Posez votre question Signaler

Comment enlever ce trojan

mamalis 28Messages postés mardi 18 décembre 2007Date d'inscription 23 mai 2008Dernière intervention - Dernière réponse le 18 juil. 2008 à 11:17
Bonjour,
j'ai un problème de virus. il enlève exécuter, rechercher, option des dossiers et le gestionnaire des tâches. il se transmet par flash disk. et c'est écrit version du fichier 1.0.0.0 . je pense que c'est un trojan. je ne sais pas comment le supprimer. j'ai déjà utiliser avasr, trojan remove, avg anti spyware. sans résultat. je suis nul en informatique donc aidez moi svp
Lire la suite 
Réponse
+0
moins plus
Bonjour mamalis

Peux-tu faire ceci, SVP:

A)- Télécharge la version finale de Hijackthis (Trend Secure) ==> HijackThis™ 2.0 .2
Clique sur ce lien http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe
Enregistre HJTInstall.exe sur ton bureau.
- Déconnecte ton PC du Net ( débranche ton modem )
Double-clique sur HJTInstall.exe pour lancer le programme d'installation
Accepte la license en cliquant sur le bouton "I Accept"
Par défaut, il s'installera là : C:\Program Files\Trend Micro\HijackThis
-Redémarre ton PC impérativement.

Tutoriel à lire : http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm

•- Important à faire en priorité si tu possèdes le logiciel Spybot S&D > Désactive le Tea Timer de Spybot en passant par les options de Spybot: il faut une fois dans le logiciel il faut aller dans le menu "Mode" => coche "Mode avancé" => "Outils"(en bas de page)=> "Résident" => et tu décoches cette case: "Résident Tea Timer" . Tu ne dois plus voir l'icône du Tea Timer dans la barre de tâches!

•- Lance ensuite Hijackthis et cette fois clic sur le bouton [Do a system scan and save logfile] pour faire une analyse complète et pour générer le rapport et poste-le sur le forum .



B)- Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe >
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.

Tu copies et colles ce rapport sur le forum


Prends ton temps, je dois m'absenter un peu.
Merci
Al.
Ajouter un commentaire
Annonces
 
moins plus
Réponse
+0
moins plus
merci de ton aide. je vais le faire sur mon pc et je collerais le rapport mais mon problèmr en ce moment c'est que je ne suis pas encore sur mon Pc et je ne pourrais le faire que ce week end. comment pourrais je vous envoyer le rapport?
Ajouter un commentaire
Annonces
 
moins plus
Réponse
+0
moins plus
pas de pb, j'ai trouvé un moyen pour vous l'envoyer. merci pour votre aide
Ajouter un commentaire
Réponse
+0
moins plus
(Pour le rapport tu n'as qu'à le poster ici)
Ajouter un commentaire
Réponse
+0
moins plus
Mamalis,

Les deux rapports vont se voir affichés sur le bureau.

Comment poster un rapport d'analyse ?
- À la fin du scan un bloc-notes va s'ouvrir sur le bureau
- Faire un copier du contenu du rapport obtenu sur ton bureau.
(Ça s’appelle un log ; c'est la trace écrite de ce qu’un programme a fait et du résultat de son action.).
- Faire un coller de ce rapport sur ce forum ( là où tu nous écris )

Comment faire un copier/coller ?
Ici à la lettre Q < http://forum.pcastuces.com/sujet.asp?SUJET_ID=291882 > )
Pour faire plus simple, quand l'analyse est terminée, tu vois un rapport affiché > tu le mets entièrement en surbrillance, puis clic-droit > et choisir "Copier" dans le menu contextuel > ensuite tu reviens dans ton topic, et là , tu fais 1 clic gauche pour pointer à l'endroit du message , puis clic-droit et choisir "Coller" dans le menu contextuel .


Bonne chance.
Il semblerait que ton PC soit pollué par une vraie saleté : type W32.Rontokbro ....

à+..
Ajouter un commentaire
Réponse
+0
moins plus
Voici le rapport hijackthis

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\inf\ MisVh55.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [msci] C:\DOCUME~1\SAOLIN~1\LOCALS~1\Temp\20061021141253_mcinfo.exe /insfin
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [MisVh55] C:\WINDOWS\inf\ MisVh55.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Ajouter un commentaire
Réponse
+0
moins plus
Bonsoir mamalis,

Tu as une infection malicieuse qui, comme tu l'écrivais, se transmet par flash disk.

