Virus qui detraque la souris

Virus qui detraque la souris - Virus/Spywares - Windows & Software

Marsh Posté le 30-07-2009 à 19:48:12    

Bonjour a tous
 
Voila depuis quelque jours avast me signales des virus sur mon pc , que je suprrime mais qui revienne a chaque fois ; nottement x.bat
 
J'ai egalement remarué l'apparittion dans les processus de usb_magr.exe
 
Aujourd'hui alors que j'etait parti pendant 2h, un nouveau virus indetectable pour le moment viens de s'installer
 
Il me detraque la souris usb : clic droit sur le clic gauche , mais pas l'inverse , j'ai tenter de voir dans les parametre de la souris en re permuttant 2x , mais non , donc du coup j'ai du ressortir la souris a roulette non usb pour pouvoir utiliser un minimum le pc
 
Donc la a part faire des scans avast et ad aware je sais pas trop comment resoudre le probleme , si qqun pourrait m'aider ca serait vraiment sympas  :jap:

Reply

Marsh Posté le 30-07-2009 à 19:48:12   

Reply

Marsh Posté le 06-08-2009 à 12:09:18    

de pire en pire
maintenant j'ai un virus qui se lance quand msn est ouvert et qui spam tout mes contacts
Ainsi qu'un faux antivirus qui s'est installé windows pc antisoftware 2009 et avast n'en fou pas une

Reply

Marsh Posté le 06-08-2009 à 14:18:43    

Bonjour,
 
Windows pc antisoftware 2009, comme d'autres faux anti-virus, a dû s'installer suite à une alerte fausée sur ton PC...  
 
Je peux t'aider si tu veux, sachant que si jamais je passais à côté d'une infection, d'autres gens qui nous lisent le verront sans doute et t'aideront aussi.
 
Pour commencer, utilise ce logiciel de diagnostique s'il te plaît :  
 

  • Télécharge  Hijackthis ici et enregistre-le sur ton bureau
  • Tout est expliqué pour bien l'installer et savoir l'utiliser.
  • Double-clique sur HijackThis pour l'installer sur ton PC et suis les indications en cliquant sur Suivant
  • Puis, lance HijackTHis et choisi l'option "Do a system scan and save a log file"
  • Enregistre le rapport en fin de scan, mais ne le poste pas directement ici car une règle du forum l'interdit. A la place, suis ce tuto pour héberger le rapport ailleurs et poste le lien qui est donné stp.

Reply

Marsh Posté le 06-08-2009 à 14:47:01    

tu devrais pouvoir desinstaller pc antisoftware 2009 "normalement"
 
télécharge MALWAREBYTES et scanne ton système.
 
Ca ne dispense pas du scan Hijackthis que propose Adaron, bien sur, mais ça nettoiera un peu.


---------------
Guide OC x58 - Guide d'achat de config - ALIMS:qui fait quoi? - RKO - Radiooooo
Reply

Marsh Posté le 06-08-2009 à 14:57:53    

Merci, Zonka ^_^
 
Voilà pour Malwarebytes, mais je veux bien toujours ton rapport HijackThis ;)  
 
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments  détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp

Reply

Marsh Posté le 06-08-2009 à 15:55:22    

voila pour le rapport de malware
 

Spoiler :

Malwarebytes' Anti-Malware 1.40
Version de la base de données: 2568
Windows 5.1.2600 Service Pack 3
 
06/08/2009 12:42:19
mbam-log-2009-08-06 (12-42-19).txt
 
Type de recherche: Examen complet (C:\|D:\|E:\|F:\|H:\|J:\|L:\|)
Eléments examinés: 114706
Temps écoulé: 25 minute(s), 11 second(s)
 
