Chargement en cours...
Statut de la discussion "virus troyen win32 trojan (déjà utiliser des anti-virus)" ( normale)

virus troyen win32 trojan (déjà utiliser des anti-virus)


Intérêt de benderfender pour l'informatique et le dépannage.

Le 20 mars à 19:49 #

Bonjour,

je viens de découvrir que je suis infecté du virus win32 trojan sur mon pc portable! en gros je ne peux plus ouvrir kaspersky (ni le réinstaller), ni me connecter au web (wifi)
j'ai donc utilisé l'arsenal pour le supprimer, à savoir dans un premier temps a-squared, avec lequel j'ai fait un scann complet, et supprimé après avoir redémarré le système les infections. Ceci étant le troyen est toujours là!
dès lors j'ai télécharger malwarebytes' anti-malware et toujours rien. voici le rapport de malwarebytes':

mbam-log-3-20-2008 (15-01-16).txt




voilà voilà, et je n'arrive pas à installer hijackthis.
je suis vraiment dans le pétrin!

merci d'avance

Le 21 mars à 11:29 #

bonjour

a squared pas très performant

tu es infecté par bagle

tu vas faire ceci

= Faire un clic droit ici sur
Combofix
= Faire
Avec Firefox
= enregistrer la cible du lien sous
= choisir :Bureau
et avant d'accepter ==> remplacer : Combofix par: test

Avec internet explorer ==> fichiers ==> enregistrer sous
choisir : Bureau et dans dans « type » , il faut :Page Web complète [*.htm *.html]
et avant d'accepter ==> remplacer : Combofix par:test
----
fermer toutes les applications en cours
puis
=Double-clic sur Test qui est sur le bureau
= Accepter les demandes
= Attendre la fermeture de l’outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse

puis

télécharger sur le bureau
Elibagla
= tout en bas de la page Clic sur :Descargar ELIBAGLA 10.XX XX= N° en cours
--------------
= Redémarrer en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistrer ou imprimer les consignes. Relancer le Pc et tapoter la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionner Mode sans échec ==> entrée ==>nom utilisateur habituel
------------
= Lancer Elibagla
= Clic : explorar
= A la fin du scan redémarrer en mode normal
= un rapport dans C:\infoSat.txt
le copier/coller dans la réponse

note: si démarrage en sans échec impossible faire en mode normal
==========
puis tu réinstalles kasper

Intérêt de benderfender pour l'informatique et le dépannage.

Le 21 mars à 13:23 #

merci de votre réponse.

j'ai fait le clic droit avec firefox sur combofix, et je l'ai mis sur le bureau en le renommant test. mais je ne comprends pas ce que je dois faire avec internet explorer, faut-il que j'enregistre la page de la discussion et la renomme par test elle aussi?

désolé de ne pas avoir bien saisi

Le 21 mars à 13:40 #

rien , mon message est surement mal rédigé
c'est dans l'éventualité ou l'on n'est pas avec firefox
donc tu lances Navilog

AJOUT:
et en plus je me trompe encore c'est COMBOFIX qu'il faut lancer

(Modifié par land3 le 21-03-2008 à 14:02)

Intérêt de benderfender pour l'informatique et le dépannage.

Le 21 mars à 13:58 #

autant pour moi



bien j'ai téléchargé combofix en le renommant test, puis j'ai fait ce que vous m'avez demandé. voici le rapport





mais je ne comprends pas bien ce que je dois faire avec elibalga que je viens de télécharger, en reprenant votre phrase:" tout en bas de la page Clic sur :Descargar ELIBAGLA 10.XX XX= N° en cours " en bas de quelle page?



encore une fois navré de vous faire répéter



merci



Ajout du 21-03-2008 à 13:59:

pardon le rapport:

Ajout du 21-03-2008 à 14:02:

ComboFix 08-03-20.5 - Flo 2008-03-21 13:36:50.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.662 [GMT 1:00]

Endroit: C:\Documents and Settings\Flo\Bureau\test.exe



[color=red]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/color]

.

TimedOut: progfile.dat



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.



