Infection par trojan et ver ?

[Thanos]

j'ai encore un message virus de bit defender, d'un certain GenericMalware.

ne t'inquiêtes pas! il ne s'agit peut être que de points de restaurations infectés, où d'une détection de BitDefender sur un des outils téléchargés (c'est souvent le cas!). Si tu as un rapport de BitDefender, poste le.

 

Démarre WinPFind3U en double cliquant sur WinPFind3U.exe et copie/colle le texte ci dessous (ne copie pas le mot CITATION) dans le Panneau Paste fix here , puis clique sur le bouton Run Fix.

[Registry - Non-Microsoft Only]

< BHO's > -> HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

YN -> {549B5CA7-4A86-11D7-A4DF-000874180BB3} [HKLM] -> Reg Data - Key not found [Reg Data - Key not found]

YN -> {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} [HKLM] -> Reg Data - Key not found [Reg Data - Key not found]

[Files/Folders - Created Within 30 days]

NY -> ssmdrv.sys -> %System32%\drivers\ssmdrv.sys

[Files/Folders - Modified Within 30 days]

NY -> ComboFix -> %SystemDrive%\ComboFix

NY -> QooBox -> %SystemDrive%\QooBox

NY -> SDFix -> %SystemDrive%\SDFix

NY -> catchme.exe -> %SystemRoot%\catchme.exe

[ Extra Files ]

C:\WINDOWS\System32\x

[Reboot]

Relance WinPFind3U et poste le nouveau rapport

Le Fix va se faire rapidement,puis il te sera demandé de redémarrer ton pc : accepte en cliquant sur Yes

 

@+

[crissou]

salut

 

voila le rapport kapersky :

 

KASPERSKY ON-LINE SCANNER REPORT

Thursday, August 02, 2007 4:10:00 PM

Système d'exploitation : Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)

Kaspersky On-line Scanner version : 5.0.83.0

Dernière mise à jour de la base antivirus Kaspersky : 2/08/2007

Enregistrements dans la base antivirus Kaspersky : 347990

 

 

Paramètres d'analyse

Analyser avec la base antivirus suivante standard

Analyser les archives vrai

Analyser les bases de messagerie vrai

 

Cible de l'analyse Poste de travail

A:\

C:\

Q:\

R:\

 

Statistiques de l'analyse

Total d'objets analysés 33734

Nombre de virus trouvés 1

Nombre d'objets infectés 1 / 0

Nombre d'objets suspects 0

Durée de l'analyse 01:08:02

 

Nom de l'objet infecté Nom du virus Dernière action

C:\Documents and Settings\LocalService\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Application Data\Bitdefender\Desktop\Profiles\asdict.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Bureau\WinPFind3u\MovedFiles\WINDOWS\2pack.exe Infecté : Backdoor.Win32.SpyBoter.fb ignoré

 

C:\Documents and Settings\romestan\Cookies\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Application Data\Identities\{F9097B72-395C-4E07-A518-31AE2BD2E4DD}\Microsoft\Outlook Express\Boîte de réception.dbx L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Application Data\Identities\{F9097B72-395C-4E07-A518-31AE2BD2E4DD}\Microsoft\Outlook Express\Folders.dbx L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Application Data\Identities\{F9097B72-395C-4E07-A518-31AE2BD2E4DD}\Microsoft\Outlook Express\Offline.dbx L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Application Data\Identities\{F9097B72-395C-4E07-A518-31AE2BD2E4DD}\Microsoft\Outlook Express\Pop3uidl.dbx L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Historique\History.IE5\MSHist012007080220070803\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Temp\_AS96.tmp\ahk.cab L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Temp\_AS99.tmp\ahk.cab L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Temp\_ASAB.tmp\ahk.cab L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Temp\_ASD6.tmp\ahk.cab L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\NTUSER.DAT L'objet est verrouillé ignoré

 

C:\Documents and Settings\romestan\ntuser.dat.LOG L'objet est verrouillé ignoré

 

C:\Program Files\Softwin\BitDefender10\aspdict.dat L'objet est verrouillé ignoré

 

C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\EventCache\{ED1A6D9F-6DEB-4326-8BD8-8CE62CA708EB}.bin L'objet est verrouillé ignoré

 

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré

 

C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\bdss.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\DEFAULT L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SOFTWARE L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\SYSTEM L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\h323log.txt L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré

 

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré

 

C:\WINDOWS\Temp\tmp00007337\tmp00000000 L'objet est verrouillé ignoré

 

C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré

 

C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré

 

C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré

 

Analyse terminée.

 

je le savais...