Commence par ceci, SVP:

1°- Sur une page Internet Explorer:
- Ouvrez "Options Internet..." depuis le menu "Outils".
- Choisissez l'onglet "Confidentialité" et positionnez les réglages au moins sur Moyen.
- Utilisez le bouton "Avancé..." pour activer "Ignorer la gestion automatique des cookies" et "Refuser" les "Cookies tierce partie".

2°- Dans la barre de menus ( au-dessus ), clic sur "Outils" > "Options Internet" > puis au § "Fichiers Internet temporaires", cliquer sur le bouton radio [supprimer les fichiers... ]: < http://img148.imageshack.us/img148/3449/screenshot246by9.png >.

3°- (En espérant que tu aies accès à "Options des dossiers")
Assure toi d'avoir accès aux dossiers/fichiers cachés :
Soit en faisant : Ouvrir un dossier, n'importe lequel. Aller dans "Outils" >"Options des dossiers" > "Affichage"
Soit en faisant " Démarrer" > "PanneauConfiguration" > "Options des Dossiers" > onglet "Affichage" ,
et là :
cocher la case devant les lignes:
- afficher les fichiers et dossier cachés
- afficher contenu dossier système
décocher la case devant les lignes:
- masquer les extensions des fichiers dont le type est connu
- masquer les fichiers protégés du système d'exploitation
Tu vas recevoir un message qui te dit que cela peut endommager le système, n'en tiens pas compte.
Puis cliquer APPLIQUER à TOUS les Dossiers > [OK]

Si tu n'es pas à l'aise dans la navigation des dossiers, je t'invite à suivre ce tutorial : < http://www.malekal.com/rechercher_fichiers.php >

4°- Ensuite, rechreche et supprime ce fichier (MisVh55.exe) en gras en suivant ce chemin via "Poste de travail" ==> C:\WINDOWS\inf\ MisVh55.exe


Ensuite,

A)- Télécharge l'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Enregistre Flash_Disinfector.exe sur ton bureau.
Double clique sur Flash_Disinfector.exe pour l'exécuter.
Quand le message : [Plug in yours flash drive & clic Ok to begin disinfection] apparaitra :
Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés.
Puis clic sur [Ok]
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: [Done!!]
Appuie ensuite sur [OK], pour faire réapparaitre le bureau.
Si tout a bien fonctionné jusque là, l'infection est supprimé en totalité.


B)- Fais ce scanKaspersky en ligne …< http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html >
Branche tes disques externes/amovibles
En bas de page, clique sur > [Accept].
Laisse faire les définitions, mises à jour et installation d' ActiveX.
Puis, clique sur Next > My Computer.
Patiente.
Une fois le scan achevé, clique sur > Save report et enregistre-le p.ex. ==> bureau).
Poste-le dans ta prochaine réponse. Merci.



C)- Termine par ceci: Télécharge ComboFix.exe (par sUBs) sur ton Bureau:
< http://download.bleepingcomputer.com/sUBs/ComboFix.exe > -1,41 Mo (1.483.997 octets)
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles.
Laisse se dérouler le scan ==> sois très patient!.
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum



D)- Dis-moi ce qu'il en est d'un logiciel dénommé MacAfee qui serait, ou aurait été dans ton PC; parce que je vois ceci:

•- O4 - HKLM\..\Run: [msci] C:\DOCUME~1\SAOLIN~1\LOCALS~1\Temp\20061021141253_mcinfo.exe /insfin
msci ? mcinfo.exe McAfee Internet Security related. What does it do and is it required ?
•- O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
McAfee VirusScan {BA52B914-B692-46c4-B683-905236F6F655} L TB mcvsshl.dll McAfee Virusscan


E)- Dis-moi comment ton PC est protégé.
C'est-à-dire quel est ton Pare-feu, quel est ton Anti-Virus, et quel est ton Anti-Spyware ?



Bonne chance
Al.
Ajouter un commentaire
Réponse
+0
moins plus
Bonjour
j'ai pas réussi à supprimer le fichier MisVh55.exe. toujours accès refusé. j'ai installé kaspersky, il n'a rien repérer MAIS quand j'ai voulu supprimer MisVh55.exe , kaspersky l'a tout de suite repérer et je l'ai mis en quarantaine. tout de suite tout est redevenu à la normale, j'ai exécuter, option des dossiers et gestionnaires des tâches. je te remercie pour ton aide. voici le nouveau rapport de combo fix:

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 22:57 5,408 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-09 22:57 3,309,856 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
.

