[Résolu] Trojan "Win32:PurityScan-N"

[hercut]

Exelent merci^^.

[bibi26]

Moaurf, KC.EXE, c'est un peu dur à dire, sysinternal est le créateur de l'exellent contig, mais pourquoi dans le dossier TEMP ? Alors sa doit être un faux nom pour tromper

 

1-Hélas, ton système de restauration est infecté (comme tu as pu t'en douter ). Clique sur démarrer et sur Panneau de configuration, si c'est séparé en catégories, alors va à gauche de la fenêtre et clique sur "Basculer vers l'affichage classique". Clique sur l'icône "Système" et clique sur l'onglet "Restauration du système". Coche la case "Désactiver la restauration système" Clique sur "Ok". Une fenêtre de confirmation va apparaître, clique sur oui.

 

2-Télécharger SmitfraudFix de S!Ri sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Dézipper la totalité de l'archive smitfraudfix.zip

 

Double cliquer sur smitfraudfix.cmd

Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection, après sauvegarde le rapport...

 

process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky...) comme étant un RiskTool.

Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

 

3-Redémarre l'ordinateur en mode sans échec (dans ce mode, tu n'as pas accès à internet, donc sauvegarde les instructions en quelque part ^^), pour ce faire, quand l'ordinateur redémarre, appuie pleins de fois sur le bouton F8, un menu va apparaître, sélectionne "Mode sans échec"

 

4-Clique sur démarrer et sur exécuter, puis tape "services.msc" (sans les guillemets). Dans ta liste de services, cherche un service qui se nomme "KC", double-clique dessus, clique sur la boîte déroulante à coter de type de démarrage et met-le sur "Désactivé". Puis, clique sur le bouton "Arrêter". Après clique sur OK.

 

5-Démarre hijackthis, clique sur "do a system scan only" et coche les lignes suivantes, assure toi que toutes les autres fenêtres sont fermées et clique sur "Fix Checked" :

F2 - REG:system.ini: UserInit=userinit.exe

 

O2 - BHO: (no name) - AutorunsDisabled - (no file)

 

O9 - Extra button: (no name) - AutorunsDisabled - (no file) (HKCU)

 

O23 - Service: KC - Sysinternals - www.sysinternals.com - C:\DOCUME~1\HercuT\LOCALS~1\Temp\KC.exe

 

6-Ouvre ccleaner, clique sur "options" et sur avancé, décoche la case "Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures". Fait un nettoyage avec le mode "Erreurs" et "Nettoyeurs"

 

7-Retourne en mode normal et poste le rapport smitfraudfix + un nouveau rapport hijackthis....

Modifié le 12 avril 2006 par bibi26

[hercut]

J'ai deja fais sysinternals, je l'ai pas mis il est vrai.

Et donc j'ai deja fais la desinfection avec.

Se que tu m'as dis de faire pour hijackthis j'ai deja fais aussi desolé ^^.

 

Mais sa regle pas mon probleme de depart:

Win32:PurityScan-N [Trj], qui se trouve dans se fichier :

C:\WINDOWS\system32\?ystem\wowexec.exe\[uPX]

 

que je ne trouve pas, et que avast ne pe enlever...

Modifié le 12 avril 2006 par hercut

[bibi26]

Je suis bien au courant

 

Avant pourrait-tu faire ce qui est en haut, après je te dirai le reste ^^ Ou préfère tu que je met tout de suite la suite ?

Modifié le 12 avril 2006 par bibi26

[hercut]

et voila :

 

SmitFraudFix v2.29

Rapport fait à  2:21:41,81, 12/04/2006
Executé à partir de C:\Documents and Settings\HercuT\Bureau\Entretiens\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600]

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HercuT\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\HercuT\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files 


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Pré-chargeur Browseui"

[HKEY_CLASSES_ROOT\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Démon de cache des catégories de composant"

[HKEY_CLASSES_ROOT\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

[bibi26]

Tu as fait le reste des opérations en mode sans échec ?

 

Tu peux supprimer smitfraudfix ^^

Modifié le 12 avril 2006 par bibi26

[hercut]

Oui oui j'ai fais le reste en sans echec.

[bibi26]

Woaw, tu es rapide

Bon, je finit d'écrire le reste

[bibi26]

Avant de continuer quoi que se soit, on fait un petit scan chez panda pour voir ce qui reste :

 

http://www.pandasoftware.fr/Activescan/Activescan.html

 

Fait un analyse avec panda et poste le rapport sur le forum !!

 

PS : Tu es sur d'avoir fait les autres instructions, je trouve que tu es vite pour une personne que sont ordi prend 2 minutes à redémmarer......

[hercut]

lol, oui car comme je tai dis j'ai deja fais la manipulation 3 fois.

Et en mod sans echec, pour etre claire je me bat depuis midi avec se troyant.

 

Apres si tu me dis que y a quelque chose qui va changer si je le fais une 4ieme fois je vais le faire ^^. (en trainnant les pied...)

 

Panda fonctionne pas chez moi je ne sais pas pourquoi, donc j'ai utilisé kaspersky.