 

et le rapport windfind :

 

[Registry - Non-Microsoft Only]

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{549B5CA7-4A86-11D7-A4DF-000874180BB3} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FDD3B846-8D59-4ffb-8758-209B6AD74ACC} deleted successfully.

[Files/Folders - Created Within 30 days]

C:\WINDOWS\SYSTEM32\drivers\ssmdrv.sys moved successfully.

[Files/Folders - Modified Within 30 days]

C:\ComboFix moved successfully.

C:\QooBox\Quarantine\Registry_backups moved successfully.

C:\QooBox\Quarantine moved successfully.

C:\QooBox moved successfully.

Folder move failed. C:\SDFix\backups_old1\HOSTS scheduled to be moved on reboot.

C:\SDFix\backups_old1 moved successfully.

Folder move failed. C:\SDFix\backups\HOSTS scheduled to be moved on reboot.

C:\SDFix\backups moved successfully.

C:\SDFix\apps\Replace moved successfully.

C:\SDFix\apps moved successfully.

C:\SDFix moved successfully.

C:\WINDOWS\catchme.exe moved successfully.

[ Extra Files ]

C:\WINDOWS\System32\x moved successfully.

< End of log >

Created on 08/02/2007 16:11:12

 

voila voila, je crois que je vais me jeter par la fenetre. Est-ce que les pirates sont severement punis pour nous emm.. autant ??

merci pour ton aide

[Thanos]

salut

 

je le savais... icon_mad.gif

Tu parles de ce qu'a trouvé Kaspersky ? alors ne t'inquiêtes pas!! il ne s'agit que de l'infection confinée dans la quarantaine de WinPFind3u

C'est donc tout a fait normal qu'il le détecte.C'est pour ca que je te disait de ne pas t'inquiêter pour la détection faite par ton antivirus. Si tu as le rapport de BitDefender, poste le pour voir ce qu'il a détecté. Est ce que tu reçois encore des alertes de BitDefender ?

 

Désactive puis réactive la restauration système comme ceci => aide visuelle

Clique sur Démarrer.

Clique avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Clique sur l'onglet «Restauration du système».

Sélectionne «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Clique sur "Appliquer".

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, clique sur Oui.

Clique sur OK.Redémarre ton PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

• Télécharge ToolsCleaner! de A.Rothstein qui va supprimer ce que l'on à téléchargé durant la procédure.
  
• Enregistre le fichier sur le Bureau puis dézippe le .
  
• Double-clique sur le fichier ToolsCleaner! sur ton bureau >
  
• L'outil va procéder au nettoyage.
  
• Ouvre le rapport qui se trouve ici > C:\TCleaner.txt Copie puis poste son contenu dans ta prochaine réponse.
  

[Invité JoK]

Bonsoir crissou.

 

J'ai suivi avec un très grand intérêt l'évolution, vers une sortie heureuse, de votre problème. Vous avez accompli un très beau travail, tout au long des procédures. De plus, je n'ai jamais douté des qualités de charles ingals. Donc il ne pouvait que réussir à désinfecter votre machine.

 

Cependant je tiens ici à saluer tout votre courage, et volonté d'arriver à obtenir un système sain.

 

Encore Bravo, vous êtes au bout du tunnel.

 

Cordialement.

[crissou]

Salut,

voici le rapport bit defender :

 

 

//-----------------------------------------------------------------

//

// Produit BitDefender Antivirus Plus v10

// Produit 10.2

//

// Créé le: 03/08/2007 14:23:19

//

//-----------------------------------------------------------------

 

 

Statistiques

 

Chemin cible: C:\

Dossiers : 2506

Fichiers : 106623

Processus Mémoire analysés : 25

Archives : 7961

Fichiers enpaquetés : 5652

Virus trouvés : 1

Fichiers infectés : 4

Processus Mémoire infectés : 0

Fichiers suspects : 0

Alertes : 0

Fichiers désinfectés : 0

Fichiers effacés : 0

Fichiers déplacés : 0

Erreurs I/O : 25

Temps d'analyse :=00:41:41

Fichiers/seconde :42

 

Statistiques Spywares

 

Registres analysés : 1694

Registres infectés : 0

Cookies analysés : 30

Cookies infectés : 0

Fichiers spyware infectés : 0

Menaces Spyware détectées : 0

 

 

Définitions virus : 719780

Plugins d'analyse : 16

Plugins archives : 41

Plug-ins décompression : 6

Plug-ins messagerie : 6

Plug-ins système : 5

 

Options d'analyse

 

Détection

[X] Analyser le secteur de boot

[X] Processus mémoire

[X] Analyser les archives

[X] Analyser les fichiers enpaquetés

[X] Analyser la messagerie

 

