[Résolu] infections : kbdnet.dll / mscert.dll / Virut

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

drummerman1

[Résolu] infections : kbdnet.dll / mscert.dll / Virut

par drummerman1 »

Bonsoir,
Etant novice en matière de désinfection je fais appel a vos talents, j'ai depuis 3/4 jours des messages d'alerte de malwarebytes au sujet de processus qui tentent de se lancer, après analyse le rapport m'indique des fichiers infectés dans le registre et dans System32, j'hésite à les supprimer. Pouvez vous analyser ce rapport et me donner votre avis.
J'ai ensuite Avast qui m'annonce des infections, mais je veux avant de vous faire part de cela remplacer Avast par Antivir.
Je suis sous XP PRO SP3



Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 3

02/11/2009 22:25:31
mbam-log-2009-11-02 (22-25-28).txt

Type de recherche: Examen complet (C:\|I:\|)
Eléments examinés: 143317
Temps écoulé: 22 minute(s), 2 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\igfxtray (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\persistence (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-24sf-n84p (Worm.AutoRun) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Worm.AutoRun) -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\igfxtray.exe (Trojan.FakeAlert.H) -> No action taken.


Merci pour votre aide
Malekal_morte
Messages : 108345
Inscription : 10 sept. 2005 13:57

Re: infections virales multiples

par Malekal_morte »

Salut,
drummerman1 a écrit : j'ai depuis 3/4 jours des messages d'alerte de malwarebytes au sujet de processus qui tentent de se lancer
Quel est le contenu exact de l'alerte ?


~~


Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : combofix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofi ... r-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
drummerman1

Re: infections virales multiples

par drummerman1 »

Merci Malekal,

ci dessous le rapport de combofix. Pour info, ça peut être important, lors de la première étape d'analyse Combofix ayant détecté un rootkit a du redemarrer le pc, au redémarrage Antivir c'est relancé et m'a gratifié de nombreux bip en me signalant des infections, pour ne pas gener le fonctionnement de Combofix je me suis contenté de cliquer sur ignorer à chaque message.

ComboFix 09-11-01.04 - Administrateur 03/11/2009 0:16.1.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2037.1524 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\alcmtr .exe
c:\documents and settings\Administrateur\alcmtr.exe
c:\documents and settings\Administrateur\Application Data\inst.exe
c:\documents and settings\Administrateur\rthdcpl .exe
c:\documents and settings\Administrateur\rthdcpl.exe
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1858
c:\recycler\S-1-5-21-7953972452-9661361094-148170912-7455
c:\windows\kbdnet.dll
c:\windows\system32\ctfmon .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\mscert.dll

Une copie infectée de c:\windows\System32\DRIVERS\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty ate it :p
.
((((((((((((((((((((((((((((( Fichiers créés du 2009-10-02 au 2009-11-02 ))))))))))))))))))))))))))))))))))))
.

2009-11-02 22:19 . 2009-11-02 22:32 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-02 22:19 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-02 22:19 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-02 22:19 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-02 22:19 . 2009-11-02 22:19 -------- d-----w- c:\program files\Avira
2009-11-02 22:19 . 2009-11-02 22:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-11-02 06:46 . 2009-11-02 23:02 30208 ----a-w- c:\windows\system32\igfxpers.exe
2009-11-01 22:38 . 2009-11-01 22:39 -------- d-----w- c:\program files\XoftSpySE
2009-11-01 22:25 . 2009-11-01 22:25 -------- d-----w- c:\documents and settings\All Users\Application Data\XoftSpySE
2009-11-01 20:48 . 2009-11-01 20:48 -------- d-----w- C:\downloads
2009-11-01 20:48 . 2009-11-01 20:48 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FMZilla
2009-10-31 22:50 . 2009-10-31 22:24 15880 ----a-w- c:\windows\system32\lsdelete.exe
2009-10-31 22:25 . 2009-10-31 22:25 93360 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-10-31 22:02 . 2009-10-31 22:02 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-10-31 21:17 . 2009-10-31 21:17 30208 ----a-w- C:\ecjew.exe
2009-10-29 22:07 . 2009-10-29 22:07 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Cyberlink
2009-10-29 19:46 . 2009-10-29 19:46 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\PowerDVDCox
2009-10-29 19:46 . 2009-10-29 19:46 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\PowerDVDCinema
2009-10-28 22:47 . 2009-10-29 19:52 -------- d-----w- c:\program files\CyberLink
2009-10-28 22:30 . 2009-11-02 20:54 34966 ----a-w- c:\windows\system32\uses32.dat
2009-10-28 21:10 . 2009-10-29 19:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\CyberLink
2009-10-28 21:10 . 2009-10-29 19:52 -------- d-----w- c:\documents and settings\All Users\Application Data\CyberLink
2009-10-28 21:09 . 2009-10-28 21:09 -------- d-----w- c:\program files\Fichiers communs\CyberLink
2009-10-28 21:08 . 2009-10-29 22:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Temp
2009-10-28 20:37 . 2009-10-28 20:37 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2009-10-28 20:20 . 2009-10-28 20:20 -------- d-----w- c:\documents and settings\All Users\Application Data\vsosdk
2009-10-21 13:57 . 2009-10-21 13:57 -------- d-----w- c:\program files\Mindscape