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 10
 
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
 
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
 
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
 
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
 
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
 
Fichier(s) infecté(s):
C:\fasdfasdf.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Administrateur\Local Settings\Temporary Internet Files\Content.IE5\MWBHX1EK\loader89[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\AxBx\VirusKeeper 2008 Evaluation\Quarantaine\askdjf.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\AxBx\VirusKeeper 2008 Evaluation\Quarantaine\hp32_nword.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\AxBx\VirusKeeper 2008 Evaluation\Quarantaine\thatguy.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Program Files\AxBx\VirusKeeper 2008 Evaluation\Quarantaine\thatguy.exe.2 (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\msdrv32.exe (Backdoor.Sdbot) -> Quarantined and deleted successfully.
C:\WINDOWS\cru629.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\41.exe (Backdoor.Sdbot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\cru629.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.


 
mais j'ai toujours les virus , pour hijackthis ,il veut pas se lancer , et il avait merder a l'instal de plus

Reply

Marsh Posté le 06-08-2009 à 15:59:54    

Ca fait déja ça de moins.
 
Tu as un antivirus installé sinon?


---------------
Guide OC x58 - Guide d'achat de config - ALIMS:qui fait quoi? - RKO - Radiooooo
Reply

Marsh Posté le 06-08-2009 à 16:02:13    

Ok.
 
As-tu quand même pu télécharger HijackThis?
 
Si oui, clique droit sur le fichier d'installation, puis fais Renommer et donne lui un autre nom comme "Neon67.exe" par exemple, sans changer l'extension du fichier donc (.exe)
 
En principe, ça devrait résoudre ton problème et tu dois pouvoir l'installer avec les paramètres par défaut. Une fois cela fait, fais le scan comme expliqué et donne le lien vers le rapport généré s'il te plaît ^^
 
Edit: Zonka, il a Avast, mais actuellement hors route, sans doute à cause de l'infection ;)


Message édité par Adaron le 06-08-2009 à 16:02:52
Reply

Marsh Posté le 06-08-2009 à 16:13:53    

voici le rapport hijackthis :
 
http://www.toofiles.com/fr/oip/doc [...] kthis.html
 
En  faite avast est hors circuit car j'ai installé eset je pense

Reply

Marsh Posté le 06-08-2009 à 17:32:20    

Hum...
 
Tu as plusieurs anti-virus installés sur ton PC? Si c'est le cas, ça ne va pas vraiment t'aider, de plus l'anti virus est un moyen indispensable de protection mais il ne fait pas tout.  
Il faut en garder un qui soit bon et fiable, un c'est suffisant. Ensuite, en complément, il y a MBAM que tu as déjà installé et éventuellement un anti-spyware (comme Spybot S&D).
 
Bon, on va commencer par rechercher des infections MSN.
 
•Télécharge MSNFix.zip (de !aur3n7) et l'enregistre-le sur le bureau  
•Décompresse-le (clic droit => extraire ici) et place les fichiers dans C:\MSNFix
•Une fois décompressé, tu dois obtienir un dossier MSNFix contenant le fichier MSNFix.bat (MSNFix) et un second dossier incl.
•Aucune intervention n'est nécessaire dans ce dossier  
 
•Double-clique sur le fichier MSNFix.bat pour lancer l'application (.bat peut ne pas apparaître)
•Choisis l'option 'R' pour lancer une recherche (appuyez  sur la touche [R] puis validez par [Entée]
•Le scan démarrera, il vaut mieux quitter les autres applications afin de ne pas perturber son fonctionnement.
 
 
Un tuto détaillé et imagé est disponible Ici. Je t'invite à t'y rendre pour prendre connaissance de toute la procédure.
 
A la fin, poste le rapport qui est donné s'il te plaît.
 
 
Edit : Ah oui, concernant Pc antisoftware 2009, comme tu le sais, c'est une arnaque. Tente une désinstallation classique comme a proposé Zonka, et si jamais ça marche pas, on s'en occupera après.


