
/!\_/!\_/!\ Warning localhost entry not found  /!\_/!\_/!\

-- Start cleaning Hosts file .... 

 /!\... microsoft.com .....  Found and removed


-- final size 0.72 Kb / 20 lines
-- entry Found : 1  /  Entry check : 310

End .............................. 15.47 Secondes 

 
 
 
 
Les fichiers encore présents seront supprimés au prochain redémarrage 
 
 
Aucun Fichier trouvé 
 
 
 
 
 
************************ Hostsclean 
 
Cleanhosts v 0.1.0.7  By Laurent

-- Backup : C:\WINDOWS\system32\drivers\etc\hosts-20081103002807
-- original size 0.72 Kb / 20 lines
/!\_/!\_/!\ Warning localhost entry not found  /!\_/!\_/!\

-- Start cleaning Hosts file .... 



-- final size 0.72 Kb / 20 lines
-- entry Found : 0  /  Entry check : 310

End .............................. 29 Secondes

hooligan63780 · Answer

repasse un coup de genproc stp

nicobenny · Answer

voilà:

Ton rapport GenProc, Nicolas




 Rapport GenProc 2.168 [2] -2008-11-03- Windows XP 



GenProc n'a détecté aucune infection caractéristique et suggère en conséquence de suivre la procédure suivante: 




Etape 1/ Télécharge :



 ToolsCleaner! sur ton Bureau.


Etape 2/ 



 Double clique sur ToolsCleaner.exe > clique sur Extract sans changer la destination initiale.
- Ouvre le Poste de Travail > ouvre le Lecteur C:\
- Ouvre le dossier ToolsCleaner.
- Double clique sur ToolsCleaner2.bat  et suis les directives.
- Fais un copier/coller du rapport, il se trouve dans C:\TCleaner.txt 
- Note: ton bureau va disparaitre; c'est normal. Si il n'apparait pas a la fin du scan, fais la manip suivante:
- CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches, puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
- Tape explorer.exe et valide. Cela fera réapparaitre le Bureau.



Etape 3/ 



 Poste un rapport Nod32 
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport : 
- C:\Program Files\EsetOnlineScanner\log.txt

hooligan63780 · Answer

salut

Télécharges ToolsCleaner (de A.Rothstein) sur ton Bureau. 
http://pc-system.fr/ 

Déconnectes toi et fermes bien toutes tes applications en cours . 

Lances le . 
*Cliques sur Recherche et laisses le scan se terminer (cela peut être long). 
*Cliques sur Suppression pour finaliser. 
*Cliques sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) : 
--> Postes ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt . 

Note : Ce petit soft va te nettoyer tout les trucs dont on c'est servi pour la désinfection . 
Supprimes tout les outils , dossiers ou rapports consernant la désinfection que Toolscleaner2 n'a pas supprimé .

nicobenny · Answer

voilà, j'ai lancé toolscleaner et voici le log. j'ai supprimé manuellement tout ce qui n'a pas été supprimé. Suis-je maintenant désinfecté complètement?

[ Rapport ToolsCleaner version 2.2.5 (par A.Rothstein & dj QUIOU) ]

-->- Recherche: 

C:\FindyKill.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\SDFIX: trouvé !
C:\Combofix: trouvé !
C:\MsnFix: trouvé !
C:\Qoobox: trouvé !
C:\ComboFix\Combofix.txt: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\Nicolas\Bureau\Msnfix.zip: trouvé !
C:\Documents and Settings\Nicolas\Bureau\GenProc.zip: trouvé !
C:\Documents and Settings\Nicolas\Bureau\HJTInstall.exe: trouvé !
C:\Documents and Settings\Nicolas\Bureau\GenProc: trouvé !
C:\Documents and Settings\Nicolas\Bureau\GenProc\GenProc: trouvé !
C:\Documents and Settings\Nicolas\Menu Démarrer\Programmes\UsbFix: trouvé !
C:\Documents and Settings\Nicolas\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: trouvé !
C:\icones\Outils\Fix\SdFix.exe: trouvé !
C:\icones\Outils\Fix\ComboFix.exe: trouvé !
C:\icones\Outils\Fix\UsbFix.exe: trouvé !
C:\icones\Outils\Fix\UsbFix.lnk: trouvé !
C:\Program Files\UsbFix: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Program Files\UsbFix\UsbFix.exe: trouvé !
C:\WINDOWS\msnfix.txt: trouvé !
C:\WINDOWS\*.msnfix: trouvé !

