SUITE A SCAN ANTIVIRUS J AI UN VIRUS DETECTE PA ANTIVIR

[Apollo]

Depuis quand rencontres-tu ce phénomène?

 

Quel est le message exact.

Fais une capture si tu peux; héberge là ici: http://imagik.fr/ et copie/colle le lien BB code pour forums.

[hephaistos-manu]

voila le lien

 

 

pour le message

 

http://imagik.fr/view-rl/93663

 

pour le bug depuis que j'ai ces virus

 

il se bloque des moments au bout de 10 min et des fois de suite

 

je comprend pas pourquoi

 

 

merci de ton aide

[Apollo]

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe ***

 

Double clique sur SDFix.exe et choisis Install. L'outil sera extrait à la racine du lecteur système (généralement le C:\).

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
  
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  
• Choisis ton compte.
  

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  
• Appuie sur Y pour commencer le processus de nettoyage.
  
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  
• Appuie sur une touche pour redémarrer le PC.
  
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
  

N.B.:

- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

- Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir.

Si SDfix ne se lançait pas:

 

- Démarrer/Exécuter

- Copie/colle ceci:

%systemroot%\system32\cmd.exe /K %systemdrive%\SDFix\apps\FixPath.exe

 

-Clique sur ok, et valide.

-Redémarre et essaie de nouveau de lancer SDfix.

 

Poste un nouveau log Hijackthis fait après le rebbot du pc et le rapport de SDFix.

++

[hephaistos-manu]

voila c'est fait

 

le rapport sdfix

 

SDFix: Version 1.218

Run by Hephaistos on 21/08/2008 at 20:48

 

Microsoft Windows XP [version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

C:\WINDOWS\system32\Microsoft\backup.ftp Found

C:\WINDOWS\system32\Microsoft\backup.tftp Found

 

Checking files:

 

Genuine:

C:\WINDOWS\system32\Microsoft\backup.ftp

C:\WINDOWS\system32\Microsoft\backup.tftp

C:\WINDOWS\system32\ftp.exe

C:\WINDOWS\system32\tftp.exe

C:\WINDOWS\system32\dllcache\tftp.exe

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\CIQMDTX.EXE - Deleted

C:\CPRPF.EXE - Deleted

C:\EPPRSYO.EXE - Deleted

C:\EUVGUC.EXE - Deleted

C:\JVJPUFSA.EXE - Deleted

C:\KCGHJM.EXE - Deleted

C:\KGEDGNMU.EXE - Deleted

C:\KGIQBAPT.EXE - Deleted

C:\LIJJS.EXE - Deleted

C:\MCACW.EXE - Deleted

C:\ORCBQI.EXE - Deleted

C:\OXUYKC.EXE - Deleted

C:\QCJDMYWB.EXE - Deleted

C:\QXWQ.EXE - Deleted

C:\RFYE.EXE - Deleted

C:\TUFJL.EXE - Deleted

C:\autorun.inf - Deleted

C:\WINDOWS\system32\Microsoft\backup.ftp - Deleted

C:\WINDOWS\system32\Microsoft\backup.tftp - Deleted

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-21 20:51:29

Windows 5.1.2600 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP.NEW 828 bytes

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP.NEW 3908 bytes

C:\Documents and Settings\Hephaistos\Local Settings\Temporary Internet Files\Content.IE5\WZTZUIF1\SSM_DisplayProductInformation-Start;sid=mu0NfzP_-40Jf3dh-hMjXyhTgLrF_z-ITdBhhq3zaCxYsT1nRr15YERGAQXLaw==[1].: 110881 bytes hidden from API

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 3

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\\WINDOWS\\System32\\ajbexrlqs.exe"="C:\\WINDOWS\\System32\\ajbexrlqs.exe:*:Enabled:Win32 SDK"

"C:\\WINDOWS\\System32\\crlxxqlrt.exe"="C:\\WINDOWS\\System32\\crlxxqlrt.exe:*:Enabled:Win32 SDK"

"C:\\WINDOWS\\System32\\xdoacchrq.exe"="C:\\WINDOWS\\System32\\xdoacchrq.exe:*:Enabled:Win32 SDK"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"

Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"

Mon 7 Jul 2008 2,156,368 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"

Mon 14 Apr 2008 32,768 A.SH. --- "C:\WINDOWS\system32\bevukeyo.exe"

Mon 21 Jul 2008 4,105 ..SH. --- "C:\WINDOWS\system32\hafedeku.exe"

Mon 21 Apr 2008 32,768 A.SH. --- "C:\WINDOWS\system32\hivunote.exe"

Wed 20 Aug 2008 10,282 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Fri 16 Nov 2007 9 A..H. --- "C:\WINDOWS\system32\wxmmin.dll"

Mon 14 Jul 2008 4,105 ..SH. --- "C:\WINDOWS\system32\yimazitu.exe"

Wed 3 May 2006 4,348 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Sat 6 May 2006 400 ..SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.bla.bak"

Sat 6 May 2006 48 ..SH. --- "C:\Documents and Settings\All Users\DRM\v2ks.sec.bak"

Sat 19 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\bujokatu\bujokatu.exe"

Tue 15 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\foyorere\foyorere.exe"

Sun 20 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\gipidiwu\gipidiwu.exe"

Mon 21 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\huwuwawe\huwuwawe.exe"

Wed 16 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\jelosonu\jelosonu.exe"

Thu 17 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\kimulizi\kimulizi.exe"

Sun 20 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\kuveyuke\kuveyuke.exe"

Fri 18 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\musagote\musagote.exe"

Fri 18 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\ratijipe\ratijipe.exe"

Wed 16 Apr 2008 32,768 A.SH. --- "C:\Documents and Settings\All Users\Application Data\saheloju\saheloju.exe"

Wed 3 May 2006 4,348 ...H. --- "C:\Documents and Settings\Hephaistos\Mes documents\Ma musique\Sauvegarde de la licence\drmv1key.bak"

Fri 28 Sep 2007 20 A..H. --- "C:\Documents and Settings\Hephaistos\Mes documents\Ma musique\Sauvegarde de la licence\drmv1lic.bak"

Fri 12 May 2006 488 A.SH. --- "C:\Documents and Settings\Hephaistos\Mes documents\Ma musique\Sauvegarde de la licence\drmv2key.bak"

 

Finished!

 

 

 

 

 

et le rapport

 

djack

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:57:08, on 21/08/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe

C:\WINDOWS\system32\notepad.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\Program Files\MSN Messenger\msnmsgr.exe

C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe

C:\Program Files\Mozilla Firefox 3 Beta 4\firefox.exe

C:\Documents and Settings\Hephaistos\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: (no name) - {131FA371-5A84-4A87-A2DE-57BE6E930345} - (no file)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\Run: [meluzolubi] Rundll32.exe "C:\WINDOWS\System32\juduwuho.dll",s (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: PrintKey 2000 Fr.lnk = C:\Program Files\PrintKey 2000 Fr\Printkey 2000 Fr.exe

O8 - Extra context menu item: Convertir en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la cible du lien en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la cible du lien en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir la sélection en Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir la sélection en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir les liens sélectionnés en un fichier PDF existant - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftu...b?1198169551406

O20 - AppInit_DLLs: C:\WINDOWS\System32\rahohipa.dllC:\WINDOWS\System32\pinapuwe.dll

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

 

--

End of file - 5589 bytes

 

 

 

 

merci encore

[Apollo]

Re,

 

Vérifie si tu as accès à l'ouverture de C maintenant.

 

Je vérifie une chose et je re

[hephaistos-manu]

oui cool merci

 

 

mais j'ai le meme probleme a le lecteur d

 

 

dis moi j'ai fait une sauvegarde sur un disque dur externe est-ce que celui ci serait infecté ?

 

 

manu

[Apollo]

Il y a beaucoup de chances oui.

 

C'est une image disque genre Ghost ou Acronis?

Ou une simple copie de fichiers?

++

Modifié le 21 août 2008 par Apollo.01

[hephaistos-manu]

mais dis moi

 

que peux ton faire pour eviter que le pose se bloque comme ca

 

ca peut venir de quoi

 

parce qu'il faontionne bien maintenant sauf les coupures

 

je peux plus ouvrir de document, internet ...

 

je peux juste travailler sur les cessions ouvertes

 

 

ca te dis quelque chose?

 

merci

[Apollo]

Re,

 

C'est bien de poser des questions mais tu ne réponds pas aux miennes...

 

Voici deux utilitaires qui réparent bien des choses qui auraient été altérées par des malwares:

 

http://telechargement.zebulon.fr/zeb-restore.html

 

Gary utilities

 

Pense-tu de temps en temps à nettoyer ton disque dur et à défragmenter au moins une fois par mois?

 

On entre là dans le domaine qui n'est plus la sécurité.

 

Le log que je vois est propre.

 

@++

Modifié le 21 août 2008 par Apollo.01

[hephaistos-manu]

salut

 

je repond a ta derniere question

 

 

j'ai sauvegarder sur mon disque dur externe les fichiers et non pas d'image

 

 

 

 

 

la j'ouvre mon pc et je lance les applications internet msn ...

aucun soucis

 

 

mais au bout de 5 minutes je ne peux plus ouvrir aucune autres applications

je peux juste travailler sur les applications ouvertes

 

 

je ne peux pas faire de redemarage de mon pc

 

 

merci de me donner une solution