Message édité par Adaron le 06-08-2009 à 17:34:33
Reply

Marsh Posté le 06-08-2009 à 17:32:20   

Reply

Marsh Posté le 06-08-2009 à 18:20:52    

impossible d'ouvrir msnfix , a chaque fin de dl il me met erreur comme quoi le fichier source ne peut etre lu, quelque soit la source

Reply

Marsh Posté le 06-08-2009 à 21:18:36    

bon avec msnfix il avait trouvé quelque chose , nettoye , puis a la fin me dit qu'il n'y a rien


Message édité par Neon67 le 06-08-2009 à 21:19:02
Reply

Marsh Posté le 07-08-2009 à 09:01:03    

... Donc, tu as quand même réussi à le télécharger et à le lancer?
 
Est-ce qu'il tu as le rapport qui a été généré?
 
C'est un fichier texte dans le dossier de MSNFix.


Message édité par Adaron le 07-08-2009 à 09:02:13
Reply

Marsh Posté le 07-08-2009 à 12:14:05    

dans le log il dit qu'il na rien trouvé
un pote l'a telecharger et me la envoyer en .rar
 
je sens que le formattage n'est pas loin


Message édité par Neon67 le 07-08-2009 à 12:15:02
Reply

Marsh Posté le 07-08-2009 à 14:10:00    

Ok mais j'aurais aimé voir le log, en fait, avant de continuer ^^
 
Il reste quelques manips à faire pour terminer la désinfection, on ne va pas utiliser que MsnFix. Et c'est toujours plus rapide qu'un formatage (qui ne garanti pas toujours qu'il ne reste rien de néfaste, selon la manière dont c'est fait et selon l'infection).

Reply

Marsh Posté le 07-08-2009 à 14:28:57    

Spoiler :

MSNFix 1.700  
 
C:\Documents and Settings\Administrateur\Bureau\MSNFix  
Fix exécuté le 06/08/2009 - 18:52:23,21 By Administrateur  
mode normal    
     
************************ Recherche les fichiers présents      
     
Aucun Fichier trouvé  
 
************************ Recherche les dossiers présents        
 
... \TEMP\  
 
 
 
 
************************ Suppression des fichiers        
     
 
 
************************ Suppression des dossiers        
 
.. OK ... \TEMP\    
 
 
************************ Nettoyage du registre  
 
 
 
************************ Fichiers suspects  
 
Aucun Fichier trouvé  
 
   
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 06082009_18525843.zip
 
************************ HKLM\...\Winlogon\Userinit  
 
Userinit = C:\WINDOWS\system32\userinit.exe,  
 
 
------------------------------------------------------------------------  
Auteur : !aur3n7                     Contact: http://changelog.fr      
------------------------------------------------------------------------    
 
---------------------------------------------   END   ---------------------------------------------  
 


 
mais il est toujours present

Reply

Marsh Posté le 07-08-2009 à 14:49:07    

Hum, ok.
 
Pour MSN, pense à changer ton mot de passe, et tes contacts ne devraient plus recevoir des spams ou autre.
 
On passe à la suite.
 

  • Telecharge UsbFix de C_XX & Chiquitine29


  • Lance l'installation avec les parametres par default


  • Branche toutes tes sources de données externes à ton PC, (clé USB, disque dur externe, lecteur MP3 etc...) suceptible d'avoir été infectés sans les ouvrir, ni aller dedans


  • Double clic sur le raccourci UsbFix sur ton bureau


  • Choisi l'option 1 (Recherche)


  • Laisse travailler l'outil


  • Ensuite post le rapport UsbFix.txt qui apparaîtra


  • Note : le rapport UsbFix.txt est sauvegardé a la racine du disque


* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.  
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.  
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Reply

Marsh Posté le 08-08-2009 à 01:20:03    

bonjours,
 
À titre d'info.
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msudp32.exe
O4 - HKLM\..\Run: [Windows UDP Control Center] msconfigs.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msudp32.exe
O20 - AppInit_DLLs: cru629.dat
 
Il y a entre autre braviax, qui est géré par smitFraudfix : ChangeLog smitFraudfix