C:\Documents and Settings\Flo\Application Data\SpamBlocker

C:\WINDOWS\autorun.inf

C:\WINDOWS\system32\drivers\down

C:\WINDOWS\system32\drivers\hldrrr.exe

C:\WINDOWS\system32\drivers\srosa.sys



.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.



-------\Legacy_SROSA





((((((((((((((((((((((((( Files Created from 2008-02-21 to 2008-03-21 )))))))))))))))))))))))))))))))

.



2008-03-21 13:47 . 2008-03-21 13:47 <REP> d-------- C:\WINDOWS\system32\drivers\down

2008-03-20 08:23 . 2008-03-20 08:23 <REP> d-------- C:\Program Files\Malwarebytes' Anti-Malware

2008-03-20 08:23 . 2008-03-20 08:23 <REP> d-------- C:\Documents and Settings\Flo\Application Data\Malwarebytes

2008-03-20 08:23 . 2008-03-20 08:23 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-03-20 08:12 . 2008-03-20 08:13 <REP> d-------- C:\Program Files\a-squared Free

2008-03-20 01:26 . 2008-03-20 19:07 81,465 --a------ C:\WINDOWS\system32\drivers\klif.cab

2008-03-20 01:00 . 2007-12-04 14:04 837,496 --a------ C:\WINDOWS\system32\aswBoot.exe

2008-03-20 01:00 . 2004-01-09 10:13 380,928 --a------ C:\WINDOWS\system32\actskin4.ocx

2008-03-20 01:00 . 2007-12-04 13:54 95,608 --a------ C:\WINDOWS\system32\AvastSS.scr

2008-03-20 01:00 . 2007-12-04 15:56 93,264 --a------ C:\WINDOWS\system32\drivers\aswmon.sys

2008-03-19 23:59 . 2008-03-20 00:02 <REP> d-------- C:\Program Files\Recycle

2008-03-19 18:52 . 2008-03-19 18:53 <REP> d-------- C:\Program Files\zteinberg

2008-03-19 17:51 . 2008-03-19 17:51 <REP> d-------- C:\Documents and Settings\Flo\Application Data\Propellerhead Software

2008-03-19 17:51 . 2004-01-15 14:14 233,472 --a------ C:\WINDOWS\system32\REX Shared Library.dll

2008-03-12 19:36 . 2008-03-12 19:36 <REP> d-------- C:\WINDOWS\Sun

2008-02-28 14:43 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll

2008-02-27 15:13 . 2008-03-20 00:07 5,906,464 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-02-27 15:13 . 2008-02-27 15:13 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat

2008-02-27 15:13 . 2008-02-27 15:13 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat

2008-02-27 15:13 . 2008-03-20 00:07 83,000 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-02-27 15:13 . 2008-03-20 00:07 66,592 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat

2008-02-27 15:13 . 2008-03-20 00:07 9,020 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx



.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-03-19 17:54 --------- d-----w C:\Documents and Settings\Flo\Application Data\Steinberg

2008-02-17 19:53 --------- d-----w C:\Documents and Settings\Flo\Application Data\U3

2008-02-17 16:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Propellerhead Software

2008-02-17 16:01 --------- d-----w C:\Documents and Settings\Flo\Application Data\FabFilter

2008-02-17 14:55 --------- d-----w C:\Program Files\FabFilter

2008-02-16 13:52 678,746 ----a-w C:\WINDOWS\unins000.exe

2008-02-16 13:52 --------- d-----w C:\Program Files\Sonalksis

2008-02-16 13:52 --------- d-----w C:\Program Files\Fichiers communs\Digidesign

2006-06-18 14:01 682 ----a-w C:\Documents and Settings\Flo\Application Data\wklnhst.dat

.