---------------------------------
-->- Suppression: 

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\Nicolas\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\Nicolas\Bureau\Msnfix.zip: supprimé !
C:\Documents and Settings\Nicolas\Bureau\GenProc.zip: supprimé !
C:\Documents and Settings\Nicolas\Bureau\HJTInstall.exe: supprimé !
C:\icones\Outils\Fix\SdFix.exe: supprimé !
C:\icones\Outils\Fix\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\FindyKill.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\ComboFix\Combofix.txt: supprimé !
C:\Documents and Settings\Nicolas\Menu Démarrer\Programmes\UsbFix\UsbFix.lnk: supprimé !
C:\icones\Outils\Fix\UsbFix.exe: supprimé !
C:\icones\Outils\Fix\UsbFix.lnk: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Program Files\UsbFix\UsbFix.exe: supprimé !
C:\WINDOWS\msnfix.txt: supprimé !
C:\WINDOWS\*.msnfix: ERREUR DE SUPPRESSION !!
C:\SDFIX: supprimé !
C:\Combofix: supprimé !
C:\MsnFix: supprimé !
C:\Qoobox: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\Nicolas\Bureau\GenProc: supprimé !
C:\Documents and Settings\Nicolas\Menu Démarrer\Programmes\UsbFix: supprimé !
C:\Program Files\UsbFix: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

hooligan63780 · Answer

Salut comment va le pc ??

nicobenny · Answer

Salut! Eh bien il va nickel !!! Ca me semble nettoyé! Je te remercie énormément pour ton aide! Ca fait plaisir de voir cette entraide sur ce forum qui m'a déjà tiré d'affaire plusieurs fois. Sinon, j'ai encore une toute petite question. Avant, quand j'insérais un stick ou disque dur sur port usb, j'avais une fenetre de lancement automatique qui apparaissait. Ce n'est plus le cas. Y a-t-il moyen de rétablir ça?

hooligan63780 · Answer

je sais pas ca lol dsl

nicobenny · Answer

Je viens de trouver comment faire (télécharger Autofix sur le site Microsoft) en consultant un autre forum du site. Encore une fois merci pour tout;-)

hooligan63780 · Answer

si possible tu peux  mettre le rapport en resolu merci 


Content d'avoir pu te rendre service ... ^^ 


potasses ceci : 


Des informations intéressantes pour toi et ton PC : 

=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html 

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

Pourquoi ? Pour éviter de se retrouver dans ce genre de situation ( peu commune mais ...) : 
-> http://secubox.aldria.com/topic-2373.html 

============================================================= 

=> Il faut mettre a jour la console Java régulièrement aussi : 

Rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d’éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

============================================================= 

=> Afin d’éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l’est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
-Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
-Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

=========================================================== 
* le pare- feu de Xp vaut rien , je te conseille fortement dans installer un : 
Armor ou Comodo sont très bien ( en anglais mais gratuit )...Tu trouveras tout ce qu'il faut ici : 
https://www.commentcamarche.net/telecharger/ 38 firewall 

tutos : 
https://www.malekal.com/tutorial-online-armor-free/ 
https://www.malekal.com/tutorial-comodo-firewall/ 

( Attention : pour Comodo 3 , ne pas installer la barre de recherche pour les navigateurs ! ) 

En deuxieme choix ( gratuit aussi ) : 
->Comodo ancienne version 2.4 ( en francais ) : 
http://download.comodo.com/ 
tuto: https://infomars.fr/forum/index.php?s=908072e48ff7cf0359366440cb26c93f&showtopic=389 

->PC Tools Firewall Plus (en français) : 
https://fr.norton.com/ 
Tuto : http://www.6ma.fr/tuto/utilisation-pc-tools-firewall-plus/ 

(Note: pensez bien à désactiver le pare-feu de Windows avant de lancer l'installe de tout autre pare-feu !) 

* testes l'efficacité de ton pare-feu ici ( à titre indicatif ): 
http://www.zebulon.fr/outils/scanports/test-securite.php 

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s’ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d’installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

================================================================ 

--> Pour une meilleur sécurité lorsque tu surfes , je te conseille d'utiliser FireFox : 
télécharges le ici -> https://www.commentcamarche.net/telecharger/ 111 firefox 

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... ) 

--> Tutorial pour sécuriser Firefox ( si tu utilises ce navigateur ) : 
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

================================================================= 
=> Rappel sur les principales causes d'infection : 


* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : http://forum.malekal.com/ftopic893.php 

->Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

->autre exemple en image , où comment s'infiltre une infection par un pseudo crack : 
http://secuboxlabs.fr/archives/computertoday.html 


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P : 
> http://www.libellules.ch/ 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/ 


* Faire attention avec les ActiveX : 
http://assiste.com.free.fr/p/abc/a/activex_dangers.html 
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html 


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/ 
-> autre danger grandissant , le " phishing " (= hameçonnage ) : 
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte 


Infection par supports amovibles (clefs usb, flash, DD externes ..) : 
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

================================================================= 
( merci le sioux ) 


Voilà .... 


bonne continuation à toi .... ;) 


A+

HELP! Probleme trojan Worm.Win32.AutoRun.onp.

28 réponses

Votre réponse

Discussions similaires

Newsletters