Reply

Marsh Posté le 08-08-2009 à 01:39:36    

pour usb fix  
 

Spoiler :


############################## | UsbFix V6.015 |
 
User : Administrateur (Administrateurs) # ANTEC
Update on 07/08/09 by Chiquitine29 & C_XX
Start at: 01:34:09 | 08/08/2009
Website : http://pagesperso-orange.fr/NosTools/index.html
 
Processeur Intel Pentium III Xeon
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 7.0.5730.13
Windows Firewall Status : Disabled
AV : avast! antivirus 4.8.1296 [VPS 090807-0] 4.8.1296 [ (!) Disabled | Updated ]
AV : VirusKeeper 2008 8.0 [ Enabled | Updated ]
AV : ESET NOD32 Antivirus 4.0 4.0 [ Enabled | Updated ]
 
A:\ -> Lecteur de disquettes 3 ½ pouces
C:\ -> Disque fixe local # 50,01 Go (5,85 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 100,01 Go (16,39 Go free) [Soft] # NTFS
E:\ -> Disque fixe local # 200,01 Go (13,74 Go free) [Jeux] # NTFS
F:\ -> Disque fixe local # 246,15 Go (7,5 Go free) [Films] # NTFS
G:\ -> Disque CD-ROM # 7,68 Go (0 Mo free) [ARMA2] # UDF
H:\ -> Disque fixe local # 137,66 Go (24,92 Go free) [Ancien C] # NTFS
I:\ -> Disque CD-ROM
J:\ -> Disque fixe local # 14,99 Go (4,49 Go free) # NTFS
K:\ -> Disque CD-ROM # 3,66 Go (0 Mo free) [FRMCXFRE_EN_DVD] # UDF
 
############################## | Processus actifs |
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\DU Meter\DUMeterSvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\runservice.exe
D:\Infographie\3d\3dsmax2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
D:\Infographie\3d\3dsmax9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\spm\spmdib.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Program Files\Saitek\SD6\Software\ProfilerU.exe
C:\Program Files\Saitek\SD6\Software\SaiMfd.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trillian\trillian.exe
C:\WINDOWS\system32\taskmgr.exe
E:\Jeux installes\Steam\Steam.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
################## | Fichiers # Dossiers infectieux |
 
Présent ! G:\autorun.inf  
Présent ! K:\autorun.inf  
 
################## | Other | http://www.virustotal.com |
 
Suspect ! C:\Fraps\fraps.exe  
Suspect ! G:\Arma2\ArmA2.exe  
 
################## | Registre # Clés Run infectieuses |
 
 
################## | Registre # Mountpoints2 |
 
HKCU\..\..\Explorer\MountPoints2\K
Shell\AutoRun\command =K:\sources\sperr32.exe x64
 
HKCU\..\..\Explorer\MountPoints2\{0de5a59c-068f-11de-b60c-002354341785}
Shell\Auto\command =Start.exe  
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
 
HKCU\..\..\Explorer\MountPoints2\{a796a942-f29e-11dd-b5e2-002354341785}
Shell\AutoRun\command =M:\LaunchU3.exe -a
 
HKCU\..\..\Explorer\MountPoints2\{a796a943-f29e-11dd-b5e2-002354341785}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL log.exe
Shell\Ouvrir\command =N:\log.exe  
 
HKCU\..\..\Explorer\MountPoints2\{ee710eb3-f7a7-11dd-b5f0-002354341785}
Shell\AutoRun\command =M:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe  
Shell\open\command =M:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe  
 
################## | Cracks / Keygens / Serials |
 
 
 
################## | ! Fin du rapport # UsbFix V6.015 ! |
 


 
Pour smartfix :
 

Spoiler :

SmitFraudFix v2.423
 
Rapport fait à  1:25:05,07, 08/08/2009
Executé à partir de C:\Program Files\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
 
