Gros virus, pc trés lent

[fragme]

Bonsoir, le pc d'un ami a un problème, depuis qu'il a télécharger un programme contenant un virus.

Les symptômes : Le pc est très lent avec de gros ralentissement et on y retrouve aussi des nouveaux processus inconnus dans le gestionnaire des taches.

 

Je vous poste le log hijackthis

 

Merci pour votre aide :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:47:06, on 25/12/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\csrss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\s.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\System32\reader_s.exe

D:\Program Files\Windows Live\Messenger\msnmsgr.exe

D:\WINDOWS\system32\ctfmon.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\msk.exe

D:\Documents and Settings\Administrateur\reader_s.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\p5vi70.exe

D:\Program Files\Samurize\Client.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\ccdrive32.exe

D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

D:\Program Files\Bonjour\mDNSResponder.exe

D:\Program Files\LogMeIn Hamachi\hamachi-2.exe

D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE

D:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\alg.exe

D:\Program Files\Windows Live\Contacts\wlcomm.exe

D:\WINDOWS\System32\svchost.exe

C:\Program Files\Teamspeak2_RC2\TeamSpeak.exe

D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fxv58y.exe

D:\WINDOWS\explorer.exe

D:\WINDOWS\system32\rundll32.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\Java\jre6\bin\jqsnotify.exe

D:\Program Files\Windows Live\Messenger\msnmsgr.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

D:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Reloaded Lite V2

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: Hotspot Shield Toolbar - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - D:\Program Files\Hotspot_Shield\tbHots.dll

O2 - BHO: D:\WINDOWS\system32\pt71n.dll - {A5BF49A2-94F1-42BD-F434-3604812C807D} - D:\WINDOWS\system32\pt71n.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - D:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - D:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL

O4 - HKLM\..\Run: [reader_s] D:\WINDOWS\System32\reader_s.exe

O4 - HKLM\..\Run: [Calc32] D:\WINDOWS\system32\regedit.exe

O4 - HKLM\..\Run: [Regedit32] D:\WINDOWS\system32\regedit.exe

O4 - HKCU\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [J8RPLTROBQ] D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\s.exe

O4 - HKCU\..\Run: [reader_s] D:\Documents and Settings\Administrateur\reader_s.exe

O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

O4 - HKCU\..\Run: [ygua8e7yhuiesfha876yfauy8fe] D:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fxv58y.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] D:\WINDOWS\ccdrive32.exe

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "D:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')

O4 - Startup: Client Default.lnk = D:\Program Files\Samurize\Client.exe

O8 - Extra context menu item: Download with IDM - D:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Télécharger avec IDM - D:\Program Files\Internet Download Manager\IEExt.htm

O8 - Extra context menu item: Télécharger le contenu de video FLV avec IDM - D:\Program Files\Internet Download Manager\IEGetVL.htm

O8 - Extra context menu item: Télécharger tous les liens avec IDM - D:\Program Files\Internet Download Manager\IEGetAll.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre6\bin\jp2iexp.dll

O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - D:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - http://webserver.dyyno.com/tng/dyyno-client/DyynoCAB.CAB

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1261237420890

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1261237401703

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{67809211-A5B3-470F-ADCE-F24F045B7D96}: NameServer = 212.27.40.241,212.27.40.240

O17 - HKLM\System\CCS\Services\Tcpip\..\{75843462-DDCB-482F-B084-9FC50F1C8903}: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\..\{C6219E87-06CC-4757-B94C-7568AF3A5E08}: NameServer = 212.27.40.241,212.27.40.240

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222

O20 - Winlogon Notify: zeyrdryo - D:\WINDOWS\SYSTEM32\tzdkevg.dll

O22 - SharedTaskScheduler: ujhsf879fiosdfhgs98fudifmnddfdfd - {A5BF49A2-94F1-42BD-F434-3604812C807D} - D:\WINDOWS\system32\pt71n.dll

O23 - Service: Apple Mobile Device - Apple Inc. - D:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - D:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - D:\Program Files\LogMeIn Hamachi\hamachi-2.exe

O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - D:\Program Files\iPod\bin\iPodService.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.32\bin\mysqld.exe

 

--

End of file - 8701 bytes

Modifié le 25 décembre 2009 par fragme

[Apollo]

Bonsoir,

 

Ton pote a chopé une sacrée collection de merdouilles.

 

1) Virer les crack/Keygens....

 

2) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Poste également un nouveau log Hijackthis stp.

 

@++

[fragme]

Le scan est trop long, ca bloque l'analyse, si je dois le faire ca dure 5 jours.

 

J'ai trouvé le problème il vient de la dll tzdkevg.dll que je n'arrive pas a supprimer, même en mode sans échec. Je tiens a préciser, que je ne suis pas un débutant : j'ai lancé gmer et fermé tous les processus (y compris les processus winlogon smss), seul est lancé crss et la commande dos. quand je veux supprimer la dll il me dit "Acces refusé", même chose quand j'essaie de supprimer la clé dans le registre, j'ai tout essayé dans les autorisations rien n'y fait. Il ne s'agit pas d'un problème qui se règle avec un scan, puisque ce virus ralenti l'ordinateur et empêche tout scan, et puis scanner tout le disque est inutile, puisque le problème vient du démarrage, le reste n'est pas utile a scanner.

Modifié le 26 décembre 2009 par fragme

[Apollo]

1° Il n'y a pas un virus mais plusieurs.

2° Si tu n'es pas débutant, c'est moi qui l'est? Pourquoi as-tu besoin d'un ignare comme moi puisque tu es si avancé?

 

Si t'es pas content, tu peux attendre quelqu'un d'autre ou aller voir ailleurs si ce sera plus rapide.

Sache que certaines analyses ont duré TROIS JOURS et que la personne n'a pas chicané. Si tu es pressé, FORMATE!

 

J'ai autre chose à faire et des gens patients attendent.

Bénévole oui, robot NON!

Modifié le 26 décembre 2009 par Apollo

[fragme]

Bonjour, désoler si le message n'est pas bien passer, mais le problème persiste je ne peux toujours pas lancer l'analyse ...

[Apollo]

Bonjour,

 

Je suis désolé si je me suis emporté un peu vite, mais il ne faut pas vouloir en terminer dès le début surtout que ce pc est multi-infecté. Je fais ce que je peux pour aider et contenter tous ceux que j'assiste ici et ailleurs.

 

Une machine s'infecte en deux secondes, ce n'est pas le cas pour la nettoyer.

 

Télécharge ComboFix renommé en combo-fix.com et enregistre-le sur ton BUREAU (et pas ailleurs). >> http://senduit.com/e5fba6

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  
• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Double-clique Combo-Fix.com afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

 

@+tard.

[fragme]

Bonsoir, mon ami a réussi a résoudre le problème... (oui il est impatient)

 

désoler pour le dérangement et merci pour votre aide bonne soirée et bonne fêtes de fin d'anné !!