reader_s.exe : besoin d'aide !!!

[Crootte]

Bonjour a tous !

 

Comme vous l'aurez compris, mon pc est infecté par " reader_s.exe ", j'aurai besoin de votre aide.

 

Voici mon rapport Hijackthis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:35:40, on 08/03/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\taskmgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Mozilla Firefox\firefox.exe

D:\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ecoles.grandbesancon.fr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [Firefox] C:\Program Files\Mozilla Firefox\firefox.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKLM\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [services] C:\WINDOWS\services.exe (User 'Default user')

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O15 - Trusted Zone: *.line6.net

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Program Files\RealVNC\VNC4\WinVNC4.exe

 

--

End of file - 3625 bytes

 

J'attends votre marche a suivre, et vous remercie par avance...

[Crootte]

PS : les symptomes sont :

- deux processus IEXPLORER.exe qui se lancent sans arrets

- des processus .tmp bizarres qui se lancent de temps en temps...

- je n'ai absolument plus de son !

[Mark]

Je te souhaite la bienvenue sur Zébulon

 

Je ne vois pas de signe de reader_s dans ton rapport, mais je vais te croire sur parole. Si c'est bien ce que je pense, tu auras du boulot. Pas d'antivirus, il faut s'attendre au pire. Identifions d'abord la bête :

 

==========

 

- Première étape : démasquer les fichiers cachés :

 

1. Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau.
   
2. Double-clique sur le Poste de Travail
   
3. Du menu Outils, clique Options des dossiers...
   
4. De la nouvelle fenêtre, choisis l'onglet Affichage
   
5. Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système
   
6. Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés
   
7. Décoche la case Masquer les extensions des fichiers dont le type est connu
   
8. Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé)
   
9. Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.
   

 

Ensuite...

 

Va sur le site de VirusTotal >>

http://www.virustotal.com/fr/

 

- Clique "Parcourir..."

- Retrouve le fichier suivant :

 

C:\WINDOWS\explorer.exe

 

- Double-clique dessus pour le sélectionner

- Clique maintenant sur le bouton "Envoyer le fichier"

- Possible que tu sois mis en file d'attente ; il faut alors patienter

- Possible qu'on te dise que le fichier ait déjà été analysé ; si c'est le cas, choisis une nouvelle analyse.

- Les résultats d'analyse apparaîtront progressivement ; cela ne prend qu'une ou deux minutes.

- Lorsque terminé, copie/colle le rapport ici, dans ta réponse.

 

>> Refais la même chose pour le fichier suivant :

 

C:\WINDOWS\System32\userinit.exe

 

J'attends les deux rapports.

 

@+

[Mark]

Crootte ;

 

Par rapport à ceci :

http://www.commentcamarche.net/forum/affic...e-besoin-d-aide

 

Mise en garde : si tu passes un outil antivirus sur ta machine avant de faire tes sauvegardes, tu risques d'abîmer ton système au point qu'il ne démarrera plus.

 

Virut ne peut être nettoyé complètement et proprement. La seule solution efficace : sauvegarder les données importantes (il y a des précautions à prendre - demande et je te dirai) et ensuite formater la partition système.

 

Fais ce que tu veux, mais ne suis que les instructions d'un seul bénévole, sur un seul forum.

 

Autre mise en garde : l'infection (si confirmée) installe une porte dérobée et un (ou des) rootkit(s), en plus du reste. La machine doit être débranchée d'internet illico. Si tu transiges en ligne avec des institutions bancaires, fais des paiements par carte de crédit, etc... tu dois savoir que tes mots de passe + numéros de comptes + noms d'utilisateurs peuvent avoir été dérobés ; il faut avertir les institutions et changer les mots de passes, etc... mais à partir d'un ordi propre - pas avec celui-là.

 

Si questions, je suis là.

 

@+

[Crootte]

Salut Qc001, je vais te suivre.

Merci de te pencher sur mon cas .