»»»»»»»»»»»»»»»»»»»»»»»» Process
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Autodesk Shared\Service\AdskScSrv.exe
C:\Program Files\DU Meter\DUMeterSvc.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\runservice.exe
D:\Infographie\3d\3dsmax2009\mentalray\satellite\raysat_3dsMax2009_32server.exe
D:\Infographie\3d\3dsmax9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\spm\spmdib.exe
C:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Program Files\D-Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Winamp\winampa.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\atwtusb.exe
C:\Program Files\Saitek\SD6\Software\ProfilerU.exe
C:\Program Files\Saitek\SD6\Software\SaiMfd.exe
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Fichiers communs\Ahead\lib\NMBgMonitor.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trillian\trillian.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\taskmgr.exe
E:\Jeux installes\Steam\Steam.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
 
»»»»»»»»»»»»»»»»»»»»»»»» hosts
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Administrateur\Application Data
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\ADMINI~1\Favoris
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
 
 
»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files  
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="cru629.dat"
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
 
»»»»»»»»»»»»»»»»»»»»»»»» RK
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
 
 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» DNS
 
Description: Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.240
DNS Server Search Order: 212.27.40.241
 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8E737729-E566-4402-86C3-7EC609C182BB}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8E737729-E566-4402-86C3-7EC609C182BB}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8E737729-E566-4402-86C3-7EC609C182BB}: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=212.27.40.240 212.27.40.241
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
 
 
»»»»»»»»»»»»»»»»»»»»»»»» Fin
 

Reply

Marsh Posté le 08-08-2009 à 03:54:03    

re,
 
Braviax doit-être dans un autre répertoire, que celui attendu par SmitFraudFix.
cru629.dat à été détecté.
 
Pour USBFix, ce sont des autorun de CD-ROM, c'est correct.
 
Perso..  
Je les fixeraient tous avec Hjt, afficher les fichiers cachés et retraceraient les fichiers associés aux lignes hjt, pour suppressions. Suivit des rapports RSIT pour vérification.
 


Message édité par mido70 le 08-08-2009 à 12:07:56
Reply

Marsh Posté le 08-08-2009 à 12:38:43    

re,
 
Utilisateur de SpybotSD.
Désactivez la protection résidente de SpybotSD, qui peut interférer avec la désinfection.
• Lancez Spybot > Mode avancé > Outils >> Résident
• Décochez la case résident "tea timer" et refermez Spybot
 
>> Vous réactiverez la protection après la désinfection. <<
________________________________________________________
 
Relancer HijackThis http://img185.imageshack.us/img185/3497/hijackthisicne.png
• Appuyer sur [Do a system scan only],  
• Cocher http://img84.imageshack.us/img84/2826/crochetnoirgh5.jpg les lignes suivantes  
>>> Fermer Internet Explorer et autre fenêtre..
• Appuyer sur [Fix Checked] pour les supprimer.  
 
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\msudp32.exe
O4 - HKLM\..\Run: [Windows UDP Control Center] msconfigs.exe
O4 - HKLM\..\Run: [braviax] braviax.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\msudp32.exe
O20 - AppInit_DLLs: cru629.dat  
 
http://img229.imageshack.us/img229/5268/bulleflche.pngRedémarrer votre PC pour que prennent effet ces suppressions .
_____________________________________________________________________
 
Suppressions des infections.
 
• Affichez les fichiers & répertoires cachés,
 
• Allez supprimer > C:\WINDOWS\msudp32.exe
 
Pour msconfigs.exe, cru629.dat  et braviax.exe
Vérifier s'ils sont dans C:\Windows\.. et/ou C:\Windows\System32\..  
Et supprimer lès,
 
Si vous ne l'est y trouvés pas tous et/ou  
que la fonction Recherche ne donnait pas de résultat probant.