((((((((((((((((((((((((((((( snapshot@2008-01-10_ 0.17.06.84 )))))))))))))))))))))))))))))))))))))))))
.
- 2003-12-31 21:10:40 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2008-01-09 22:56:25 262,144 ----a-w C:\WINDOWS\system32\config\systemprofile\ntuser.dat
+ 2007-04-28 13:51:02 110,360 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
+ 2003-12-31 21:08:53 82,258 ----a-w C:\WINDOWS\system32\drivers\klick.dat
+ 2007-06-27 14:31:58 186,640 ----a-w C:\WINDOWS\system32\drivers\klif.sys
+ 2007-04-04 11:58:26 24,344 ----a-w C:\WINDOWS\system32\drivers\klim5.sys
+ 2003-12-31 21:08:53 82,258 ----a-w C:\WINDOWS\system32\drivers\klin.dat
+ 2007-06-28 09:50:52 22,457 ----a-w C:\WINDOWS\system32\drivers\klop.dat
+ 2007-06-28 09:51:48 206,088 ----a-w C:\WINDOWS\system32\klogon.dll
- 2003-12-31 21:34:56 53,608 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-09 21:15:55 53,608 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2003-12-31 21:34:56 64,492 ----a-w C:\WINDOWS\system32\perfc00C.dat
+ 2008-01-09 21:15:55 64,492 ----a-w C:\WINDOWS\system32\perfc00C.dat
- 2003-12-31 21:34:56 383,254 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-09 21:15:55 383,254 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2003-12-31 21:34:56 447,772 ----a-w C:\WINDOWS\system32\perfh00C.dat
+ 2008-01-09 21:15:55 447,772 ----a-w C:\WINDOWS\system32\perfh00C.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-24 15:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-27 20:00 335872]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe" [2004-11-25 11:59 143360]
"DataLayer"="C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-12-09 11:14 1068032]
"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 13:38 49152]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 15:18 241664]
"msci"="C:\DOCUME~1\SAOLIN~1\LOCALS~1\Temp\20061021141253_mcinfo.exe" [ ]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-25 08:20 28672]
"HyperappelPL2003"="C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe" [2003-07-04 13:08 122880]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-09-26 17:49 35328]
"MisVh55"="C:\WINDOWS\inf\ MisVh55.exe" [ ]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-24 15:00 13312]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BlueSoleil.lnk - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2006-04-29 21:10:08]
D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2004-05-28 23:06:36]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-05-28 22:31:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"Nouvelle valeur #1"= 0

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk
backup=C:\WINDOWS\pss\Utility Tray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2003-04-24 15:00 13312 C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCAgentExe]
c:\PROGRA~1\mcafee.com\agent\mcagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McRegWiz]
C:\PROGRA~1\mcafee.com\agent\mcregwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCUpdateExe]
C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower]
-ra------ 2004-09-02 08:47 49152 C:\WINDOWS\system32\SiSPower.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
--a------ 2002-07-12 13:15 106496 C:\WINDOWS\SiSUSBrg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-07-27 12:01 68096 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirusScan Online]
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VSOCheckTask]
c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\System32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 autorun;autorun;c:\huadio.tmp [2007-02-15 19:39]
S3 BTNetFilter;Bluetooth Network Filter;C:\WINDOWS\system32\drivers\BTNetFilter.sys [2004-12-16 16:32]
S3 FXDRV;FXDRV;E:\Fxdrv.sys []
S3 SiSCom;SISCom_Com;D:\DevDrv\VGA\3.62a\utilDLL\SiSCom.sys []
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\System32\DRIVERS\ss_bus.sys [2005-01-24 15:38]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 01:48]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 01:32]

*Newly Created Service* - KL1
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 01:57:57
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-10 1:58:42
ComboFix-quarantined-files.txt

j'avais avast home avant qui n'avait pas reperé les virus.
j'avais aussi symantec mcafee mais je l'ai désinstallé.
que penses tu de kaspersky?
mmoi je pense que je vais le garder vu que ça m'a permis de supprimer la saleté.
d'après le rapport dis moi comment se porte mon pc?
afideg 10424Messages postés lundi 10 octobre 2005Date d'inscription 27 mai 2015Dernière intervention - 29 janv. 2008 à 15:31
Bonjour

J'ai corrigé une erreur dans le script; voici la bonne version :
Peux-tu poursuivre ainsi SVP:

1°- Considérant que l'application de ComboFix (icône rouge “ComboFix.exe”) est toujours sur le bureau,

2°- Désactive ta restauration système
Clic sur « Démarrer »
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu y coches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]


3°- Sélectionne (mettre en surbrillance) tout le texte en caractères gras suivant :