 

Voici le rapport pour explorer.exe :

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.03.09 Trojan.Win32.Patched!IK

AhnLab-V3 5.0.0.2 2009.02.27 -

AntiVir 7.9.0.107 2009.03.09 W32/Virut.U

Authentium 5.1.0.4 2009.03.08 W32/Virut.10496

Avast 4.8.1335.0 2009.03.09 Win32:Virut

AVG 8.0.0.237 2009.03.09 Win32/Virut

BitDefender 7.2 2009.03.09 Win32.Virtob.Gen.9

CAT-QuickHeal 10.00 2009.03.09 W32.Virut.D

ClamAV 0.94.1 2009.03.06 W32.Virut.Gen.D-27

Comodo 1039 2009.03.09 -

DrWeb 4.44.0.09170 2009.03.09 Win32.Virut.5

eSafe 7.0.17.0 2009.03.09 -

eTrust-Vet 31.6.6387 2009.03.09 Win32/Virut.10494

F-Prot 4.4.4.56 2009.03.08 W32/Virut.10496

F-Secure 8.0.14470.0 2009.03.09 Virus.Win32.Virut.n

Fortinet 3.117.0.0 2009.03.09 W32/MetaCrypt.1

GData 19 2009.03.09 Win32.Virtob.Gen.9

Ikarus T3.1.1.45.0 2009.03.09 Trojan.Win32.Patched

K7AntiVirus 7.10.664 2009.03.09 Virus.Win32.Virut.Generic

Kaspersky 7.0.0.125 2009.03.09 Virus.Win32.Virut.n

McAfee 5548 2009.03.09 W32/Virut.gen

McAfee+Artemis 5548 2009.03.09 W32/Virut.gen

Microsoft 1.4405 2009.03.09 Virus:Win32/Virut.AF

NOD32 3921 2009.03.09 Win32/Virut.O

Norman 6.00.06 2009.03.06 W32/Virut.N

nProtect 2009.1.8.0 2009.03.09 Virus/W32.Virut.F

Panda 10.0.0.10 2009.03.09 W32/Virutas.gen

PCTools 4.4.2.0 2009.03.09 Win32.Virut.Gen.5

Prevx1 V2 2009.03.09 -

Rising 21.20.02.00 2009.03.09 Win32.Virut.aw

SecureWeb-Gateway 6.7.6 2009.03.09 Win32.Virut.U

Sophos 4.39.0 2009.03.09 W32/Vetor-A

Sunbelt 3.2.1858.2 2009.03.08 Win32.Virut.xl (v)

Symantec 1.4.4.12 2009.03.09 W32.Virut.U

TheHacker 6.3.3.0.277 2009.03.09 W32/Virut.gen2

TrendMicro 8.700.0.1004 2009.03.09 PE_VIRUT.XL-2

VBA32 3.12.10.1 2009.03.09 Virus.Win32.Virut.3

ViRobot 2009.3.9.1641 2009.03.09 Win32.Virut.G

VirusBuster 4.5.11.0 2009.03.09 Win32.Virut.Gen.5

Information additionnelle

File size: 1080832 bytes

MD5...: 6b40042d015200b266719726f30435a0

SHA1..: 533ed31255290955c40ac0933e1f6913f7f235d0

SHA256: d54762943b57b1fd6116cd2e4104f766034e0bec882a329c47381405d04aa35f

SHA512: 0bf780ae61c3115f6fd7e84bae33d302ae15837dfe2a9313a6d3c08c388179ba

6e31292cdda7a2a0798a8bbac9978f5c0f64630fe916f135e326f21330230af8

ssdeep: 12288:2RFHBdIwCDrA6FWVz0v/Oa0BVa/oXqoJpaz/g/J/vqyM3T:2zhOwCDE6FC

Oma0BEoXJaz/g/J/CyuT

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x45ad9

timedatestamp.....: 0xa0a0a0a0L (invalid)

machinetype.......: 0x14c (I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x44ba6 0x44c00 6.36 d1cdad08ad20838fb358852527d46ab5

.data 0x46000 0x1db4 0x1800 1.30 25fdde5ea7a06e94390eb8773b825a55

.rsrc 0x48000 0xb3280 0xb3400 6.63 c03607a562c6216fc2b6b5b97ae67ceb

.reloc 0xfc000 0x13800 0xb800 4.81 af46cc92637b3aedc25100c1a7f189a6

 

( 13 imports )

> ADVAPI32.dll: RegSetValueW, RegEnumKeyExW, GetUserNameW, RegNotifyChangeKeyValue, RegEnumValueW, RegQueryValueExA, RegOpenKeyExA, RegEnumKeyW, RegCloseKey, RegCreateKeyW, RegQueryInfoKeyW, RegOpenKeyExW, RegQueryValueExW, RegCreateKeyExW, RegSetValueExW, RegDeleteValueW, RegQueryValueW

> BROWSEUI.dll: -, -, -, -

> GDI32.dll: GetStockObject, CreatePatternBrush, OffsetViewportOrgEx, GetLayout, CombineRgn, CreateDIBSection, GetTextExtentPoint32W, StretchBlt, SetTextColor, CreateRectRgn, GetClipRgn, IntersectClipRect, GetViewportOrgEx, SetViewportOrgEx, SelectClipRgn, PatBlt, GetBkColor, CreateCompatibleDC, CreateCompatibleBitmap, OffsetWindowOrgEx, DeleteDC, SetBkColor, BitBlt, ExtTextOutW, GetTextExtentPointW, GetClipBox, GetObjectW, CreateRectRgnIndirect, SetBkMode, CreateFontIndirectW, DeleteObject, GetTextMetricsW, SelectObject, GetDeviceCaps, TranslateCharsetInfo, SetStretchBltMode

> KERNEL32.dll: GetSystemDirectoryW, CreateThread, CreateJobObjectW, ExitProcess, SetProcessShutdownParameters, ReleaseMutex, CreateMutexW, SetPriorityClass, GetCurrentProcess, GetStartupInfoW, GetCommandLineW, SetErrorMode, LeaveCriticalSection, EnterCriticalSection, ResetEvent, LoadLibraryExA, CompareFileTime, GetSystemTimeAsFileTime, SetThreadPriority, GetCurrentThreadId, GetThreadPriority, GetCurrentThread, GetUserDefaultLangID, Sleep, GetBinaryTypeW, GetModuleHandleExW, SystemTimeToFileTime, GetLocalTime, GetCurrentProcessId, GetEnvironmentVariableW, UnregisterWait, GlobalGetAtomNameW, GetFileAttributesW, MoveFileW, lstrcmpW, LoadLibraryExW, FindClose, FindNextFileW, FindFirstFileW, lstrcmpiA, SetEvent, AssignProcessToJobObject, GetDateFormatW, GetTimeFormatW, FlushInstructionCache, lstrcpynW, GetSystemWindowsDirectoryW, SetLastError, GetProcessHeap, HeapFree, HeapReAlloc, HeapSize, HeapAlloc, GetUserDefaultLCID, ReadProcessMemory, OpenProcess, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, UnhandledExceptionFilter, SetUnhandledExceptionFilter, VirtualFree, VirtualAlloc, ResumeThread, TerminateProcess, TerminateThread, GetSystemDefaultLCID, GetLocaleInfoW, CreateEventW, GetLastError, RegisterWaitForSingleObject, OpenEventW, WaitForSingleObject, GetTickCount, ExpandEnvironmentStringsW, GetModuleFileNameW, GetPrivateProfileStringW, lstrcmpiW, CreateProcessW, FreeLibrary, GetWindowsDirectoryW, LocalAlloc, CreateFileW, DeviceIoControl, LocalFree, GetQueuedCompletionStatus, CreateIoCompletionPort, SetInformationJobObject, CloseHandle, LoadLibraryW, GetModuleHandleW, ActivateActCtx, DeactivateActCtx, DelayLoadFailureHook, GetProcAddress, DeleteCriticalSection, CreateEventA, HeapDestroy, InitializeCriticalSection, GetFileAttributesExW, MulDiv, lstrlenW, InterlockedDecrement, InterlockedIncrement, GlobalAlloc, InterlockedExchange, GetModuleHandleA, GetVersionExA, GlobalFree, GetProcessTimes, lstrcpyW, GetLongPathNameW, InitializeCriticalSectionAndSpinCount

> msvcrt.dll: _itow, free, memmove, realloc, _except_handler3, malloc, _ftol, _vsnwprintf

> ntdll.dll: RtlNtStatusToDosError, NtQueryInformationProcess

> ole32.dll: CoFreeUnusedLibraries, RegisterDragDrop, CreateBindCtx, RevokeDragDrop, CoInitializeEx, CoUninitialize, OleInitialize, CoRevokeClassObject, CoRegisterClassObject, CoMarshalInterThreadInterfaceInStream, CoCreateInstance, OleUninitialize, DoDragDrop

> OLEAUT32.dll: -, -

> SHDOCVW.dll: -, -, -

> SHELL32.dll: -, SHGetFolderPathW, -, -, -, -, -, ExtractIconExW, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, ShellExecuteExW, -, -, -, -, -, -, -, SHBindToParent, -, -, -, SHParseDisplayName, -, -, -, -, -, -, SHGetSpecialFolderLocation, -, -, -, -, SHGetSpecialFolderPathW, -, -, -, -, -, SHChangeNotify, SHGetDesktopFolder, SHAddToRecentDocs, -, -, -, DuplicateIcon, -, -, -, -, -, -, -, -, SHUpdateRecycleBinIcon, SHGetFolderLocation, SHGetPathFromIDListA, -, -, -, -, -, -, -, SHGetPathFromIDListW, -, -, -

> SHLWAPI.dll: StrCpyNW, -, -, -, -, StrRetToBufW, StrRetToStrW, -, -, -, -, SHQueryValueExW, PathIsNetworkPathW, -, AssocCreate, -, -, -, -, -, StrCatW, StrCpyW, -, -, -, -, -, -, -, SHGetValueW, -, StrCmpNIW, PathRemoveBlanksW, PathRemoveArgsW, PathFindFileNameW, StrStrIW, PathGetArgsW, -, StrToIntW, SHRegGetBoolUSValueW, SHRegWriteUSValueW, SHRegCloseUSKey, SHRegCreateUSKeyW, SHRegGetUSValueW, SHSetValueW, -, PathAppendW, PathUnquoteSpacesW, -, -, PathQuoteSpacesW, -, SHSetThreadRef, SHCreateThreadRef, -, -, -, PathCombineW, -, -, -, SHStrDupW, PathIsPrefixW, PathParseIconLocationW, AssocQueryKeyW, -, AssocQueryStringW, StrCmpW, -, -, -, -, -, -, -, -, SHRegQueryUSValueW, SHRegOpenUSKeyW, SHRegSetUSValueW, PathIsDirectoryW, PathFileExistsW, PathGetDriveNumberW, -, StrChrW, PathFindExtensionW, -, -, PathRemoveFileSpecW, PathStripToRootW, -, -, -, SHOpenRegStream2W, -, -, -, StrDupW, SHDeleteValueW, StrCatBuffW, SHDeleteKeyW, StrCmpIW, -, -, wnsprintfW, -, StrCmpNW, -, -

> USER32.dll: TileWindows, GetDoubleClickTime, GetSystemMetrics, GetSysColorBrush, AllowSetForegroundWindow, LoadMenuW, GetSubMenu, RemoveMenu, SetParent, GetMessagePos, CheckDlgButton, EnableWindow, GetDlgItemInt, SetDlgItemInt, CopyIcon, AdjustWindowRectEx, DrawFocusRect, DrawEdge, ExitWindowsEx, WindowFromPoint, SetRect, AppendMenuW, LoadAcceleratorsW, LoadBitmapW, SendNotifyMessageW, SetWindowPlacement, CheckMenuItem, EndDialog, SendDlgItemMessageW, MessageBeep, GetActiveWindow, PostQuitMessage, MoveWindow, GetDlgItem, RemovePropW, GetClassNameW, GetDCEx, SetCursorPos, ChildWindowFromPoint, ChangeDisplaySettingsW, RegisterHotKey, UnregisterHotKey, SetCursor, SendMessageTimeoutW, GetWindowPlacement, LoadImageW, SetWindowRgn, IntersectRect, OffsetRect, EnumDisplayMonitors, RedrawWindow, SubtractRect, TranslateAcceleratorW, WaitMessage, InflateRect, CallWindowProcW, GetDlgCtrlID, SetCapture, LockSetForegroundWindow, CopyRect, SystemParametersInfoW, FindWindowW, CreatePopupMenu, GetMenuDefaultItem, DestroyMenu, GetShellWindow, EnumChildWindows, GetWindowLongW, SendMessageW, RegisterWindowMessageW, GetKeyState, MonitorFromRect, MonitorFromPoint, RegisterClassW, SetPropW, GetWindowLongA, SetWindowLongW, FillRect, GetCursorPos, PtInRect, MessageBoxW, LoadStringW, ReleaseDC, GetDC, EnumDisplaySettingsExW, EnumDisplayDevicesW, PostMessageW, DispatchMessageW, TranslateMessage, GetMessageW, PeekMessageW, BeginPaint, EndPaint, SetWindowTextW, GetAsyncKeyState, InvalidateRect, GetWindow, ShowWindowAsync, TrackPopupMenuEx, UpdateWindow, DestroyIcon, IsRectEmpty, SetActiveWindow, GetSysColor, DrawTextW, IsHungAppWindow, SetTimer, GetMenuItemID, TrackPopupMenu, EndTask, SendMessageCallbackW, GetClassLongW, LoadIconW, OpenInputDesktop, CloseDesktop, SetScrollPos, ShowWindow, BringWindowToTop, GetDesktopWindow, CascadeWindows, CharUpperBuffW, SwitchToThisWindow, InternalGetWindowText, GetScrollInfo, GetMenuItemCount, ModifyMenuW, CreateWindowExW, DialogBoxParamW, MsgWaitForMultipleObjects, CharNextA, RegisterClipboardFormatW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, PrintWindow, SetClassLongW, GetPropW, GetNextDlgGroupItem, GetNextDlgTabItem, ChildWindowFromPointEx, IsChild, NotifyWinEvent, TrackMouseEvent, GetCapture, GetAncestor, CharUpperW, SetWindowLongA, DrawCaption, InsertMenuW, IsWindowEnabled, GetMenuState, LoadCursorW, GetParent, IsDlgButtonChecked, DestroyWindow, EnumWindows, IsWindowVisible, GetClientRect, UnionRect, EqualRect, GetWindowThreadProcessId, GetForegroundWindow, KillTimer, GetClassInfoExW, DefWindowProcW, RegisterClassExW, GetIconInfo, SetScrollInfo, GetLastActivePopup, SetForegroundWindow, IsWindow, GetSystemMenu, IsIconic, IsZoomed, EnableMenuItem, SetMenuDefaultItem, MonitorFromWindow, GetMonitorInfoW, GetWindowInfo, GetFocus, SetFocus, MapWindowPoints, ScreenToClient, ClientToScreen, GetWindowRect, SetWindowPos, DeleteMenu, GetMenuItemInfoW, SetMenuItemInfoW, CharNextW

> UxTheme.dll: GetThemeBackgroundContentRect, GetThemeBool, GetThemePartSize, DrawThemeParentBackground, OpenThemeData, DrawThemeBackground, GetThemeTextExtent, DrawThemeText, CloseThemeData, SetWindowTheme, GetThemeBackgroundRegion, -, GetThemeMargins, GetThemeColor, GetThemeFont, GetThemeRect, IsAppThemed

 

( 0 exports )

 

Maintenant, celui de userinit.exe :

Antivirus Version Dernière mise à jour Résultat

a-squared 4.0.0.101 2009.03.09 Virus.Win32.Virut.q!IK

AhnLab-V3 5.0.0.2 2009.02.27 -

AntiVir 7.9.0.107 2009.03.09 -

Authentium 5.1.0.4 2009.03.08 -

Avast 4.8.1335.0 2009.03.09 -

AVG 8.0.0.237 2009.03.09 -

BitDefender 7.2 2009.03.09 -

CAT-QuickHeal 10.00 2009.03.09 -

ClamAV 0.94.1 2009.03.06 -

Comodo 1039 2009.03.09 -

DrWeb 4.44.0.09170 2009.03.09 -

eSafe 7.0.17.0 2009.03.09 -

eTrust-Vet 31.6.6387 2009.03.09 -

F-Prot 4.4.4.56 2009.03.08 W32/Patched.E.gen!Eldorado

F-Secure 8.0.14470.0 2009.03.09 -

Fortinet 3.117.0.0 2009.03.09 -

GData 19 2009.03.09 -

Ikarus T3.1.1.45.0 2009.03.09 Virus.Win32.Virut.q

K7AntiVirus 7.10.664 2009.03.09 -

Kaspersky 7.0.0.125 2009.03.09 -

McAfee 5548 2009.03.09 -

McAfee+Artemis 5548 2009.03.09 -

Microsoft 1.4405 2009.03.09 -

NOD32 3921 2009.03.09 -

Norman 6.00.06 2009.03.06 -

nProtect 2009.1.8.0 2009.03.09 -

Panda 10.0.0.10 2009.03.09 -

PCTools 4.4.2.0 2009.03.09 -

Prevx1 V2 2009.03.09 -

Rising 21.20.02.00 2009.03.09 Win32.Virut.GEN

SecureWeb-Gateway 6.7.6 2009.03.09 -

Sophos 4.39.0 2009.03.09 -

Sunbelt 3.2.1858.2 2009.03.08 -

Symantec 1.4.4.12 2009.03.09 -

TheHacker 6.3.3.0.277 2009.03.09 -

TrendMicro 8.700.0.1004 2009.03.09 -

VBA32 3.12.10.1 2009.03.09 -

ViRobot 2009.3.9.1641 2009.03.09 -

VirusBuster 4.5.11.0 2009.03.09 -

Information additionnelle

File size: 25088 bytes

MD5...: 66c36c3ba1becc31ba9a69db19f779c6

SHA1..: 8f7e4512c2773fe173b56c6a5ad31bec145204dc

SHA256: 38db7df22dd487301be86652fbec39f0e937836686995e1750cdeabe2f823115

SHA512: 53fef525f34e8e5bc010859f44332545220798751dd5102dfd427c6a49cda030

c1dadb978825bcbcd9d8eef644fda915345b38e3eb33a23dc1d12c76be6dbc16

ssdeep: 384:TnoGB/JR1CzaxzOV6s9cKmdPGFQ273eLXVBYkkjuv1hkNLdbaLa4CwUJuUCS

Fjj9:DxJRUaxgu5YEVBxkjuv7wbaLa4PU4HPO

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x50e5

timedatestamp.....: 0xa0a0a0a0L (invalid)

machinetype.......: 0x14c (I386)

 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x4db8 0x4e00 6.01 0deda721fda25eb5bc8da5f204726c2c

.data 0x6000 0x14c 0x200 1.86 cbb599f9267bf53209039d14a3574eb1

.rsrc 0x7000 0x10e00 0xe00 3.62 fb3de6f4736007e3cd67ad42d5ed9eda

 

( 7 imports )

> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW

> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA

> CRYPT32.dll: CryptProtectData

> WINSPOOL.DRV: SpoolerInit

> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, NtQueryInformationToken, RtlConvertSidToUnicodeString

> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, __setusermatherr, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, _initterm, _adjust_fdiv

> KERNEL32.dll: GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, SetEnvironmentVariableW, lstrlenW, lstrcpyW, FreeLibrary, GetProcAddress, LoadLibraryW, CompareFileTime, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, ExpandEnvironmentStringsW, SetEvent, OpenEventW, Sleep, GetLastError, SearchPathW, CreateProcessW

 

( 0 exports )

 

J'attends ta réponse, merci encore.

[Mark]

Merci pour les rapports

 

Bon cela confirme que Virut est bien présent. Ce dernier infecte tous les fichiers exécutables sur la machine. Malheureusement, l'infection ne peut être nettoyée de façon convenable et le seul moyen sûr et efficace est le formatage. Si tu tentes un nettoyage, cela peut se terminer rapidement (machine qui ne démarre plus) ou bien cela peut s'étirer pendant des pages et des pages, des jours et des jours, pour en arriver au même constat : rien à faire..

 

Ce que tu dois faire maintenant :

 

1) Sauvegarder tes fichiers importants, mais pas les fichiers suivants :

 

- Tous les programmes et fichiers exécutables (.exe et .scr)

- Tous les fichiers .zip ou .rar téléchargés

- Tous les fichiers .htm et .html (qui sont aussi infectés/piégés par Virut)

- Tous les fichiers .asp et .php (aussi ciblés par Virut)

 

2) Formater ta partition système (le lecteur C: dans ton cas). Ne pas faire de réparation ; formatage obligatoire.

 

3) Réinstaller Windows XP (ou autre système de ton choix).

 

4) Mettre un antivirus efficace (je te suggère AntiVir - version gratuite).

 

5) Remettre les sauvegardes, mais seulement lorsque l'antivirus sera installé, à jour et actif (pour éviter les surprises...).

 

6) Réinstaller les programmes, à partir de sources sûres et légitimes seulement (pas via P2P et encore moins via des cracks..).