 
• Ouvrer le Bloc-note (Menu Démarrer --> Tout les programmes --> Accessoire,
• Copier/ coller les commandes qui suivent la Citation suivante dans le Bloc-Note,  
• Dans le bloc-note sélectionner Fichier -> Enregistrer sous..  
• Sauvegarder le Bloc-Note sous RecFile.Bat (sur le bureau)
• Double-cliquer sur le fichier RecFile..Bat
 
Citation.
dir c:\msconfigs.exe /s >> rapport.txt
dir C:\braviax.exe /s >> rapport.txt
dir C:\cru629.dat /s >> rapport.txt
dir c:\msconfigs.exe /a:h /s >> rapport.txt
dir c:\braviax.exe /a:h /s >> rapport.txt
dir C:\cru629.dat /a:h /s >> rapport.txt
start notepad rapport.txt

 
>> Un rapport va apparaitre à l'écran ,  
http://img229.imageshack.us/img229/5268/bulleflche.png Postez le contenu de ce rapport.txt dans votre prochain message.
 
______________________________________________________________________
 
Téléchargez sur votre bureau >> RSIT  << (de random/random) http://img8.imageshack.us/img8/6167/rsiticnem.png
• Double cliquez sur RSIT.exe,
• Appuyez sur [Continue] à l'écran « Disclaimer »,  
• RSIT téléchargera HijackThis (s’il n’est pas installé) -> acceptez la licence,
>> le rapport log.txt va s'ouvrir à l'écran..
>> l'autre est dans la barre de tâche, cliquez dessus pour l'ouvrir
 
Ces rapports sont aussi disponibles : C:\RSIT\log.txt & info.txt
 
Utilisez le site CJoint, pour convertir les rapports RSIT en page Web et  
ne poster que leurs adresses ainsi générés
 
Comment poster les rapports RSIT. http://img166.imageshack.us/img166/5333/icne2cjoint.png
• Aller sur le site : http://cjoint.com/
• Appuyez sur [Parcourir] et chercher les rapports sur le disque,
• Ensuite appuyez sur [Créer le lien CJoint],
>> dans la page suivante --> une adresse http://.. sera créé,,
• Copier /coller ce lien dans votre prochain message.
 
• Recommencez cette procédure pour l'autre rapport..


Message édité par mido70 le 08-08-2009 à 12:50:43
Reply

Marsh Posté le 10-08-2009 à 19:50:43    

me revoila  , desolé du temps de reponse mais je viens de passer un sale week end , bref...
 
J'ai enfaite decider de passer a windows visa por supprimer les virus, car en ayant tenté l'une des methode , j'ai eu des ecrans bleu a chaque fois en revenant sur windows  
 
Mais maintenant j'ai d'autre problemes et je me demande si ca pourrait etre lié au virus :
 
http://forum.hardware.fr/forum2.ph [...] w=0&nojs=0
 
 
merci de votre aide :)
 

Reply

Marsh Posté le 10-08-2009 à 23:38:01    

re,
 

Citation :

en ayant tenté l'une des methode , j'ai eu des ecrans bleu a chaque fois en revenant sur windows  

Quelle procédure(s) (avec détail) avez vous faites..
 
Quel est votre système d'exploitation, Vista ou Seven.
Et un récapitulatif du problème avec ça, qui semble en être un de carte graphique ?

Reply

Marsh Posté le 10-08-2009 à 23:50:45    

il me semble que c'etait apres avoir fixé avec hijackthis cru629 que j'ai eu ce soucis
j'etait passé sous vista , probleme a l'instal un ecran bleu , tentative d'installation des drivers cg, test 3d = crash
 
je suis passé sous seven 64 , aucun soucis a l'instal mais probleme graphique des que je lance une appli 3d , ca plante au bout de 30 secondes  , qui n'est peut etre pas du juste a cause de la cg
 
par ailleurs j'ai tenté un sfc scan , mais il s'arrete au bout de 5%
 
Windows resource protection could not perform the requested operation


Message édité par Neon67 le 10-08-2009 à 23:56:42
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed