Virus qui est coriasseFermé

Question

Salut a tous
voila , mon petit frère est allez sur mon ordi hier et depuis j'ai un virus qui ne lâche pas l'affaire :S
j'ai testé de le supprimé avec antivir ( sa ne marche pas ) , avec spybot ( la même )
donc je me retourne vers vous pour testez d'avoir de l'aide
voila le rapport de hijackthis
merci a tous ceux qui m'aideront ^^
et quand je redemarre mon ordi je suis obligé de lancer "l'outil qui repare" mdr
et la le windows ce lance ^^




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:01:52, on 27/04/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32	askhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32	askeng.exe
C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\vsnpstd3.exe
C:\Windows	snpstd3.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Nuance\NaturallySpeaking10\Program
atspeak.exe
C:\Program Files\Xfire\Xfire.exe
C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner.exe
C:\Windows\system32	askhost.exe
C:\Program Files\Common Files\Nuance\NaturallySpeaking10\dgnuiasvr.exe
C:\Program Files\Xfire\Xfire.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Explorer\IELowutil.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\abder\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [RivaTuner] "C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTunerWrapper.exe" /T
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program Files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTunerWrapper.exe" /S
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [snpstd3] C:\Windows\vsnpstd3.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\Windows	snpstd3.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O4 - Startup: Dragon NaturallySpeaking.lnk = C:\Program Files\Nuance\NaturallySpeaking10\Program
atspeak.exe
O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
O8 - Extra context menu item: Télécharger avec IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Télécharger tous les liens avec IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix: 
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E0B9685-F8CA-4A7F-B8FA-AAB30B3D80C9}: NameServer = 212.27.40.240
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe
O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: TunngleService - Tunngle.net GmbH - C:\Program Files\Tunngle\TnglCtrl.exe

Smart91 · Answer

Bonjour,

On va faire une analyse plus pousée:
Télécharge ZHPDiag sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix 
Clique sur la loupe pour lancer l'analyse. 
Laisse l'outil travailler, il peut être assez long. 
Ferme ZHPDiag en fin d'analyse. 
Pour transmettre le rapport clique sur ce lien : 
http://www.cijoint.fr/ 
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
Sélectionne le fichier ZHPDiag.txt. 
Clique sur "Cliquez ici pour déposer le fichier". 
Un lien de cette forme : 
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 
[est ajouté dans la page. 
Copie ce lien dans ta réponse.

Smart

redba · Answer

http://www.cijoint.fr/cjlink.php?file=cj201004/cijrHIGPDw.txt
voila le lien demandez
merci de ton aide 
très bon tuto

Utilisateur anonyme · Answer

bonjour tout le monde, 
juste pour avancer smart91 que je salue au passage  :-) 


tu as une faille de sécurité sur ton pc, mets à jour ta console java, tu n'as pas la bonne version :

Java 6 Update 15 

on est à la version java6, update 20

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau: 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  

ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

  
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur » 

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.  
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour  
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes  
. Une fois la mise à jour terminé 
. rend-toi dans l'onglet, Recherche  
. Sélectionnes Exécuter un examen complet 
. Cliques sur Rechercher 
. Le scan démarre.  
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
. Cliques sur Ok pour poursuivre.  
. Si des malwares ont été détectés, cliques sur Afficher les résultats  
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.  
. rends toi dans l'onglet rapport/log  
. tu cliques dessus pour l'afficher une fois affiché  
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous  
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse  
. Tu cliques droit dans le cadre de la réponse et coller  
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!! 
Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

redba · Answer

c en cours ^^ merci du coup de main en tous cas :D

Utilisateur anonyme · Answer

laisse travailer MBAM, poste son rapport dés que c'est términé  :-)

redba · Answer

Malwarebytes' Anti-Malware 1.45
www.malwarebytes.org

Version de la base de données: 4042

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

27/04/2010 18:59:42
mbam-log-2010-04-27 (18-59-42).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 275383
Temps écoulé: 1 heure(s), 9 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\directory\CyberGate (Trojan.PWS) -> Quarantined and deleted successfully.
C:\directory\CyberGate\install (Trojan.PWS) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Program Files\Call of Duty Modern Warfare 2
o_eject.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Program Files\Ubisoft\Assassin's Creed II
epaslancer.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\abder\AppData\Local\Temp
4be0d3vt6.VIR (Trojan.Ertfor) -> Quarantined and deleted successfully.
C:\Users\abder\Documents\abder\Call_Of_Duty_4_Crackfix_And_Keygen-Razor1911zr-cod4.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Users\abder\Documents\abder\IDM_5.18_B4.By 7cn + patch\Patch.and.key\Keygen.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\components
sFFxSHot.xpt (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Users\abder\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.





voila le rapport , il a demandez de redemarrez et c'est fait^^

Utilisateur anonyme · Answer

repasse un autre zhp, hébérge le rapport sur cijoint comme tu l'as déjà fait et envoie le lien sur ton prochain message  :-)

redba · Answer

http://www.cijoint.fr/cjlink.php?file=cj201004/cijneUrQVH.txt
voila le rapport 
merci

Utilisateur anonyme · Answer

relance MBAM, vide sa quarentaine attention à l'utilisation de keygen : Keygen.exe (Trojan.Agent.CK)

redba · Answer

############################## | UsbFix V6.109 |

User : abder (Administrateurs) # ABDER-PC
Update on 26/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 21:10:53 | 27/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Pentium(R) Dual-Core  CPU      E6300  @ 2.80GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7600 32-bit) # 
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 465,76 Go (213,44 Go free) [Disque Local] # NTFS
D:\ -> Disque fixe local # 931,39 Go (537,2 Go free) [Disque Local] # NTFS
E:\ -> Disque CD-ROM
F:\ -> Disque CD-ROM
G:\ -> Disque CD-ROM
H:\ -> Disque CD-ROM
I:\ -> Disque CD-ROM

################## | Elements infectieux |

C:\Users\abder\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\Xfire.lnk  
C:\Users\abder\AppData\Roaming\lowsec\user.ds.lll  
C:\Users\abder\AppData\Roaming\lowsec  
C:\Users\abder\AppData\Local\Temp\a.dat  

################## | Registre |

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options	askmgr.exe]  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\E
shell\AutoRun\command =E:\autorun.exe 

HKCU\..\..\Explorer\MountPoints2\F
shell\AutoRun\command =F:\autorun.exe 

HKCU\..\..\Explorer\MountPoints2\{93c1fea6-c87d-11de-a66e-002215befa50}
shell\AutoRun\command =H:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{abe8f16a-10bd-11df-9666-002215befa50}
shell\AutoRun\command =F:\autorun.exe 

HKCU\..\..\Explorer\MountPoints2\{f27a7a9c-f8be-11de-8f67-002215befa50}
shell\AutoRun\command =G:\autorun.exe 
shell\setup\command =G:\install.exe 

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné !  

################## | ! Fin du rapport # UsbFix V6.109 ! |




voila le rapport du logiciel que tu ma donné^^ et j'ai vidé la quarantaine

Smart91 · Answer

On va faire le nettoyageet la vaccination
tutoriel nettoyage

- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
- Double clic sur le raccourci UsbFix présent sur ton bureau
- Choisis l'option 2 ( Suppression )
-Ton bureau disparaîtra et le pc redémarrera .
- Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
- Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
- Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.(C:\UsbFix.txt )
- (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

UsbFix te proposera d'envoyer un dossier compressé à cette adresse : https://www.ionos.fr/?affiliate_id=77097
Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

- Il faut sélectionner "UsbFix" dans le menu déroulant
- Merci d'avance pour ta contribution !! 

Smart

Virus qui est coriasse

11 réponses

Discussions similaires

Newsletters