Divers trojans et vers [Fermé]

Messages postés
87
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
11 juin 2014
- - Dernière réponse : ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
- 20 juin 2010 à 19:55
Bonjour,

Bonjour,
alors voilà aujourd'hui je m'occupe du PC de mes parents qui est apparemment infecté.

AVG affiche régulièrement des alertes de differents trojan (avec en général Generic dans leur nom), il y a aussi un virus qui s'appelle Aurora et j'en passe. Quand j'ai vu que leur navigateur était IE 6 ça ne m'a pas étonné. XD

Je suis en train de faire un scan avec Antimalware et ensuite j'en ferai un avec ZHPDiag et je posterai le rapport.

Quelqu'un pourrait il m'aider avec? Parce que perso je ne sais pas déchiffrer ce genre de rapport.

Merci d'avance pour votre aide !

Afficher la suite 

13 réponses

Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
0
Merci
Bonjour,

ok alors commence par suivre les instructions suivantes :

◊◊◊ Télécharge OTL sur ton Bureau. ◊◊◊

♦ Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
♦ Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
♦ Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
♦ Sous la zone Personnalisation, copie/colle ceci :

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT




♦Clique sur le bouton Analyse. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
♦ Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
♦ Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.

Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci
Messages postés
87
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
11 juin 2014
13
0
Merci
Bonjour, et merci de m'aider voici le 1er lien, qui correspond à OTL.txt

http://www.cijoint.fr/cjlink.php?file=cj201006/cijYR2lHoc.txt
Messages postés
87
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
11 juin 2014
13
0
Merci
Voici le 2e lien qui correspond à Extras.txt

http://www.cijoint.fr/cjlink.php?file=cj201006/cijNJogKFg.txt
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
0
Merci
Bonjour,

Rien d'infectieux sur tes rapports par contre il te faut désinstaller
Regarde ici
http://forum.zebulon.fr/findpost-t119393-p967356.html

Ensuite on peux faire un deuxième scan pour confirmer le premier

◊◊◊ Télécharge ZHPDiag de Nicolas Coolman◊◊◊

♦ Sauvegarde-le sur le Bureau.

♦ Double-clique sur ZHPDiag.exe afin de lancer ZHPDiag.
♦ Coche toutes les options et clique sur le bouton Lancer le diagnostic.
♦ Lorsque l'analyse sera terminée, un fichier au format texte s'affiche dans la zone résultat de droite.
♦ Clique sur le bouton Sauvegarder le fichier sous et valide ZHPDiag.Txt, si tu souhaites le conserver.
♦ Copie le résultat dans le Presse-Papier de Windows.
♦ Colle le résultat dans le forum avec ta prochaine réponse.


Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci
Messages postés
87
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
11 juin 2014
13
0
Merci
Voici le rapport dfe ZHPDiag

http://www.cijoint.fr/cjlink.php?file=cj201006/cijxWh4D25.txt

S'il n'y avait rien d'infectieux c'est peut etre parce qu'avant d'utiliser OTL j'avais déja fait des scans avec ZHP et Antimalware...?

Pour etrust je m'en occuperai un peu plus tard. Bien vu, j'avais eu des problèmes à l'enlever :D
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
0
Merci
Rien d'infectieux sur ton PC.

Par contre un peu de ménage à faire


Utilise ces logiciels qui vont t'aider à faire un mettre un coup de balai.

◊◊◊ Télécharge TFC par OldTimersur ton Bureau ◊◊◊
♦ Fait un double clic sur TFC.exe pour le lancer. (Note: Si vous êtes sous Vista, faites un clic droit sur le fichier et choisissez "Exécuter en tant qu'Administrateur").
♦ L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
♦ Clique sur le bouton Start pour lancer le processus.
♦ Selon la fréquence à laquelle tu supprime tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
Lorsqu'il a terminé, l'outil devrait faire redémarrer le système. S'il ne le fait pas, il faut faire redémarrer manuellement le PC toi-même pour terminer le nettoyage.



Puis

◊◊◊ Télécharge Ccleaner ◊◊◊

♦ Aide toi de ce tuto pour l'utiliser
http://www.swl1f.net/viewtopic.php?f=14&t=69



Malwarebytes pour contrôle.

