demande d'aide infection Trojan.Packed.NsAnti, W32Gammima.AG

Bonjour,

Je suis infecté par Trojan.Packed.NsAnti, W32GammimaAG et Infostealer.Gampass .....
Je ne sais pas du tout quoi faire et norton n'arrive pas à les supprimer...
Est-ce que quelqu'un peut m'aider ???

Merci

Quel est ton système d' exploitation ?

---
Fais ce scan en ligne, pour débuter ...

Nod32 (il faut utiliser Internet Explorer)

Coche toutes les cases à chaque fois ; une fois le scan achevé,
colle le rapport :

-> C:\Program Files\EsetOnlineScanner\log.txt <-- le rapport

---
PS : désactive ton antivirus le temps du scan.

Salut et merci pour cette première étape.

Je suis sous XP Familial.

Voilà le ratpport :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.16915 (vista_gdr.090826-0339)
# OnlineScanner.ocx=1.0.0.6210
# api_version=3.0.2
# EOSSerial=45afc8f69005954d8cb33e2df6152a87
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-10-20 07:49:00
# local_time=2009-10-20 09:49:00 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=3586 16764885 100 88 5850 259398068 0 0
# compatibility_mode=8192 67108863 100 0 153 153 0 0
# scanned=83321
# found=3
# cleaned=3
# scan_time=5406
C:\Documents and Settings\OLIVIER\Local Settings\Temp\nod2A.tmp Win32/TrojanDropper.Agent.NJV cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Documents and Settings\OLIVIER\Local Settings\Temp\nodA.tmp Win32/TrojanDropper.Agent.NJV cheval de troie (nettoyé par suppression - mis en quarantaine) 00000000000000000000000000000000 C
C:\Program Files\Symantec\LiveUpdate\LUALL.EXE une variante probable de Win32/Patched.NAE virus (supprimé - mis en quarantaine) 00000000000000000000000000000000 C


J'ai encore quelques questions :
Est-que maintenant je suis sur d'être débarrassé de ces virus ?
Qu'es-ce que je dois faire pour me protéger contre de nouvelles intrusions ?
Et est-ec que mes disques externes (clés, cartes SD, disques,...) ont pu aussi être infectés ?

Merci

Apparemment, il est possible que tu sois encore infecté.

Pour les disques durs externes et autres, fais cela :

Télécharge FindyKill (de Chiquitine29) sur ton bureau.

! Déconnecte-toi et ferme toutes applications en cours !

Double clique sur "FindyKill.exe" pour lancer l'installation et laisse les paramètres d'instalation par défaut.

Branche tes sources de données externes au PC (clé USB, disque dur externe, etc ...).

Sur le bureau, double-clique sur le raccourci FindyKill pour lancer l'outil.

Au menu principal, choisis l'option F pour français et tape sur [entrée].

Au second menu, choisis l'option 1 (recherche) et tape sur [entrée].

Laisse l' outil travailler et ... ne touche à rien !

-> Au final, un rapport apparaît ; poste-le.

PS : le rapport est conservé sous C:\FindyKill.txt

(CTRL+A pour tout selectionner, CTRL+C pour copier et CTRL+V pour coller)

Aides en images : http://pagesperso-orange.fr/NosTools/findykill.html

Salut,
J'ai refait un scan avec Nod32, il a retrouvé un virus...
Voila le dernier rapport :

ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=7.00.6000.16915 (vista_gdr.090826-0339)
# OnlineScanner.ocx=1.0.0.6210
# api_version=3.0.2
# EOSSerial=45afc8f69005954d8cb33e2df6152a87
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2009-10-21 05:28:21
# local_time=2009-10-21 07:28:21 (+0100, Paris, Madrid (heure d'été))
# country="France"
# lang=1036
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=3586 16764901 100 88 4923 259477497 0 0
# compatibility_mode=8192 67108863 100 0 1597 1597 0 0
# scanned=83581
# found=1
# cleaned=1
# scan_time=3937
C:\Program Files\Symantec\LiveUpdate\LUALL.EXE une variante probable de Win32/Patched.NAE virus (supprimé - mis en quarantaine) 00000000000000000000000000000000 C


Pour mes disques externes, j'essayerai ca ce week end en rentrant chez moi.

