|
|
Auteur
|
Message
|
1
|
|
|
|
Bonjour !
Tout d'abord merci aux personnes qui nous aident à nous désinfecter sur les forums.
L'ordinateur infecté sert à toute la famille, chacun a sa session. Windows XP SP2 à jour hormis la mise à jour SP3 ; il est impossible de télécharger.
Solution de protection : Trend Micro Pc-cillin Internet Security 2007
Les différentes étapes de la découverte jusqu'à aujourd'hui :
Pour faire court vous pouvez directement aller à l'étape 5
1- Internet explorer affiche une pop-up (que bloque Pc-cillin) à chaque connexion sur un site et on a plus moyen de faire de recherches sur internet (on lance un moteur de recherche, mais la recherche n'aboutit jamais). De plus l'ordinateur rame beaucoup plus que d'habitude.
2- On m'appelle à la rescousse et je me dis que c'est un virus ou un spyware. Je scan avec l'anti-virus puis avec ad-aware. Ils ne trouvent rien. J'installe Spybot il me trouve Virtumonde et le supprime, mais visiblement ça ne change rien.
3-J'effectue quelques recherches sur internet avec mon Pc(un autre) et je découvre le site de Malekal notamment (qui est très intéressant). Je commence alors à faire un peu de ménage dans les applications lancées mais certaines suspectes se relancent automatiquement. Je désinstalle Ad-aware et Spybot. Les fenêtre popup sont quasiment inexistantes mais les recherches sont toujours impossibles. Je remarque que lorsque je supprime le processus explorer.exe je peut alors de nouveau effectuer des recherches internet.
4-Je fais un scan avec VundoFix et Virtumondo... mais sa ne donne rien. Pc-cillin détecte un Trojan Vundo et le supprime. Les recherches son désormais possibles mais ayant quelques doutes (le Pc rame toujours comme un malade), je n'en reste pas là.
5-J'installe Malwarebytes et j'effectue un scan en mode sans échec et une dizaine de virtumonde sont trouvés dans system32. Pc-cillin nous informe régulièrement que quelque chose veut effectuer 5000 modifications sur internet explorer (que l'on refuse). Visiblement le Pc est toujours infecté. Je découvre le principe des forums de désinfection.
Quelques virus détectés par Pc-cillin ces derniers temps :
Trojan Vundo (supprimés)
Pak_Generic.001 (echec quarantaine)
Trojan Upolyx (supprimés)
Trojan Nsis (supprimés)
Trojan Wimad (supprimés)
Aussi merci de me prévenir si il faut sauvegarder les données ou si on pourra toujours les récupérer après une opération.
Sinon je suis en train de montrer les nombreux avantage de firefox à ma famille.
S'il faut j'ai un deuxième Pc (portable)
Peut-on surfer entre les procédures de désinfection ?
Merci d'avance !
-->Message édité par sacrax00 le 04/07/2008 13:34:23<--
|
|
|
|
|
|
J'oubliais : au début je n'avais pas de réponse aux touches Ctrl Alt Suppr.
|
|
Imagine ...
|
|
|
 sacrax00 et ... ![[:kmisol:2]](/data/globaldata/usmilies/kmisol-2.gif "[:kmisol:2]")
Pour faire court, fais un scan HijackThis et poste le rapport.
|
|
|
|
|
Voilà !!
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:54:17, on 01/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: (no name) - {57D10F85-165C-4DB4-91C6-DEBDE891B3C1} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AFD21B75-DD5F-43AD-B752-2CADC8E406C2} - (no file)
O2 - BHO: (no name) - {FA46C869-56B7-4F52-A36F-DEBD42C93C36} - (no file)
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O10 - Broken Internet access because of LSP provider 'c:\program files\bonjour\mdnsnsp.dll' missing
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{080F0E89-E456-463E-874F-4539538B7139}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{080F0E89-E456-463E-874F-4539538B7139}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{080F0E89-E456-463E-874F-4539538B7139}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: iifcDTmM - iifcDTmM.dll (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
--
End of file - 6070 bytes
Si ça ne vous dérange pas j'aimerais bien comprendre comment vous faites votre diagnostique, j'aimerai bien apprendre a soigner tout ça docteur 
Merci !