Masque fichiers

[ ] Programmes

[X] Tous les fichiers

[ ] Extensions définies par l'utilisateur:

[ ] Exclure les extensions: ;

 

Action

 

Objets infectés

[ ] Ignorer

[X] Désinfecter

[ ] Effacer

[ ] Mettre en quarantaine

[ ] Demander l'action

 

Seconde action

[ ] Ignorer

[ ] Effacer

[X] Mettre en quarantaine

[ ] Demander l'action

 

Options d'analyse

[X] Activer les alertes

[X] Activer l'heuristique

[ ] Afficher tous les fichiers dans le journal

[X] Fichier journal: C:\Documents and Settings\All Users\Application Data\Bitdefender\Desktop\Profiles\Logs\deep_scan\1186143799.log

 

Options d'analyse Spyware

 

[X] Analyse contre les risques non-viraux

[ ] Ecarter de l'analyse les dialers et les applications

[X] Clés de registres

[X] Cookies

 

 

Résumé:

 

C:\Documents and Settings\romestan\Local Settings\Temp\_AS96.tmp\ahk.cab=>pskahk.dll Infecté: Generic.Malware.SIMDWYNVdprn.D9407F4E

C:\Documents and Settings\romestan\Local Settings\Temp\_AS96.tmp\ahk.cab=>pskahk.dll Désinfection impossible

C:\Documents and Settings\romestan\Local Settings\Temp\_AS96.tmp\ahk.cab=>pskahk.dll Déplacement impossible

C:\Documents and Settings\romestan\Local Settings\Temp\_AS99.tmp\ahk.cab=>pskahk.dll Infecté: Generic.Malware.SIMDWYNVdprn.D9407F4E

C:\Documents and Settings\romestan\Local Settings\Temp\_AS99.tmp\ahk.cab=>pskahk.dll Désinfection impossible

C:\Documents and Settings\romestan\Local Settings\Temp\_AS99.tmp\ahk.cab=>pskahk.dll Déplacement impossible

C:\Documents and Settings\romestan\Local Settings\Temp\_ASAB.tmp\ahk.cab=>pskahk.dll Infecté: Generic.Malware.SIMDWYNVdprn.D9407F4E

C:\Documents and Settings\romestan\Local Settings\Temp\_ASAB.tmp\ahk.cab=>pskahk.dll Désinfection impossible

C:\Documents and Settings\romestan\Local Settings\Temp\_ASAB.tmp\ahk.cab=>pskahk.dll Déplacement impossible

C:\Documents and Settings\romestan\Local Settings\Temp\_ASD6.tmp\ahk.cab=>pskahk.dll Infecté: Generic.Malware.SIMDWYNVdprn.D9407F4E

C:\Documents and Settings\romestan\Local Settings\Temp\_ASD6.tmp\ahk.cab=>pskahk.dll Désinfection impossible

C:\Documents and Settings\romestan\Local Settings\Temp\_ASD6.tmp\ahk.cab=>pskahk.dll Déplacement impossible

 

je m'occupe de la restauration et du nettoyage et je reposte, A +

 

Merci Jok pour tes encouragements, c'était chose facile de réussir avec l'aide de Charles Ingals.

Merci à vous tous pour être là qd on est tt seul devant une machine qui nous abandonne...

j'ai besoin de mon PC tous les jours pour des choses courantes ; j'ai 3 enfants et suis en campagne, donc il me relie à la "vraie vie" de consommation... d'où mon acharnement.

[crissou]

Voila tcleaner :

 

********ToolsCleaner! (A.Rothstein) V1.0********

 

 

 

Nettoyage commence le 03/08/2007 a 15:54:16,14

 

***************************************

 

-SdFix = Trouve!

 

-SdFix.exe = Suppression effectuee!

 

-Diaghelp = Trouve!

 

BIt Defender n'a plus envoyé de message, est-ce que tt est ok ?

Où dois-je poster pour un conseil sur le rajout de barrettes de mémoire, je voudrais pas qu'on ferme mon post !!

Merci Charles et bonne continuation sur ce super forum

[Zonk]

Pour les barrettes,tu ouvres un nouveau sujet dans "hardware"....et ton post présent ne sera pas à jamais fermé....il y a toujours moyen de garder un oeil ouvert sur le sujet....même en mettant [Résolu] en avant du titre du sujet......Bravo pour ta ténacité!! ..et celle de Charles I.

..c'est toujours plus intéressant que formatage de bas niveau

@+

http://forum.zebulon.fr/index.php?showforum=3

Modifié le 3 août 2007 par Zonk