((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4



[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="C:\Program Files\Apoint\Apoint.exe" [2006-01-09 01:06 692224]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-01-19 08:43 7397376]

"RTHDCPL"="RTHDCPL.EXE" [2005-06-29 05:25 14720000 C:\WINDOWS\RTHDCPL.EXE]

"AzMixerSel"="C:\Program Files\Realtek\InstallShield\AzMixerSel.exe" [2005-04-29 06:56 45056]

"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 16:46 45056 C:\WINDOWS\system32\ico.exe]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-06-29 06:33 77824]

"SonyPowerCfg"="C:\Program Files\Sony\VAIO Power Management\SPMgr.exe" [2005-10-19 22:07 184320]

"PDService.exe"="C:\Program Files\Utimaco\SafeGuard PrivateDisk\pdservice.exe" [2004-07-06 14:15 40960]

"nwiz"="nwiz.exe" [2006-01-19 08:43 1519616 C:\WINDOWS\system32\nwiz.exe]

"NVHotkey"="nvHotkey.dll" [2006-01-19 08:43 73728 C:\WINDOWS\system32\nvhotkey.dll]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-06-03 15:24 180269]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-06-04 15:15 282624]



[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-05 13:00 15360]



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMBalloonTip"= 0 (0x0)



[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]

VESWinlogon.dll 2005-05-20 17:42 73728 C:\WINDOWS\system32\VESWinlogon.dll



[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2006-02-23 15:45 278528 C:\Program Files\iTunes\iTunesHelper.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

C:\Program Files\MSN Messenger\MsnMsgr.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2006-06-04 15:15 282624 C:\Program Files\QuickTime\qttask.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

C:\Program Files\Steam\Steam.exe



[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2006-03-10 18:45 35328 C:\Program Files\Winamp\winampa.exe



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"TuneUp MemOptimizer"="C:\Program Files\TuneUp Utilities 2007\MemOptimizer.exe" autostart

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"



[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" -atboottime

"Persistence"=C:\WINDOWS\system32\igfxpers.exe

"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"

"NeroFilterCheck"=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

"ISBMgr.exe"=C:\Program Files\Sony\ISB Utility\ISBMgr.exe

"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe



[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program Files\\Messenger\\msmsgs.exe"=

"C:\\Program Files\\iTunes\\iTunes.exe"=

"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=



R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys [2000-01-08 08:22]

R1 PrivateDisk;PrivateDisk;C:\WINDOWS\system32\Drivers\PrivateDiskM.sys [2004-07-06 14:07]

R2 MSSQL$VAIO_VEDB;MSSQL$VAIO_VEDB;C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlservr.exe [2002-12-17 17:55]

R2 UxTuneUp;TuneUp Extension de thème;C:\WINDOWS\System32\svchost.exe [2004-08-05 13:00]

S1 srosa;Megadrv3;C:\WINDOWS\system32\drivers\srosa.sys []

S3 CEUSBAUD;Lexicon USB MIDI Driver1;C:\WINDOWS\system32\Drivers\CEUSBAUD.sys [2003-11-01 21:19]

S3 DfuUsb;DfuUsb;C:\WINDOWS\system32\DRIVERS\DFUUsb.sys [2001-11-27 23:46]

S3 DMSKSSRh;DMSKSSRh;C:\DOCUME~1\Flo\LOCALS~1\Temp\DMSKSSRh.sys []

S3 ids00026;ids00026;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys []

S3 ids00118;ids00118;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00118.sys []

S3 ids0014f;ids0014f;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0014f.sys []

S3 ids0015d;ids0015d;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0015d.sys []

S3 ids00180;ids00180;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00180.sys []

S3 ids0018a;ids0018a;C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys []

S3 Image Converter video recording monitor for VAIO Entertainment;Image Converter video recording monitor for VAIO Entertainment;C:\Program Files\Sony\Image Converter 2\IcVzMon.exe [2005-07-14 19:10]

S3 SQLAgent$VAIO_VEDB;SQLAgent$VAIO_VEDB;C:\Program Files\Microsoft SQL Server\MSSQL$VAIO_VEDB\Binn\sqlagent.EXE [2002-12-17 17:23]

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

\Shell\AutoRun\command - G:\LaunchU3.exe -a



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{37456185-dd91-11dc-b1f6-0013cebff4f2}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{574f7b98-dc90-11dc-b1f1-0013cebff4f2}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a



[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ab91d4ee-0ce8-11db-ae61-0013cebff4f2}]

\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe

\Shell\Open(&0)\command - Recycled\ctfmon.exe



.