-->Message édité par sacrax00 le 01/07/2008 22:00:26<--
|
|
Imagine ...
|
|
|
...
(si ce n’ est déjà fait) Télécharge CCleaner …
("Download Latest Version", sur la droite) et laisse-toi guider.
Ne coche pas "Ajouter la barre d' outils Yahoo".
Laisse-le s’ installer tel que …
Ferme toutes les fenêtres et applications.
Relance HijackThis et clique sur > Do a system scan only puis, coche
les cases devant les lignes qui suivent (et uniquement ces lignes), si tjrs présentes :
O2 - BHO: (no name) - {57D10F85-165C-4DB4-91C6-DEBDE891B3C1} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AFD21B75-DD5F-43AD-B752-2CADC8E406C2} - (no file)
O2 - BHO: (no name) - {FA46C869-56B7-4F52-A36F-DEBD42C93C36} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O20 - Winlogon Notify: iifcDTmM - iifcDTmM.dll (file missing)
Ensuite, clique sur > Fix checked et valide par "Yes". Referme HijackThis.
Lance CCleaner ...
Clique sur > Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
(re)Lance le nettoyage et (re)confirme par OK.
-------
Sur ton bureau, télécharge GenProc (de narco4 & jean-chretien1)
Dézippe le dossier ; double-clique sur GenProc.bat ![[:jean-chretien1:3]](/data/globaldata/usmilies/jeanchretien1-3.gif "[:jean-chretien1:3]") … et poste
le contenu du rapport qui s'ouvre (que tu découvres une procédure ou pas !).
![[:Poulbot:6]](/data/globaldata/usmilies/poulbot-6.gif "[:Poulbot:6]") Aide en images
|
|
|
|
|
le rapport :
Rapport GenProc 1.972 [1] effectué le 01/07/2008 à 22:57:50,57 - Windows XP
Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.
# Etape 1/ Télécharge :
- VundoFix.exe (Atribune) http://www.atribune.org/ccount/click.php?id=4 sur ton Bureau
- combofix.exe (sUBs) http://download.bleepingcomputer.com/sUBs/ComboFix.exe sur ton Bureau
***** Copie la suite de la procédure dans un fichier texte et redémarre en mode sans échec comme indiqué ici http://www.pcloisirs.eu/mode_sans_echec.htm (choisis ta session courante "sacrax00") *****
# Etape 2/
* Double-clique VundoFix.exe afin de le lancer, puis clique sur le bouton "Scan for Vundo". Lorsque le scan est complété, clique sur le bouton "Fix Vundo", une invite te demandera si tu veux supprimer les fichiers, clique YES : le Bureau disparaîtra un moment lors de la suppression des fichiers. Tu verras une invite qui t'annonce que ton PC va redémarrer : clique OK
Note: Il est possible que VundoFix soit confronté à un fichier qu'il ne peut supprimer. Si tel est le cas, l'outil se lancera au prochain redémarrage; il faut simplement suivre les instructions ci-haut, à partir de "clique sur le bouton Scan for Vundo
* Double clique combofix.exe. Tape sur la touche Y (Yes) pour démarrer le scan ; lorsque le scan sera complété, un rapport apparaîtra.
# Etape 3/
Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.
# Etape 4/
Redémarre normalement et poste, dans la même réponse :
- Un nouveau rapport HijackThis, toutes fenêtres et applications fermées http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.exe ;
- Le contenu du rapport situé dans C:\vundofix.txt ;
- Le contenu du rapport situé dans C:\Combofix.txt ;
Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.
-->Message édité par sacrax00 le 03/07/2008 18:33:11<--
|
|
Imagine ...
|
|
|
...
Mets la procédure en application et poste les rapports.
|
|
|
|
|
Bonjour
Je suis sur un autre ordi en ce moment.
