infection à un jeu

pinok1 · le 12 novembre 2008

bonjour, je viens être infecter par un virus suite à un téléchargement d'un jeu qui était zip

pour faciliter ma "tache" j'ai fermé antivir , la suite ne c'est pas fait attendre..

j'ai eu de suite une alerte me demandant de télécharger un antivirus.. sur ma page internet j'ai quick access toolbar qui c'est instalé sans mon avi. et me détourne vers un site antivirus obliger..

j'ai passé plusieurs fois antivir et malwarebtes sans aucun résultat ainsi que navilog

je vous laisse un rapport hijackthis que je viens de faire, en attente de vos conseils

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:53:47, on 12/11/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\windows\system32\MalwareKiller.exe

C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\hijack\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: NVideoSupport Class - {15C3F151-CC22-4146-8F73-05D0CD987982} - C:\WINDOWS\system32nvideo.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: (no name) - {1813785D-9CFB-45A0-9CBC-3E84F7A8471F} - C:\WINDOWS\system32GSearchTB.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [alert.exe] C:\windows\system32\alert.exe

O4 - HKLM\..\Run: [update.exe] C:\windows\system32\Update.exe

O4 - HKLM\..\Run: [MalwareKiller.exe] C:\windows\system32\MalwareKiller.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{A49748FC-594E-411D-BAC0-97D23414B278}: NameServer = 212.27.54.252,212.27.53.252

O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe

O24 - Desktop Component 0: (no name) - C:\Documents and Settings\Admin\Mes documents\Mes images\vlcsnap-37064.png

O24 - Desktop Component 1: (no name) - C:\Documents and Settings\Admin\Mes documents\Mes images\151.jpg

O24 - Desktop Component 2: (no name) - C:\Documents and Settings\Admin\Mes documents\Mes images\vlcsnap-729230.png

O24 - Desktop Component 3: (no name) - C:\Documents and Settings\Admin\Mes documents\Mes images\vlcsnap-725943.png

O24 - Desktop Component 4: (no name) - C:\Documents and Settings\Admin\Mes documents\Mes images\29151.jpg

O24 - Desktop Component 5: (no name) - C:\Documents and Settings\Admin\Mes documents\Mes images\007.jpg

O24 - Desktop Component 6: (no name) - C:\Documents and Settings\Admin\Mes documents\Mes images\129.jpg

--

End of file - 4378 bytes

Thanos · le 12 novembre 2008

salut

Nous allons utiliser le programme suivant pour désinfecter >>

1°) ComboFix et Antivir entrent en conflit, pour pouvoir télécharger le programme de l'étape 2, il faut que tu désactives le bouclier d'Antivir. Fais un clic droit sur l'icône d'Antivir dans la barre des tâches et décoche Antivir Guard enable.

2°) Télécharge ComboFix

Assure toi que tous les programmes sont fermés avant de lancer le fix!
Fait un double clique sur combofix.exe.
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Tape sur la touche Y (Yes) pour démarrer le scan.
Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
Si le rapport est trop long, poste le en deux fois.
Si tu ne vois pas le rapport, tu le trouveras ici > C:\ComboFix.txt

Poste le rapport stp.

Note: as tu conservé le fichier zip qui a installé l'infection? si oui, j'aimerai que tu me l'expédie (si le fichier est dans la corbeille, tu peux le restaurer depuis le menu de gauche "Restaurer cet élément") >>

Rend toi sur cette page > http://www.sendspace.com
Clique sur le bouton "Parcourir": une fenêtre s'ouvre=> recherche le fichier zip en question
Clique maintenant sur "ouvrir" en bas de la fenêtre.
Coche la case "I have read and agree to the terms of service."
Clique enfin sur le bouton Upload File .
Une nouvelle fenêtre va s'ouvrir et te donner le lien d'upload : envoie le moi par MP stp

après ca, tu pourras te débarrasser du fichier.

pinok1 · le 12 novembre 2008

ok merci je vais essayé de te le renvoyer ils sont sur clé usb encore

pinok1 · le 12 novembre 2008

voici le rapport de combo

ComboFix 08-11-11.01 - Admin 2008-11-12 21:29:48.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.767 [GMT 1:00]

Lancé depuis: c:\documents and settings\Admin\Bureau\téléchargement\ComboFix.exe

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\Update.exe

.

((((((((((((((((((((((((((((( Fichiers créés du 2008-10-12 au 2008-11-12 ))))))))))))))))))))))))))))))))))))

.

