Gros problème d'attaque de virus - Urgentissime !!

[macsim]

Gros probleme de virus

 

Bonjour,

J'ai depuis quelques jours des virus. Voici le rapport hijackthis

 

Je ne peux pas installer antivir, il me dit que le fichier setup.exe a été modifié. Idem lorsque je tente de lancer elibagle.

Par ailleur dans le regedit, les processus cmd.exe services.exe et scvhost.exe se multiplient à la volée ainsi que des fichiers A.tmp, 7.tmp, 8.tmp... le fichier reader_s.exe, sopidkc.exe...

Cela ressemble à une grosse attaque.

 

J'ai déjà lancé malwarebytes - Apparament innéficace contre mon virus.

 

Merci d'avance pour votre aide !

 

Voici un rapport Hijackthis réalisé à l'instant donc pas en mode sans échec.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:56:31, on 07/05/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal

 

Running processes:

C:WINDOWSSystem32smss.exe

C:WINDOWSsystem32winlogon.exe

C:WINDOWSsystem32services.exe

C:WINDOWSsystem32lsass.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSExplorer.EXE

C:WINDOWSsystem32spoolsv.exe

C:WINDOWSservices.exe

C:WINDOWSsystem32ctfmon.exe

C:Program FilesAdobeAcrobat 5.0DistillrAcroTray.exe

C:WINDOWSsystem32cmd.exe

C:WINDOWSsystem32taskmgr.exe

C:Program FilesCanonDIASCnxDIAS.exe

C:WINDOWSdhcpsvchost.exe

C:Program FilesJavajre6binjqs.exe

C:WINDOWSsystem32svchost.exe

C:WINDOWSservices.exe

C:WINDOWSsystem32cmd.exe

C:WINDOWSservices.exe

C:WINDOWSsystem32cmd.exe

C:WINDOWSservices.exe

C:WINDOWSsystem32cmd.exe

C:WINDOWSservices.exe

C:WINDOWSsystem32cmd.exe

C:WINDOWSservices.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSSystem32svchost.exe

C:WINDOWSsystem32svchost.exe

C:Program FilesInternet Exploreriexplore.exe

C:Documents and SettingsMaxime Lerouge.MAXIMEBureauHijackThis.exe

C:WINDOWSSystem32svchost.exe

 

O4 - HKLM..Run: [svchost.exe] "C:WINDOWSsystem323361SVCHOST.exe"

O4 - HKLM..Run: [services] C:WINDOWSservices.exe

O4 - HKLM..Run: [reader_s] C:WINDOWSSystem32reader_s.exe

O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime

O4 - HKLM..RunOnce: [svchost.exe] "C:WINDOWSsystem323361SVCHOST.exe"

O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe

O4 - HKCU..Run: [reader_s] C:Documents and SettingsMaxime Lerouge.MAXIMEreader_s.exe

O4 - HKUSS-1-5-18..Run: [svc] c:program FilesThunMailtestabd.exe (User 'SYSTEM')

O4 - HKUSS-1-5-18..Run: [reader_s] C:Documents and SettingsMaxime Lerouge.MAXIMEreader_s.exe (User 'SYSTEM')

O4 - HKUS.DEFAULT..Run: [svc] c:program FilesThunMailtestabd.exe (User 'Default user')

O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:Program FilesAdobeAcrobat 5.0DistillrAcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:Program FilesFichiers communsAdobeCalibrationAdobe Gamma Loader.exe

O4 - Global Startup: Microsoft Recherche accélérée.lnk = C:Program FilesMicrosoft OfficeOfficeFINDFAST.EXE

O8 - Extra context menu item: &ieSpell Options - res://C:Program FilesieSpelliespell.dll/SPELLOPTION.HTM

O8 - Extra context menu item: Check &Spelling - res://C:Program FilesieSpelliespell.dll/SPELLCHECK.HTM

O8 - Extra context menu item: Convertir les liens sélectionnés en fichier Adobe PDF - res://C:Program FilesAdobeAcrobat 7.0AcrobatAcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~3OFFICE11EXCEL.EXE/3000

O9 - Extra button: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:Program FilesieSpelliespell.dll

O9 - Extra 'Tools' menuitem: ieSpell - {0E17D5B7-9F5D-4fee-9DF6-CA6EE38B68A8} - C:Program FilesieSpelliespell.dll

O9 - Extra button: (no name) - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:Program FilesieSpelliespell.dll

O9 - Extra 'Tools' menuitem: ieSpell Options - {1606D6F9-9D3B-4aea-A025-ED5B2FD488E7} - C:Program FilesieSpelliespell.dll

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~3OFFICE11REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe

O10 - Unknown file in Winsock LSP: c:windowssystem32nwprovau.dll

O17 - HKLMSystemCCSServicesTcpip..{C3A3147B-448F-488A-AC21-371D45581257}: NameServer = 192.168.0.2,193.131.248.2

O20 - AppInit_DLLs: c:progra~1ThunMailtestabd.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesFichiers communsAdobe Systems SharedServiceAdobelmsvc.exe

O23 - Service: Canon Driver Information Assist Service - CANON INC. - C:Program FilesCanonDIASCnxDIAS.exe

O23 - Service: Dhcp server (DhcpSrv) - Unknown owner - C:WINDOWSdhcpsvchost.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:Program FilesGoogleCommonGoogle UpdaterGoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:Program FilesJavajre6binjqs.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:Program FilesIntelPROSetWiredNCSSyncNetSvc.exe

O23 - Service: sopidkc Service (sopidkc) - Unknown owner - C:WINDOWSsystem32sopidkc.exe

O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:Program Filesxamppxamppservice.exe (file missing)

 

--

End of file - 5422 bytes

[Loup blanc]

Bonjour Macsim,

 

Mauvaise nouvelle pour toi, tu es visiblement infecté par une version récente de Virut, une saleté qui infecte, entre autre, tous les fichiers exécutables et invite pas mal d'autres infections sur ton PC.

Pour cette infection, la seule solution fiable est le formatage en ne sauvegardant aucuns fichiers exécutable (EXE), html, SCR.

 

Pour vérifier, tu peux faire un contrôle de quelques fichier

 

Rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Parcours tes dossiers jusque à ce fichier :
  

• C:\windows\explorer.exe
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  
• Refait la même manipulation avec le fichier c:\windows\system32\svchost.exe
   
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

Modifié le 7 mai 2009 par Loup blanc