Apparemment j'ai un souci avec ComboFix : je me suis absenté durant l'exécution de ComboFix et quand je suis revenu l'ordi avais redémarré en mode normal et mon anti-virus avait bloqué ComboFix, je l'ai débloqué, mais ComboFix n'a jamais réagit. Je viens de le relancer en mode sans echec pour obtenir un rapport (j'ai peur qu'il n'y ait plus rien d'intéressant dessus) mais apparemment ce coup si ComboFix n'a pas redémarré (sans doute qu'il n'a plus rien a supprimer) mais il bloque de nouveau au moment de délivrer un rapport (sa fait 20 minutes).
|
|
|
|
|
le rapport VundoFix :
VundoFix V7.0.6
Scan started at 21:39:57 29/06/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
VundoFix V7.0.6
Scan started at 23:26:04 01/07/2008
Listing files found while scanning....
No infected files were found.
Beginning removal...
Beginning removal...
Beginning removal...
Je n'ai pas de rapport Combofix pour les raisons expliquées ci-dessus
Le rapport HijackThis :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:24, on 2008-07-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{080F0E89-E456-463E-874F-4539538B7139}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{080F0E89-E456-463E-874F-4539538B7139}: NameServer = 192.168.1.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{080F0E89-E456-463E-874F-4539538B7139}: NameServer = 192.168.1.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Protection Trend Micro contre les programmes espions (PcScnSrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
--
End of file - 5291 bytes
J'espère que ça suffira
|
|
Imagine ...
|
|
|
sacrax00
Fais un scan en ligne avec Kaspersky …
En bas de page, clique sur > Accept.
Laisse faire les définitions, mises à jour et installation d' ActiveX.
Puis, clique sur Next (suivant) > My Computer (Poste de travail).
Le scan commence. Patiente ...
Une fois le scan achevé, clique sur > Save report (enregistrer rapport sous …)
et enregistre-le quelque part (ex. bureau ou « mes documents »).
Poste-le dans ta prochaine réponse.
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée",
va dans Ajout/Suppres… de progr., puis désinstalle On-Line Scanner.
Ensuite, reconnecte-toi sur le site de Kaspersky pour retenter le scan en ligne.
|
|
|
|
|
Bonsoir kmisol et merci !
le rapport kaspersky
Wednesday, July 02, 2008 2:45:08 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 2/07/2008
Enregistrements dans la base antivirus Kaspersky : 806694
Paramètres d'analyse
Analyser avec la base antivirus suivante standard
Analyser les archives vrai
Analyser les bases de messagerie vrai
Cible de l'analyse Poste de travail
A:\
C:\
D:\
E:\
Statistiques de l'analyse
Total d'objets analysés 287094
Nombre de virus trouvés 1
Nombre d'objets infectés 1 / 0
Nombre d'objets suspects 0
Durée de l'analyse 02:01:24
Nom de l'objet infecté Nom du virus Dernière action
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\80c963645377a10053432137349bebf3_a68405ed-57e7-44bf-a25d-3237ea4353b3 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\86a8610737599eda95462d27941fe36a_a68405ed-57e7-44bf-a25d-3237ea4353b3 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\8d3bbfdc9bce269cda5c08b7fc514127_a68405ed-57e7-44bf-a25d-3237ea4353b3 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\ba0d6367129f63e30f9a7a776d133ffa_a68405ed-57e7-44bf-a25d-3237ea4353b3 L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\sacrax00\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\sacrax00\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\sacrax00\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\sacrax00\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\sacrax00\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat L'objet est verrouillé ignoré
C:\Documents and Settings\sacrax00\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\sacrax00\ntuser.dat L'objet est verrouillé ignoré
C:\Documents and Settings\sacrax00\NTUSER.DAT.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\System Volume Information\_restore{08F49C4F-E46C-4A00-AC6C-2BE7072969F7}\RP219\A0082770.exe Infecté : Trojan.Win32.Shutdowner.lc ignoré
C:\System Volume Information\_restore{08F49C4F-E46C-4A00-AC6C-2BE7072969F7}\RP225\change.log L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\Internet.evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.