2008-11-12 19:51 . 2008-11-12 19:53 <REP> d-------- c:\program files\hijack

2008-11-12 00:52 . 2008-11-12 00:52 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes

2008-11-12 00:51 . 2008-09-01 00:45 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage réseau

2008-11-12 00:51 . 2008-09-01 00:45 <REP> d--h----- c:\documents and settings\Administrateur\Voisinage d'impression

2008-11-12 00:51 . 2008-08-31 22:55 <REP> d--h----- c:\documents and settings\Administrateur\Modèles

2008-11-12 00:51 . 2008-09-01 00:45 <REP> d-------- c:\documents and settings\Administrateur\Mes documents

2008-11-12 00:51 . 2008-09-01 00:45 <REP> dr------- c:\documents and settings\Administrateur\Menu Démarrer

2008-11-12 00:51 . 2008-08-31 23:03 <REP> d-------- c:\documents and settings\Administrateur\Favoris

2008-11-12 00:51 . 2008-09-01 00:45 <REP> d-------- c:\documents and settings\Administrateur\Bureau

2008-11-12 00:51 . 2008-11-12 00:51 <REP> d-------- c:\documents and settings\Administrateur

2008-11-12 00:30 . 2008-11-12 17:51 <REP> d-------- c:\program files\Navilog1

2008-11-11 23:57 . 2008-06-19 17:24 28,544 --a------ c:\windows\system32\drivers\pavboot.sys

2008-11-11 23:17 . 2008-11-11 23:17 <REP> d-------- c:\program files\MSBuild

2008-11-11 21:56 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-11 21:56 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-11 21:39 . 2008-11-12 20:55 196,608 --a------ c:\windows\system32nvideo.dll

2008-11-11 21:39 . 2008-11-12 20:55 167,936 --a------ c:\windows\system32GSearchTB.dll

2008-11-11 21:38 . 2008-11-11 21:38 233,472 --a------ c:\windows\system32\alert.exe

2008-11-11 21:38 . 2008-11-11 21:38 57,344 --a------ c:\windows\system32\MalwareKiller.exe

2008-11-11 10:47 . 2008-11-11 10:47 <REP> d-------- c:\windows\Sun

2008-10-30 19:49 . 2008-10-30 19:49 <REP> d-------- c:\documents and settings\Admin\Application Data\PIFreePC

2008-10-27 21:25 . 2008-10-30 20:01 <REP> d-------- c:\documents and settings\Admin\.homeplayer

2008-10-27 21:23 . 2008-10-30 18:00 <REP> d-------- c:\program files\HomePlayer

2008-10-26 23:11 . 2008-10-26 23:11 <REP> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes

2008-10-16 05:40 . 2000-06-23 13:05 136,704 --a--c--- c:\windows\system32\iacenc.dll

2008-10-16 05:40 . 2000-06-22 12:09 56,320 -----c--- c:\windows\system32\iyvu9_32.dll

2008-10-16 05:39 . 1998-10-29 18:45 306,688 --a--c--- c:\windows\IsUninst.exe

2008-10-15 21:31 . 2008-10-15 21:31 <REP> d-------- c:\documents and settings\Admin\Application Data\DivX

2008-10-15 21:29 . 2008-10-15 21:29 664 --a--c--- c:\windows\system32\d3d9caps.dat

2008-10-15 21:28 . 2008-11-11 21:24 <REP> d-------- c:\program files\DivX

2008-10-15 20:00 . 2008-10-15 20:00 <REP> d-------- c:\windows\system32\fr-FR

2008-10-15 19:56 . 2008-11-11 23:17 <REP> d-------- c:\windows\system32\XPSViewer

2008-10-15 19:56 . 2008-10-15 19:56 <REP> d-------- c:\program files\Reference Assemblies

2008-10-15 19:55 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll

2008-10-14 19:03 . 2008-10-14 19:03 1,169 --a--c--- c:\windows\mozver.dat

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-12 19:47 --------- d-----w c:\documents and settings\Admin\Application Data\LimeWire

2008-11-11 20:57 --------- d-----w c:\program files\Malwarebytes' Anti-Malware

2008-09-29 20:25 --------- d--h--w c:\program files\InstallShield Installation Information

2008-09-29 20:25 --------- d-----w c:\program files\Realtek

2008-09-29 20:24 --------- d-----w c:\program files\Fichiers communs\InstallShield

2008-09-16 00:14 524,288 -c--a-w c:\windows\system32\DivXsm.exe

2008-09-16 00:14 3,596,288 -c--a-w c:\windows\system32\qt-dx331.dll

2008-09-16 00:12 81,920 -c--a-w c:\windows\system32\dpl100.dll

2008-09-16 00:12 593,920 -c--a-w c:\windows\system32\dpuGUI11.dll

2008-09-16 00:12 57,344 -c--a-w c:\windows\system32\dpv11.dll

2008-09-16 00:12 53,248 -c--a-w c:\windows\system32\dpuGUI10.dll

2008-09-16 00:12 344,064 -c--a-w c:\windows\system32\dpus11.dll

2008-09-16 00:12 294,912 -c--a-w c:\windows\system32\dpu11.dll

2008-09-16 00:12 294,912 -c--a-w c:\windows\system32\dpu10.dll

2008-09-16 00:12 200,704 -c--a-w c:\windows\system32\ssldivx.dll

2008-09-16 00:12 196,608 -c--a-w c:\windows\system32\dtu100.dll

2008-09-16 00:12 1,044,480 -c--a-w c:\windows\system32\libdivx.dll

2008-09-16 00:11 823,296 -c--a-w c:\windows\system32\divx_xx0c.dll

2008-09-16 00:11 823,296 -c--a-w c:\windows\system32\divx_xx07.dll

2008-09-16 00:11 815,104 -c--a-w c:\windows\system32\divx_xx0a.dll

2008-09-16 00:11 802,816 -c--a-w c:\windows\system32\divx_xx11.dll

2008-09-16 00:11 683,520 -c--a-w c:\windows\system32\DivX.dll

2008-09-16 00:11 161,096 -c--a-w c:\windows\system32\DivXCodecVersionChecker.exe

2008-09-16 00:11 12,288 -c--a-w c:\windows\system32\DivXWMPExtType.dll

2008-08-31 22:27 315,392 -c--a-w c:\windows\HideWin.exe

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15C3F151-CC22-4146-8F73-05D0CD987982}]

2008-11-12 20:55 196608 --a------ c:\windows\system32nvideo.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{1813785D-9CFB-45A0-9CBC-3E84F7A8471F}"= "c:\windows\system32GSearchTB.dll" [2008-11-12 167936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"alert.exe"="c:\windows\system32\alert.exe" [2008-11-11 233472]

"MalwareKiller.exe"="c:\windows\system32\MalwareKiller.exe" [2008-11-11 57344]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HDAShCut.exe]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-28 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nlsf"="move" [X]

"Config"="c:\windows\system32\run.cmd" [2005-08-23 341]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-19 44544]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoAutoUpdate"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 1 (0x1)

"MemCheckBoxInRunDlg"= 1 (0x1)

"NoSMBalloonTip"= 1 (0x1)

"NoWelcomeScreen"= 1 (0x1)

"NoAutoUpdate"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

Source= c:\documents and settings\Admin\Mes documents\Mes images\vlcsnap-37064.png

FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\1]

Source= c:\documents and settings\Admin\Mes documents\Mes images\151.jpg

FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\2]

Source= c:\documents and settings\Admin\Mes documents\Mes images\vlcsnap-729230.png

FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\3]

Source= c:\documents and settings\Admin\Mes documents\Mes images\vlcsnap-725943.png

FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\4]

Source= c:\documents and settings\Admin\Mes documents\Mes images\29151.jpg

FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\5]

Source= c:\documents and settings\Admin\Mes documents\Mes images\007.jpg

FriendlyName=

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\6]

Source= c:\documents and settings\Admin\Mes documents\Mes images\129.jpg

FriendlyName=

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

"FirewallOverride"=dword:00000001

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 m5287;m5287;c:\windows\system32\DRIVERS\m5287.sys [2005-06-29 101504]

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2008-06-19 28544]

*Newly Created Service* - PROCEXP90

.

- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-Update.exe - c:\windows\system32\Update.exe

.

------- Examen supplémentaire -------

.

FireFox -: Profile - c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\how2vquf.default\

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-12 21:31:21

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

**************************************************************************

.

Heure de fin: 2008-11-12 21:33:51

ComboFix-quarantined-files.txt 2008-11-12 20:32:49

Avant-CF: 13 140 480 000 octets libres

Après-CF: 13,133,910,016 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

169

ps les photos ce sont les miennes que j'ai mis en font d'écran

je vais essayé de te renvoyer les 3 programes zip ( maj jong ) sur le liens que tu ma laisser

Thanos · le 12 novembre 2008

ps les photos ce sont les miennes que j'ai mis en font d'écran

ok!

je vais essayé de te renvoyer les 3 programes zip ( maj jong ) sur le liens que tu ma laisser

oui merci, c'est impotrant poste moi les deux liens qui s'afficheront si possible (celui d'upload et celui qui permet de supprimer le fichier).

J'analyse ton fichier et te laisse une procédure...

Modifié le 12 novembre 2008 par Thanos

Thanos · le 12 novembre 2008

De la même manière, désactive Antivir avant de faire ce qui va suivre >>

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/vpjwcl

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note: Le script proposé est adapté au cas de pinok1: Vous ne devez en aucun cas l'utiliser sur votre pc!

Merci pour le fichier

pinok1 · le 12 novembre 2008

voici le rapport combo 2 comme demander

ComboFix 08-11-11.01 - Admin 2008-11-12 22:18:37.2 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.750 [GMT 1:00]

Lancé depuis: c:\documents and settings\Admin\Bureau\téléchargement\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Admin\Bureau\CFScript.txt

* Un nouveau point de restauration a été créé

FILE ::

c:\windows\system32\alert.exe

c:\windows\system32\MalwareKiller.exe

c:\windows\system32GSearchTB.dll

c:\windows\system32nvideo.dll