 

=====

=====

 

Si questions, pas de gêne

 

@++

[Crootte]

As tu bien reçu mon MP ?

[Mark]

Désolé... j'ai dû quitter rapidement (sans me délogguer). Je regarde ça tout de suite...

[sparkweb]

Merci pour les rapports

 

Bon cela confirme que Virut est bien présent. Ce dernier infecte tous les fichiers exécutables sur la machine. Malheureusement, l'infection ne peut être nettoyée de façon convenable et le seul moyen sûr et efficace est le formatage. Si tu tentes un nettoyage, cela peut se terminer rapidement (machine qui ne démarre plus) ou bien cela peut s'étirer pendant des pages et des pages, des jours et des jours, pour en arriver au même constat : rien à faire..

bonjour,

je me permet de reprendre ce dire, car il est possible d'éradiquer virut sans formater

par expérience je le confirme

car parfois le formatage ne suffit pas

virut est un virus en résident mémoire

alors pour ma part j'ai utiliser avp (voici les démarches à suivre)

(j'ai donné exactement la même info sur un autre forum)

virut (nommé par certain antivirus win32.virtob.12)

en regardant ton hijackthis je ne le vois pas (serais je devenu bigleux)

alors par expérience (et oui je l'ai eu et grace à des personnes m'en suis débarrassé sans formater)

 

bon le conseil c'est de télécharger kapersky avp tool

ftp://ftp.kaspersky.com/devbuilds/AVPTool/

Redémarre ton ordinateur en mode sans échec en suivant cette procédure (en appuyant sur F8)

Lance l'exécutable intitulé "setup_7.0xxxxx" en double-cliquant dessus

Réponds "Oui" à la question "Do you want to continue installation?"

Clique sur "Next" pour les deux fenêtres suivantes: AVP TOOL s'installe sur ton Bureau dans un dossier nommé "Kaspersky Lab Tool"

Si nécessaire, branche tes périphériques amovibles (clés USB, disque dur externe...)

L'outil se lance tout seul: coche toutes les cases dans l'onglet "Automatic Scan".

Clique maintenant sur "Security Level": une fenêtre de configuration s'ouvre: paramètre le a maximum

Valide avec "Apply" puis "OK"

L'outil est maintenant configuré: dans la fenêtre principale, clique sur "Scan". Le scan commence, une nouvelle fenêtre s'ouvre indiquant la progression du balayage en pourcentage.

A la fin du scan, AVP Tool signale les objets infectés par l'intermédiaire d'une pop-up: coche alors "Apply to all" et clique sur "Disinfect"

Une fois les infections traitées par l'intermédiaire des pop-ups, il se peut que des fichiers malsains n'aient pas été supprimés: ils apparaissent en rouge dans la liste: clique alors sur le bouton "Neutralize all" de la fenêtre de progression du scan: si une pop-up indique qu'il faut redémarrer, accepte en cliquant sur "OK"

Rends-toi maintenant dans l'onglet "Events" de la fenêtre de progression du scan, et décoche "Show all events"

Clique enfin sur "Reports" puis "Save to file" et enregistre le rapport sur ton Bureau sous le nom Rapport AVP TOOL

Ferme les fenêtres d'AVP Tool: un message apparaît proposant de désinstaller le logiciel: choisis "YES"

Un message d'alerte indique que le PC doit être redémarré pour finir la désinstallation

A la question "Would you like to restart now", répond "OUI" et redémarre ton ordinateur en Mode normal

pour information, le scan est extrèmement long (pour ma part il a duré 16 heures)

sinon a savoir, ce virus se planque dans le fichier .sys de la carte réseau (ndis.sys)

qui fait à l'allumage un fichier temporaire et lance internet explorer en fond de tache pour récupérer le dit fichier reader_s.exe

alors un conseil si tu as un fichier ndis.sys propre met le bien dans un coin car il va bien falloir le supprimer et le rajouter après (sinon pas de connection web par la carte réseau)

et de la ça devrait suffire

Modifié le 17 mars 2009 par sparkweb

[Falkra]

Bonjour,

 

cela dépend de la version de Virut surtout.

 

Et un petit tour ici, au passage :

http://forum.zebulon.fr/faq-fonctionnement...on-t158392.html

 

Merci.