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-02 23:15 . 2009-01-29 10:24 16608 ----a-w- c:\windows\gdrv.sys
2009-11-02 23:12 . 2009-08-31 04:34 -------- d-----w- c:\documents and settings\Administrateur\Application Data\DNA
2009-11-02 23:02 . 2009-01-29 10:29 30208 ----a-w- c:\windows\system32\hkcmd.exe
2009-11-02 23:02 . 2009-01-29 10:29 30208 ----a-w- c:\windows\system32\igfxtray.exe
2009-11-02 23:02 . 2009-01-29 14:09 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-11-02 23:02 . 2009-08-31 04:34 -------- d-----w- c:\program files\DNA
2009-11-02 20:59 . 2009-08-31 06:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-01 22:35 . 2009-01-29 14:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-11-01 20:52 . 2009-08-31 04:37 -------- d-----w- c:\program files\Free Music Zilla
2009-11-01 20:48 . 2009-08-31 04:34 -------- d-----w- c:\program files\MediaCoder
2009-10-29 22:06 . 2009-01-28 21:31 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-29 19:49 . 2009-09-02 06:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\BitTorrent
2009-10-28 20:27 . 2009-08-31 09:56 -------- d-----w- c:\program files\DVDFab 5
2009-10-28 20:08 . 2009-08-31 09:56 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Vso
2009-10-25 22:46 . 2009-08-31 09:50 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FileZilla
2009-10-19 18:24 . 2009-08-31 09:47 -------- d-----w- c:\program files\FileZilla FTP Client
2009-09-25 05:36 . 2009-01-28 20:49 671232 ----a-w- c:\windows\system32\wininet.dll
2009-09-25 05:36 . 2009-01-28 21:02 81920 ------w- c:\windows\system32\ieencode.dll
2009-09-23 12:55 . 2009-08-31 02:04 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-09-11 14:18 . 2001-09-28 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-10 13:54 . 2009-08-31 06:01 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 13:53 . 2009-08-31 06:01 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-09 21:41 . 2009-09-09 21:41 -------- d--h--w- c:\documents and settings\All Users\Application Data\CanonBJ
2009-09-04 21:04 . 2001-09-28 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-09-04 14:19 . 2009-09-04 14:19 -------- d-----w- c:\documents and settings\Administrateur\Application Data\AdobeUM
2009-09-04 07:05 . 2009-08-31 09:40 -------- d-----w- c:\program files\AVS4YOU
2009-09-02 21:45 . 2009-09-02 21:45 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-31 09:56 . 2009-08-31 09:56 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2009-08-31 09:56 . 2009-08-31 09:56 47360 ----a-w- c:\documents and settings\Administrateur\Application Data\pcouffin.sys
2009-08-31 09:46 . 2009-01-28 21:07 48552 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-31 02:10 . 2001-09-28 12:00 63854 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-31 02:10 . 2001-09-28 12:00 445434 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-26 08:01 . 2009-01-28 20:49 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-06 18:24 . 2009-01-28 21:02 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 18:24 . 2009-01-28 21:02 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 18:24 . 2009-01-28 21:02 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 18:24 . 2008-10-16 13:09 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 18:24 . 2009-01-28 20:49 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-08-06 18:24 . 2009-01-28 20:49 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 18:23 . 2009-01-28 21:02 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 18:23 . 2009-01-28 20:49 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 09:00 . 2009-01-28 20:49 205312 ----a-w- c:\windows\system32\mswebdvd.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-11-02 30208]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-08-31 342848]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-08-19 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="m’|\ü" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2009-11-02 30208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-11-02 30208]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-11-02 30208]
"Norton Ghost 9.0"="c:\program files\Symantec\Norton Ghost\Agent\GhostTray.exe" [2009-11-02 30208]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-10-31 788368]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2009-11-02 30208]
"SecurDisc"="c:\program files\Nero\Nero8\InCD\NBHGui.exe" [2009-11-02 30208]
"InCD"="c:\program files\Nero\Nero8\InCD\InCD.exe" [2009-11-02 30208]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2006-11-22 813912]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2007-02-05 849280]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-02 149280]
"RemoteControl9"="c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-07-06 87336]
"PDVD9LanguageShortcut"="c:\program files\CyberLink\PowerDVD9\Language\Language.exe" [2009-04-27 50472]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-11-02 30208]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-09-10 420176]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2009-8-31 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\kbdnet.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
appsecdll REG_SZ c:\windows\system32\mscert.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Free Video Zilla\\FVZilla.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=
"c:\\Program Files\\Free Music Zilla\\FMZilla.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [31/08/2009 03:04 64288]
R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [02/08/2004 17:04 138780]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [02/08/2004 17:23 46779]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/10/29 19:47];c:\program files\CyberLink\PowerDVD9\000.fcl [01/09/2009 16:59 87536]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/11/2009 23:19 108289]
R2 GEST Service;GEST Service for program management.;c:\program files\GIGABYTE\EnergySaver\GSvr.exe [29/01/2009 11:26 80392]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 12:17 1179232]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [31/08/2009 07:01 269648]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [19/08/2009 16:37 92008]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [31/08/2009 07:01 19160]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MBR
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
Contenu du dossier 'Tâches planifiées'