◊◊◊ Télécharge Malwarebytes ◊◊◊

Une aide pour l'installation
http://www.swl1f.net/viewtopic.php?f=14&t=68


♦ Installe le
♦ Lance malwarebytes
♦ Clique pour commencer sur Mise à jour et ensuite sur Rechercher des mises à jour
♦ Coche "Exécuter un examen complet"
♦ Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
♦ Clique sur Supprimer la sélection
♦ Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
♦ Fait copier coller et poste le rapport

Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci


Pense aussi à faire une défragmentation.
0
Merci
je vais faire tout ce que tu as écris juste avant, mais là patr exemple j'ai un message d'AVG qui me dit qu'une menace a été bloquée.

Nom du fichier : 1.xiaozai619.2288.org/vipvip/AHHS3.js

Le nom de la menace est : Exploit IE 6&7 0-day exploit (type 332)

Nom du processus : C:\WINDOWS\system32\399C13\F79955.exe
ID du processus: 3284

Cela a t il un sens pour toi?

NB: Depuis que j'ai ces problèmes de "menace", de temps en temps une fenetre IE s'ouvre avec des pages de jeux chinois...

Et aussi un autre symptome : une fenetre s'ouvre pour me dire qu'il y a une erreur dans l'execution du script de la page IE.
et dans les infos qu'il donne il y a URL : http://1.xiaozai619.2288.org etc

voilà tu sais tout ^^ c'est pour cela que je pense à un virus
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
0
Merci
Fait le scan avec Malwarebytes et tiens moi au courant.
Pour ce dossier 399C13 je pense que tu peux le virer, il serait sage de la mettre dans la quarantaine de ton Antivirus et de voir.
0
Merci
Voici le résultat du scan avec malebytemalware

http://www.cijoint.fr/cjlink.php?file=cj201006/cij1MGVOmr.txt

il a trouvé 23 objets infectés.
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
0
Merci
très bien,

peux tu faire ce qui suit stp

◊ ◊ ◊ Télécharge Combofix depuis l'un des liens ci-dessous: ◊ ◊ ◊

Lien 1
Lien 2

IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau

♦ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

♦ Fait un double clic sur combofix.exe et suit les invites.

♦ Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.

♦ Suit les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.

◊ ◊ Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.

♦ Une fois fait clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

♦ Lorsque l'outil aura terminé, il affichera un rapport, copie le contenu de C:\ComboFix.txt dans votre prochaine réponse.
0
Merci
voilà le rapport de combofix
http://www.cijoint.fr/cjlink.php?file=cj201006/cijGWZrYAa.txt

je suis étonné il n'a pas supprimé le dossier 399C13...

que penses tu de ce rapport?
0
Merci
j'ai refait un scan avec antimalwarebyte après combofix, il a trouvé 11 éléments infectés. Voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijOXqgHig.txt
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
0
Merci
Quand tu exécutes Malwarebytes il te faut faire la suppression.

Fait ce qui suit dans l'ordre indiqué.


Sélectionne ceci :


KillAll::

Driver::
rseb

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F79955]  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]    
"F79955"=-

Folder::
c:\windows\system32\399C13
c:\windows\system32\4889B0  
c:\windows\system32\1CB654  
C:\WINDOWS\system32\863494


♦ Copie le texte sélectionné (CTRL+C).
Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
Veille à ce que Retour à la ligne ne soit pas coché dans Format.
♦ Colle le texte copié dans ce bloc-notes (CTRL+V).
♦ Sauvegarde ce fichier sous le nom de CFScript.txt
♦ Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme ceci
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif
♦ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
♦ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
♦ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt


Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.



Ensuite relance Malwarebytes et supprime ce qu'il trouve (Appliquer les actions)


Ensuite


◊◊◊ Télécharge http://www.gmer.net/gmer.zip ◊◊◊ sur ton Bureau.

♦ Tu noteras que le nom est aléatoire.


Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

♦ Ferme les fenêtres de navigateur ouverte
♦ Déconnecte toi d'Internet puis ferme tous les programmes.

♦ Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
♦ Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
IAT/EAT
♦ Assure-toi que "Show All" est décoché**

♦ Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
♦ Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
♦ Nomme le fichier"root" et sauvegarde-le sur le Bureau ;
♦ Copie/colle le contenu de ce rapport dans ta réponse.



PS:
Si les rapports ne rentrent pas dans le message, tu peux les mettre en pièce jointe.