File::
c:\huadio.tmp
c:\Program Files\mcafee.com

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MisVh55"=-
"msci"=-
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"MCAgentExe"=-
"McRegWiz"=-
"MCUpdateExe"=-
"VirusScan Online"=-
"VSOCheckTask"=-



4°- Copie le texte sélectionné (CTRL+C).
Ensuite "Ouvre le bloc-notes" (programme>Accessoires >bloc-notes).
•- Colle (bien dans le coin supérieur gauche) ce texte dans ce bloc-notes (CTRL+V).
Sauvegarde (enregistre-le sur le bureau) sous le nom CFScript.txt
En english ==> Save this as ComboFix-Do.txt and change the "Save as type" to "All Files" and place it on your desktop (= bureau). Regarde ici < http://img225.imageshack.us/img225/6237/screenshot169qy8.png >

5°- Ensuite, dépose ce fichier texte sur l'application de ComboFix (icône rouge “ComboFix.exe” sur le bureau) en faisant un “glisser/déposer” de ce fichier “ CFScript.txt ” sur le fichier “ComboFix.exe” comme sur la capture: < http://img.photobucket.com/albums/v666/sUBs/CFScript.gif >

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide par [Enter].
Patiente le temps du scan.
Le bureau va disparaître à plusieurs reprises: c'est normal!

(CAUTION: Do not mouse-click ComboFix's window while it is running. = Ne touche à rien tant que le scan n'est pas terminé. That may cause it to stall.)

6°- Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur le forum.
Si le fichier n'apparaît pas, il se trouve ici > C:\ComboFix.txt

7°- Arrêter puis redémarrer le PC

8°- Ensuite réactive ta restauration système
Clic droit sur « Poste de travail », puis sur « Propriétés »,
Vas sur l’onglet « Restauration système »
Tu décoches la case « Désactiver la restauration »
Termine par [Appliquer] [OK]

9°- Poste un nouveau rapport ComboFix.txt comme ceci :
- Double clique sur l'icône de ComboFix.exe du bureau, [Exécuter] et suis les invites.
Tape 1 puis [Enter] . Accepter les alertes éventuelles. Laisse se dérouler le scan. ==> sois patiente
Lorsque le scan sera complété, un rapport apparaîtra sur le bureau.
Tu copies et colles ce rapport sur le forum

10°- Poste un nouveau rapport HijackThis, SVP.



Quelle version de Kaspersky as-tu téléchargée ?
Où l'as-tu téléchargée (sur quel site) ?
Kaspersky est un logiciel avec licence; donc à payer .

Si tu es disposé à acquérir un bon outil complet, acquiert Kaspersky Internet Security 7.0 .
Ajoute un Anti-Spyware comme Spyware-Terminator (gratuit, avec protection en temps réel; il contient même une fonction antivirus performante).



Merci
Prends ton temps.
Bonne chance
Al
Répondre
Ajouter un commentaire
Réponse
+0
moins plus
Salut aMada

Non, Flash_Disinfector de sUBs n'a rien à voir avec "MisVh55"= "C:\WINDOWS\inf\ MisVh55.exe" .

Je l'ai utilisé par prévention supposant d'éventuelles infections par USB ; p.ex.

S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\System32\DRIVERS\ss_bus.sys [2005-01-24 15:38]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 01:48]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 01:32]


Mais je lis que ces services sont arrêtés.
Et je ne lis aucune réplique de l'internaute suite à ceci post # 7 : « Connecte au pc, clé USB, DD externes, susceptibles d'avoir été infectés. »

Je ne lis, non plus aucun commentaire relatif à d'autres questions, comme:
« •- en E)- Dis-moi comment ton PC est protégé.
C'est-à-dire quel est ton Pare-feu, et quel est ton Anti-Spyware ?
»

Bien sûr, je lis « j'ai installé kaspersky, il n'a rien repérer MAIS quand j'ai voulu supprimer MisVh55.exe , kaspersky l'a tout de suite repérer et je l'ai mis en quarantaine » ==> alors que je demandais un ScanOnlineKaspersky ==> lequel ne permet pas de mettre en quarantaine; il ne fourni que des indications! . ??????

De surcroît, le rapport de ComboFix fourni par mamalis est incomplet et tronqué. (on doit se démerder avec ce qu'on reçoit!).