-->Message édité par sacrax00 le 03/07/2008 18:35:55<--
|
|
Imagine ...
|
|
|
...
 ...
Fais un scan avec Malwarebytes Anti-malware et poste le rapport.
PS : pour supprimer les infections, choisis l'option Supprimer la sélection
ou clique sur le bouton Remove Selected (version anglaise) en bas à gauche.
-->Message édité par kmisol le 02/07/2008 22:37:42<--
|
|
|
|
|
|
J'avais déjà Malwarebytes (suite à un peu de lecture sur le site de Malekal) mais apparemment il ne veut pas se lancer. Sa m'est déjà arrivé je crois (erreur 732(2)). Bon je le réinstalle et je scan tout ça.
|
|
|
|
|
Apparement quelques secondes après avoir lancé Malwarebytes, PC-cillin me demande de redémarrer l'ordinateur pour terminer la suppression de virus, et si j'accepte Malwarebytes ne fonctionne plus, si je refuse tout va bien. J'en déduis que PC-cillin prend Malwarebytes pour un virus. Sinon PC-cillin me trouve encore un Vundo dans les fichiers pour les restoration, je vais donc les désactiver puis réactiver tout ça histoire de supprimer ces fichiers.
Bon voilà le rapport de Malwarebytes:
Malwarebytes' Anti-Malware 1.19
Version de la base de données: 915
Windows 5.1.2600 Service Pack 2
23:40:50 2008-07-02
mbam-log-7-2-2008 (23-40-50).txt
Type de recherche: Examen complet (C:\|)
Eléments examinés: 324890
Temps écoulé: 1 hour(s), 4 minute(s), 59 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
|
|
Imagine ...
|
|
|
Salut sacrax00
PC-cillin me trouve encore un Vundo dans les fichiers pour
les restoration, je vais donc les désactiver puis réactiver tout ça
histoire de supprimer ces fichiers.
Si tu as purgé la restauration du système comme ceci ...
Dans le menu Démarrer, clique droit sur l'icône Poste de travail.
Dans le menu qui s'affiche, clique sur Propriétés .
Dans l'onglet Restauration du système de la fenêtre qui suit, coche la
case Désactiver la Restauration du système sur tous les lecteurs, clique sur
Appliquer et, quand un message te le demande, confirme la désactivation.
Après quelques secondes d'attente (ou après avoir redémarré le PC), décoche la
case Désactiver la Restauration du système sur tous les lecteurs.
Clique sur OK. ... En principe, plus de problème !
Par mesure de sécurité, un autre scan en ligne avec BitDefender fera l' affaire.
Poste (copie-colle) le rapport dans ton prochain message.
Mais, on peut d' ores et déjà considérer le problème comme résolu.
|
|
|
|
|
J'ai confié le soin d'enregistrer le rapport à la fin du scan à un membre de ma famille mais apparemment, il n'y avait qu'une option envoyer un rapport. Sinon Bitdefender n'a trouvé aucun virus ou autre.
Merci kmisol pour le temps consacré a mon problème !
|
|
Imagine ...
|
|
|
...
![[:wildbof:9]](/data/globaldata/usmilies/wildbof-9.gif "[:wildbof:9]") ...
Si tu estimes que ton problème est réglé,
replaces-toi sur ton 1er message et clique sur  .
Une fois dans le message, inscris (copie/colle) en titre, ce qui suit, en gras …
Infecté par Trojan Vundo et cie [résolu]
… et clique sur > Poster ce message.
******
Quelques conseils ...
http://www.malekal.com/securiser_ordinateur.html
et aussi ...
http://www.malekal.com/securiser_internet_explorer.html
HijackThis ...
http://www.zebulon.fr/dossiers/56-analyse-rapports-hijackthis.html
http://www.zebulon.fr/dossiers/43-hijackthis.html
-------
Bon surf
|
|
|
|
|
@ kmisol
Un grand merci pour le temps consacré à mon problème
A une prochaine fois peut-être, mais je l'espère pas pour une raison de virus...
|
|
Imagine ...
|
|
|
1
|
|
|
|