Du coup, par rapport à ce dernier rapport, est-ce que je dois encore faire quelque chose, et comment dois-je me protéger ??

Merci

On verra cela ce week-end ...

En attendant, et après avoir passé FindyKill, tu feras :

Cet autre scan en ligne ...

Clique sur J' accepte > Démarrer l' analyse, etc ...

Une fois le scan achevé, sauvegarde le rapport et poste-le.

Tuto : http://forum.pcastuces.com/bitdefender_online_scanner___tutoriel-f31s2.htm

PS : désactive Norton le temps du scan ...

Salut,

Voila le rapport Findykill :


############################## | FindyKill V5.015 |

# User : OLIVIER (Administrateurs) # FLYBOD
# Update on 24/10/2009 by Chiquitine29
# Start at: 13:08:28 | 25/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) M processor 1.73GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : Norton Internet Security 2006 2006 [ (!) Disabled | Updated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006
# FW : Norton Internet Security 2006[ Enabled ]2006

# C:\ # Disque fixe local # 92,96 Go (1,95 Go free) # NTFS
# D:\ # Disque CD-ROM
# F:\ # Disque fixe local # 465,65 Go (409,45 Go free) [IOMEGA_HDD] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ltmoh\Ltmoh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Program Files\TOSHIBA\E-KEY\CeEKey.exe
C:\Program Files\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\WINDOWS\system32\TPSMain.exe
C:\Program Files\TOSHIBA\Utilitaire de zoom TOSHIBA\SmoothView.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\TOSHIBA\Commandes TOSHIBA\TFncKy.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Program Files\TOSHIBA\Touch and Launch\PadExe.exe
C:\Program Files\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program Files\CardDetector\HUAWEI\CardDetector.exe
C:\Program Files\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Sony Shared\AVLib\SSScsiSV.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Fichiers communs\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Live\Contacts\wlcomm.exe
C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |


################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\OLIVIER\Application Data |

################## | Autres detections ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Présent ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Présent ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Présent ! [HKLM\software\microsoft\security center] "FirewallOverride"
Présent ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )


################## | Cracks / Keygens / Serials |

"C:\Program Files\NEC\Drivers\SerialConv\Win9X\DRemover98_2K.exe"
12/11/2003 17:41 |Size 135427 |Crc32 3e4a0a8a |Md5 449f634e21cb1dbae3db58985828c97f

"C:\Program Files\NEC\Drivers\SerialConv\WinNT\DRemover.exe"
12/11/2003 17:40 |Size 135427 |Crc32 3e4a0a8a |Md5 449f634e21cb1dbae3db58985828c97f

"F:\Donn‚es\Utilitaires\WinAce_WinRar_WinZip\Winzip v8.1 with serial code\KEYGEN.EXE"
10/12/2001 20:13 |Size 19968 |Crc32 04592748 |Md5 88aadcec4642a287ba0a94cd98e089d7

"F:\Donn‚es\Utilitaires\WinAce_WinRar_WinZip\Winzip v8.1 with serial code\winzip81.exe"
22/03/2001 20:10 |Size 1803848 |Crc32 2abc9e31 |Md5 2b8933f6d1f2802dd0fe95c84aac60c7

"F:\Donn‚es\Utilitaires\Photoshop\Cr-photoshop7\Crack.exe"
10/11/2002 07:01 |Size 32327 |Crc32 6e399f2b |Md5 b4ddda2cce33327adabcac246e0d6089


################## | ! Fin du rapport # FindyKill V5.015 ! |

Relance FindyKill, choix 2 et poste le rapport.

Ensuite, enchaîne avec le scan BitDefender et poste aussi le rapport.

salut,

voila le nouveau rapport de Findykill.
Le scan de BitDefender n'a pas fonctionné...


############################## | FindyKill V5.015 |

# User : OLIVIER (Administrateurs) # FLYBOD
# Update on 24/10/2009 by Chiquitine29
# Start at: 22:33:56 | 25/10/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) M processor 1.73GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 7.0.5730.11
# Windows Firewall Status : Disabled
# AV : Norton Internet Security 2006 2006 [ Enabled | Updated ]
# FW : Norton Internet Worm Protection[ (!) Disabled ]2006
# FW : Norton Internet Security 2006[ Enabled ]2006

# C:\ # Disque fixe local # 92,96 Go (1,9 Go free) # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque amovible # 1,89 Go (1,2 Go free) [KINGSTON] # FAT
# F:\ # Disque fixe local # 465,65 Go (409,45 Go free) [IOMEGA_HDD] # FAT32

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccProxy.exe
C:\Program Files\Fichiers communs\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |


################## | C:\WINDOWS |

Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

################## | C:\WINDOWS\system32 |


################## | C:\WINDOWS\system32\drivers |


################## | C:\Documents and Settings\OLIVIER\Application Data |

################## | Autres suppressions ... |

################## | Temporary Internet Files |


################## | Registre / Clés infectieuses |

Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusDisableNotify"
Supprimé ! [HKLM\software\microsoft\security center] "AntiVirusOverride"
Supprimé ! [HKLM\software\microsoft\security center] "FirewallDisableNotify"
Supprimé ! [HKLM\software\microsoft\security center] "FirewallOverride"
Supprimé ! [HKLM\software\microsoft\security center] "UpdatesDisableNotify"

################## | Etat / Services / Informations |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

################## | PEH ... |


################## | Cracks / Keygens / Serials |

"C:\Program Files\NEC\Drivers\SerialConv\Win9X\DRemover98_2K.exe"
12/11/2003 17:41 |Size 135427 |Crc32 3e4a0a8a |Md5 449f634e21cb1dbae3db58985828c97f

"C:\Program Files\NEC\Drivers\SerialConv\WinNT\DRemover.exe"
12/11/2003 17:40 |Size 135427 |Crc32 3e4a0a8a |Md5 449f634e21cb1dbae3db58985828c97f

"F:\Donn‚es\Utilitaires\WinAce_WinRar_WinZip\Winzip v8.1 with serial code\KEYGEN.EXE"
10/12/2001 20:13 |Size 19968 |Crc32 04592748 |Md5 88aadcec4642a287ba0a94cd98e089d7

"F:\Donn‚es\Utilitaires\WinAce_WinRar_WinZip\Winzip v8.1 with serial code\winzip81.exe"
22/03/2001 20:10 |Size 1803848 |Crc32 2abc9e31 |Md5 2b8933f6d1f2802dd0fe95c84aac60c7

"F:\Donn‚es\Utilitaires\Photoshop\Cr-photoshop7\Crack.exe"
10/11/2002 07:01 |Size 32327 |Crc32 6e399f2b |Md5 b4ddda2cce33327adabcac246e0d6089


################## | ! Fin du rapport # FindyKill V5.015 ! |

Attention aux cracks & keygens :

http://forum.malekal.com/danger-des-cracks-t893.html

---
Clique droit sur SdFix (par AndyManchesta)

Choisis "Enregistrer sous" (dans IE c'est "Enregistrer la cible/le lien sous..") et sauvegarde-le (Enregistrer dans) sur le Bureau.

Important : dans "Nom du fichier" enregistre (renomme) "sdfix" ou "SdFix.exe" en sd-fix.exe

Redémarre en mode sans échec (de préférence par F8 au démarrage).

--------------------------------------------
Tu n' auras pas accès à Internet pendant le "mode sans échec".
Aussi, copie/colle la procédure dans un fichier texte (word) et mets-la
sur le "bureau" pour l' avoir à ta disposition.
--------------------------------------------

Sur le bureau, double-clique sur sd-fix.exe et choisis Install pour l'extraire sur le Bureau.
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.cmd (ou RunThis.bat) pour lancer le script.

Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre des trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.

Appuie sur une touche pour redémarrer le PC.

Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.

Après le chargement du Bureau, l'outil terminera son travail et affichera "Finished".
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.

Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Copie/colle le contenu du fichier Report.txt dans ta prochaine réponse.

Tuto : http://www.malekal.com/tutorial_SDFix.php

---
Ensuite, fais un scan HijackThis et poste le rapport.