2009-10-31 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 22:09]

2009-11-02 c:\windows\Tasks\XoftSpySE 2.job
- c:\program files\XoftSpySE\XoftSpy.exe [2007-07-13 12:30]

2009-11-01 c:\windows\Tasks\XoftSpySE.job
- c:\program files\XoftSpySE\XoftSpy.exe [2007-07-13 12:30]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.msn.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-c:\program files\Free Video Zilla\FVZilla.exe - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-03 00:26
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
Heure de fin: 2009-11-02 0:27
ComboFix-quarantined-files.txt 2009-11-02 23:27

Avant-CF: 22 695 714 816 octets libres
Après-CF: 22 862 598 144 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /fastdetect /NoExecute=OptIn

- - End Of File - - CED0E2D74F73179E2CD2D3DBE21BD826
drummerman1

Re: infections virales multiples

par drummerman1 »

Bonjour,
Ce matin 4 fichiers infectés trouvés par Antivir : cheval de troie TR\agent.ANVH

c:/windows/system32/IGFXTRAY.exe supprimé
c:/sysem32/HKCMD.exe ignoré
c:/windows/system32/IGFXPERS.exe ignoré
c:/program files/symantec/nortonGhost /Agent/Ghosttray.exe ignoré

j'ai supprimé le premier car à priori ça ne risquait rien, pour les 3autres j'en savais rien alors dans le doute...
Malekal_morte
Messages : 108345
Inscription : 10 sept. 2005 13:57

Re: infections virales multiples

par Malekal_morte »

putain le sale pack :(
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Administrateur\alcmtr .exe
c:\documents and settings\Administrateur\alcmtr.exe
c:\documents and settings\Administrateur\Application Data\inst.exe
c:\documents and settings\Administrateur\rthdcpl .exe
c:\documents and settings\Administrateur\rthdcpl.exe
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1811
c:\recycler\S-1-5-21-0243936033-3052116371-381863308-1858
c:\recycler\S-1-5-21-7953972452-9661361094-148170912-7455
c:\windows\kbdnet.dll
c:\windows\system32\ctfmon .exe
c:\windows\system32\hkcmd .exe
c:\windows\system32\igfxpers .exe
c:\windows\system32\igfxtray .exe
c:\windows\system32\mscert.dll
C'est ça : http://forum.malekal.com/kbdnet-dll-msc ... 21664.html

~~
Une copie infectée de c:\windows\System32\DRIVERS\atapi.sys a été trouvée et désinfectée
Copie restaurée à partir de - Kitty ate it :p
C'est ça : http://www.youtube.com/user/Malekalmorte75
Si c'est le cas, c'est pas une bonne nouvelle. On va voir ce que GMER donne.

~~
2009-11-01 22:38 . 2009-11-01 22:39 -------- d-----w- c:\program files\XoftSpySE
2009-11-01 22:25 . 2009-11-01 22:25 -------- d-----w- c:\documents and settings\All Users\Application Data\XoftSpySE
A désinstaller par ajout/suppression de programmes.

~~
Supprime : c:\windows\system32\uses32.dat

Envoie C:\ecjew.exe sur http://upload.malekal.com
Vas sur http://upload.malekal.com
clic sur parcourir et sélectionne le fichier : C:\ecjew.exe(clic sur poste de travail à gauche puis Disque C --> ecjew.exe )
Ne touche pas au champs "Choisir le dossier de destination"
Clic sur envoyer fichier

~~

Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
drummerman1

Re: infections virales multiples

par drummerman1 »

Malekal, je fais ça ce soir, boulot oblige, juste une question : penses-tu que les autres partitions de mon disque puissent être infectées, mon disque fait 500go et j'ai 2 partitions de 40 (mon C: et une sauvegarde ghost J:) le reste est une partition de stockage film/musique/photos et programmes téléchargés ?
Malekal_morte
Messages : 108345
Inscription : 10 sept. 2005 13:57

Re: infections virales multiples

par Malekal_morte »

Si y a pas de virus (dans le vrai sens du terme) non.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
drummerman1

Re: infections virales multiples

par drummerman1 »

Bonsoir Malekal,

Ci dessous le rapport GMER, mais d'abord le point sur les autres actions :
2009-11-01 22:38 . 2009-11-01 22:39 -------- d-----w- c:\program files\XoftSpySE
2009-11-01 22:25 . 2009-11-01 22:25 -------- d-----w- c:\documents and settings\All Users\Application Data\XoftSpySE
A désinstaller par ajout/suppression de programmes.

Ok fait
Malekal_morte a écrit :Supprime : c:\windows\system32\uses32.dat

Fait Itou

Envoie C:\ecjew.exe sur http://upload.malekal.com
Vas sur http://upload.malekal.com
clic sur parcourir et sélectionne le fichier : C:\ecjew.exe(clic sur poste de travail à gauche puis Disque C --> ecjew.exe )
Ne touche pas au champs "Choisir le dossier de destination"
Clic sur envoyer fichier
Là par contre j'ai pas remis la main (ou le curseur) dessus, a sans doute été supprimé

Le rapport GMER maintenant :

GMER 1.0.15.15163 - http://www.gmer.net
Rootkit scan 2009-11-03 21:44:13
Windows 5.1.2600 Service Pack 3
Running: kiydkl7u.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\kwtoyuog.sys


---- System - GMER 1.0.15 ----

SSDT BA68D026 ZwCreateKey
SSDT BA68D01C ZwCreateThread
SSDT BA68D02B ZwDeleteKey
SSDT BA68D035 ZwDeleteValueKey
SSDT BA68D03A ZwLoadKey
SSDT BA68D008 ZwOpenProcess
SSDT BA68D00D ZwOpenThread
SSDT BA68D044 ZwReplaceKey
SSDT BA68D03F ZwRestoreKey
SSDT BA68D030 ZwSetValueKey
SSDT BA68D017 ZwTerminateProcess

Code \??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys pIofCallDriver

---- Kernel code sections - GMER 1.0.15 ----

? C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\catchme.sys Le fichier spécifié est introuvable. !
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Le fichier spécifié est introuvable. !

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)
AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)
AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 PQV2i.sys (StorageCraft Volume Snap-Shot/StorageCraft)

---- EOF - GMER 1.0.15 ----

Je pense que çe te parle plus qu'à moi
Malekal_morte
Messages : 108345
Inscription : 10 sept. 2005 13:57

Re: infections virales multiples

par Malekal_morte »

Refais un Combofix et poste le rapport ici pour voir.

~~

Désinstalle Ad-Aware, il sert à rien.
D'ailleurs il a pas dû t'aider sur ce coup-ci.

~~

Passe à Antivir, mets le à jour et poste le rapport ici.

~~

Ta version d'Adobe Reader comporte des vulnérabilités qui permettent l'infection de ton système.

Tout est expliqué sur cette page : http://forum.malekal.com/exploitation-s ... 13629.html

Ton PC est donc vulnérable tant que tu n'as pas mis à jour Adobe Reader.

Mets le à jour et prendre l'habitude de maintenir tous tes logiciels à jour sinon c'est l'infection à cout sûr.

Eventuellement faire un scan de vulnérabilités ou installer un des programmes pour prendre l'habitude de maintenir tous les logiciels à jour et donc ne pas avoir de failles de sécurité : https://www.malekal.com/scan_vulnerabilite.php

~~


- Télécharge HiJackThis de Merijnsur ton bureau.
- Double-clic sur HijackThis
- Génère un rapport en suivant ces indications :
- Exécute le et clique sur Do a scan and save log file.
- Le rapport s'ouvre sur le Bloc-Note
- Colle le rapport ici, pour cela :
- Menu Edition / Selectionner Tout
- Menu Edition / copier
- Ici dans un nouveau message : clic droit / coller
Aide : N'hésite pas à consulter l'aide HiJackThis -
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
drummerman1

Re: infections virales multiples

par drummerman1 »

Malekal, Antivir a trouvé 40 résultats positifs il me propose de tout réparer
par exemple c:\program files\cyberlink\shared files\brs.exe infecté par TR\agent.ANVH il me propose les options :
supprimer le fichier vérouiller après redémarrage ou ignorer, d'après ce que j'ai vu je n'ai pratiquement que des .exe de vérolés, si je les supprime y s'passe quoi ? comment je fais pour avoir un rapport sans rien faire ? Apparement j'ai aussi du W32.vitro (ou regit ?) et du TR/vapsup.ucd. Faut que j'panique ou c'est cool ?

Ci dessous le dernier rapport combofix :

ComboFix 09-11-03.01 - Administrateur 03/11/2009 22:24.2.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2037.1449 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\mscert.dll

.
((((((((((((((((((((((((((((( Fichiers créés du 2009-10-03 au 2009-11-03 ))))))))))))))))))))))))))))))))))))
.

2009-11-03 20:45 . 2009-11-03 20:45 34943 ----a-w- c:\windows\system32\uses32.dat
2009-11-02 22:19 . 2009-11-02 22:32 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-11-02 22:19 . 2009-03-30 09:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-11-02 22:19 . 2009-02-13 11:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-11-02 22:19 . 2009-02-13 11:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-11-02 22:19 . 2009-11-02 22:19 -------- d-----w- c:\program files\Avira
2009-11-02 22:19 . 2009-11-02 22:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-11-02 06:46 . 2009-11-02 23:02 30208 ----a-w- c:\windows\system32\igfxpers.exe
2009-11-01 22:38 . 2009-11-03 18:02 -------- d-----w- c:\program files\XoftSpySE
2009-11-01 22:25 . 2009-11-01 22:25 -------- d-----w- c:\documents and settings\All Users\Application Data\XoftSpySE
2009-11-01 20:48 . 2009-11-01 20:48 -------- d-----w- C:\downloads
2009-11-01 20:48 . 2009-11-01 20:48 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FMZilla
2009-10-31 22:50 . 2009-10-31 22:24 15880 ----a-w- c:\windows\system32\lsdelete.exe
2009-10-31 22:25 . 2009-10-31 22:25 93360 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-10-31 22:02 . 2009-10-31 22:02 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-10-29 22:07 . 2009-10-29 22:07 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\Cyberlink
2009-10-29 19:46 . 2009-10-29 19:46 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\PowerDVDCox
2009-10-29 19:46 . 2009-10-29 19:46 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\PowerDVDCinema
2009-10-28 22:47 . 2009-10-29 19:52 -------- d-----w- c:\program files\CyberLink
2009-10-28 21:10 . 2009-10-29 19:46 -------- d-----w- c:\documents and settings\Administrateur\Application Data\CyberLink
2009-10-28 21:10 . 2009-10-29 19:52 -------- d-----w- c:\documents and settings\All Users\Application Data\CyberLink
2009-10-28 21:09 . 2009-10-28 21:09 -------- d-----w- c:\program files\Fichiers communs\CyberLink
2009-10-28 21:08 . 2009-10-29 22:03 -------- d-----w- c:\documents and settings\All Users\Application Data\Temp
2009-10-28 20:37 . 2009-10-28 20:37 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2009-10-28 20:20 . 2009-10-28 20:20 -------- d-----w- c:\documents and settings\All Users\Application Data\vsosdk
2009-10-21 13:57 . 2009-10-21 13:57 -------- d-----w- c:\program files\Mindscape

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-02 23:15 . 2009-01-29 10:24 16608 ----a-w- c:\windows\gdrv.sys
2009-11-02 23:12 . 2009-08-31 04:34 -------- d-----w- c:\documents and settings\Administrateur\Application Data\DNA
2009-11-02 23:02 . 2009-01-29 10:29 30208 ----a-w- c:\windows\system32\hkcmd.exe
2009-11-02 23:02 . 2009-01-29 14:09 -------- d-----w- c:\program files\Spybot - Search & Destroy
2009-11-02 23:02 . 2009-08-31 04:34 -------- d-----w- c:\program files\DNA
2009-11-02 20:59 . 2009-08-31 06:01 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-11-01 22:35 . 2009-01-29 14:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-11-01 20:52 . 2009-08-31 04:37 -------- d-----w- c:\program files\Free Music Zilla
2009-11-01 20:48 . 2009-08-31 04:34 -------- d-----w- c:\program files\MediaCoder
2009-10-29 22:06 . 2009-01-28 21:31 -------- d--h--w- c:\program files\InstallShield Installation Information
2009-10-29 19:49 . 2009-09-02 06:59 -------- d-----w- c:\documents and settings\Administrateur\Application Data\BitTorrent
2009-10-28 20:27 . 2009-08-31 09:56 -------- d-----w- c:\program files\DVDFab 5
2009-10-28 20:08 . 2009-08-31 09:56 -------- d-----w- c:\documents and settings\Administrateur\Application Data\Vso
2009-10-25 22:46 . 2009-08-31 09:50 -------- d-----w- c:\documents and settings\Administrateur\Application Data\FileZilla
2009-10-19 18:24 . 2009-08-31 09:47 -------- d-----w- c:\program files\FileZilla FTP Client
2009-09-25 05:36 . 2009-01-28 20:49 671232 ------w- c:\windows\system32\wininet.dll
2009-09-25 05:36 . 2009-01-28 21:02 81920 ------w- c:\windows\system32\ieencode.dll
2009-09-23 12:55 . 2009-08-31 02:04 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-09-11 14:18 . 2001-09-28 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-10 13:54 . 2009-08-31 06:01 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 13:53 . 2009-08-31 06:01 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-09 21:41 . 2009-09-09 21:41 -------- d--h--w- c:\documents and settings\All Users\Application Data\CanonBJ
2009-09-04 21:04 . 2001-09-28 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-09-02 21:45 . 2009-09-02 21:45 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-31 09:56 . 2009-08-31 09:56 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2009-08-31 09:56 . 2009-08-31 09:56 47360 ----a-w- c:\documents and settings\Administrateur\Application Data\pcouffin.sys
2009-08-31 09:46 . 2009-01-28 21:07 48552 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-31 02:10 . 2001-09-28 12:00 63854 ----a-w- c:\windows\system32\perfc00C.dat
2009-08-31 02:10 . 2001-09-28 12:00 445434 ----a-w- c:\windows\system32\perfh00C.dat
2009-08-26 08:01 . 2009-01-28 20:49 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-06 18:24 . 2009-01-28 21:02 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 18:24 . 2009-01-28 21:02 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 18:24 . 2009-01-28 21:02 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 18:24 . 2008-10-16 13:09 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 18:24 . 2009-01-28 20:49 53472 ------w- c:\windows\system32\wuauclt.exe
2009-08-06 18:24 . 2009-01-28 20:49 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 18:23 . 2009-01-28 21:02 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 18:23 . 2009-01-28 20:49 1929952 ----a-w- c:\windows\system32\wuaueng.dll
.

((((((((((((((((((((((((((((( [email protected]_23.26.11 )))))))))))))))))))))))))))))))))))))))))
.
+ 2001-09-28 12:00 . 2008-04-14 02:33 30720 c:\windows\system32\kbdnet.dll
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-11-02 30208]
"BitTorrent DNA"="c:\program files\DNA\btdna.exe" [2009-08-31 342848]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]
"TomTomHOME.exe"="c:\program files\TomTom HOME 2\TomTomHOMERunner.exe" [2009-08-19 247144]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GEST"="m’|\ü" [X]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2009-11-02 30208]
"Persistence"="c:\windows\system32\igfxpers.exe" [2009-11-02 30208]
"Norton Ghost 9.0"="c:\program files\Symantec\Norton Ghost\Agent\GhostTray.exe" [2009-11-02 30208]
"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-10-31 788368]
"NeroFilterCheck"="c:\program files\Fichiers communs\Nero\Lib\NeroCheck.exe" [2009-11-02 30208]
"SecurDisc"="c:\program files\Nero\Nero8\InCD\NBHGui.exe" [2009-11-02 30208]
"InCD"="c:\program files\Nero\Nero8\InCD\InCD.exe" [2009-11-02 30208]
"NBKeyScan"="c:\program files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]
"itype"="c:\program files\Microsoft IntelliType Pro\itype.exe" [2006-11-22 813912]
"IntelliPoint"="c:\program files\Microsoft IntelliPoint\ipoint.exe" [2007-02-05 849280]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-09-02 149280]
"RemoteControl9"="c:\program files\CyberLink\PowerDVD9\PDVD9Serv.exe" [2009-07-06 87336]
"PDVD9LanguageShortcut"="c:\program files\CyberLink\PowerDVD9\Language\Language.exe" [2009-04-27 50472]
"BDRegion"="c:\program files\Cyberlink\Shared Files\brs.exe" [2009-11-02 30208]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-09-10 420176]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2008-02-13 16857600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2009-8-31 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\kbdnet.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
appsecdll REG_SZ c:\windows\system32\mscert.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\DNA\\btdna.exe"=
"c:\\Program Files\\BitTorrent\\bittorrent.exe"=
"c:\\Program Files\\Free Video Zilla\\FVZilla.exe"=
"c:\\Program Files\\CyberLink\\PowerDVD9\\PowerDVD9.exe"=
"c:\\Program Files\\Free Music Zilla\\FMZilla.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [31/08/2009 03:04 64288]
R0 PQV2i;PQV2i;c:\windows\system32\drivers\PQV2i.sys [02/08/2004 17:04 138780]
R1 PQIMount;PQIMount;c:\windows\system32\drivers\PQIMount.sys [02/08/2004 17:23 46779]
R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/10/29 19:47];c:\program files\CyberLink\PowerDVD9\000.fcl [01/09/2009 16:59 87536]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [02/11/2009 23:19 108289]
R2 GEST Service;GEST Service for program management.;c:\program files\GIGABYTE\EnergySaver\GSvr.exe [29/01/2009 11:26 80392]
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [31/08/2009 07:01 269648]
R2 TomTomHOMEService;TomTomHOMEService;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [19/08/2009 16:37 92008]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [31/08/2009 07:01 19160]
S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [24/09/2009 12:17 1179232]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - KWTOYUOG
*NewlyCreated* - MBR
*Deregistered* - kwtoyuog
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
Contenu du dossier 'Tâches planifiées'

2009-10-31 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-10-01 22:09]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.msn.com
mStart Page = hxxp://www.msn.com
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-IgfxTray - c:\windows\system32\igfxtray.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-03 22:28
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"
.
Heure de fin: 2009-11-03 22:29
ComboFix-quarantined-files.txt 2009-11-03 21:29
ComboFix2.txt 2009-11-02 23:28

Avant-CF: 22 868 287 488 octets libres
Après-CF: 22 860 963 840 octets libres
drummerman1

Re: infections virales multiples

par drummerman1 »

