[Résolu] PC infecté par le virus Winupgro.exe

[Apollo]

Plusieurs façons de choper Bagle ou encore pire (!) Virut.

 

dans 99% des cas, l'antivirus n'aura pas le temps de réagir parce que, lorsqu'on télécharge un crack/keygen ou un bête mp3... (hé oui), on introduit soi-même le loup dans la bergerie et celui-ci mange les antivirus tout crus avant de pulvériser la connexion internet et bien d'autres choses selon la variante du virus.

 

Bagle est relativement facile à traiter, ce qui est loin d'être le cas de Virut...

 

L'antivirus réagira (si c'est un bon) à l'insersion d'une clé usb ou autre support externe contaminé et devrait stopper la bête à l'entrée.

 

Bon, quand tu auras posté le rapport de FindyKill option 2, fais un log Hijackthis stp, que je regarde ce qui était en place.

 

Télécharge HijackThisV2 dans un nouveau dossier créé sur C:\ nomme-le HJT.

• Double-clique sur HJTInstall.exe et suis les instructions d'installation.
  --> Sous VISTA: faire un clic droit/exécuter en temps qu'administrateur
  
• Tu trouveras un tutoriel pour l'installation et la génération d'un rapport ici
  
• Lance le, valide le message d'avertissement, puis clique sur Do a system scan and save a logfile.
  
• A la fin de l'analyse, le bloc-notes va s'ouvrir. Copie-colle tout son contenu ici à la suite.
  
• Poste le rapport généré sur le forum.
  

 

@++

[Apollo]

Tu tiens à garder Norton, Pas terrible hein?

 

Si oui, désinstalle-le et réinstalle-le après avoir utilisé le nettoyeur: Remover Symantec/Norton

 

Néanmoins si celui-ci fonctionnait normalement inutile de le réinstaller.

 

Si tu veux changer pour du gratuit efficace ou payant après période d'évaluation, fais-moi signe et je te donne els renseignements utiles.

 

Quoiqu'il en soit, protège ton ordi de suite.

 

Ne fais pas encore de scan antivirus mais ceci avant:

 

Télécharge Zip_Scan (par Eric_71) du lien suivant et sauvegarde-le sur ton Bureau :

http://eric71.geekstogo.com/beta/ZSc.exe

• Lance l'outil ZSc.exe par double-clic et accepte son exécution.
  
• Clique maintenant sur le bouton "Scan", au bas à gauche.
  
• Zip_Scan va maintenant rechercher les fichiers .zip infectés, spécifiques à cette infection;
  
• Lorsque l'analyse sera complétée, un rapport apparaîtra à l'écran; ce rapport est également sauvegardé sur ton Bureau (scan.txt)
  
• Copie/colle le contenu intégral de ce rapport ici, dans ta réponse.
  
• Tu dois maintenant fermer l'outil en cliquant sur le bouton "Exit", au bas à droite.
  
• Ne clique surtout pas sur "Disinfect" avant d'en être avisé, au cas où un faux positif serait détecté lors de l'analyse.
  

 

 

@++

[laurentludo]

juste avt ton message j ai poste ce que tu m a demande

^

pour le reste... je suis en train..... de faire ce qur tu me demande

merci

a+

[laurentludo]

ok merci pr les renseignements

pr le moment norton semble fonctionner

 

voila le rapport que tu m avais demande avt

je m empresse de telecharger le scan comme tu me le demande

 

je reviens vers toi ensuite

merci a plus

et je suis preneur pr une autre solution anti virus lol le moment venu

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:23:09, on 31/01/2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Aide à la navigation SFR - {0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\17.5.0.127\IPSBHO.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\17.5.0.127\coIEPlg.dll

O4 - HKCU\..\Run: [RegDokFRT] C:\Program Files\RegistryDoktor 4.1\RegistryDoktor.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownlo...iaSmartScan.cab

O16 - DPF: {A90A5822-F108-45AD-8482-9BC8B12DD539} (Crucial cpcScan) - http://www.orderingmemory.com/controls/cpcScanner.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton Internet Security\Engine\17.5.0.127\ccSvcHst.exe

 

--

End of file - 4753 bytes

[laurentludo]

voila je viens de faire un zip scan

voila le resultat

 

et d apres ce que tu viens de me dire sur la facon de se faire infecter...

c est lui le coupable lol?????

 

 

 

-- Report --

.

D:\Guide\PanaVue ImageAssembler v3.5 Enterprise Multilingual Retail Incl Keymaker by ZWT.zip | patch.exe <-- FOUND

.

-- EOF --

[Apollo]

C'est possible mais pas sûr; Bagle a pris la sale habitude d'injecter des zips "normaux".

 

L'option suivante va faire la distinction, désinfectera si besoin et supprimera si c'est le ou un des coupables.

 

Sanction dans ce cas: la trappe (gloups)

 

• Lance l'outil ZSc.exe par double-clic et accepte son exécution.
  
• Clique maintenant sur le bouton "Scan", au bas à gauche.
  
• En fin d'analyse, un rapport apparaîtra à l'écran; prière de fermer ce fichier (mais pas l'outil).
  
• De retour à la fenêtre de l'outil, clique sur le bouton "Disinfect" ("Delete" sera et doit être coché, sous ce bouton).
  
• Zip_Scan supprimera maintenant les fichiers infectés trouvés; ceci ne durera que quelques secondes.
  
• Un rapport apparaîtra à l'écran en fin de routine; ce rapport est également sauvegardé sur ton Bureau (kill.txt)
  
• Copie/colle le contenu intégral de ce rapport ici, dans ta réponse.
  
• Tu dois maintenant fermer l'outil en cliquant sur le bouton "Exit".
  

 

Poste le rapport

 

@tte.

[laurentludo]

voila le rapport

-- Report --

.

D:\Guide\PanaVue ImageAssembler v3.5 Enterprise Multilingual Retail Incl Keymaker by ZWT.zip | patch.exe <-- DELETED

.

-- EOF --

 

visibement DELETED !!!

 

que faire ensuite?? notamment pr retrouver les applications comme avt car pr le mment toujours pas de connexion internet

excuse moi si suis impatient

 

[laurentludo]

visiblement je n ai plus de materiel de reconnu

ni ma carte son

ni ma carte reseau

ni mon imprimante

....

dur dur

[Apollo]

FindyKill a pourtant réparé la connexion.

 

Télécharge TFC par OldTimer et enregistre-le sur le bureau.

 

• Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
  
• L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
  
• Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
  
• Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC toi-même pour parachever le nettoyage.
  

 

 

Redémarre et vois si ça marche, sinon regarde par là:

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

-----------------------------------

 

Pour la suite il y a encore du taf:

 

Protéger son pc gratuitement

 

Evaluation d'un mois d'un produit Kaspersky (exemple: Kaspersky Internet Security 2010)

 

Tuto: http://forum.pcastuces.com/sujet.asp?f=25&s=48493

 

Quelle que soit la solution que tu choisisses, fais une analyse complète antivirus après avoir analysé avec MalwareBytes Antimalware (MBAM), car ton log Hijackthis laisse encore voir des saletés.

 

Poste chaque rapport à la fin des analyses.

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Poste également un nouveau log Hijackthis stp.

 

Mais installe le firewall et l'antivirus avant l'analyse MBAM.

 

@++

[laurentludo]

pour le moment je vais effectuer MBAM

mais je reviens a ma connexion internet impossible de la restaure

et visiblment il reconnais plus ma carte reseau ma carte son.... et c est qu un premier constat lol

c est grave docteur