Attendons le retour de mamalis
Bonne soirée
Al.
Ajouter un commentaire
Réponse
+0
moins plus
voici le rapport combofix que j'ai effectué:
007-12-18 00:44 . 2007-12-18 00:44 219,664 --a------ C:\WINDOWS\system32\klogon.dll
2007-12-18 00:43 . 2007-12-18 00:43 23,396 --a------ C:\WINDOWS\system32\drivers\klopp.dat
2007-12-13 13:28 . 2007-12-13 13:28 24,592 --a------ C:\WINDOWS\system32\drivers\klim5.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-09 21:36 648,736 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-09 21:36 16,160 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-09 21:32 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-01-09 21:31 2,468 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-09 21:31 10,592 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-24 15:00 13312]
"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 15:08 1511453]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-27 20:00 335872]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"PCSuiteTrayApplication"="C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe" [2004-11-25 11:59 143360]
"DataLayer"="C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-12-09 11:14 1068032]
"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 13:38 49152]
"HP Component Manager"="C:\Program Files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 15:18 241664]
"Microsoft Works Update Detection"="C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe" [2002-07-25 08:20 28672]
"HyperappelPL2003"="C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe" [2003-07-04 13:08 122880]
"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2006-09-26 17:49 35328]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-12-18 00:43 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-24 15:00 13312]

C:\Documents and Settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
BlueSoleil.lnk - C:\Program Files\IVT Corporation\BlueSoleil\BlueSoleil.exe [2006-04-29 21:10:08]
D‚marrage rapide du logiciel HP Image Zone.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe [2004-05-28 23:06:36]
HP Digital Imaging Monitor.lnk - C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe [2004-05-28 22:31:38]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"Nouvelle valeur #1"= 0

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Utility Tray.lnk]
path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Utility Tray.lnk
backup=C:\WINDOWS\pss\Utility Tray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2003-04-24 15:00 13312 C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCAgentExe]
c:\PROGRA~1\mcafee.com\agent\mcagent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\McRegWiz]
C:\PROGRA~1\mcafee.com\agent\mcregwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MCUpdateExe]
C:\PROGRA~1\McAfee.com\Agent\McUpdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSPower]
-ra------ 2004-09-02 08:47 49152 C:\WINDOWS\system32\SiSPower.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
--a------ 2002-07-12 13:15 106496 C:\WINDOWS\SiSUSBrg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-07-27 12:01 68096 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirusScan Online]
c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VSOCheckTask]
c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe

R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\System32\DRIVERS\klim5.sys [2007-12-13 13:28]
S3 autorun;autorun;c:\huadio.tmp []
S3 BTNetFilter;Bluetooth Network Filter;C:\WINDOWS\system32\drivers\BTNetFilter.sys [2004-12-16 16:32]
S3 FXDRV;FXDRV;E:\Fxdrv.sys []
S3 SiSCom;SISCom_Com;D:\DevDrv\VGA\3.62a\utilDLL\SiSCom.sys []
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\System32\DRIVERS\ss_bus.sys [2005-01-24 15:38]
S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\System32\DRIVERS\usbscan.sys [2002-08-29 01:48]
S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2002-08-29 01:32]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 00:37:04
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-01-10 0:37:46
ComboFix-quarantined-files.txt 2008-01-09 21:37:31
Ajouter un commentaire
Réponse
+0
moins plus
et voici le rapport hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:39:57, on 10/01/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\FICHIE~1\PCSuite\Services\SERVIC~1.EXE
C:\Program Files\HP\Digital Imaging\bin\hpqgalry.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\FICHIE~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HyperappelPL2003] C:\Program Files\Larousse\Petit Larousse 2004\bin\HiPL2002popup.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistiques d’Anti-Virus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
Ajouter un commentaire
Réponse
+0
moins plus
bonjour AL

j'ai téléchargé la version d'évaluation kaspersky antivirus 7.0. j l'ai téléchargé sur kaspersky.com
mon pc est protégé avec avast home mais j'ai essayé plusieurs autres notammment kaspersky, avg. mon premier antivirus c'était symantec.
je ne peux pas faire un scan on line vu que j'ai pas la connexion internet chez moi.
Ajouter un commentaire
Réponse
+0
moins plus
Re

Bon, je vois encore trace de McAfee: là : BA52B914-B692-46c4-B683-905236F6F655
et là: [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
==> nettoyage en vue!

Log ComboFix toujours incomplet et tronqué dans sa première partie !
Si ton PC n'est pas connecté au Net, comment fais-tu les mises à jour de tes logiciels ?

Je lis que tu as Kaspersky Anti-Virus 7.0 (AVP)
Donc, si tu veux bien, poste son rapport d'analyse (avec Avast désactivé).

Merci
Al
invite- 18 juil. 2008 à 11:17
je te conseil spybot trés efficace
Répondre
Ajouter un commentaire
Ce document intitulé «  comment enlever ce trojan  » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.