Désolé j'ai écrit win32.vitro en fait c'est win32.virut
drummerman1

Re: infections virales multiples

par drummerman1 »

Malekal, en attendant de te lire sur ce qu'il convient de faire avec ce qu'a trouvé Antivir, j'ai fait le scan avec Hijackthis, ci dessous le rapport, quant à Antivir je le laisse en l'état on verra demain. Bonsoir


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:22:27, on 04/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Microsoft IntelliType Pro\itype.exe
C:\Program Files\Microsoft IntelliPoint\ipoint.exe
C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\DNA\btdna.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe
C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\Nero\Nero8\InCD\InCD .exe
C:\Program Files\Nero\Nero8\InCD\NBHGui .exe
C:\Program Files\Cyberlink\Shared Files\brs .exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer .exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\GEARSec.exe
C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
C:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
C:\Program Files\Fichiers communs\Nero\Lib\NMIndexStoreSvr.exe
c:\program files\avira\antivir desktop\avcenter.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Avira\AntiVir Desktop\avscan.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: DeviceVM Url Search Hook - {0063BF63-BFFF-4B8F-9D26-4267DF7F17DD} - C:\WINDOWS\system32\dvmurl.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Program Files\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Program Files\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [itype] "C:\Program Files\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Program Files\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [RemoteControl9] "C:\Program Files\CyberLink\PowerDVD9\PDVD9Serv.exe"
O4 - HKLM\..\Run: [PDVD9LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD9\Language\Language.exe"
O4 - HKLM\..\Run: [BDRegion] C:\Program Files\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program Files\DNA\btdna.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\kbdnet.dll
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: GEST Service for program management. (GEST Service) - Unknown owner - C:\Program Files\GIGABYTE\EnergySaver\GSvr.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe

--
End of file - 8139 bytes
Malekal_morte
Messages : 108345
Inscription : 10 sept. 2005 13:57

Re: infections virales multiples

par Malekal_morte »

drummerman1 a écrit :Désolé j'ai écrit win32.vitro en fait c'est win32.virut
ha putain... Virut
A lire sur Virut : http://forum.malekal.com/virut-aka-virt ... t5177.html
Toi t'es allé chercher un crack sur un de ces sites : http://forum.malekal.com/danger-des-cra ... html#p4489

~~

Normalemnet Virut c'est format.... m'enfin s'il y a que 40 fichiers infecté, faut voir l'étendu...

Tu pourrais poster le rapport Antivir ?
Passe un coup de Dr. Web CureIT : http://www.freedrweb.com/cureit/
Poste le rapport ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
drummerman1

Re: infections multiples : kbdnet.dll / mscert.dll / Virut

par drummerman1 »

Je confirme recherche de crack, ça m'apprendra, concernant Antivir, je fais quoi il me propose sur le premier fichier à traiter : supprimer fichier vérouillé après redémarrage avec l'option "appliquer la sélection sur tout les résultats positifs suivants", je pense que tant que j'aurais pas fait ça j'aurais pas de rapport, comme d'après ce que j'au apperçu y a pas mal de .exe et de systeme 32 d'infectés je suis pas sur de redémarrer, t'en penses quoi ?
Malekal_morte
Messages : 108345
Inscription : 10 sept. 2005 13:57

Re: infections multiples : kbdnet.dll / mscert.dll / Virut

par Malekal_morte »

drummerman1 a écrit :comme d'après ce que j'au apperçu y a pas mal de .exe et de systeme 32 d'infectés je suis pas sur de redémarrer, t'en penses quoi ?
Ca pue.
Si tu fais supprimer, tu peux endommager ton Windows.
Déjà... sauvegarde tes données et documents.

Vois pour faire un Dr Web CureIT à partir d'un CD Live :
http://www.freedrweb.com/livecd?lng=fr
https://www.malekal.com/Scanner_CDLive_Ubcd4Win.php

Tu fais deux trois scans consécutifs... et après tu redémarres sous Windows et un coup d'Antivir.
Si Antivir détecte encore des Virut dans des fichiers system32, Windows etc, c'est mort tu pourras pas t'en débarrasser, là faut formater en suivant les instructions de la page de Virut que je t'ai donnée, à savoir ne garder aucun exécutable, sinon après formatage, tu vas le remettre.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »