× Aidez la recherche contre le COVID-19 avec votre ordi ! Rejoignez l'équipe PC Astuces Folding@home
 > Tous les forums > Forum Sécurité
 Besoin d'aide Virus désinfection...!Sujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Naiko
  Posté le 08/10/2009 @ 15:31 
Aller en bas de la page 
Nouvel astucien

Bonjour à tous, je viens de formater mon pc il y a une grosse semaine de cela et je pense avoir été infecté alors que je recherchais des pilotes pour remettre à jour le pc (avec internet 6....).

Configuration :

packard bell easynote Mz35 series

Win xp pro sp3

2 go de Ram

J'ai depuis quelques jours toute un floppée de truc bizarre voici quelques exemples :

- plus possible de se connecter à pas mal de sites officiels (microsoft, site d'Avira antivir,...) et ce meme avec Firefox 3.5

- Plus possible d'installer le moindre programme (avira : le fichier setup.exe à été modifié ou déplacer, internet explorer 8 :

...IE-Setup.cmd fichier spécifié introuvable, Malwarebytes : pas possible de faire les mises à jour, error code 732 (0, 0), en gros quasiment chaque setup ne marche pas.

- Avast bloque un bouclier réseau je sais pas trop quoi à presque chaque démarrage

- Les mises à jours de windows automatiques semblent s'installer, le petit bouclier jaune apparait mais le téléchargement ne démarre pas et reste bloqué à 0% puis disparait....

J'avais formaté dans le but de retrouver une base propre et voilà que c'est encore pire qu'avant..

Je désespère et me tourne vers vous, pouvez s'il vous plait m'aider à résoudre mes problèmes

D'avance merci

voici le rapport HijackThis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58:47, on 8/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxet.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ThreatFire] C:\Program Files\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1254406770159
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ThreatFire - PC Tools - C:\Program Files\ThreatFire\TFService.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

--
End of file - 3380 bytes



Modifié par Naiko le 08/10/2009 16:00
Publicité
Anonyme
 Posté le 08/10/2009 à 16:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour,

hijackthis a été passé en safe mode (mode sans echec) et si je me trompe pas vous étes en démarrage sélectif (visible en ligne 04)

Comme le pc est en démarrage sélectif certaines entrées désactivées ne sont pas visibles mais bien présentes! (une entrée néfaste "keylogger" est déja visible en ligne 04)

Je pense qu'il faut tout recocher via MSConfig dans l'onglet démarrage et ensuite laisser le pc en démarrage normal afin d'avoir toutes les entrées visibles.

Aprés ceci un redémarrage du pc va etre effectué, et le passage d'Hijackthis pour un nouveau rapport est a préconisé.

@+



Modifié par Anonyme le 08/10/2009 16:20
Naiko
 Posté le 08/10/2009 à 17:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Salut merci de répondre aussi vite,

voici le nouveau rapport :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:58:25, on 8/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\ThreatFire\TFService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\ThreatFire\TFTray.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.be/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxet.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ThreatFire] C:\Program Files\ThreatFire\TFTray.exe
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1254406770159
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} (HardwareDetection Control) - http://fichiers.touslesdrivers.com/maconfig/MaConfig_3_5_3_0.cab
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: ThreatFire - PC Tools - C:\Program Files\ThreatFire\TFService.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

--
End of file - 4204 bytes

Anonyme
 Posté le 08/10/2009 à 21:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir

Ok.....on peut déja voir une infection.

Un programme de keylogger qui peut capturer toutes les frappes des utilisateurs

(y compris des détails confidentiels tels nom d'utilisateur, mot de passe, numéro de carte de crédit, etc)

une entrée néfaste est visible en ligne 04

=> O4 - HKLM\..\Run: [ter8m] RUNDLL32.EXE C:\WINDOWS\system32\msxm192z.dll,w

mon niveau etant modeste il faut laisser la place au Groupe Sécurité, mais pour avancer le travail vous allez faire ceci, en respectant scrupuleusement les consignes

  • Vous téléchargez Malwarebytes et faites un scan rapide "sans suppression" lien de téléchargement et tutoriel complet ci-dessous

Tutoriel pour Malwarebytes

  • Vous téléchargez s'il vous plait Random's System Information Tool (RSIT) (par random/random) et sauvegardez-le sur votre Bureau.

  • Double-cliquez sur RSIT.exe afin de lancer RSIT (sous vista, clic droit "Executer en administrateur")

  • Cliquez sur Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et vous devrez accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
  • Postez le contenu de log.txt (< qui sera affiché sur votre bureau et de info.txt (< qui sera réduit dans la barre des tâches

Tutoriel pour RSIT


>>>Vous avez donc deux rapports a poster (malwarebytes,RSIT)<<<

Une fois ceci fait vous attendez s'il vous plait l'arrivée d'un(e) GS (groupe sécurité) qui vous prendra en charge du début a la fin

L'australien a votre service.



Modifié par Anonyme le 08/10/2009 23:31
Naiko
 Posté le 09/10/2009 à 00:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Ok, j'execute cela et je poste le tout dés que c'est fait.

Merci de ton aide Australien

bonne soirée

Anonyme
 Posté le 09/10/2009 à 00:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonsoir,

a la lecture de votre premier message,

Malwarebytes : pas possible de faire les mises à jour, error code 732 (0, 0), en gros quasiment chaque setup ne marche pas.

  • Il se peut que le téléchargement et /ou l'installation de Malwarebytes soit bloqué par les infections.

  • Dans ce dernier cas, vous recommencez le téléchargement

  • Mais cette fois ci en faisant un clic droit sur le lien de téléchargement "enregister la cible du lien sous..." et là vous enregistrez en renommant le téléchargement par "Toto-setup.exe"


un membre du Groupe Sécurité devrait prendre la suite a la lecture de vos rapport dés que possible.

(sauf si l'infection n'est pas trop importante -mais dans votre cas, je doute- pour mes compétences encore limitées et que j'ai l'accord du GS pour vous assister)

bonne nuit



Modifié par Anonyme le 09/10/2009 00:44
Naiko
 Posté le 09/10/2009 à 13:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Merci australien,

hier désespéré que j'étais j'ai posté ce problème sur plusieurs Forum et j'ai eu plusieurs réponses. Un autre personne sur Cnet.com tente déjà de me filer un coup de main, du coup je vais donc continuer avec lui pour ne pas partir dans toutes les directions et faire pire que mieux.

Ce n'était pas très intelligent de ma part et ça doit être l'impatience qui m'a jouée des tours.

Enfin bref un grand merci pour les renseignement apportés je vais essayer de résoudre mon problème de ce coté là!

Salut, peut être à un de ces 4 pour d'autres pc infectés (ce que je n'espère pas).

A+

Anonyme
 Posté le 09/10/2009 à 13:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

bonjour,

Ok....c'est honnête de ta part de prévenir

bonne chance l'ami.....peut tu mettre ce sujet en résolu s'il te plait ?

@+



Modifié par Anonyme le 09/10/2009 13:19
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Les bons plans du moment PC Astuces

Tous les Bons Plans
32,91 €Caméra de surveillance TP-Link Tapo C200 à 32,91 €
Valable jusqu'au 07 Août

Amazon fait une promotion sur la caméra de surveillance TP-Link Tapo C200 qui passe à 32,91 € livrée gratuitement au lieu d'une quarantaine d'euros ailleurs. Cette caméra se connecte à votre réseau en WiFi et peut ensuite être contrôlée à distance. Elle offre une définition FullHD 1080p, la vision nocturne, la détection de mouvements (recevez une notification si quelque chose est détecté), une alarme sonore et visuelle. Le stockage se fait en local sur une carte MicroSD.


> Voir l'offre
89,99 €Assistant vocal Amazon Echo Show 8 avec Alexa à 89,99 €
Valable jusqu'au 06 Août

Amazon fait une promotion sur l'assistant vocal Amazon Echo Show 8 qui passe à 89,99 € (au lieu de 129,99 €). L'appareil piloté par la voix et vos doigts fonctionne avec Alexa, l’intelligence artificielle développée par Amazon. Vous pourez avec elle écouter de la musique, interagir avec vos appareils domotiques, écouter les infos, des livres audio la radio, connaître la météo et d’accéder à des milliers d’autres possibilités grâce aux Skills : recettes de cuisine, petits jeux, etc. Grâce à son écran HD de 8 pouces, vous pourrez également regarder des séries, des films, des photos, afficher des recettes de cuisine, appeler vos amis en visio, contrôler vos caméras de sécurité, etc...


> Voir l'offre
89,99 €Disque dur externe portable Seagate Expansion 4 To USB 3.0 à 89,99 €
Valable jusqu'au 06 Août

Amazon fait une promotion sur le disque dur externe portable Seagate Expansion d'une capacité de 4 To à 89,99 € livré gratuitement alors qu'on le trouve ailleurs à partir de 120 €. Ce disque dur externe portable au format 2,5 pouces dispose d'une interface USB 3.0 compatible USB 2.0. Une excellente affaire pour ce disque dur qui offre des débits de 115 Mo/s. Il n'est pas soudé et est donc démontable si vous souhaitez le réutiliser ailleurs (console, NAS, PC).


> Voir l'offre

Sujets relatifs
besoin d'aide pour désinfection d'un pc
besoin d aide pour désinfection
Besoin d'aide à la désinfection
désinfection en 3 étape, besoin d'Aide
pc infesté de virus, besoin d'aide
Infecté par bagle, besoin d'aide pour désinfection
J'ai vraiment besoin d'aide concernant un virus?
Virus TR/BHO.Gen : Besoin d'aide
Besoin d'aide : Virus Antimalware Doctor
besoin d'aide PC infecté par WIN32 et autres virus
Plus de sujets relatifs à Besoin d''aide Virus désinfection...!
 > Tous les forums > Forum Sécurité