malware

[invite4eafaac9]

bonjour,

j'observe de gros ralentissement sur mon pc, autant pour ouvrir des fichier, naviguer sur le web. et même souvent des plantages systeme . J'ai suivie votre procédure en nettoyant le systeme. cependant, l'outil RSIT me met une erreur que je vous ai mis dans les fichier joints, il ne veut pas lancer hijackthis. j'ai donc lancer moi même hijackthis dont je vous ais mis le rapport dans les fichiers joints. Je n'arrive pas a lancez hijackthis en mode sans echec (pas normal non plus).

au demarrage, j'observe aussi une erreur de dll,ainsi que la detection d'un virus (voir piece jointes).

si vous voulez des infos sur mon pc:

intel core 2 quad q9300

system 32bit windows 7
2go de ram
carte graphique ATI radeon hd 5800


pourriez vous m'aidez svp merci
-----

[invitec04351b8]

Bonjour,

est ce que ceci voudrait bien s'exécuter :


Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invite4eafaac9]

re

merci pour votre réponse rapide, je vous ais mis le rapport en piece jointe.

MERCI

[invite4eafaac9]

Dsl la piece jointe n'a pas du passer

[A voir en vidéo sur Futura]

[invite4eafaac9]

c'est bn je les ais mis en deux parties dsl

[invitec04351b8]

Re,

vilaine infection (rootkit TDSS) avec "des copains" (trojan Fakealert, ...) sans compter des toolbars au mieux inutiles.

===

ouvre ce lien :

http://support.kaspersky.com/fr/faq/?qid=208280685

Fais ce qui est dit sous "La désinfection du système infecté".

Poste le rapport dans ta réponse.

===
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé,sélectionne tout ce qu'il a trouvé puis clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

===


● Télécharge Ad-Remover (de Cyrildu17 / C_XX) sur ton Bureau.

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\

● Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
● Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau.
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur)
● Au menu principal, choisis l'option Nettoyer.
● Poste le rapport généré (C:\Ad-Report-Scan-(date).log).

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

@+

[invite4eafaac9]

ok, je vous tien au courant, merci encore je vous poste cela demain matin. bonne soirée

[invite4eafaac9]

bonjour,

je vous ais mi ci joints tous les rapports (mbam) et ad remover.

merci encore. j'aimerais mettre un pare feu, pour reeviter ce genre d'intrusion, j'avais installer jetico mais il m'agassait plus qu'autre chose.

Vs avez commencer par quoi pour apprendre a analyser les logs car je me suis pencher sur hijackthis et c'est un bazard monstre?

merci

[invitec04351b8]

Re,

le rapport de TDSSKiller ?

@+

[invite4eafaac9]

ah oui dsl, j'ai oublier de vous le transmettre;

[invitec04351b8]

Re,

tu fais redémarrer l'ordi, tu relances ZHPDiag et tu postes le rapport.

@+

[invite4eafaac9]

ok voila le rapport a mon avios il y a encore 2 a trois trojan qui restent

[invitec04351b8]

Re,


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

SS - | Auto 30/12/1899 0 |  (AMService) . (...) - C:\Windows\TEMP\kjbkav\setup.exe
[HKLM\Software\Classes\sweetie.ietoolbar]   =>Toolbar.SweetIM
[HKLM\Software\Classes\sweetie.ietoolbar.1]   =>Toolbar.SweetIM
[HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook]   =>Toolbar.SweetIM
[HKLM\Software\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1]   =>Toolbar.SweetIM
[HKLM\Software\Classes\Toolbar3.sweetie]   =>Toolbar.SweetIM
[HKLM\Software\Classes\Toolbar3.sweetie.1]   =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]   =>Toolbar.Agent
[HKLM\Software\Classes\TypeLib\{4d3b167e-5fd8-4276-8fd7-9df19c1e4d19}]   =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}]   =>Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}]   =>Toolbar.Conduit
[HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}]   =>Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}]   =>Toolbar.Conduit
[HKLM\Software\Classes\CLSID\{82ac53b4-164c-4b07-a016-437a8388b81a}]   =>Toolbar.SweetIM
[HKLM\Software\Classes\Interface\{eee6c358-6118-11dc-9c72-001320c79847}]   =>Toolbar.SweetIM
[HKLM\Software\Classes\Interface\{eee6c35a-6118-11dc-9c72-001320c79847}]   =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{eee6c35b-6118-11dc-9c72-001320c79847}]   =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{eee6c35b-6118-11dc-9c72-001320c79847}]   =>Toolbar.SweetIM
[HKLM\Software\Classes\CLSID\{eee6c35b-6118-11dc-9c72-001320c79847}]   =>Toolbar.SweetIM
[HKLM\Software\Classes\TypeLib\{eee6c35e-6118-11dc-9c72-001320c79847}]   =>Toolbar.SweetIM
[HKLM\Software\Classes\TypeLib\{eee6c35f-6118-11dc-9c72-001320c79847}]   =>Toolbar.SweetIM
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}]   =>Toolbar.SweetIM
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{eee6c360-6118-11dc-9c72-001320c79847}]   =>Toolbar.SweetIM
[HKLM\Software\Classes\Installer\Features\5B4758C25396ECF468E04F8E063287FF]   =>PUP.OfferBox
[HKLM\Software\Classes\Installer\Features\A28B4D68DEBAA244EB686953B7074FEF]   =>Toolbar.AskSBar
[HKLM\SYSTEM\CurrentControlSet\Services\AMService]   =>Spyware.Passwords
[HKCU\Software\APN]   =>Toolbar.Agent
[HKLM\Software\APN]   =>Toolbar.Agent
[HKCU\Software\AppDataLow\Software\Productivity_2.2]   =>Toolbar.Conduit
[HKLM\Software\Productivity_2.2]   =>Toolbar.Conduit
[HKCU\Software\AppDataLow\Software\Softonic_France]   =>Toolbar.Conduit
[HKLM\Software\Softonic_France]   =>Toolbar.Conduit
[HKCU\Software\SweetIM]   =>Toolbar.SweetIM
[HKLM\Software\SweetIM]   =>Toolbar.SweetIM
[HKCU\Software\WideStream]   =>Adware.SPointer
[HKLM\Software\WideStream]   =>Adware.SPointer
[HKCU\Software\Winamp Toolbar]   =>Toolbar.Winamp
[HKLM\Software\Winamp Toolbar]   =>Toolbar.Winamp
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar]   =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_France Toolbar]   =>Toolbar.Conduit
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}   =>Toolbar.Agent
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}   =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:ApnUpdater   =>Toolbar.Ask
C:\Program Files\DAEMON Tools Toolbar   =>Toolbar.Agent
C:\Program Files\Softonic_France   =>Toolbar.Conduit
C:\Program Files\SweetIM   =>Toolbar.SweetIM
C:\Program Files\Winamp Toolbar   =>Toolbar.Winamp
C:\ProgramData\Media Get LLC   =>PUP.MediaGet
C:\ProgramData\SweetIM   =>Toolbar.SweetIM
C:\ProgramData\Winamp Toolbar   =>Toolbar.Winamp
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Widestream6   =>Adware.SPointer
C:\Users\fruzy\AppData\Roaming\Media Get LLC   =>PUP.MediaGet
C:\Users\fruzy\AppData\Roaming\Widestream   =>Adware.SPointer
C:\Users\fruzy\AppData\Local\MediaGet2   =>PUP.MediaGet
C:\Users\fruzy\AppData\Local\moovida air   =>Adware.SPointer
C:\Users\fruzy\AppData\Local\widestream6 Air   =>Adware.SPointer
C:\Users\fruzy\AppData\Local\Winamp Toolbar   =>Toolbar.Winamp
C:\Users\fruzy\AppData\LocalLow\Softonic_France   =>Toolbar.Conduit
C:\Users\fruzy\AppData\LocalLow\SweetIM   =>Toolbar.SweetIM
C:\Users\fruzy\AppData\Roaming\Mozilla\Firefox\Profiles\oerkv5vt.default\Extensions\ffxtlbr@babylon.com   =>Toolbar.Babylon
O87 - FAEL: "{9AE34722-C4A9-4A85-BF90-CA73DEBE7C9A}" |In - Private - P6 - TRUE | .(...) -- C:\Windows\temp\ms0cfg32.exe (.not file.)
O87 - FAEL: "{B8213439-72FE-438B-A4CE-8085616980F6}" |In - Private - P17 - TRUE | .(...) -- C:\Windows\temp\ms0cfg32.exe (.not file.)
O87 - FAEL: "TCP Query User{CC5201E3-07BE-4118-9D3B-5F7D8C81A0F3}C:\users\fruzy\appdata\local\mediaget2\mediaget.exe" | In - Private - P6 - TRUE | .(.MediaGet LLC - MediaGet torrent client.) -- C:\users\fruzy\appdata\local\mediaget2\mediaget.exe
O87 - FAEL: "UDP Query User{74287F2F-5DA4-4BA9-A96D-D16391D8E1FC}C:\users\fruzy\appdata\local\mediaget2\mediaget.exe" | In - Private - P17 - TRUE | .(.MediaGet LLC - MediaGet torrent client.) -- C:\users\fruzy\appdata\local\mediaget2\mediaget.exe
O87 - FAEL: "{27E6F8C0-BF3F-4CA5-A8D8-6DA68148E28D}" | In - Private - P6 - TRUE | .(.FrostWire Group - FrostWire.) -- C:\Program Files\FrostWire\FrostWire.exe
O87 - FAEL: "{7246C909-DF96-4C1B-BFD3-4BA989443DC6}" | In - Private - P17 - TRUE | .(.FrostWire Group - FrostWire.) -- C:\Program Files\FrostWire\FrostWire.exe
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O53 - SMSR:HKLM\...\startupreg\Windows86  [Key] . (...) -- E:\Windows 7 KeYGeNNN [[AIO]] All Working Versions + Windows 7 TiTan Link\KeYGeNN PreM TiTan.exe (.not file.)
O53 - SMSR:HKLM\...\startupreg\Audio HD Driver  [Key] . (...) -- C:\Users\fruzy\AppData\Local\Temp\win32.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Windows\TEMP\0.6639479942317478.exe" [Enabled] .(...) -- C:\Windows\TEMP\0.6639479942317478.exe (.not file.) 
O47 - AAKE:Key Export SP - "C:\Windows\system32\config\systemprofile\AppData\Roaming\xecgavdysoygbfo1b32xswxx3fhc3ip32\svcnost.exe" [Enabled] .(...) -- C:\Windows\system32\config\systemprofile\AppData\Roaming\xecgavdysoygbfo1b32xswxx3fhc3ip32\svcnost.exe
O47 - AAKE:Key Export SP - "C:\Windows\TEMP\0.20873329782589822.exe" [Enabled] .(...) -- C:\Windows\TEMP\0.20873329782589822.exe (.not file.)
O23 - Service: AMService (AMService) . (...) - C:\Windows\TEMP\kjbkav\setup.exe (.not file.)
O20 - AppInit_DLLs: . (...) - C:\Windows\system32\skaumun.dll (.not file.)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Fais redémarrer l'ordi, relance ZHPDiag et poste le nouveau rapport.

@+

[invite4eafaac9]

re, il y a eut un beug lors de la suppression des fichiers. je ne pourrais donc pas poster le log de la desinfection. par contre j'ai redemarer le pc et refait une analyse et la j'ai u que les lignes que vous m'aviez demander d'effacer etait partis, je vais vous poster le nouveau rapport. je l'ai un peu analyser et je voulais vous demander si l'on pouvais supprimer ces lignes la? (antivir detecte encore un trojan) :

[MD5.00000000000000000000000000 000000] [APT] [{C06013F2-127B-4298-BA8D-8C24D765DC72}] (...) -- C:\Program Files\XBCD\Driver\XBCD_DrvReIn t.exe (.not file.)

O4 - HKUS\S-1-5-21-3426965204-728015264-129291918-1000\..\Run: [msnmsgr] ~C:\Program Files\Windows Live\Messenger\msnmsgr.exe (.not file.)

O53 - SMSR:HKLM\...\startupreg\SunJa vaUpdateSched [Key] . (...) -- C:\Program Files\Java\jre6\bin\jusched.ex e (.not file.)

O52 - TDSD: \drivers.desc\"xvidvfw.dll"="X vid MPEG-4 Video Codec 1.2.2" . (...) -- (.not file.)

O52 - TDSD: \drivers.desc\"lameACM.acm"="L ame ACM MP3 CODEC v3.98.2" . (...) -- (.not file.)

je ne vais pas supprimer ces fichiers sans que vous me dites si je peux car je suis novice dans ce domaine.

merci

[invitec04351b8]

Bonjour,

réactive la restauration système.

Où Antivir te décèle un trojan ?

Relance ZHPFix avec ces lignes :

Code:

[HKLM\SYSTEM\CurrentControlSet\Services] wscsvc :  Modified
[MD5.A64DA4EF938434F19142F964296347BF] - (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe   [111928]
G2 - GCE: Preference [User Data\Default] [pioliciekajfgilkenamlbghbpgpipdm] Interest Recognizer for Widestream6 v.3.4.1545.153 (Activé)
M3 - MFPP: Plugins - [fruzy] -- C:\Users\fruzy\AppData\Roaming\Mozilla\Firefox\Profiles\oerkv5vt.default\searchplugins\winamp-search.xml
M2 - MFEP: prefs.js [fruzy - oerkv5vt.default\{0b38152b-1b20-484d-a11f-5e04a9b0661f}] [] Winamp Toolbar v5.6.12.1 (.AOL LLC.)
R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (...) (No version) -- (.not file.)    => Toolbar.Conduit
R3 - URLSearchHook: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Productivity_2.2\prxtbPro0.dll
R3 - URLSearchHook: Toms Guide France Toolbar - {a65e491f-a436-4952-b49a-b24ed99a0f67} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Tom's_Guide_France\prxtbTom0.dll
R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} . (...) (No version) -- C:\Program Files\Winamp Toolbar\winamptb.dll
R3 - URLSearchHook: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (...) (No version) -- (.not file.)    => Toolbar.Conduit
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} . (...) (No version) -- C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
R3 - URLSearchHook: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Productivity_2.2\prxtbPro0.dll
R3 - URLSearchHook: Toms Guide France Toolbar - {a65e491f-a436-4952-b49a-b24ed99a0f67} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.2.0) -- C:\Program Files\Tom's_Guide_France\prxtbTom0.dll
O2 - BHO: Toms Guide France - {a65e491f-a436-4952-b49a-b24ed99a0f67} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Tom's_Guide_France\prxtbTom0.dll
O2 - BHO: Productivity 2.2 - {e84cc2c1-b722-48fc-a39c-edb8b525c777} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Productivity_2.2\prxtbPro0.dll
O3 - Toolbar: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (...) --  (.not file.)    => Toolbar.Conduit
O3 - Toolbar: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} . (...) --  (.not file.)    => Macrogaming SweetIM Toolbar
O3 - Toolbar: Productivity 2.2 Toolbar - {e84cc2c1-b722-48fc-a39c-edb8b525c777} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Productivity_2.2\prxtbPro0.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} . (...) -- C:\Program Files\Winamp Toolbar\winamptb.dll
O3 - Toolbar: Toms Guide France Toolbar - {a65e491f-a436-4952-b49a-b24ed99a0f67} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Tom's_Guide_France\prxtbTom0.dll
O4 - HKLM\..\Run: [SweetIM] . (.SweetIM Technologies Ltd. - SweetIM Instant Messenger Enhancer.) -- C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKUS\S-1-5-18\..\Run: [AMService] C:\Windows\TEMP\kjbkav\setup.exe (.not file.)
O4 - HKUS\S-1-5-18\..\Run: [AMService] C:\Windows\TEMP\kjbkav\setup.exe (.not file.)
O4 - Global Startup: C:\Users\fruzy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\eBay.lnk - Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{C06013F2-127B-4298-BA8D-8C24D765DC72}] (...) -- C:\Program Files\XBCD\Driver\XBCD_DrvReInt.exe (.not file.)
[HKCU\Software\AppDataLow\Software\iGraal]
O43 - CFD: 30/11/2010 - 19:57:56 - [0] ----D- C:\Program Files\Fluendo
O43 - CFD: 11/06/2011 - 13:31:56 - [8925679] ----D- C:\Program Files\Productivity_2.2
O43 - CFD: 25/11/2010 - 09:45:38 - [5338911] ----D- C:\Program Files\SweetIM
O43 - CFD: 20/01/2011 - 20:44:46 - [51833] ----D- C:\ProgramData\Winamp Toolbar
O43 - CFD: 02/12/2010 - 17:15:38 - [3557637] ----D- C:\Users\fruzy\AppData\Roaming\igraal
O43 - CFD: 26/11/2010 - 18:01:12 - [591811] ----D- C:\Users\fruzy\AppData\Roaming\moovida-1
C:\Program Files\SweetIM
C:\ProgramData\Winamp Toolbar

Poste le rapport dans ta réponse.

Fais redémarrer l'ordi, relance ZHPDiag et poste le rapport.

===

Je ne sais pas quand j'aurai de nouveau une connexion Internet.

L'ordi doit être sain.

Mets à jour Windows avec Windows update.

@+

[invite4eafaac9]

bjr, dsl de ne pas avoir donné de new pedant ces derniers jour mais mon travail d'été ma pris bcp de mon temps:

j'ai mis en piece jointes les rapports que vous m'aviez demander. en refaisant une analyse avec zhp anti vir trouve encore deux troyen , je vous ais mis les imprim ecran en piece jointes.

merci encore bonne journée