Contents of the 'Scheduled Tasks' folder

"2008-01-25 16:53:37 C:\WINDOWS\Tasks\Maintenance en 1 clic.job"

- C:\Program Files\TuneUp Utilities 2007\SystemOptimizer.exe

.

**************************************************************************



catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-03-21 13:48:00

Windows 5.1.2600 Service Pack 2 NTFS



scanning hidden processes ...



scanning hidden autostart entries ...



scanning hidden files ...



scan completed successfully

hidden files: 0



**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Intel\Wireless\Bin\EvtEng.exe

C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

C:\Program Files\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\Program Files\Executive Software\DiskeeperLite\DKService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\Sony\VAIO Event Service\VESMgr.exe

C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

C:\Program Files\Fichiers communs\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

C:\WINDOWS\system32\rundll32.exe

.

**************************************************************************

.

Completion time: 2008-03-21 13:51:28 - machine was rebooted

ComboFix-quarantined-files.txt 2008-03-21 12:51:24

.

2008-03-12 17:54:26 --- E O F ---

Le 21 mars à 14:05 #

laisse tomber Elibagla



réinstalle ton antivirus

Ajout du 21-03-2008 à 14:07:

si tu as des clés USB ou un disque externe , le dire car ils doivent contenir une infection aussi ( = autorun.inf)


Intérêt de benderfender pour l'informatique et le dépannage.

Le 21 mars à 14:25 #

oui je mets des clés usb parce que je ne peux pas me connecter au web avec mon portable (en ce moment j'utilise un autre ordi), j'ai une connexion wifi, mais quand je clique sur connexion réseau sans fil ca m'ouvre une fenetre écri 'windows ne peut pas configurer cette connexion sans fil....'
du coup, je ne peux pas activer la version d'évaluation de kaspersky (je n'ai pas encore acheté le logiciel) ...

Le 21 mars à 14:44 #

ayant accés aux fichiers cachés, pour cela
Démarrer =>Poste de travail =>Outils =>Options des dossiers =>Affichage
Cocher = Afficher les fichiers et dossiers cachés
Plus bas
Décocher =Masquer les extensions des fichiers dont le type est connu
Décocher =Masquer les fichiers protégés du système d'exploitation
Ne pas tenir compte du message qui s’affiche
--------------
mettre en place clés et disques
= Clic-droit sur : Poste de travail
= Clic : Ouvrir
= Clic-droit ( pas de double-clic) sur le Disque ou clé
= Clic : ouvrir
= si
MS32DLL.DLL.VBS
MSVCR71.dll
autorun.vbs
autorun.inf
sont présents les supprimer
--------
faire de même avec tous les disques présents et disques amovibles ( clé USB) si utilisés
------
recacher les fichiers ensuite

retente de configurer ta connexion internet

Intérêt de benderfender pour l'informatique et le dépannage.

Le 21 mars à 14:59 #

j'ai fait ce que vous m'avez demandé mais pour la connexion sans fil c pareil, en gros il ne détecte rien, comme si il n'y avait pas de réseau à proximité. j'ai fait 'réparer', mais en vain...

par contre mon pc semble être débarrasser du troyen, il ne rame plus et les applications marchent à nouveau, je vous remercie de votre travail.

Le 21 mars à 15:10 #

réinstalle ta connexion wifi avec sa clé wep
et vérifie ton modem-routeur
» Liste des Forums » Virus, troyens, etc...

Navigation


Publicité

Connectés

Il y a actuellement 403 visiteurs et 10 toiliens en ligne.

Recherche


Test ADSL

Testez votre éligibilité:
(*)

Sauf mention contraire, le contenu de ce site est sous licence Creative Commons By-Sa. Vous avez le droit d'en reproduire le contenu à condition de citer l'auteur (en faisant un lien vers son profil ou la page d'origine, par exemple) et de partager vos travaux selon les mêmes conditions.

Conditions d'utilisation - (*) Informatique et Libertés -

Partenaires: [Informatique Multimédia] [Portail du Maroc] [Actualité High Tech] [Tutoriaux Photoshop]
[éligibilité ADSL] [Astuces Windows]

Page générée en 291 millisecondes sur WWW2.